Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré - Serveur FSx de fichiers Amazon pour Windows
Avant de commencer

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré

Lorsque vous créez un nouveau système de fichiers FSx pour Windows File Server, vous pouvez configurer l'intégration de Microsoft Active Directory afin qu'il soit joint à votre domaine Microsoft Active Directory autogéré. Pour ce faire, fournissez les informations suivantes pour votre Microsoft Active Directory :

  • Le nom de domaine complet (FQDN) de votre annuaire Microsoft Active Directory local.

    Note

    Amazon ne prend FSx actuellement pas en charge les domaines à étiquette unique (SLD).

  • Les adresses IP des DNS serveurs de votre domaine.

  • Informations d'identification pour un compte de service dans votre domaine Microsoft Active Directory local. Amazon FSx utilise ces informations d'identification pour rejoindre votre Active Directory autogéré.

Le cas échéant, vous pouvez également spécifier les options suivantes :

  • Unité organisationnelle (UO) spécifique au sein du domaine que vous souhaitez associer à votre système de FSx fichiers Amazon.

  • Le nom du groupe de domaines dont les membres disposent de privilèges administratifs pour le système de FSx fichiers Amazon.

    Note

    Le nom de groupe de domaines que vous fournissez doit être unique dans votre Active Directory. FSxpour Windows File Server ne créera pas le groupe de domaines dans les cas suivants :

    • Si un groupe existe déjà avec le nom que vous spécifiez

    • Si vous ne spécifiez pas de nom et qu'un groupe nommé « Administrateurs de domaine » existe déjà dans votre Active Directory.

Après avoir spécifié ces informations, Amazon FSx joint votre nouveau système de fichiers à votre domaine Active Directory autogéré à l'aide du compte de service que vous avez fourni.

Important

Amazon enregistre DNS des enregistrements pour un système de fichiers FSx uniquement si le domaine Active Directory auquel vous le joignez utilise Microsoft DNS par défautDNS. Si vous faites appel à un tiersDNS, vous devrez configurer manuellement DNS les entrées pour vos systèmes de FSx fichiers Amazon après avoir créé votre système de fichiers. Pour plus d'informations sur le choix des adresses IP correctes à utiliser pour le système de fichiers, consultezObtenir les adresses IP de système de fichiers correctes à utiliser pour les DNS saisies manuelles.

Avant de commencer

Assurez-vous d'avoir rempli les Prérequis informations détaillées dansUtilisation d'un Microsoft Active Directory autogéré.

  1. Ouvrez la FSx console Amazon à l'adresse https://console.aws.amazon.com/fsx/.

  2. Dans Sur le tableau de bord, choisissez Create file system (Créer un système de fichiers) pour ouvrir l'assistant de création de système de fichiers.

  3. Choisissez FSxWindows File Server, puis Next. La page Create file system (Créer un système de fichiers) s'affiche.

  4. Donnez un nom à votre système de fichiers. Vous pouvez utiliser un maximum de 256 lettres Unicode, espaces blancs et chiffres, plus les caractères spéciaux + - =. _ :/

  5. Pour Capacité de stockage, entrez la capacité de stockage de votre système de fichiers, en GiB. Si vous utilisez le SSD stockage, entrez un nombre entier compris entre 32 et 65 536. Si vous utilisez le HDD stockage, entrez un nombre entier compris entre 2 000 et 65 536. Vous pouvez augmenter la capacité de stockage selon vos besoins à tout moment après avoir créé le système de fichiers. Pour de plus amples informations, veuillez consulter Gestion de la capacité de stockage.

  6. Conservez la valeur par défaut de Throughput capacity (Capacité de débit). La capacité de débit est la vitesse soutenue à laquelle le serveur de fichiers hébergeant votre système de fichiers peut traiter les données. Le paramètre de capacité de débit recommandée est basé sur la capacité de stockage que vous choisissez. Si vous avez besoin d'une capacité de débit supérieure à la capacité de débit recommandée, choisissez Spécifier la capacité de débit, puis choisissez une valeur. Pour de plus amples informations, veuillez consulter FSxpour les performances du serveur de fichiers Windows.

    Vous pouvez modifier la capacité de débit selon vos besoins à tout moment après avoir créé le système de fichiers. Pour de plus amples informations, veuillez consulter Gestion de la capacité de débit sur FSx les systèmes de fichiers Windows File Server.

  7. Choisissez celui VPC que vous souhaitez associer à votre système de fichiers. Pour les besoins de cet exercice de mise en route, choisissez la même option VPC que pour votre AWS Directory Service répertoire et votre EC2 instance Amazon.

  8. Choisissez n'importe quelle valeur pour les zones de disponibilité et le sous-réseau.

  9. Pour les groupes VPC de sécurité, le groupe de sécurité par défaut de votre Amazon par défaut VPC est déjà ajouté à votre système de fichiers dans la console. Assurez-vous que le groupe de sécurité et le VPC réseau du ou ACLs des sous-réseaux sur lesquels vous créez votre système de FSx fichiers autorisent le trafic sur les ports et dans les directions indiquées dans le schéma suivant.

    FSxpour les exigences de configuration des ports du serveur de fichiers Windows pour les groupes de VPC sécurité et le réseau ACLs pour les sous-réseaux sur lesquels le système de fichiers est créé.

    Le tableau suivant identifie le rôle de chaque port.

    Protocole

    Ports

    Rôle

    TCP/UDP

    53

    Système de noms de domaine (DNS)

    TCP/UDP

    88

    Authentification Kerberos

    TCP/UDP

    464

    Changement/définition de mot de passe

    TCP/UDP

    389

    Protocole léger d'accès aux annuaires (LDAP)
    UDP 123

    Protocole horaire réseau (NTP)
    TCP 135

    Environnement informatique distribué/Endpoint Mapper (DCE/EPMAP)

    TCP

    445

    Partage de SMB fichiers avec les services d'annuaire

    TCP

    636

    Protocole léger d'accès aux répertoires viaTLS/SSL(LDAPS)

    TCP

    3268

    Catalogue mondial Microsoft

    TCP

    3269

    Microsoft Global Catalog terminé SSL

    TCP

    5985

    WinRM 2.0 (gestion à distance de Microsoft Windows)

    TCP

    9389

    Services Web Microsoft Active Directory DS, PowerShell

    TCP

    49152 - 65535

    Ports éphémères pour RPC
    Important

    L'autorisation du trafic sortant sur le TCP port 9389 est requise pour les déploiements de systèmes de fichiers mono-AZ 2 et multi-AZ.

    Note

    Si vous utilisez le VPC réseauACLs, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) de votre système de fichiers. FSx

    • Règles de trafic sortant pour autoriser tout le trafic vers les adresses IP associées aux DNS serveurs et aux contrôleurs de domaine de votre domaine Microsoft Active Directory autogéré. Pour plus d'informations, consultez la documentation Microsoft sur la configuration de votre pare-feu pour les communications Active Directory.

    • Assurez-vous que ces règles de trafic sont également reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, DNS serveurs, FSx clients et administrateurs Active Directory. FSx

    Note

    Si vous avez défini des sites Active Directory, vous devez vous assurer que le ou les sous-réseaux VPC associés à votre système de FSx fichiers Amazon sont définis dans un site Active Directory et qu'aucun conflit n'existe entre le ou les sous-réseaux de votre site VPC et ceux de vos autres sites. Vous pouvez afficher et modifier ces paramètres à l'aide du MMC composant logiciel enfichable Sites et services Active Directory.

    Important

    Alors que les groupes VPC de sécurité Amazon exigent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux et VPC réseaux Windows ACLs exigent que les ports soient ouverts dans les deux sens.

  10. Pour l'authentification Windows, choisissez Microsoft Active Directory autogéré.

  11. Entrez une valeur pour le nom de domaine complet pour l'annuaire Microsoft Active Directory autogéré.

    Note

    Le nom de domaine ne doit pas être au format Domaine à étiquette unique (SLD). Amazon ne prend FSx actuellement pas en charge SLD les domaines.

    Important

    Pour les systèmes de fichiers mono-AZ 2 et tous les systèmes de fichiers multi-AZ, le nom de domaine Active Directory ne peut pas dépasser 47 caractères.

  12. Entrez une valeur pour l'unité organisationnelle pour le répertoire Microsoft Active Directory autogéré.

    Note

    Assurez-vous que le compte de service que vous avez fourni possède des autorisations déléguées à l'unité d'organisation que vous spécifiez ici ou à l'unité d'organisation par défaut si vous n'en spécifiez aucune.

  13. Entrez au moins une valeur, mais pas plus de deux, pour les adresses IP de DNS serveur pour le répertoire Microsoft Active Directory autogéré.

  14. Entrez une valeur de chaîne pour le nom d'utilisateur du compte de service pour le compte de votre domaine Active Directory autogéré, par exempleServiceAcct. Amazon FSx utilise ce nom d'utilisateur pour rejoindre votre domaine Microsoft Active Directory.

    Important

    NOTINCLUEZ un préfixe de domaine (corp.com\ServiceAcct) ou un suffixe de domaine (ServiceAcct@corp.com) lors de la saisie du nom d'utilisateur du compte de service.

    NOTUTILISEZ le nom distinctif (DN) lorsque vous entrez le nom d'utilisateur du compte de service (CN=ServiceAcct,OU=example,DC=corp,DC=com).

  15. Entrez une valeur pour le mot de passe du compte de service sur votre domaine Active Directory autogéré. Amazon FSx utilise ce mot de passe pour se connecter à votre domaine Microsoft Active Directory.

  16. Entrez à nouveau le mot de passe pour le confirmer dans Confirmer le mot de passe.

  17. Pour le groupe d'administrateurs de systèmes de fichiers délégués, spécifiez le Domain Admins groupe ou un groupe d'administrateurs de systèmes de fichiers délégués personnalisé (si vous en avez créé un). Le groupe que vous spécifiez doit disposer de l'autorité déléguée pour effectuer des tâches administratives sur votre système de fichiers. Si vous ne fournissez aucune valeur, Amazon FSx utilise le Domain Admins groupe Builtin. Notez qu'Amazon FSx ne prend pas en charge la présence d'un Delegated file system administrators group (Domain Adminsgroupe ou groupe personnalisé que vous spécifiez) situé dans le conteneur intégré.

    Important

    Si vous ne fournissez pas de groupe d'administrateurs de systèmes de fichiers délégués, Amazon FSx essaie par défaut d'utiliser le Domain Admins groupe intégré dans votre domaine Active Directory. Si le nom de ce groupe intégré a été modifié ou si vous utilisez un autre groupe pour l'administration du domaine, vous devez fournir ce nom pour le groupe ici.

    Important

    NOTINCLUEZ un préfixe de domaine (corp.com \FSxAdmins) ou un suffixe de domaine (FSxAdmins@corp .com) lorsque vous fournissez le paramètre de nom de groupe.

    NOTUTILISEZ le nom distinctif (DN) du groupe. Un exemple de nom distinctif est CN=FSxAdmins, OU=Example, DC=corp, DC=com.

L'exemple suivant crée un système de fichiers FSx pour le serveur de fichiers Windows avec un SelfManagedActiveDirectoryConfiguration dans la zone de us-east-2 disponibilité. 

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Important

Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.