Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory - Servidor FSx de archivos Amazon para Windows
Antes de empezar

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory

Al crear un nuevo sistema de archivos FSx para Windows File Server, puede configurar la integración de Microsoft Active Directory para que se una a su dominio autogestionado de Microsoft Active Directory. Para ello, proporcione la siguiente información para su Microsoft Active Directory:

  • El nombre de dominio completo (FQDN) de su directorio local de Microsoft Active Directory.

    nota

    FSxActualmente, Amazon no admite dominios de etiqueta única (SLD).

  • Las direcciones IP de los DNS servidores de tu dominio.

  • Credenciales de una cuenta de servicio en el dominio de Microsoft Active Directory en las instalaciones. Amazon FSx utiliza estas credenciales para unirse a su Active Directory autogestionado.

Si lo desea, también puede especificar lo siguiente:

  • Una unidad organizativa (OU) específica del dominio al que quieres que se una tu sistema de FSx archivos de Amazon.

  • El nombre del grupo de dominios a cuyos miembros se les conceden privilegios administrativos para el sistema de FSx archivos de Amazon.

    nota

    El nombre del grupo de dominios que proporcione debe ser único en su Active Directory. FSxpara Windows File Server no creará el grupo de dominios en las siguientes circunstancias:

    • Si ya existe un grupo con el nombre que especifique

    • Si no especifica un nombre y ya existe un grupo denominado «Administradores de dominio» en su Active Directory.

Tras especificar esta información, Amazon FSx une su nuevo sistema de archivos a su dominio autogestionado de Active Directory mediante la cuenta de servicio que ha proporcionado.

importante

Amazon FSx solo registra DNS los registros de un sistema de archivos si el dominio de Active Directory al que se va a unir utiliza Microsoft de DNS forma predeterminadaDNS. Si utilizas un terceroDNS, tendrás que configurar manualmente DNS las entradas para tus sistemas de FSx archivos de Amazon después de crear tu sistema de archivos. Para obtener más información acerca de la elección de las direcciones IP correctas para usar en el sistema de archivos, consulte Obtener las direcciones IP del sistema de archivos correctas para usarlas en las entradas manuales DNS.

Antes de empezar

Asegúrese de haber completado Requisitos previos que se detalla en Uso de un Microsoft Active Directory autogestionado.

  1. Abre la FSx consola de Amazon en https://console.aws.amazon.com/fsx/.

  2. En el panel, elija Create file system para iniciar el asistente de creación de sistemas de archivos.

  3. Selecciona FSxWindows File Server y, a continuación, selecciona Siguiente. Aparece la página Crear sistema de archivos.

  4. Proporcione un nombre para el sistema de archivos. Puede utilizar un máximo de 256 letras Unicode, espacio en blanco y números, además de los siguientes caracteres especiales: + - = . _ : /

  5. En Capacidad de almacenamiento, introduzca la capacidad de almacenamiento de su sistema de archivos, en GiB. Si utilizas SSD almacenamiento, introduce cualquier número entero entre 32 y 65 536. Si utilizas HDD almacenamiento, ingresa cualquier número entero en el rango de 2000 a 65 536. Puede aumentar la capacidad de almacenamiento según sea necesario en cualquier momento después de crear el sistema de archivos. Para obtener más información, consulte Administración de la capacidad de almacenamiento.

  6. En el campo Throughput capacity (Capacidad de rendimiento), mantenga la configuración predeterminada. Capacidad de rendimiento: velocidad constante a la que el servidor de archivos que aloja a su sistema de archivos puede servir datos. La configuración de capacidad de rendimiento recomendada se basa en la cantidad de capacidad de almacenamiento que elija. Si necesita una capacidad de rendimiento superior a la recomendada, elija Especificar la capacidad de rendimiento y, a continuación, elija un valor. Para obtener más información, consulte FSxpara el rendimiento del servidor de archivos de Windows.

    Puede modificar la capacidad de rendimiento según sea necesario en cualquier momento después de crear el sistema de archivos. Para obtener más información, consulte Administración de la capacidad de rendimiento en FSx los sistemas de archivos de Windows File Server.

  7. Elija el VPC que desee asociar a su sistema de archivos. Para este ejercicio de introducción, elija lo mismo VPC que para su AWS Directory Service directorio y su EC2 instancia de Amazon.

  8. Elija cualquier valor para las Zonas de disponibilidad y Subred.

  9. En el VPCcaso de los grupos de seguridad, el grupo de seguridad predeterminado de tu Amazon predeterminado ya VPC está agregado al sistema de archivos de la consola. Asegúrese de que el grupo de seguridad y la VPC red ACLs de las subredes en las que está creando su sistema de FSx archivos permiten el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.

    FSxpara conocer los requisitos de configuración de puertos del servidor de archivos de Windows para los grupos de VPC seguridad y la red ACLs para las subredes en las que se está creando el sistema de archivos.

    En la siguiente tabla se identifica la función de cada puerto.

    Protocolo

    Puertos

    Rol

    TCP/UDP

    53

    Sistema de nombres de dominio () DNS

    TCP/UDP

    88

    Autenticación de Kerberos

    TCP/UDP

    464

    Cambiar/establecer contraseña

    TCP/UDP

    389

    Protocolo ligero de acceso a directorios (LDAP)
    UDP 123

    Protocolo de tiempo de red (NTP)
    TCP 135

    Entorno de computación distribuida/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Uso compartido de archivos en los servicios SMB de directorio

    TCP

    636

    Protocolo ligero de acceso a directorios TLS mediante/SSL(LDAPS)

    TCP

    3268

    Catálogo global de Microsoft

    TCP

    3269

    El catálogo global de Microsoft ha terminado SSL

    TCP

    5985

    WinRM 2.0 (Administración remota de Microsoft Windows)

    TCP

    9389

    Servicios web Microsoft Active Directory DS, PowerShell

    TCP

    49152 - 65535

    Puertos efímeros para RPC
    importante

    Es necesario permitir el tráfico saliente en el TCP puerto 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.

    nota

    Si utiliza una VPC redACLs, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) del sistema de archivos. FSx

    • Reglas de salida para permitir que todo el tráfico se dirija a las direcciones IP asociadas a los DNS servidores y controladores de dominio del dominio autoadministrado de Microsoft Active Directory. Para obtener más información, consulte la documentación de Microsoft sobre la configuración del firewall para la comunicación con Active Directory.

    • Asegúrese de que estas reglas de tráfico también estén reflejadas en los firewalls que se aplican a cada uno de los controladores de dominio, DNS servidores, clientes y administradores de Active Directory. FSx FSx

    nota

    Si tiene sitios de Active Directory definidos, debe asegurarse de que las subredes VPC asociadas a su sistema de FSx archivos de Amazon estén definidas en un sitio de Active Directory y de que no existan conflictos entre las subredes de su sitio VPC y las subredes de sus otros sitios. Puede ver y cambiar esta configuración mediante el complemento Sitios y servicios de Active Directory. MMC

    importante

    Si bien los grupos de VPC seguridad de Amazon requieren que los puertos se abran solo en la dirección en que se inicia el tráfico de red, la mayoría de los firewalls y VPC redes de Windows ACLs requieren que los puertos estén abiertos en ambas direcciones.

  10. Para Autenticación de Windows, elija Microsoft Active Directory autoadministrado.

  11. Escriba un valor para Nombre de dominio completo para el directorio autoadministrado de Microsoft Active Directory.

    nota

    El nombre de dominio no debe tener el formato de dominio de etiqueta única (SLD). FSxActualmente, Amazon no admite SLD dominios.

    importante

    En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio de Active Directory no puede superar los 47 caracteres.

  12. Introduzca un valor para la unidad organizativa del directorio autoadministrado de Microsoft Active Directory.

    nota

    Asegúrese de que la cuenta de servicio que ha proporcionado tiene permisos delegados a la OU que especifique aquí o a la OU predeterminada si no especifica ninguno.

  13. Introduzca al menos uno y no más de dos valores para las direcciones IP DNS del servidor del directorio autoadministrado de Microsoft Active Directory.

  14. Introduzca un valor de cadena para Nombre de usuario de la cuenta de servicio de la cuenta de su dominio autoadministrado de Active Directory, por ejemplo ServiceAcct. Amazon FSx utiliza este nombre de usuario para unirse a su dominio de Microsoft Active Directory.

    importante

    NOTIncluya un prefijo de dominio (corp.com\ServiceAcct) o un sufijo de dominio (ServiceAcct@corp.com) al introducir el nombre de usuario de la cuenta de servicio.

    NOTUTILICE el nombre distintivo (DN) al introducir el nombre de usuario de la cuenta de servicio ()CN=ServiceAcct,OU=example,DC=corp,DC=com.

  15. Introduzca un valor para Contraseña de la cuenta de servicio de la cuenta de su dominio autoadministrado de Active Directory. Amazon FSx usa esta contraseña para unirse a tu dominio de Microsoft Active Directory.

  16. Vuelva a introducir la contraseña para confirmarla en Confirmar contraseña.

  17. En el Grupo de administradores de sistemas de archivos delegados, especifique el grupo de Domain Admins o un grupo de administradores de sistemas de archivos delegados personalizado (si ha creado uno). El grupo que especifique debe tener la autoridad delegada para realizar tareas administrativas en el sistema de archivos. Si no proporcionas un valor, Amazon FSx utilizará el Domain Admins grupo Builtin. Ten en cuenta que Amazon FSx no admite tener un Delegated file system administrators group (ni el Domain Admins grupo ni el grupo personalizado que especifiques) que esté ubicado en el contenedor integrado.

    importante

    Si no proporciona un grupo de administradores de sistemas de archivos delegados, Amazon FSx intentará utilizar de forma predeterminada el Domain Admins grupo integrado en su dominio de Active Directory. Si se cambió el nombre de dicho grupo integrado o si utiliza un grupo diferente para la administración del dominio, debe establecer ese nombre para el grupo aquí.

    importante

    NOTIncluya un prefijo de dominio (corp.com\FSxAdmins) o un sufijo de dominio (FSxAdmins@corp .com) al proporcionar el parámetro de nombre de grupo.

    NOTUTILICE el nombre distintivo (DN) para el grupo. Un ejemplo de nombre distintivo es CN=FSxAdmins, OU=Example, DC=Corp, DC=com.

En el siguiente ejemplo, se crea un sistema de archivos de servidor de archivos FSx para Windows con un sistema SelfManagedActiveDirectoryConfiguration en la zona de us-east-2 disponibilidad. 

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
importante

No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creado el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.