Uso de Amazon FSx con AWS Directory Service for Microsoft Active Directory - Servidor FSx de archivos Amazon para Windows
Requisitos previos de redUso de un modelo de aislamiento de bosques de recursosPonga a prueba su configuración de Active Directory

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Amazon FSx con AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) proporciona directorios de Active Directory reales, totalmente gestionados y de alta disponibilidad en la nube. Puede usar estos directorios de Active Directory en la implementación de la carga de trabajo.

Si su organización lo utiliza AWS Managed Microsoft AD para gestionar identidades y dispositivos, le recomendamos que integre su sistema de FSx archivos de Amazon con AWS Managed Microsoft AD. Al hacer esto, obtiene una solución llave en mano utilizando Amazon FSx con AWS Managed Microsoft AD. AWS gestiona el despliegue, el funcionamiento, la alta disponibilidad, la fiabilidad, la seguridad y la perfecta integración de los dos servicios, lo que le permite centrarse en gestionar su propia carga de trabajo de forma eficaz.

Para usar Amazon FSx con tu AWS Managed Microsoft AD configuración, puedes usar la FSx consola de Amazon. Cuando crees un nuevo sistema de archivos FSx para Windows File Server en la consola, selecciona AWS Managed Active Directory en la sección Autenticación de Windows. También elige el directorio específico que desee utilizar. Para obtener más información, consulte Paso 5. Crear el sistema de archivos.

Su organización puede gestionar las identidades y los dispositivos en un dominio de Active Directory autoadministrado (en las instalaciones o en la nube). Si es así, puede unir su sistema de FSx archivos de Amazon directamente a su dominio de Active Directory existente y autogestionado. Para obtener más información, consulte Uso de un Active Directory de Microsoft autoadministrado.

Además, también puede configurar su sistema para que se beneficie de un modelo de aislamiento de bosque de recursos. En este modelo, aísla sus recursos, incluidos los sistemas de FSx archivos de Amazon, en un bosque de Active Directory independiente del bosque en el que se encuentran sus usuarios.

importante

En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio de Active Directory no puede superar los 47 caracteres.

Requisitos previos de red

Antes de crear un sistema de archivos de servidor de archivos FSx para Windows unido a su dominio de Active Directory administrado por AWS Microsoft, asegúrese de haber creado y configurado las siguientes configuraciones de red:

  • En el VPCcaso de los grupos de seguridad, el grupo de seguridad predeterminado de tu Amazon predeterminado ya VPC está agregado al sistema de archivos de la consola. Asegúrese de que el grupo de seguridad y la VPC red ACLs de las subredes en las que está creando su sistema de FSx archivos permiten el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.

    FSxpara conocer los requisitos de configuración de puertos del servidor de archivos de Windows para los grupos de VPC seguridad y la red ACLs para las subredes en las que se está creando el sistema de archivos.

    En la siguiente tabla se identifica la función de cada puerto.

    Protocolo

    Puertos

    Rol

    TCP/UDP

    53

    Sistema de nombres de dominio () DNS

    TCP/UDP

    88

    Autenticación de Kerberos

    TCP/UDP

    464

    Cambiar/establecer contraseña

    TCP/UDP

    389

    Protocolo ligero de acceso a directorios (LDAP)
    UDP 123

    Protocolo de tiempo de red (NTP)
    TCP 135

    Entorno de computación distribuida/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Uso compartido de archivos en los servicios SMB de directorio

    TCP

    636

    Protocolo ligero de acceso a directorios TLS mediante/SSL(LDAPS)

    TCP

    3268

    Catálogo global de Microsoft

    TCP

    3269

    El catálogo global de Microsoft ha terminado SSL

    TCP

    5985

    WinRM 2.0 (Administración remota de Microsoft Windows)

    TCP

    9389

    Servicios web de Microsoft AD DS, PowerShell

    TCP

    49152 - 65535

    Puertos efímeros para RPC
    importante

    Es necesario permitir el tráfico saliente en el TCP puerto 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.

    nota

    Si utiliza una VPC redACLs, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) del sistema de archivos. FSx

  • Si va a conectar su sistema de FSx archivos de Amazon a un Active Directory AWS gestionado de Microsoft en una cuenta VPC o cuenta diferente, asegúrese de que haya conectividad entre esa cuenta VPC y la cuenta de Amazon VPC en la que desee crear el sistema de archivos. Para obtener más información, consulte Usar Amazon FSx con AWS Managed Microsoft AD una cuenta VPC o cuenta diferente.

    importante

    Si bien los grupos de VPC seguridad de Amazon requieren que los puertos se abran solo en la dirección en que se inicia el tráfico de la VPC red, la red ACLs requiere que los puertos estén abiertos en ambas direcciones.

Utilice la herramienta Amazon FSx Network Validation para validar la conectividad con sus controladores de dominio de Active Directory.

Uso de un modelo de aislamiento de bosques de recursos

Une el sistema de archivos a una configuración de AWS Managed Microsoft AD . A continuación, debe establecer una relación de confianza forestal unidireccional entre un AWS Managed Microsoft AD dominio que cree y su dominio autogestionado de Active Directory existente. Para la autenticación de Windows en AmazonFSx, solo necesita una confianza de bosques unidireccional, en la que el bosque AWS gestionado confíe en el bosque de dominio corporativo.

Su dominio corporativo asume la función de dominio de confianza y el dominio AWS Directory Service administrado asume la función de dominio de confianza. Las solicitudes de autenticación validadas viajan entre los dominios en una sola dirección, lo que permite que las cuentas de su dominio corporativo se autentiquen con los recursos compartidos en el dominio administrado. En este caso, Amazon solo FSx interactúa con el dominio AWS gestionado. En un escenario de autenticación Kerberos, las solicitudes de autenticación que se originan en un cliente corporativo son validadas por el dominio corporativo, que las remite al dominio corporativo y AWS Managed Microsoft AD, finalmente, el cliente presenta su ticket de servicio al sistema de archivos del servidor de archivos de Windows. FSx Para obtener más información sobre las confianzas, consulte la publicación Todo lo que quería saber sobre las confianzas AWS Managed Microsoft AD en el blog AWS de seguridad.

Ponga a prueba su configuración de Active Directory

Antes de crear su sistema de FSx archivos de Amazon, le recomendamos que valide la conectividad con sus controladores de dominio de Active Directory mediante la herramienta Amazon FSx Network Validation. Para obtener más información, consulte Validar la conectividad con los controladores de dominio de Active Directory.

Los siguientes recursos relacionados pueden ayudarle AWS Directory Service for Microsoft Active Directory a FSx utilizar Windows File Server: