Uso de un Active Directory de Microsoft autoadministrado - Amazon FSx para Windows File Server
Requisitos previosPrácticas recomendadas del Active Directory autoadministradoCuenta de servicio de Amazon FSx

Uso de un Active Directory de Microsoft autoadministrado

Si la organización administra identidades y dispositivos mediante un Active Directory autoadministrado en las instalaciones o en la nube, puede unir el sistema de archivos de FSx para Windows File Server al dominio de Active Directory en el momento de crearlo.

Al unir el sistema de archivos al Active Directory autoadministrado, el sistema de archivos de FSx para Windows File Server residirá en el mismo bosque del Active Directory (el contenedor lógico superior de una configuración de Active Directory que contiene los dominios, usuarios y computadoras). A su vez, también residirá en el mismo dominio del Active Directory de los usuarios y recursos existentes (incluidos los servidores de archivos existentes).

nota

Puede aislar los recursos, incluso los sistemas de archivos de Amazon FSx, en un bosque de Active Directory independiente del bosque en el que residen los usuarios. Para ello, una el sistema de archivos a un AWS Managed Active Directory y establezca una relación unidireccional de confianza en el bosque entre un AWS Managed Active Directory que cree y el Active Directory autoadministrado existente.

  • Un nombre de usuario y una contraseña de una cuenta de servicio en el dominio del Active Directory para que Amazon FSx los utilice para unir el sistema de archivos al dominio del Active Directory

  • (Opcional) La unidad organizativa (OU) del dominio a la que desea unir el sistema de archivos.

  • (Opcional) El grupo de dominios en el que quiere delegar la autoridad para realizar acciones administrativas en el sistema de archivos. Por ejemplo, este grupo de dominios podría administrar los recursos compartidos de archivos de Windows y las listas de control de acceso (ACL) de la carpeta raíz del sistema de archivos, y podría hacerse con la propiedad de los archivos y las carpetas, etc. Si no especifica este grupo, Amazon FSx delega esta autoridad en el grupo de Administradores de dominio de su dominio del Active Directory de forma predeterminada.

    nota

    El nombre del grupo de dominios que proporcione debe ser único en el Active Directory. FSx para Windows File Server no creará el grupo de dominios en las siguientes circunstancias:

    • Si ya existe un grupo con el nombre que especifique

    • Si no especifica un nombre y ya existe un grupo denominado “Administradores de dominio” en el Active Directory.

    Para obtener más información, consulte Unir un sistema de archivos de Amazon FSx a un dominio de Microsoft Active Directory autoadministrado.

Temas

Requisitos previos

Antes de unir un sistema de archivos de FSx para Windows File Server a su dominio autoadministrado de Microsoft Active Directory, revise los siguientes requisitos previos para asegurarse de que puede unir correctamente el sistema de archivos de Amazon FSx al Active Directory autoadministrado.

Configuraciones en las instalaciones

Estos son los requisitos previos para el Microsoft Active Directory autoadministrado, ya sea en las instalaciones o en la nube, al que se unirá el sistema de archivos de Amazon FSx.

  • Controladores de dominio del Active Directory:

    • Debe tener un nivel funcional de dominio en Windows Server 2008 R2 o superior.

    • Debe tener permisos de escritura.

  • Las direcciones IP del servidor de DNS y del controlador de dominio del Active Directory deben cumplir los siguientes requisitos, que varían en función del momento en que se creó el sistema de archivos Amazon FSx:

    Para los sistemas de archivos creados antes del 17 de diciembre de 2020 Para sistemas de archivos creados después del 17 de diciembre de 2020

    Las direcciones IP deben estar en un rango de direcciones IP privadas según la norma RFC 1918:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Las direcciones IP pueden estar en cualquier rango, excepto:

    • Las direcciones IP que tienen discrepancias con las que son propiedad de Amazon Web Services en la Región de AWS en la que se encuentra el sistema de archivos. Para obtener una lista de las direcciones IP que pertenecen a AWS según la región, consulte los rangos de direcciones IP de AWS.

    • Direcciones IP en el rango de bloques de CIDR de 198.19.0.0/16

    Si necesita acceder a un sistema de archivos de FSx para Windows File Server creado antes del 17 de diciembre de 2020 con un intervalo de direcciones IP no privadas, puede restaurar una copia de seguridad del sistema de archivo y así crear uno nuevo. Para obtener más información, consulte Restauración de una copia de seguridad en un nuevo sistema de archivos.

  • El nombre de dominio del Active Directory autoadministrado debe cumplir los siguientes requisitos:

    • El nombre de dominio no está en formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.

    • En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio no puede superar los 47 caracteres.

  • Todos los sitios de Active Directory que haya definido deben cumplir los siguientes requisitos previos:

    • Las subredes de la VPC asociada al sistema de archivos deben definirse en un sitio del Active Directory.

    • No hay discrepancias entre las subredes de VPC y ninguna de las subredes del sitio de Active Directory.

    Amazon FSx requiere la conectividad con todos los controladores de dominio del entorno de Active Directory. Si tiene varios controladores de dominio, asegúrese de que todos cumplan los requisitos anteriores, y garantice que los cambios que haga en la cuenta de servicio se propaguen a todos los controladores de dominio.

    importante

    No mueva los objetos informáticos que Amazon FSx crea en la OU después de crear el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.

Puede validar la configuración de Active Directory, incluso las pruebas de conectividad de varios controladores de dominio, con la Herramienta de validación de Active Directory de Amazon FSx. Para restringir la cantidad de controladores de dominio que requieren conectividad, también puede establecer una relación de confianza entre los controladores de dominio en las instalaciones y el AWS Managed Microsoft AD. Para obtener más información, consulte Uso de un modelo de aislamiento de bosques de recursos.

importante

Amazon FSx solo ingresa los registros del DNS de un sistema de archivos si utiliza el DNS de Microsoft como servicio de DNS predeterminado. Si utiliza un DNS de terceros, tendrá que configurar las entradas de registro del DNS para el sistema de archivos de forma manual después de crearlo.

Configuraciones de red

En esta sección, se describen los requisitos de configuración de la red para unir un sistema de archivos al Active Directory autoadministrado. Le recomendamos encarecidamente que use la herramienta de validación del Active Directory de Amazon FSx para probar estas configuraciones de red antes de intentar unir el sistema de archivos al Active Directory autoadministrado.

  • Corrobore que las reglas del firewall permitan el tráfico según el protocol de mensajes de control de Internet (ICMP) entre los controladores de dominio de Active Directory y Amazon FSx.

  • La Conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autoadministrado. Puede configurar esta conectividad con AWS Direct Connect, AWS Virtual Private Network, el emparejamiento de VPC o AWS Transit Gateway.

  • El grupo de seguridad de VPC predeterminado para la VPC de Amazon predeterminada se debe agregar al sistema de archivos mediante la consola de Amazon FSx. Corrobore que el grupo de seguridad y las ACL de la red de VPC para las subredes en las que crea el sistema de archivos permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.

    Requisitos de configuración de puertos de FSx para Windows File Server para los grupos de seguridad de VPC y las ACL de la red para las subredes en las que se crea el sistema de archivos.

    En la siguiente, tabla se identifican el protocolo, los puertos y la función.

    Protocolo

    Puertos

    Rol

    TCP/UDP

    53

    Sistema de nombres de dominio (DNS)

    TCP/UDP

    88

    Autenticación de Kerberos

    TCP/UDP

    464

    Cambiar/establecer contraseña

    TCP/UDP

    389

    Protocolo ligero de acceso a directorios (LDAP)
    UDP 123

    Protocolo de tiempo de red (NTP)
    TCP 135

    Entorno de computación distribuido/asignador de puntos de conexión (DCE/EPMAP)

    TCP

    445

    Uso compartido de archivos SMB de Directory Services

    TCP

    636

    Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)

    TCP

    3268

    Catálogo global de Microsoft

    TCP

    3269

    Catálogo global de Microsoft mediante SSL

    TCP

    5985

    WinRM 2.0 (Administración remota de Microsoft Windows)

    TCP

    9389

    Servicios web de Microsoft Active Directory DS, PowerShell

    importante

    Es necesario permitir el tráfico saliente en el puerto TCP 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.

    TCP

    49152 - 65535

    Puertos efímeros para RPC

    Estas reglas de tráfico también deben reflejarse en los firewalls que se aplican a cada uno de los controladores del dominio del Active Directory, los servidores del DNS y los clientes y administradores de FSx.

nota

Si usa ACL de la red de VPC, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) desde el sistema de archivos.

importante

Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.

Permisos de cuentas de servicio

Debe tener una cuenta de servicio en el Microsoft Active Directory autoadministrado con permisos delegados para unir objetos de equipos al dominio del Active Directory autoadministrado. Una cuenta de servicio es una cuenta de usuario del Active Directory autoadministrado a la que se le delegó permiso para realizar determinadas tareas.

A continuación, se indica el conjunto mínimo de permisos que se deben delegar a la cuenta de servicio de Amazon FSx en la OU a la que va a unir el sistema de archivos.

  • Si usa el control delegado en la Microsoft Management Console (MMC) usuarios y computadoras del Active Directory:

    • Restablecer contraseñas

    • Leer y escribir las restricciones de la cuenta

    • Escritura validada en el nombre de host DNS

    • Escritura validada en el nombre de entidad principal del servicio

  • Si usa funciones avanzadas en la MMC usuarios y computadoras del Active Directory:

    • Modificar los permisos

    • Crear objetos de equipo

    • Eliminar objetos informáticos

Para obtener más información, consulte, en la documentación de Microsoft Windows Server, el tema Error: se deniega el acceso cuando los usuarios que no son administradores a los que se les delegó el control intentan unir los equipos a un controlador de dominio.

Para obtener más información sobre cómo establecer los permisos necesarios, consulte Delegación de permisos a la cuenta de servicio o grupo de Amazon FSx.

Prácticas recomendadas del Active Directory autoadministrado

Recomendamos que siga estas prácticas para unir los sistemas de archivos de Amazon FSx para Windows File Server al Microsoft Active Directory autoadministrado. Estas prácticas recomendadas le ayudarán a mantener la disponibilidad continua e ininterrumpida del sistema de archivos.

Usar una cuenta de servicio independiente para Amazon FSx

Use una cuenta de servicio independiente para delegar los privilegios requeridos para que Amazon FSx administre completamente los sistemas de archivos que están unidos al Active Directory autoadministrado. No recomendamos usar los administradores de dominio para este fin.

Uso de un grupo de Active Directory

Use un grupo de Active Directory para administrar los permisos y las configuraciones del Active Directory asociados a la cuenta de servicio de Amazon FSx.

Segregar la unidad organizativa (OU)

Para facilitar la búsqueda y la administración de objetos de equipo de Amazon FSx, le recomendamos que divida la unidad organizativa (OU) que usa en los sistemas de archivos de FSx para Windows File Server de otros problemas asociados a controladores de dominio.

Mantener la configuración del Active Directory actualizada

Es fundamental que mantenga actualizada la configuración del Active Directory del sistema de archivos ante cualquier cambio. Por ejemplo, si el Active Directory autoadministrado usa una política de restablecimiento de contraseñas en función del tiempo, apenas se restablezca la contraseña, procure actualizar la contraseña de la cuenta de servicio en el sistema de archivos. Para obtener más información, consulte Actualización de la configuración de un Active Directory autoadministrado.

Cambio de la cuenta de servicio de Amazon FSx

Si actualiza el sistema de archivos con una cuenta de servicio nueva, debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de control total sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte Cambio de la cuenta de servicio de Amazon FSx.

Usar reglas de grupos de seguridad para limitar el tráfico

Use las reglas de los grupos de seguridad para implementar el principio del privilegio mínimo en la nube privada virtual (VPC). Puede limitar el tipo de tráfico de red entrante y saliente permitido para el archivo mediante reglas de grupos de seguridad de VPC. Por ejemplo, recomendamos permitir el tráfico saliente únicamente a los controladores de dominio del Active Directory autoadministrado o dentro de la subred o el grupo de seguridad que esté usando. Para obtener más información, consulte Grupos de seguridad de Amazon VPC.

No mueva los objetos de equipo creados por Amazon FSx
importante

No mueva los objetos informáticos que Amazon FSx crea en la OU después de crear el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.

Validar la configuración de Active Directory

Antes de intentar unir un sistema de archivos de FSx para Windows File Server al Active Directory, recomendamos encarecidamente que valide la configuración del Active Directory con la herramienta de validación de Active Directory de Amazon FSx.

Cuenta de servicio de Amazon FSx

Los sistemas de archivos Amazon FSx unidos a un Active Directory autoadministrado requieren una cuenta de servicio válida durante toda su vida útil. Amazon FSx usa la cuenta de servicio para administrar completamente los sistemas de archivos y realizar tareas administrativas que requieren separar y volver a unir objetos de equipo al dominio de Active Directory. Estas tareas incluyen reemplazar un servidor de archivos defectuoso y aplicar parches al software de Microsoft Windows Server. Para que Amazon FSx realice estas tareas, la cuenta de servicio de Amazon FSx debe tener, como mínimo, el conjunto de permisos que se delegó y se describe en Permisos de cuentas de servicio.

Si bien los miembros del grupo de administradores de dominio tienen privilegios suficientes para realizar estas tareas, recomendamos encarecidamente que use una cuenta de servicio independiente para delegar los privilegios necesarios en Amazon FSx.

Para obtener más información sobre cómo delegar privilegios mediante las características de delegar control o características avanzadas del complemento MMC usuarios y computadoras de Active Directory, consulte Delegación de permisos a la cuenta de servicio o grupo de Amazon FSx.

Si actualiza el sistema de archivos con una cuenta de servicio nueva, esta debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de control total sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte Cambio de la cuenta de servicio de Amazon FSx.