Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conditions requises pour joindre une SVM à un Microsoft AD autogéré
Avant de joindre une SVM FSx for ONTAP à un domaine Microsoft AD autogéré, assurez-vous que votre Active Directory et votre réseau répondent aux exigences décrites dans les sections suivantes.
Rubriques
Exigences relatives à Active Directory sur site
Assurez-vous que vous disposez déjà d'un Microsoft AD sur site ou d'un autre outil autogéré auquel vous pouvez joindre la SVM. Cet Active Directory doit avoir la configuration suivante :
-
Le niveau fonctionnel du domaine du contrôleur de domaine Active Directory est Windows Server 2000 ou supérieur.
-
Active Directory utilise un nom de domaine qui n'est pas au format SLD (Single Label Domain). Amazon FSx ne prend pas en charge les domaines SLD.
-
Si des sites Active Directory sont définis, assurez-vous que les sous-réseaux du VPC associé à votre système de fichiers FSx for ONTAP sont définis dans les mêmes sites Active Directory et qu'il n'existe aucun conflit entre vos sous-réseaux VPC et les sous-réseaux de vos sites Active Directory.
Note
Si vous l'utilisez AWS Directory Service, FSx for ONTAP ne permet pas de joindre des SVM au Simple Active Directory.
Exigences en matière de configuration du réseau
Assurez-vous que les configurations réseau suivantes sont en place et que les informations associées sont à votre disposition.
Important
Pour qu'une SVM puisse rejoindre Active Directory, vous devez vous assurer que les ports décrits dans cette rubrique autorisent le trafic entre tous les contrôleurs de domaine Active Directory et les deux adresses IP iSCSI (interfaces logiques iscsi_1 et iscsi_2 (LIFS)) de la SVM.
-
Les adresses IP du serveur DNS et du contrôleur de domaine Active Directory.
-
Connectivité entre le VPC Amazon dans lequel vous créez le système de fichiers et votre Active Directory autogéré à l'aide de AWS Direct Connect
, AWS VPN ou. AWS Transit Gateway -
Le groupe de sécurité et les ACL du réseau VPC pour les sous-réseaux sur lesquels vous créez le système de fichiers doivent autoriser le trafic sur les ports et dans les directions indiquées dans le schéma suivant.
Le rôle de chaque port est décrit dans le tableau suivant.
Protocole
Ports
Rôle
TCP/UDP
53
Système de nom de domaine (DNS)
TCP/UDP
88
Authentification Kerberos
TCP/UDP
389
Protocole LDAP (Lightweight Directory Access Protocol)
TCP
445
Partage de fichiers SMB avec les services d'annuaire
TCP/UDP
464
Changement/définition de mot de passe
TCP
636
Protocole LDAP (Lightweight Directory Access Protocol) via TLS/SSL (LDAPS)
-
Ces règles de trafic doivent également être reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine Active Directory, des serveurs DNS, des clients FSx et des administrateurs FSx.
Important
Alors que les groupes de sécurité Amazon VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des ACL de réseau VPC nécessitent que les ports soient ouverts dans les deux sens.
Exigences relatives aux comptes de service Active Directory
Assurez-vous que vous disposez d'un compte de service dans votre Microsoft AD autogéré doté d'autorisations déléguées pour associer des ordinateurs au domaine. Un compte de service est un compte utilisateur de votre Active Directory autogéré auquel certaines tâches ont été déléguées.
Au minimum, les autorisations suivantes doivent être déléguées au compte de service dans l'unité d'organisation à laquelle vous rejoignez la SVM :
-
Possibilité de réinitialiser les mots de passe
-
Possibilité d'empêcher les comptes de lire et d'écrire des données
-
Possibilité de définir la
msDS-SupportedEncryptionTypespropriété sur les objets de l'ordinateur -
Capacité validée d'écrire sur le nom d'hôte DNS
-
Capacité validée d'écrire dans le nom du principal de service
-
Possibilité de créer et de supprimer des objets informatiques
-
Aptitude validée à lire et à écrire les restrictions du compte
Il s'agit de l'ensemble minimal d'autorisations requises pour joindre des objets informatiques à votre Active Directory. Pour plus d'informations, consultez la rubrique de documentation de Windows Server Erreur : l'accès est refusé lorsque des utilisateurs non administrateurs auxquels le contrôle a été délégué tentent de joindre des ordinateurs à un contrôleur de domaine
Pour en savoir plus sur la création d'un compte de service doté des autorisations appropriées, consultezDélégation d'autorisations à votre compte de service Amazon FSx.
Important
Amazon FSx nécessite un compte de service valide pendant toute la durée de vie de votre système de fichiers Amazon FSx. Amazon FSx doit être en mesure de gérer entièrement le système de fichiers et d'effectuer des tâches qui l'obligent à dissocier et à joindre des ressources à votre domaine Active Directory. Ces tâches incluent le remplacement d'un système de fichiers ou d'une SVM défaillants ou l'application de correctifs au logiciel NetApp ONTAP. Gardez vos informations de configuration Active Directory à jour avec Amazon FSx, y compris les informations d'identification du compte de service. Pour en savoir plus, veuillez consulter la section Maintien à jour de votre configuration Active Directory avec Amazon FSx.
Si c'est la première fois que vous utilisez AWS FSx for ONTAP, assurez-vous d'avoir effectué les étapes de configuration initiales avant de commencer votre intégration à Active Directory. Pour de plus amples informations, veuillez consulter Configuration de FSx pour ONTAP.
Important
Ne déplacez pas les objets informatiques créés par Amazon FSx dans l'unité d'organisation après la création de vos SVM, et ne supprimez pas votre Active Directory alors que votre SVM y est jointe. Dans ce cas, vos SVM seront mal configurées.
