Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de un Active Directory de Microsoft autoadministrado
Si su organización administra las identidades y los dispositivos mediante un Active Directory autogestionado de forma local o en la nube, puede unir un FSx sistema de archivos del servidor de archivos de Windows a su dominio de Active Directory al crearlo.
Al unir el sistema de archivos al Active Directory autoadministrado, el sistema de archivos del servidor de archivos FSx para Windows reside en el mismo bosque de Active Directory (el contenedor lógico superior de una configuración de Active Directory que contiene dominios, usuarios y equipos) y en el mismo dominio de Active Directory que los usuarios y los recursos existentes (incluidos los servidores de archivos existentes).
**nota**
Puede aislar sus recursos, incluidos los sistemas de FSx archivos de Amazon, en un bosque de Active Directory distinto del bosque en el que residen sus usuarios. Para ello, una el sistema de archivos a un Active Directory administrado de Microsoft de AWS y establezca una relación unidireccional de confianza en el bosque entre un Active Directory administrado de Microsoft de AWS que cree y el Active Directory autoadministrado existente.
+ Nombre de usuario y contraseña de una cuenta de servicio en su dominio de Active Directory, para FSx que Amazon los utilice para unir el sistema de archivos a su dominio de Active Directory. Puede proporcionar estas credenciales como texto sin formato o almacenarlas AWS Secrets Manager y proporcionar el ARN secreto (recomendado).
+ (Opcional) La unidad organizativa (OU) del dominio a la que desea unir el sistema de archivos.
+ (Opcional) El grupo de dominios en el que quiere delegar la autoridad para realizar acciones administrativas en el sistema de archivos. Por ejemplo, este grupo de dominios puede administrar los recursos compartidos de archivos de Windows, administrar las listas de control de acceso (ACLs) en la carpeta raíz del sistema de archivos, hacerse con la propiedad de los archivos y carpetas, etc. Si no especificas este grupo, Amazon FSx delega esta autoridad en el grupo de administradores de dominio de tu dominio de Active Directory de forma predeterminada.
**nota**
El nombre del grupo de dominios que proporcione debe ser único en su Active Directory. FSx para Windows File Server no creará el grupo de dominios en las siguientes circunstancias:
Si ya existe un grupo con el nombre que especifique
Si no especifica un nombre y ya existe un grupo denominado “Administradores de dominio” en el Active Directory.
Para obtener más información, consulte [Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory](creating-joined-ad-file-systems.md).
**Topics**
+ [Requisitos previos](#self-manage-prereqs)
+ [Permisos de cuentas de servicio](#service-account-prereqs)
+ [Las prácticas recomendadas al usar un Active Directory autoadministrado](#self-managed-AD-best-practices)
+ [Cuenta de FSx servicio de Amazon](#self-managed-AD-service-account)
+ [Delegación de permisos a la cuenta o grupo FSx de servicio de Amazon](assign-permissions-to-service-account.md)
+ [Cómo validar la configuración del Active Directory](validate-ad-config.md)
+ [Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory](creating-joined-ad-file-systems.md)
+ [Obtención de las direcciones IP del sistema de archivos correctas para usarlas en las entradas manuales del DNS](file-system-ip-addresses-for-dns.md)
+ [Actualización de la configuración de un Active Directory autoadministrado](update-self-ad-config.md)
+ [Cambiar la cuenta de FSx servicio de Amazon](changing-ad-service-account.md)
+ [Supervisión de las actualizaciones del Active Directory autoadministrado](monitor-self-ad-update.md)
## Requisitos previos
Antes de unir un sistema FSx de archivos de Windows File Server a su dominio autogestionado de Microsoft Active Directory, revise los siguientes requisitos previos para asegurarse de que puede unir correctamente su sistema de FSx archivos de Amazon a su Active Directory autogestionado.
### Configuraciones en las instalaciones
Estos son los requisitos previos para su Microsoft Active Directory autogestionado, ya sea local o basado en la nube, al que se unirá al sistema de FSx archivos de Amazon.
+ Controladores de dominio del Active Directory:
+ Debe tener un nivel funcional de dominio en Windows Server 2008 R2 o superior.
+ Debe tener permisos de escritura.
+ Al menos uno de los controladores de dominio accesibles debe ser un catálogo global del bosque.
+ El servidor DNS debe poder resolver los nombres de la siguiente manera:
+ en el dominio al que se va a unir al sistema de archivos
+ en el dominio raíz del bosque
+ Las direcciones IP del servidor DNS y del controlador de dominio de Active Directory deben cumplir los siguientes requisitos, que varían en función de cuándo se creó el sistema de FSx archivos de Amazon:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/self-managed-AD.html)
Si necesita acceder a un FSx sistema de archivos del servidor de archivos de Windows creado antes del 17 de diciembre de 2020 utilizando un rango de direcciones IP no privadas, puede crear un nuevo sistema de archivos restaurando una copia de seguridad del sistema de archivos. Para obtener más información, consulte [Restauración de una copia de seguridad en un nuevo sistema de archivos](how-to-restore-backups.md).
+ El nombre de dominio del Active Directory autoadministrado debe cumplir los siguientes requisitos:
+ El nombre de dominio no está en formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.
+ En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio no puede superar los 47 caracteres.
+ Todos los sitios de Active Directory que haya definido deben cumplir los siguientes requisitos previos:
+ Las subredes de la VPC asociada al sistema de archivos deben definirse en un sitio del Active Directory.
+ No hay discrepancias entre las subredes de VPC y ninguna de las subredes del sitio de Active Directory.
Amazon FSx requiere conectividad con los controladores de dominio o los sitios de Active Directory que haya definido en su entorno de Active Directory. Amazon FSx ignorará cualquier controlador de dominio con TCP y UDP bloqueados en el puerto 389. Para el resto de los controladores de dominio de su Active Directory, asegúrese de que cumplen los requisitos de FSx conectividad de Amazon. Además, compruebe que los cambios que haga en la cuenta de servicio se propaguen a todos estos controladores de dominio.
**importante**
No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creado el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.
Puede validar la configuración de Active Directory, incluidas las pruebas de conectividad de varios controladores de dominio, mediante la [herramienta de validación de Amazon FSx Active Directory](validate-ad-config.md). Para restringir la cantidad de controladores de dominio que requieren conectividad, también puede establecer una relación de confianza entre los controladores de dominio en las instalaciones y el AWS Managed Microsoft AD. Para obtener más información, consulte [Uso de un modelo de aislamiento de bosques de recursos](fsx-aws-managed-ad.md#using-a-rfim).
**importante**
Amazon FSx solo registra los registros DNS de un sistema de archivos si utilizas el DNS de Microsoft como servicio de DNS predeterminado. Si utiliza un DNS de terceros, tendrá que configurar las entradas de registro del DNS para el sistema de archivos de forma manual después de crearlo.
### Configuraciones de red
En esta sección, se describen los requisitos de configuración de la red para unir un sistema de archivos al Active Directory autoadministrado. Le recomendamos encarecidamente que utilice la [herramienta de validación de Amazon FSx Active Directory](validate-ad-config.md#test-ad-network-config) para probar la configuración de red antes de intentar unir su sistema de archivos a su Active Directory autogestionado.
+ Asegúrese de que las reglas del firewall permitan el tráfico ICMP entre los controladores de dominio de Active Directory y Amazon FSx.
+ La Conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autoadministrado. Puede configurar esta conectividad con [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), [AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html), [el emparejamiento de VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) o [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
+ El grupo de seguridad de VPC predeterminado para su Amazon VPC predeterminada debe añadirse a su sistema de archivos mediante la consola de Amazon. FSx Asegúrese de que el grupo de seguridad y la red ACLs de VPC de las subredes en las que cree el sistema de archivos permitan el tráfico en los puertos y en la dirección que se muestra en el siguiente diagrama.
![\[FSx para los requisitos de configuración de puertos del servidor de archivos de Windows para los grupos de seguridad de VPC y la red ACLs para las subredes donde se crea el sistema de archivos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
En la siguiente, tabla se identifican el protocolo, los puertos y la función.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/self-managed-AD.html)
Estas reglas de tráfico también deben reflejarse en los firewalls que se aplican a cada uno de los controladores de dominio, servidores DNS, FSx clientes y administradores de Active Directory. FSx
**nota**
Si utilizas una red de VPC ACLs, también debes permitir el tráfico saliente en los puertos dinámicos (49152-65535) de tu sistema de archivos.
**importante**
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las redes de VPC ACLs requieren que los puertos estén abiertos en ambas direcciones.
## Permisos de cuentas de servicio
Debe tener una cuenta de servicio en el Microsoft Active Directory autoadministrado con permisos delegados para unir objetos de equipos al dominio del Active Directory autoadministrado. Una *cuenta de servicio *es una cuenta de usuario del Active Directory autoadministrado a la que se le delegó permiso para realizar determinadas tareas.
El siguiente es el conjunto mínimo de permisos que se deben delegar en la cuenta de FSx servicio de Amazon en la OU a la que se va a unir al sistema de archivos.
+ Si usa el *control delegado* en la Microsoft Management Console (MMC) usuarios y computadoras del Active Directory:
+ Restablecer contraseñas
+ Leer y escribir las restricciones de la cuenta
+ Escritura validada en el nombre de host DNS
+ Escritura validada en el nombre de entidad principal del servicio
+ Si usa *funciones avanzadas* en la MMC usuarios y computadoras del Active Directory:
+ Modificar los permisos
+ Crear objetos de equipo
+ Eliminar objetos informáticos
Para obtener más información, consulte, en la documentación de Microsoft Windows Server, el tema [Error: se deniega el acceso cuando los usuarios que no son administradores a los que se les delegó el control intentan unir los equipos a un controlador de dominio](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).
Para obtener más información sobre cómo establecer los permisos necesarios, consulte [Delegación de permisos a la cuenta o grupo FSx de servicio de Amazon](assign-permissions-to-service-account.md).
## Las prácticas recomendadas al usar un Active Directory autoadministrado
**Topics**
+ [Almacenar las credenciales de Active Directory mediante AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
Le recomendamos que siga estas prácticas recomendadas al unir un sistema de archivos de Amazon FSx para Windows File Server a su Microsoft Active Directory autogestionado. Estas prácticas recomendadas le ayudarán a mantener la disponibilidad continua e ininterrumpida del sistema de archivos.
**Usa una cuenta de servicio independiente para Amazon FSx**
Utilice una cuenta de servicio independiente para delegar los [privilegios necesarios](#service-account-prereqs) para que Amazon FSx gestione completamente los sistemas de archivos que están unidos a su Active Directory autogestionado. No recomendamos usar los **administradores de dominio** para este fin.
**Uso de un grupo de Active Directory**
Utilice un grupo de Active Directory para gestionar los permisos y las configuraciones de Active Directory asociados a la cuenta de FSx servicio de Amazon.
**Segregar la unidad organizativa (OU)**
Para facilitar la búsqueda y la administración de los objetos de su FSx ordenador de Amazon, le recomendamos que separe la unidad organizativa (OU) que utiliza FSx para sus sistemas de archivos de Windows File Server de otras cuestiones relacionadas con el controlador de dominio.
**Conserve la configuración de Active Directory up-to-date**
Es imprescindible que mantenga la configuración de Active Directory del sistema de archivos up-to-date con cualquier cambio. Por ejemplo, si el Active Directory autoadministrado usa una política de restablecimiento de contraseñas en función del tiempo, apenas se restablezca la contraseña, procure actualizar la contraseña de la cuenta de servicio en el sistema de archivos. Para obtener más información, consulte [Actualización de la configuración de un Active Directory autoadministrado](update-self-ad-config.md).
**Cambiar la cuenta de FSx servicio de Amazon**
Si actualiza el sistema de archivos con una cuenta de servicio nueva, debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de **control total** sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte [Cambiar la cuenta de FSx servicio de Amazon](changing-ad-service-account.md).
**Asigne subredes a un único sitio de Microsoft Active Directory**
Si su entorno de Active Directory tiene una gran cantidad de controladores de dominio, utilice **Sitios y servicios de Active Directory** para asignar las subredes que utilizan los sistemas de FSx archivos de Amazon a un único sitio de Active Directory con la máxima disponibilidad y fiabilidad. Asegúrese de que el grupo de seguridad de la VPC, la ACL de la red de la VPC, las reglas del firewall de Windows y cualquier otro control de enrutamiento de red que tenga en su infraestructura de Active Directory permitan la comunicación desde Amazon FSx en los puertos necesarios. DCs Esto permite a Windows volver a otros controladores de dominio si no puede usar el sitio de Active Directory asignado. Para obtener más información, consulte [Control de acceso al sistema de archivos con Amazon VPC](limit-access-security-groups.md).
**Usar reglas de grupos de seguridad para limitar el tráfico**
Use las reglas de los grupos de seguridad para implementar el principio del privilegio mínimo en la nube privada virtual (VPC). Puede limitar el tipo de tráfico de red entrante y saliente permitido para el archivo mediante reglas de grupos de seguridad de VPC. Por ejemplo, recomendamos permitir el tráfico saliente únicamente a los controladores de dominio del Active Directory autoadministrado o dentro de la subred o el grupo de seguridad que esté usando. Para obtener más información, consulte [Control de acceso al sistema de archivos con Amazon VPC](limit-access-security-groups.md).
**No muevas los objetos informáticos creados por Amazon FSx**
No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creado el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.
**Validar la configuración de Active Directory**
Antes de intentar unir un sistema FSx de archivos de Windows File Server a Active Directory, le recomendamos encarecidamente que valide la configuración de Active Directory con la [herramienta de validación de Amazon FSx Active Directory](validate-ad-config.md).
### Almacenar las credenciales de Active Directory mediante AWS Secrets Manager
Puede usarlo AWS Secrets Manager para almacenar y administrar de forma segura las credenciales de su cuenta de servicio de unión a dominios de Microsoft Active Directory. Este enfoque elimina la necesidad de almacenar las credenciales confidenciales en texto plano en el código de la aplicación o en los archivos de configuración, lo que refuerza su postura de seguridad.
También puede configurar políticas de IAM para administrar el acceso a sus secretos y establecer políticas de rotación automática para sus contraseñas.
#### Guarde las credenciales de Active Directory en AWS Secrets Manager (consola)
##### Paso 1: crear una clave de KMS
Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.
**Creación de una clave**
**nota**
Para la **clave de cifrado**, cree una clave nueva, no utilice la clave KMS AWS predeterminada. Asegúrese de crearla AWS KMS key en la misma región que contiene el sistema de archivos que desea unir a su Active Directory.
1. Abra la AWS KMS consola en https://console.aws.amazon.com /kms.
1. Elija **Crear clave**.
1. En **Tipo de clave**, elija **Simétrica**.
1. Para **Uso de claves**, elija **Cifrar y descifrar**.
1. En **Opciones avanzadas**, realice lo siguiente:
1. En **Origen del material de claves**, elija **Externo**.
1. Para **Regionalidad**, elija **Clave de región única** y seleccione **Siguiente**.
1. Elija **Siguiente**.
1. Para **Alias**, proporcione un nombre para la clave de KMS.
1. (Opcional) En **Description**, proporcione una descripción de la clave de KMS.
1. (Opcional) En **Etiquetas**, introduzca una etiqueta para la clave de KMS y seleccione **Siguiente**.
1. (Opcional) Para los **Administradores de claves**, indique los usuarios y roles de IAM autorizados para administrar esta clave.
1. En **Eliminación de la clave**, mantenga seleccionada la casilla **Permitir que los administradores de claves eliminen esta clave** y seleccione **Siguiente**.
1. (Opcional) En el caso de los **Usuarios clave**, indique los usuarios y roles de IAM autorizados a utilizar esta clave en las operaciones criptográficas. Elija **Siguiente**.
1. En **Política clave**, selecciona **Editar** e incluye lo siguiente en la **declaración** de política para permitir que Amazon FSx utilice la clave KMS y selecciona **Siguiente**. Asegúrese de sustituir el nombre por el *us-west-2* Región de AWS lugar donde está desplegado el sistema de archivos y *123456789012* por su Cuenta de AWS ID.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. Seleccione **Finalizar**.
**nota**
Puede establecer un control de acceso más detallado modificando los campos `Resource` y `aws:SourceArn` para que se dirijan a secretos y sistemas de archivos específicos.
##### Paso 2: Crea un AWS Secrets Manager secreto
**Creación de un secreto**
1. Abra la consola de Secrets Manager en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Elija **Almacenar un secreto nuevo**.
1. En **Secret type** (Tipo de secreto), elija **Other type of secret** (Otro tipo de secreto).
1. En los **Pares clave/valor**, haga lo siguiente para añadir sus dos claves:
1. Para la primera clave, introduzca `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Para el valor de la primera clave, ingrese solo el nombre de usuario (sin el prefijo de dominio) del usuario de AD.
1. Para la segunda clave, introduzca `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Para el valor de la segunda clave, introduzca la contraseña que creó para el usuario de AD en su dominio.
1. Para la **Clave de cifrado**, introduzca el ARN del KMS que creó en el paso anterior y haga clic en **Siguiente**.
1. En **Nombre de secreto**, introduzca un nombre descriptivo que le ayude a buscar el secreto más adelante.
1. (Opcional) En **Descripción**, escriba una descripción del nombre del secreto.
1. En **Permisos de recursos**, seleccione **Editar**.
Añade la siguiente política a la política de permisos para permitir que Amazon utilice el secreto y, FSx a continuación, selecciona **Siguiente**. Asegúrese de sustituir el nombre por el *us-west-2* Región de AWS lugar donde está desplegado el sistema de archivos y *123456789012* por su Cuenta de AWS ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**nota**
Puede establecer un control de acceso más detallado modificando los campos `Resource` y `aws:SourceArn` para que se dirijan a secretos y sistemas de archivos específicos.
1. (Opcional) Puede configurar Secrets Manager para que rote sus credenciales automáticamente. Elija **Siguiente**.
1. Seleccione **Finalizar**.
#### Almacene las credenciales de Active Directory en AWS Secrets Manager (CLI)
##### Paso 1: crear una clave de KMS
Cree una clave de KMS para cifrar y descifrar las credenciales de Active Directory en Secrets Manager.
Para crear una clave KMS, utilice el AWS CLI comando [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
En este comando, defina el parámetro `--policy` para especificar la política de claves que define los permisos para la clave de KMS. La política debe incluir lo siguiente:
+ El principal de servicio de Amazon FSx, que es`fsx.amazonaws.com`.
+ Acciones de KMS obligatorias: `kms:Decrypt` y `kms:DescribeKey`.
+ Patrón de ARN de recursos para su cuenta Región de AWS AND.
+ Claves de condición que restringen el uso de las claves:
+ `kms:ViaService` para garantizar que las solicitudes lleguen a través de Secrets Manager.
+ `aws:SourceAccount` para limitarlo a su cuenta.
+ `aws:SourceArn`para restringirlo a sistemas de FSx archivos de Amazon específicos.
El siguiente ejemplo crea una clave KMS de cifrado simétrico con una política que permite FSx a Amazon utilizar la clave para las operaciones de descifrado y descripción de claves. El comando recupera automáticamente tu Cuenta de AWS ID y región y, a continuación, configura la política de claves con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx, Secrets Manager y la clave KMS. Asegúrese de que su AWS CLI entorno esté en la misma región que el sistema de archivos que se unirá a Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**nota**
Puede establecer un control de acceso más detallado modificando los campos `Resource` y `aws:SourceArn` para que se dirijan a secretos y sistemas de archivos específicos.
##### Paso 2: Crea un AWS Secrets Manager secreto
Para crear un secreto para FSx que Amazon acceda a su Active Directory, utilice el AWS CLI comando [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) y defina los siguientes parámetros:
+ `--name`: el identificador de su secreto
+ `--description`: una descripción del objetivo del secreto
+ `--kms-key-id`: el ARN de la clave de KMS que creó en el [Paso 1](#create-kms-key-windows-cli) para cifrar el secreto en reposo
+ `--secret-string`: una cadena JSON que contiene sus credenciales de AD en el siguiente formato:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: el nombre de usuario de su cuenta de servicio de AD sin el prefijo de dominio, como `svc-fsx`. **No** proporcione el prefijo de dominio, como `CORP\svc-fsx`.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: la contraseña de su cuenta de servicio de AD.
+ `--region`: El Región de AWS lugar donde se creará tu sistema de FSx archivos de Amazon. De forma predeterminada, será la región que haya configurado si `AWS_REGION` no está establecida.
Tras crear el secreto, adjunta una política de recursos mediante el [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)comando y establece los siguientes parámetros:
+ `--secret-id`: el ARN o nombre del secreto para adjuntar la política En este ejemplo se usa **FSxSecret** como `--secret-id`.
+ `--region`: Igual Región de AWS que tu secreto.
+ `--resource-policy`: un documento de política de JSON que otorga FSx permiso a Amazon para acceder al secreto. La política debe incluir lo siguiente:
+ El principal de servicio de Amazon FSx, que es**fsx.amazonaws.com**.
+ Acciones requeridas de Secrets Manager: `secretsmanager:GetSecretValue` y `secretsmanager:DescribeSecret`.
+ Patrón de ARN de recursos para su cuenta Región de AWS AND.
+ Las siguientes claves de condición que restringen el acceso:
+ `aws:SourceAccount` para limitarlo a su cuenta.
+ `aws:SourceArn`para restringirlo a sistemas de FSx archivos de Amazon específicos.
En el siguiente ejemplo, se crea un secreto con el formato necesario y se adjunta una política de recursos que permite FSx a Amazon utilizar el secreto. En este ejemplo, se recupera automáticamente tu Cuenta de AWS ID y región y, a continuación, se configura la política de recursos con estos valores para garantizar los controles de acceso adecuados entre Amazon FSx y el secreto.
Asegúrese de sustituir el `KMS_KEY_ARN` con el ARN de la clave que creó en el [Paso 1](#create-kms-key-windows-cli), `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` y `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` con las credenciales de la cuenta de servicio de Active Directory. Además, compruebe que su AWS CLI entorno esté configurado para la misma región que el sistema de archivos que se unirá a Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**nota**
Puede establecer un control de acceso más detallado modificando los campos `Resource` y `aws:SourceArn` para que se dirijan a secretos y sistemas de archivos específicos.
## Cuenta de FSx servicio de Amazon
Los sistemas de FSx archivos de Amazon que están unidos a un Active Directory autogestionado requieren una cuenta de servicio válida durante toda su vida útil. Amazon FSx utiliza la cuenta de servicio para gestionar completamente sus sistemas de archivos y realizar tareas administrativas que requieren separar y volver a unir objetos informáticos a su dominio de Active Directory. Estas tareas incluyen reemplazar un servidor de archivos defectuoso y aplicar parches al software de Microsoft Windows Server. Para FSx que Amazon pueda realizar estas tareas, la cuenta de FSx servicio de Amazon debe tener, como mínimo, el conjunto de permisos que se describe en [Permisos de cuentas de servicio](#service-account-prereqs) Delegado.
Aunque los miembros del grupo **Administradores de dominio** tienen privilegios suficientes para realizar estas tareas, te recomendamos encarecidamente que utilices una cuenta de servicio independiente para delegar los privilegios necesarios en Amazon FSx.
Para obtener más información sobre cómo delegar privilegios mediante las características de **delegar control** o **características avanzadas** del complemento MMC **usuarios y computadoras de Active Directory**, consulte [Delegación de permisos a la cuenta o grupo FSx de servicio de Amazon](assign-permissions-to-service-account.md).
Si actualiza el sistema de archivos con una cuenta de servicio nueva, esta debe tener los permisos y privilegios requeridos para unirse al Active Directory y tener permisos de **control total** sobre los objetos de equipos existentes asociados al sistema de archivos. Para obtener más información, consulte [Cambiar la cuenta de FSx servicio de Amazon](changing-ad-service-account.md).
Se recomienda almacenar las credenciales de la cuenta de servicio de Active Directory en AWS Secrets Manager para mejorar la seguridad. Esto elimina la necesidad de almacenar credenciales confidenciales en texto sin formato y se alinea con las mejores prácticas de seguridad. Para obtener más información, consulte [Uso de un Active Directory de Microsoft autoadministrado](#self-managed-AD).
# Delegación de permisos a la cuenta o grupo FSx de servicio de Amazon
La cuenta de FSx servicio o el grupo de administradores de Amazon deben tener los [privilegios necesarios](self-managed-AD.md#service-account-prereqs) FSx para unirse a los sistemas de archivos de Windows File Server a su dominio autogestionado de Active Directory. Para delegar estos permisos, puede usar **delegar control** o **características avanzadas** del complemento Active Directory User and Computers MMC, tal y como se describe en los siguientes procedimientos.
## Para asignar permisos mediante **delegar control**
**Para asignar permisos a una cuenta o grupo de servicio mediante **delegar control****
1. Inicie sesión en el sistema como administrador de dominio del dominio del Active Directory.
1. Abra el complemento MMC **Usuarios y equipos del Active Directory**.
1. En el panel de tareas, expanda el nodo del dominio.
1. Busque y abra el menú contextual (botón derecho) de la unidad organizativa que quiera modificar y, a continuación, elija **Delegate Control (Delegar control)**.
1. En la página **Asistente de delegación de control**, elija **Siguiente**.
1. Selecciona **Añadir** para añadir el nombre de tu cuenta de FSx servicio o grupo de Amazon y, a continuación, selecciona **Siguiente**.
1. En la página **Tareas que se delegarán**, elija **Crear una tarea personalizada para delegar** y luego elija **Siguiente**.
1. Elija **Only the following objects in the folder (Sólo los siguientes objetos en la carpeta)** y, a continuación, seleccione **Computer objects (Objetos de equipo)**.
1. Elija **Create selected objects in this folder (Crear los objetos seleccionados en esta carpeta)** y **Delete selected objects in this folder (Eliminar los objetos seleccionados en esta carpeta)**. A continuación, elija **Siguiente**.
1. Para los **Permisos**, elija lo siguiente:
+ **Restablecer contraseña**
+ **Leer y escribir las restricciones de la cuenta**
+ **Escritura validada en el nombre de host DNS**
+ **Escritura validada en el nombre de entidad principal del servicio**
1. Elija **Siguiente** y, a continuación, elija **Finalizar**.
1. Cierre el complemento MMC **Usuarios y equipos del Active Directory**.
## Para asignar permisos mediante **características avanzadas**
1. Inicie sesión en el sistema como administrador de dominio del dominio del Active Directory.
1. Abra el complemento MMC **Usuarios y equipos del Active Directory**.
1. Seleccione **Ver** en la barra de menús y asegúrese de que las **Características avanzadas** estén habilitadas (si la característica está habilitada, aparecerá una marca de verificación junto a ella).
1. En el panel de tareas, expanda el nodo del dominio.
1. Busque y abra (botón derecho) el menú contextual de la unidad organizativa que quiera modificar y, a continuación, elija **Propiedades**.
1. En el panel **Propiedades de la unidad organizativa**, seleccione la pestaña **Seguridad**.
1. En la pestaña **Seguridad**, seleccione **Avanzado**. Luego, elija **Añadir**.
1. En la página de **entrada de permisos**, **selecciona Selecciona un responsable** e introduce el nombre de tu cuenta de FSx servicio o grupo de Amazon. En **Se aplica a:**, seleccione **Este objeto y todos los objetos descendientes de ordenador**. Compruebe que lo siguiente esté seleccionado:
+ **Modificar los permisos**
+ **Crear objetos informáticos**
+ **Eliminar objetos informáticos**
1. Seleccione **Aplicar** y, a continuación, **Aceptar**.
1. Cierre el complemento MMC **Usuarios y equipos del Active Directory**.
# Cómo validar la configuración del Active Directory
Antes de crear un sistema de archivos FSx para Windows File Server unido a su Active Directory, le recomendamos que valide la configuración de Active Directory con la herramienta de validación de Amazon FSx Active Directory. Tenga en cuenta que para lograr validar la configuración de Active Directory es necesario tener conectividad a Internet saliente.
**Cómo validar la configuración de Active Directory**
1. Inicie una instancia de Amazon EC2 para Windows en la misma subred y con los mismos grupos de seguridad de Amazon VPC que utiliza para el sistema de archivos de FSx para Windows File Server. Cerciórese de que la instancia EC2 tenga los permisos de `AmazonEC2ReadOnlyAccess` IAM necesarios. Puede validar los permisos del rol de la instancia EC2 con el simulador de política de IAM. *Para obtener más información, consulte [Probar las políticas de IAM con el simulador de política de IAM en la ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)Guía del usuario de IAM.*
1. Conecte la instancia EC2 de Windows al Active Directory. Para obtener más información, consulte [Cómo vincular una instancia de Windows de forma manual](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html) en la *Guía de administración de AWS Directory Service *.
1. Conéctese a la instancia EC2. Para obtener más información, consulte [Connecting to Your Windows Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) en la *Guía del usuario de Amazon EC2*.
1. Abra una PowerShell ventana de Windows (mediante **Ejecutar como administrador**) en la instancia EC2.
Para comprobar si el módulo de Active Directory necesario para Windows PowerShell está instalado, utilice el siguiente comando de prueba.
```
PS C:\> Import-Module ActiveDirectory
```
Si lo anterior devuelve un error, instálelo con el siguiente comando.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. Descargue la herramienta de validación de red con el siguiente comando.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. Descomprima el archivo zip con el siguiente comando.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. Agregue el módulo `AmazonFSxADValidation` a la sesión actual.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. Para establecer los parámetros necesarios, en el siguiente comando, tiene que sustituir:
+ Nombre de dominio de Active Directory (*DOMAINNAME.COM*)
+ Prepare el objeto `$Credential` para la contraseña de la cuenta de servicio mediante una de las siguientes opciones.
+ Para generar el objeto de credenciales de forma interactiva, utilice el siguiente comando.
```
$Credential = Get-Credential
```
+ Para generar el objeto de credenciales mediante un AWS Secrets Manager recurso, utilice el siguiente comando.
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ Direcciones IP del servidor DNS (*IP\$1ADDRESS\$11*,*IP\$1ADDRESS\$12*)
+ ID de subred para las subredes en las que planea crear su sistema de FSx archivos de Amazon (*SUBNET\$11*,, por ejemplo*SUBNET\$12*,`subnet-04431191671ac0d19`).
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (Opcional) Defina la unidad organizativa, el grupo de administradores delegados y habilite la validación de los permisos de la cuenta de servicio siguiendo las instrucciones del `README.md` archivo incluido antes de ejecutar la herramienta de validación. DomainControllersMaxCount
**nota**
El grupo `Domain Admins` tiene un nombre diferente si el sistema operativo no está en inglés. Por ejemplo, el nombre del grupo es `Administrateurs du domaine` en la versión francesa del sistema operativo. Si no especifica un valor, se utiliza el nombre predeterminado del grupo `Domain Admins`, y se produce un error en la creación del sistema de archivos.
1. Ejecute la herramienta de validación con este comando.
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. A continuación, hay un ejemplo de respuesta correcta de la prueba.
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
A continuación, hay un ejemplo de respuesta con errores.
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Si recibe advertencias o errores al ejecutar la herramienta de validación, consulte la guía de solución de problemas que se incluye en el paquete de herramientas de validación (`TROUBLESHOOTING.md`) y [Solución de problemas de Amazon FSx](troubleshooting.md).
# Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory
Al crear un nuevo sistema de archivos FSx para Windows File Server, puede configurar la integración de Microsoft Active Directory para que se una a su dominio autogestionado de Microsoft Active Directory. Para ello, proporcione la siguiente información para su Microsoft Active Directory:
+ El nombre de dominio completo (FQDN) del directorio en las instalaciones de Active Directory de Microsoft.
**nota**
FSx Actualmente, Amazon no admite dominios de etiqueta única (SLD).
+ Las direcciones IP de los servidores DNS de su dominio.
+ Credenciales de una cuenta de servicio de Active Directory que Amazon FSx utiliza para unir el sistema de archivos a tu dominio. Puede proporcionarlas de la siguiente manera:
+ **Opción 1**: ARN AWS Secrets Manager secreto: secreto que contiene el nombre de usuario y la contraseña de una cuenta de servicio del dominio de Active Directory. Para obtener más información, consulte [Almacenar las credenciales de Active Directory mediante AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opción 2:** credenciales en texto simple
+ **Nombre del usuario de la cuenta de servicio**: el nombre de usuario de la cuenta de servicio de su Active Directory de Microsoft actual. No incluya un prefijo o sufijo de dominio. Por ejemplo, para `EXAMPLE\ADMIN`, utilice solo `ADMIN`.
+ **Service account password**: la contraseña de la cuenta de servicio.
Si lo desea, también puede especificar lo siguiente:
+ Una unidad organizativa (OU) específica del dominio al que quieres que se una tu sistema de FSx archivos de Amazon.
+ El nombre del grupo de dominios a cuyos miembros se les conceden privilegios administrativos para el sistema de FSx archivos de Amazon. El nombre del grupo de dominios que proporcione debe ser único en el Active Directory.
Tras especificar esta información, Amazon FSx une su nuevo sistema de archivos a su dominio autogestionado de Active Directory mediante la cuenta de servicio que ha proporcionado.
**importante**
Amazon FSx solo registra los registros DNS de un sistema de archivos si el dominio de Active Directory al que se va a unir utiliza el DNS de Microsoft como DNS predeterminado. Si utilizas un DNS de terceros, tendrás que configurar manualmente las entradas de DNS para tus sistemas de FSx archivos de Amazon después de crear tu sistema de archivos. Para obtener más información acerca de la elección de las direcciones IP correctas para usar en el sistema de archivos, consulte [Obtención de las direcciones IP del sistema de archivos correctas para usarlas en las entradas manuales del DNS](file-system-ip-addresses-for-dns.md).
## Antes de empezar
Asegúrese de haber completado [Requisitos previos](self-managed-AD.md#self-manage-prereqs) que se detalla en [Uso de un Active Directory de Microsoft autoadministrado](self-managed-AD.md).
## Para crear un sistema de archivos de servidor de archivos FSx para Windows unido a un Active Directory autogestionado (consola)
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. En el panel, elija **Create file system** para iniciar el asistente de creación de sistemas de archivos.
1. Selecciona **FSx Windows File Server** y, a continuación, selecciona **Siguiente**. Aparece la página **Crear sistema de archivos**.
1. Proporcione un nombre para el sistema de archivos. Puede utilizar un máximo de 256 letras Unicode, espacio en blanco y números, además de los siguientes caracteres especiales: \$1 - = . \$1 : /
1. En **Capacidad de almacenamiento**, introduzca la capacidad de almacenamiento de su sistema de archivos, en GiB. Si utiliza un almacenamiento SSD, introduzca cualquier número entero comprendido entre 32 y 65 536. Si utiliza un almacenamiento SSD, introduzca cualquier número entero comprendido entre 2000 y 65 536. Puede aumentar la capacidad de almacenamiento según sea necesario en cualquier momento después de crear el sistema de archivos. Para obtener más información, consulte [Administrar la capacidad de almacenamiento](managing-storage-configuration.md#managing-storage-capacity).
1. En el campo **Throughput capacity** (Capacidad de rendimiento), mantenga la configuración predeterminada. **Capacidad de rendimiento**: velocidad constante a la que el servidor de archivos que aloja a su sistema de archivos puede servir datos. La configuración de **capacidad de rendimiento recomendada** se basa en la cantidad de capacidad de almacenamiento que elija. Si necesita una capacidad de rendimiento superior a la recomendada, elija **Especificar la capacidad de rendimiento** y, a continuación, elija un valor. Para obtener más información, consulte [FSx para el rendimiento del servidor de archivos de WindowsDesempeño](performance.md).
Puede modificar la capacidad de rendimiento según sea necesario en cualquier momento después de crear el sistema de archivos. Para obtener más información, consulte [Administración de la capacidad de rendimiento](managing-throughput-capacity.md).
1. Elija la VPC que desea asociar con su sistema de archivos. Para este ejercicio de introducción, elija la misma VPC que para su Directory Service directorio y la instancia de Amazon EC2.
1. Elija cualquier valor para las **Zonas de disponibilidad** y **Subred**.
1. En el caso de los **grupos de seguridad de VPC**, el grupo de seguridad predeterminado de la Amazon VPC predeterminada ya está agregado al sistema de archivos en la consola. Asegúrese de que el grupo de seguridad y la red ACLs de VPC de las subredes en las que va a crear el sistema de FSx archivos permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.
![\[FSx para los requisitos de configuración de puertos del servidor de archivos de Windows para los grupos de seguridad de VPC y la red ACLs para las subredes en las que se crea el sistema de archivos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
En la siguiente tabla se identifica la función de cada puerto.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**importante**
Es necesario permitir el tráfico saliente del puerto TCP 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.
**nota**
Si utilizas una red de VPC ACLs, también debes permitir el tráfico saliente en los puertos dinámicos (49152-65535) de tu sistema de archivos. FSx
+ Reglas de salida para permitir que todo el tráfico se dirija a las direcciones IP asociadas a los servidores DNS y los controladores de dominio de su dominio autoadministrado de Microsoft Active Directory. Para obtener más información, consulte la [documentación de Microsoft sobre la configuración del firewall para la comunicación con Active Directory](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts).
+ Asegúrese de que estas reglas de tráfico también estén reflejadas en los firewalls que se aplican a cada uno de los controladores de dominio, servidores DNS, clientes y administradores de Active Directory. FSx FSx
**nota**
Si tiene sitios de Active Directory definidos, debe asegurarse de que las subredes de la VPC asociadas a su sistema de archivos de FSx Amazon estén definidas en un sitio de Active Directory y de que no existan conflictos entre las subredes de su VPC y las subredes de sus otros sitios. Puede ver y cambiar esta configuración con el complemento MMC de sitios y servicios de Active Directory.
**importante**
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las redes de VPC ACLs requieren que los puertos estén abiertos en ambas direcciones.
1. Para **Autenticación de Windows**, elija **Microsoft Active Directory autoadministrado**.
1. Escriba un valor para **Nombre de dominio completo** para el directorio autoadministrado de Microsoft Active Directory.
**nota**
El nombre de dominio no debe tener el Formato de dominio de etiqueta única (SLD). FSx Actualmente, Amazon no admite dominios SLD.
**importante**
En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio de Active Directory no puede superar los 47 caracteres.
1. Introduzca un valor para la **unidad organizativa** del directorio autoadministrado de Microsoft Active Directory.
**nota**
Asegúrese de que la cuenta de servicio que ha proporcionado tiene permisos delegados a la OU que especifique aquí o a la OU predeterminada si no especifica ninguno.
1. Introduzca al menos uno y no más de dos valores para **Direcciones IP del servidor DNS** del directorio autoadministrado de Microsoft Active Directory.
1. **Credenciales de la cuenta de servicio**: elija cómo desea proporcionar las credenciales de la cuenta de servicio:
+ **Opción 1**: ARN AWS Secrets Manager secreto: secreto que contiene el nombre de usuario y la contraseña de una cuenta de servicio del dominio de Active Directory. Para obtener más información, consulte [Almacenar las credenciales de Active Directory mediante AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opción 2:** credenciales en texto simple
+ **Nombre del usuario de la cuenta de servicio**: el nombre de usuario de la cuenta de servicio de su Active Directory de Microsoft actual. No incluya un prefijo o sufijo de dominio. Por ejemplo, para `EXAMPLE\ADMIN`, utilice solo `ADMIN`.
+ **Service account password**: la contraseña de la cuenta de servicio.
+ **Confirmar contraseña**: la contraseña de la cuenta de servicio.
**importante**
NO incluya un prefijo de dominio (`corp.com\ServiceAcct`) o un sufijo de dominio (`ServiceAcct@corp.com`) al introducir el **Nombre de usuario de la cuenta de servicio**.
NO utilice el nombre distintivo (DN) al introducir el **Nombre de usuario de la cuenta de servicio** (`CN=ServiceAcct,OU=example,DC=corp,DC=com`).
1. En el **Grupo de administradores de sistemas de archivos delegados**, especifique el grupo de `Domain Admins` o un grupo de administradores de sistemas de archivos delegados personalizado (si ha creado uno). El grupo que especifique debe tener la autoridad delegada para realizar tareas administrativas en el sistema de archivos. Si no proporcionas un valor, Amazon FSx utilizará el `Domain Admins` grupo Builtin. Ten en cuenta que Amazon FSx no admite tener un `Delegated file system administrators group` (ni el `Domain Admins` grupo ni el grupo personalizado que especifiques) que esté ubicado en el contenedor integrado.
**importante**
Si no proporciona un **grupo de administradores de sistemas de archivos delegados**, Amazon FSx intentará utilizar de forma predeterminada el `Domain Admins` grupo integrado en su dominio de Active Directory. Si se cambió el nombre de dicho grupo integrado o si utiliza un grupo diferente para la administración del dominio, debe establecer ese nombre para el grupo aquí.
**importante**
NO incluya un prefijo de dominio (corp.com\$1 FSx Admins) ni un sufijo de dominio (FSxAdmins@corp.com) al proporcionar el parámetro de nombre de grupo.
NO utilice el nombre distintivo (DN) para el grupo. Un ejemplo de nombre distintivo es CN= FSx Admins, OU=Example, DC=corp, DC=com.
## Para crear un sistema de archivos de servidor de archivos FSx para Windows unido a un Active Directory autoadministrado ()AWS CLI
En el siguiente ejemplo, se crea un sistema de archivos de servidor de archivos FSx para Windows con un sistema `SelfManagedActiveDirectoryConfiguration` en la zona de `us-east-2` disponibilidad.
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**importante**
No muevas los objetos de ordenador que Amazon FSx cree en la unidad organizativa una vez creado el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.
# Obtención de las direcciones IP del sistema de archivos correctas para usarlas en las entradas manuales del DNS
Amazon FSx solo registra los registros DNS de un sistema de archivos si utilizas el DNS de Microsoft como servicio de DNS predeterminado. Si utilizas un DNS de terceros, tendrás que configurar manualmente las entradas de DNS para tus sistemas de FSx archivos de Amazon. En esta sección, se describe cómo obtener las direcciones IP del sistema de archivos correctas para utilizarlas si tiene que añadir el sistema de archivos al DNS de forma manual. Tenga en cuenta que, una vez creado un sistema de archivos, las direcciones IP no cambian hasta que se elimina el sistema de archivos.
**Cómo obtener las direcciones IP del sistema de archivos para usarlas en las entradas A del DNS**
1. En el [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/), elige el sistema de archivos del que deseas obtener la dirección IP para que aparezca la página de detalles del sistema de archivos.
1. En la pestaña **Red y seguridad**, realice una de las siguientes acciones:
+ Para los sistemas de archivos Single-AZ 1:
+ En el panel de **Subred**, elija la interfaz de red elástica que aparece en **Interfaz de red** para abrir la página **Interfaces de red** en la consola Amazon EC2.
+ La dirección IP que debe utilizar el sistema de archivos Single-AZ 1 se muestra en la columna ** IPv4 IP privada principal**.
+ Para los sistemas de archivos Single-AZ 2 o Multi-AZ:
+ En el panel de **Subred preferida**, elija la interfaz de red elástica que aparece en **Interfaz de red** para abrir la página **Interfaces de red** en la consola Amazon EC2.
+ La dirección IP de la subred preferida a utilizar se muestra en la columna ** IPv4 IP privada secundaria**.
+ En el panel de **subred Amazon FSx Standby**, elija la interfaz de red elástica que se muestra en **Interfaz de red** para abrir la página **Interfaces de red** en la consola Amazon EC2.
+ La dirección IP que debe utilizar la subred en espera se muestra en la columna IP **privada IPv4 secundaria**.
**nota**
Si necesita configurar entradas de DNS para su PowerShell terminal remoto de Windows para sistemas de archivos Single-AZ 2 o Multi-AZ, debe usar la ** IPv4 dirección privada principal** para la interfaz de red elástica de su subred **preferida**. Para obtener más información, consulte [Uso de Amazon FSx CLI para PowerShell](administering-file-systems.md#remote-pwrshell).
# Actualización de la configuración de un Active Directory autoadministrado
Para garantizar la disponibilidad continua e ininterrumpida de su sistema de FSx archivos de Amazon, debe actualizar la configuración de Active Directory del sistema de archivos cuando cambie alguna de las siguientes propiedades de Active Directory:
+ Las direcciones IP del servidor del DNS
+ Las credenciales de la cuenta de servicio del Active Directory autoadministrado
Al actualizar la configuración autogestionada de Active Directory para el sistema de FSx archivos de Amazon, el estado del sistema de archivos cambia de **Disponible** a **Actualizado** mientras se aplica la actualización. Compruebe que el estado vuelva a ser **Disponible** después de aplicar la actualización. Tenga en cuenta que la actualización puede tardar varios minutos en completarse. Para obtener más información, consulte [Supervisión de las actualizaciones del Active Directory autoadministrado](monitor-self-ad-update.md).
Si hay algún problema con la configuración actualizada del Active Directory autoadministrado, el estado del sistema de archivos cambia a **Desconfigurado**. Este estado muestra un mensaje de error y una acción correctiva recomendada junto a la descripción del sistema de archivos en la consola, la API y la CLI. Tras tomar las medidas correctivas recomendadas, compruebe que el estado del sistema de archivos cambie finalmente a **Disponible**.
**importante**
Si actualiza el sistema de archivos con una cuenta de servicio nueva, asegúrese de que la nueva tenga permisos de **Control total** sobre los objetos informáticos existentes asociados al sistema de archivos.
Para obtener información sobre cómo solucionar posibles problemas relacionados con las configuraciones del Active Directory autoadministrado, consulte [El sistema de archivos está mal configurado](misconfigured-ad-config.md).
Puede utilizar la Consola de administración de AWS FSx API de Amazon o AWS CLI actualizar las credenciales de la cuenta de servicio y las direcciones IP del servidor DNS de la configuración autogestionada de Active Directory de un sistema de archivos. Puede realizar un seguimiento del progreso de una actualización de configuración de Active Directory autoadministrada en cualquier momento mediante la Consola de administración de AWS CLI y la API. Para obtener más información, consulte [Supervisión de las actualizaciones del Active Directory autoadministrado](monitor-self-ad-update.md).
**Cómo actualizar la configuración de Active Directory autoadministrado (Consola)**
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Vaya a **Sistemas de archivos** y elija el sistema de archivos de Windows para el que desee actualizar la configuración del Active Directory autoadministrado.
1. En la pestaña **Red y seguridad**, seleccione **Actualizar** para las **direcciones IP del servidor del DNS**, o para el nombre de usuario de la cuenta de servicio, según las propiedades del Active Directory que vaya a actualizar.
1. Escriba las nuevas direcciones IP del servidor DNS o las nuevas credenciales (nombre de usuario y contraseña) o ARN secreto de la cuenta de servicio en el cuadro de diálogo que aparece. Puede utilizarla AWS Secrets Manager para almacenar sus credenciales. Para obtener más información, consulte [Almacenar las credenciales de Active Directory mediante AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
1. Seleccione **Actualizar** para iniciar la actualización de la configuración del Active Directory.
Puede [supervisar el progreso de la actualización](monitor-self-ad-update.md) mediante el Consola de administración de AWS o el AWS CLI.
**Cómo actualizar la configuración del Active Directory autoadministrado (CLI)**
+ Para actualizar la configuración autogestionada de Active Directory de un sistema de archivos FSx para Windows File Server, utilice el AWS CLI comando [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html). Establezca los siguientes parámetros:
+ `--file-system-id` en el ID del sistema de archivos que va a actualizar.
+ `UserName` el nuevo nombre de usuario de la cuenta de servicio del Active Directory autoadministrado.
+ `Password` la nueva contraseña de la cuenta de servicio del Active Directory autoadministrado.
+ `DomainJoinServiceAccountSecret`el AWS Secrets Manager secreto que contiene el nombre de usuario y la contraseña de una cuenta de servicio de su dominio de Active Directory
**nota**
No puede proporcionar el secreto de la cuenta username/password de servicio ni el secreto de una cuenta de servicio de unión a un dominio para conectarse a Active Directory. Proporcione solo un conjunto de credenciales.
+ `DnsIps` las direcciones IP de los servidores de DNS del Active Directory autoadministrado.
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
Si la acción se realiza correctamente, el servicio devuelve una respuesta HTTP 200. El objeto `AdminstrativeActions` de la respuesta describe la solicitud y el estado.
# Cambiar la cuenta de FSx servicio de Amazon
Si actualiza el sistema de archivos con una cuenta de servicio nueva, esta debe tener los permisos y privilegios requeridos para unirse al Active Directory y tiene permisos de **control total** sobre los objetos de equipos existentes asociados al sistema de archivos. Además, corrobore que la nueva cuenta de servicio forme parte de las cuentas de veracidad con la configuración de **política de grupo** habilitada como **controlador de dominio: permitir la reutilización de las cuentas de equipo mientras se une a un dominio**.
Recomendamos encarecidamente que use un grupo de Active Directory para administrar los permisos y las configuraciones del Active Directory asociados a la cuenta de servicio.
Al cambiar la cuenta de servicio de Amazon FSx, asegúrate de que las cuentas de servicio tengan la siguiente configuración:
+ La nueva cuenta de servicio (o el grupo de Active Directory al cual pertenece) tiene permisos de **control total** sobre los objetos de equipo existentes asociados al sistema de archivos.
+ Las cuentas de servicio nuevas y anteriores (o el grupo de Active Directory al que pertenecen) forman parte de las cuentas de veracidad (o del grupo de Active Directory de veracidad) con la configuración de políticas del grupo **controlador de dominio: permitir la reutilización de las cuentas de equipo mientras se une a un dominio** habilitada en todos los controladores de dominio del Active Directory.
Si las cuentas de servicio no cumplen estos requisitos, pueden darse las siguientes condiciones:
+ En el caso de los sistemas de archivos Single-AZ, el sistema de archivos podría convertirse en **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**.
+ En el caso de los sistemas de archivos Multi-AZ, es posible que el sistema de archivos **[esté MAL CONFIGURADO](administering-file-systems.md#file-system-lifecycle-states)** y que el nombre del RemotePowerShell terminal cambie.
## Configuración de la política de grupo de un controlador de dominio
El siguiente [procedimiento recomendado por Microsoft](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) describe cómo usar la política de grupo del controlador de dominio para configurar la política de listas de permitidos.
**Para configurar la política de listas de permitidos de un controlador de dominio**
1. Instale las actualizaciones de Microsoft Windows del 12 de septiembre de 2023 o posteriores en todos los equipos miembros y controladores de dominio del Microsoft Active Directory autoadministrado.
1. En una política de grupo nueva o existente que se aplique a todos los controladores de dominio del Active Directory autoadministrado, configure los siguientes ajustes.
1. Diríjase a **Configuración de equipo > Políticas > Configuraciones de Windows > Configuraciones de seguridad > Políticas locales > Opciones de seguridad**.
1. Haga doble clic en **Controlador de dominio: permitir la reutilización de la cuenta de equipo mientras se une al dominio**.
1. Seleccione **Definir esta configuración de política y **.
1. Use el selector de objetos para agregar usuarios o grupos de creadores y propietarios de cuentas de equipo de veracidad al permiso **Permitir**. (Recomendamos encarecidamente la práctica de usar grupos para obtener permisos). **No agregue la cuenta de usuario que realiza la unión al dominio**.
**aviso**
Limite la pertenencia a la política para los usuarios y cuentas de servicio de veracidad. No agregue a esta política usuarios autenticados, a otras personas ni a otros grupos grandes. En su lugar, agregue cuentas de servicio y usuarios de veracidad específicos a los grupos y agregue esos grupos a la política.
1. Espere a que se actualice la política de grupo o ejecute **gpupdate /force** en todos los controladores de dominio.
1. Compruebe que la clave de registro HKLM\$1 System\$1 CCS\$1 Control\$1 SAM — «ComputerAccountReuseAllowList» esté rellenada con el SDDL deseado. **No modifique el registro manualmente**.
1. Intente unirse a un equipo que tenga instaladas las actualizaciones del 12 de septiembre de 2023 o posteriores. Corrobore que una de las cuentas que figuran en la política sea propietaria de la cuenta de equipo. Asegúrese también de que su registro no tenga la **NetJoinLegacyAccountReuse**clave habilitada (establecida en 1). Si se produce un error al unir dominios, revise **`c:\windows\debug\netsetup.log`**.
# Supervisión de las actualizaciones del Active Directory autoadministrado
Puede supervisar el progreso de una actualización de configuración de Active Directory autogestionada mediante la API o la Consola de administración de AWS AWS CLI, tal y como se describe en los siguientes procedimientos.
Al actualizar la configuración del Active Directory autoadministrado del sistema de archivos, el estado del sistema de archivos cambia de **Disponible** a **Actualizando** mientras se aplica la actualización. Una vez completada la actualización, el estado vuelve a ser **Disponible**. La actualización de una configuración del Active Directory puede tardar varios minutos en completarse.
## Supervisión de las actualizaciones en la consola
En la pestaña **Actualizaciones** de la ventana de **información del sistema de archivos**, puede ver las 10 actualizaciones más recientes de cada tipo.
![\[Captura de pantalla de la consola que muestra la lista de actualizaciones recientes.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
Para las actualizaciones del Active Directory autoadministrado, puede ver la siguiente información.
****Tipo de actualización****
Los tipos admitidos son los siguientes:
+ Dirección IP del servidor DNS
+ Las Credenciales de cuenta de servicio
****Valor de destino****
El valor deseado al que se debe actualizar la propiedad del sistema de archivos. En el caso de las actualizaciones de las **credenciales de la cuenta de servicio**, solo se muestra el nombre de usuario, y nunca se incluyen las contraseñas de las cuentas de servicio en este campo.
****Estado****
El estado de la actualización vigente. En el caso de las actualizaciones del Active Directory autoadministrado, los valores posibles son los siguientes:
+ **Pendiente**: Amazon FSx ha recibido la solicitud de actualización, pero no ha empezado a procesarla.
+ **En curso**: Amazon FSx está procesando la solicitud de actualización.
+ **Finalizado**: la actualización del sistema de archivos se completó correctamente.
+ **Error**: no se pudo actualizar el sistema de archivos. Elija el signo de interrogación (**?** ) para ver información sobre el error.
****% de progreso****
El progreso de la actualización del sistema de archivos se muestra como porcentaje completado.
****Tiempo de solicitud****
La hora en que Amazon FSx recibió la solicitud de acción de actualización.
## Supervisar las actualizaciones mediante la API AWS CLI y
Puede ver y supervisar las solicitudes de actualización del sistema de archivos que están en curso mediante el [describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI comando y la acción de la [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API. La matriz de `AdministrativeActions` enumera las 10 acciones de actualización más recientes para cada tipo de acción administrativa.
En el siguiente ejemplo se muestra un extracto de la respuesta de un comando de la CLI **describe-file-systems**. El resultado muestra dos actualizaciones autoadministrables del sistema de archivos de Active Directory.
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```