Cómo validar la configuración del Active Directory - Servidor FSx de archivos Amazon para Windows

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo validar la configuración del Active Directory

Antes de crear un sistema de archivos FSx para Windows File Server unido a su Active Directory, le recomendamos que valide la configuración de Active Directory con la herramienta de validación de Amazon FSx Active Directory. Tenga en cuenta que para lograr validar la configuración de Active Directory es necesario tener conectividad a Internet saliente.

Cómo validar la configuración de Active Directory

  1. Lance una instancia de Amazon EC2 Windows en la misma subred y con los mismos grupos de seguridad de Amazon VPC que utiliza para FSx su sistema de archivos de Windows File Server. Asegúrese de que la EC2 instancia tenga los permisos de AmazonEC2ReadOnlyAccess IAM necesarios. Puede validar los permisos de los roles de EC2 instancia mediante el simulador de políticas de IAM. Para obtener más información, consulte Probar las políticas de IAM con el simulador de política de IAM en la Guía del usuario de IAM.

  2. Une tu instancia de EC2 Windows a tu Active Directory. Para obtener más información, consulte Cómo vincular una instancia de Windows de forma manual en la Guía de administración de AWS Directory Service .

  3. Conéctese a su EC2 instancia. Para obtener más información, consulte Conectarse a su instancia de Windows en la Guía del EC2 usuario de Amazon.

  4. Abre una PowerShell ventana de Windows (usando Ejecutar como administrador) en la EC2 instancia.

    Para comprobar si el módulo de Active Directory necesario para Windows PowerShell está instalado, utilice el siguiente comando de prueba.

    PS C:\> Import-Module ActiveDirectory

    Si lo anterior devuelve un error, instálelo con el siguiente comando.

    PS C:\> Install-WindowsFeature RSAT-AD-PowerShell

  5. Descargue la herramienta de validación de red con el siguiente comando. 

    PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

  6. Descomprima el archivo zip con el siguiente comando.

    PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"

  7. Agregue el módulo AmazonFSxADValidation a la sesión actual.

    PS C:\> Import-Module .\AmazonFSxADValidation

  8. Para establecer los parámetros necesarios, en el siguiente comando, tiene que sustituir:

    • Nombre de dominio de Active Directory (DOMAINNAME.COM)

    • Prepare el objeto $Credential para la contraseña de la cuenta de servicio mediante una de las siguientes opciones.

      • Para generar el objeto de credenciales de forma interactiva, utilice el siguiente comando.

        $Credential = Get-Credential

      • Para generar el objeto de credenciales mediante un AWS Secrets Manager recurso, utilice el siguiente comando.

        $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))

    • Direcciones IP del servidor DNS (IP_ADDRESS_1,IP_ADDRESS_2)

    • ID de subred para las subredes en las que planea crear su sistema de FSx archivos de Amazon (SUBNET_1,, por ejemploSUBNET_2,subnet-04431191671ac0d19).

    PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}

  9. (Opcional) Defina la unidad organizativa, el grupo de administradores delegados y habilite la validación de los permisos de la cuenta de servicio siguiendo las instrucciones del README.md archivo incluido antes de ejecutar la herramienta de validación. DomainControllersMaxCount

    nota

    El grupo Domain Admins tiene un nombre diferente si el sistema operativo no está en inglés. Por ejemplo, el nombre del grupo es Administrateurs du domaine en la versión francesa del sistema operativo. Si no especifica un valor, se utiliza el nombre predeterminado del grupo Domain Admins, y se produce un error en la creación del sistema de archivos.

  10. Ejecute la herramienta de validación con este comando.

    PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

  11. A continuación, hay un ejemplo de respuesta correcta de la prueba.

    Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    A continuación, hay un ejemplo de respuesta con errores.

    Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    Si recibe advertencias o errores al ejecutar la herramienta de validación, consulte la guía de solución de problemas que se incluye en el paquete de herramientas de validación (TROUBLESHOOTING.md) y Solución de problemas de Amazon FSx.