Préparation du passage à Amazon FSx Configuration SPNs pour l'authentification Kerberos Mettre à jour les enregistrements DNS CNAME pour le système de FSx fichiers Amazon

Réduction des opérations vers le serveur de fichiers Amazon FSx pour Windows

Après avoir migré votre stockage de fichiers sur site, votre configuration de partage de fichiers et votre configuration DNS, l'étape suivante consiste à transférer vos opérations vers les systèmes FSx de fichiers Windows File Server. Pour passer à votre système de fichiers FSx pour Windows File Server, vous devez effectuer les étapes suivantes :

Préparez-vous à la découpe.
- Déconnectez temporairement les clients SMB du système de fichiers d'origine.
- Effectuez une synchronisation finale de la configuration des fichiers et du partage de fichiers.
Configurez les noms principaux de service (SPNs) pour votre système de FSx fichiers Amazon.
Mettez à jour les enregistrements DNS CNAME pour qu'ils pointent vers votre système de FSx fichiers Amazon.

Les procédures permettant d'effectuer chacune de ces étapes sont décrites dans les sections suivantes.

Rubriques

Préparation du passage à Amazon FSx
Configuration SPNs pour l'authentification Kerberos
Mettre à jour les enregistrements DNS CNAME pour le système de FSx fichiers Amazon

Préparation du passage à Amazon FSx

Pour préparer le transfert vers votre système de FSx fichiers Amazon, vous devez effectuer les opérations suivantes :

Déconnectez tous les clients qui écrivent dans le système de fichiers d'origine.
Effectuez une synchronisation finale des fichiers à l'aide AWS DataSync de Robocopy. Pour de plus amples informations, veuillez consulter Migration du stockage de fichiers existant vers un FSx serveur de fichiers Windows.
Effectuez une synchronisation finale de la configuration du partage de fichiers. Pour de plus amples informations, veuillez consulter Migration de vos configurations de partage de fichiers sur site vers Amazon FSx.

Configuration SPNs pour l'authentification Kerberos

Nous vous recommandons d'utiliser l'authentification et le chiffrement basés sur Kerberos lors du transport avec Amazon. FSx Kerberos fournit l'authentification la plus sécurisée pour les clients qui accèdent à votre système de fichiers. Pour activer l'authentification Kerberos pour les clients accédant à Amazon à FSx l'aide d'un alias DNS, vous devez ajouter des noms principaux de service (SPNs) correspondant à l'alias DNS sur l'objet informatique Active Directory de votre système de FSx fichiers Amazon.

Deux sont nécessaires SPNs pour l'authentification Kerberos.


HOST/alias
HOST/alias.domain

Par exemple, si l'alias estfinance.domain.com, les deux requis SPNs sont les suivants.


HOST/finance
HOST/finance.domain.com

Un SPN ne peut être associé qu'à un seul objet informatique Active Directory à la fois. S'il existe des noms DNS configurés SPNs pour l'objet informatique Active Directory de votre système de fichiers d'origine, vous devez les supprimer avant de les créer SPNs pour votre système de FSx fichiers Amazon.

Les procédures suivantes décrivent comment rechercher des objets existants SPNs, les supprimer et en créer un nouveau SPNs pour l'objet informatique Active Directory de votre système de FSx fichiers Amazon.

Pour installer le module PowerShell Active Directory requis

Connectez-vous à une instance Windows jointe à l'Active Directory auquel votre système de FSx fichiers Amazon est joint.
Ouvrez PowerShell en tant qu'administrateur.
Installez le module PowerShell Active Directory à l'aide de la commande suivante.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Pour rechercher et supprimer un alias DNS existant SPNs sur l'objet informatique Active Directory du système de fichiers d'origine

Trouvez-en un existant SPNs à l'aide des commandes suivantes. alias_fqdnRemplacez-le par l'alias DNS que vous avez associé au système de fichiers dansMigration de votre configuration DNS locale vers un serveur de FSx fichiers Windows.
```
## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])
```

Supprimez le HOST existant SPNs renvoyé à l'étape précédente à l'aide de l'exemple de script suivant.

alias_fqdnRemplacez-le par l'alias DNS complet que vous avez associé au système de fichiers dansMigration de votre configuration DNS locale vers un serveur de FSx fichiers Windows.
file_system_DNS_nameRemplacez-le par le nom DNS du système de fichiers d'origine.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Répétez ces étapes pour chaque alias DNS que vous avez associé au système de fichiersMigration de votre configuration DNS locale vers un serveur de FSx fichiers Windows.

Pour définir SPNs l'objet informatique Active Directory de votre système de FSx fichiers Amazon

Définissez une nouvelle configuration SPNs pour votre système de FSx fichiers Amazon en exécutant les commandes suivantes.
- file_system_DNS_nameRemplacez-le par le nom DNS FSx attribué par Amazon au système de fichiers.
  
  Pour trouver le nom DNS de votre système de fichiers sur la FSx console Amazon, sélectionnez Systèmes de fichiers, puis choisissez votre système de fichiers. Choisissez le volet Réseau et sécurité de la page de détails du système de fichiers. Vous pouvez également obtenir le nom DNS dans la réponse de l'opération d'DescribeFileSystemsAPI.
- alias_fqdnRemplacez-le par l'alias DNS complet que vous avez associé au système de fichiers dansMigration de votre configuration DNS locale vers un serveur de FSx fichiers Windows.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
Note
La définition d'un SPN pour votre système de FSx fichiers Amazon échouera si un SPN pour l'alias DNS existe dans l'AD pour l'objet informatique du système de fichiers d'origine. Pour plus d'informations sur la recherche et la suppression d'un SPNs fichier existant, consultezPour rechercher et supprimer un alias DNS existant SPNs sur l'objet informatique Active Directory du système de fichiers d'origine.
Vérifiez que les nouveaux SPNs sont configurés pour l'alias DNS à l'aide de l'exemple de script suivant. Assurez-vous que la réponse inclut deux HOST SPNs, HOST/alias etHOST/alias_fqdn.

file_system_DNS_nameRemplacez-le par le nom DNS FSx attribué par Amazon à votre système de fichiers. Pour trouver le nom DNS de votre système de fichiers sur la FSx console Amazon, choisissez Systèmes de fichiers, choisissez votre système de fichiers, puis choisissez le volet Réseau et sécurité sur la page de détails du système de fichiers.

Vous pouvez également obtenir le nom DNS dans la réponse de l'opération d'DescribeFileSystemsAPI.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Répétez les étapes précédentes pour chaque alias DNS que vous avez associé au système de fichiers dansMigration de votre configuration DNS locale vers un serveur de FSx fichiers Windows.

Note

Vous pouvez appliquer l'authentification et le chiffrement Kerberos en transit avec les clients qui se connectent à votre système de fichiers à l'aide d'alias DNS en définissant les objets de stratégie de groupe (GPOs) suivants dans votre Active Directory :

Restreindre le protocole NTLM : trafic NTLM sortant vers des serveurs distants
Restreindre NTLM : ajouter des exceptions de serveur distant pour l'authentification NTLM

Pour plus d'informations, consultez la section Procédure pas Application de l'authentification Kerberos à l'aide d'objets de stratégie de groupe () GPOs à pas 5 : Utilisation d'alias DNS pour accéder à votre système de fichiers.

Mettre à jour les enregistrements DNS CNAME pour le système de FSx fichiers Amazon

Après avoir correctement configuré SPNs votre système de fichiers, vous pouvez passer à Amazon FSx en remplaçant chaque enregistrement DNS résolu dans le système de fichiers d'origine par un enregistrement DNS correspondant au nom DNS par défaut du système de FSx fichiers Amazon.

Pour installer les applets de commande requis PowerShell

Connectez-vous à une instance Windows jointe à l'Active Directory auquel votre système de FSx fichiers Amazon est joint en tant qu'utilisateur membre d'un groupe disposant d'autorisations d'administration DNS (administrateurs de systèmes de noms de domaine AWS délégués dans le répertoire Microsoft Active Directory AWS géré, administrateurs de domaine ou autre groupe auquel vous avez délégué des autorisations d'administration DNS dans votre Active Directory autogéré)

Pour plus d'informations, consultez la section Connexion à votre instance Windows dans le guide de EC2 l'utilisateur Amazon.
Ouvrez PowerShell en tant qu'administrateur.
Le module de serveur PowerShell DNS est nécessaire pour exécuter les instructions de cette procédure. Installez-le à l'aide de la commande suivante.
```
Install-WindowsFeature RSAT-DNS-Server
```

Pour mettre à jour un enregistrement DNS CNAME existant

Le script suivant met à jour tous les enregistrements DNS CNAME existants alias_fqdn pour l'objet informatique de votre système de FSx fichiers Amazon. Si aucun n'est trouvé, il crée un nouvel enregistrement DNS CNAME pour l'alias DNS alias_fqdn qui correspond au nom DNS par défaut de votre système de FSx fichiers Amazon.

Pour exécuter le script :
- alias_fqdnRemplacez-le par l'alias DNS que vous avez associé au système de fichiers.
- Remplacez file_system_DNS_name par le nom DNS par défaut FSx qu'Amazon a attribué au système de fichiers.
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
Répétez l'étape précédente pour chaque alias DNS que vous avez associé au système de fichiers dans lequel vous l'avez associéMigration de votre configuration DNS locale vers un serveur de FSx fichiers Windows.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Migration de votre configuration DNS locale vers un serveur de FSx fichiers Windows

Surveillance des systèmes de fichiers