Utiliser Amazon FSx avec AWS Directory Service for Microsoft Active Directory - Serveur FSx de fichiers Amazon pour Windows
Conditions préalables à la mise en réseauUtilisation d'un modèle d'isolation des forêts de ressourcesTestez votre configuration Active Directory

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser Amazon FSx avec AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) fournit de véritables annuaires Active Directory entièrement gérés et hautement disponibles dans le cloud. Vous pouvez utiliser ces annuaires Active Directory dans le déploiement de votre charge de travail.

Si votre entreprise utilise AWS Managed Microsoft AD pour gérer les identités et les appareils, nous vous recommandons d'intégrer votre système de FSx fichiers Amazon à AWS Managed Microsoft AD. Ce faisant, vous obtenez une solution clé en main en utilisant Amazon FSx avec AWS Managed Microsoft AD. AWS gère le déploiement, l'exploitation, la haute disponibilité, la fiabilité, la sécurité et l'intégration transparente des deux services, vous permettant ainsi de vous concentrer sur l'exploitation efficace de votre propre charge de travail.

Pour utiliser Amazon FSx dans votre AWS Managed Microsoft AD configuration, vous pouvez utiliser la FSx console Amazon. Lorsque vous créez un nouveau système de fichiers FSx pour Windows File Server dans la console, choisissez AWS Managed Active Directory dans la section Authentification Windows. Vous choisissez également le répertoire spécifique que vous souhaitez utiliser. Pour de plus amples informations, veuillez consulter Étape 5. Créez votre système de fichiers.

Votre organisation peut gérer les identités et les appareils sur un domaine Active Directory autogéré (sur site ou dans le cloud). Dans ce cas, vous pouvez associer votre système de FSx fichiers Amazon directement à votre domaine Active Directory autogéré existant. Pour de plus amples informations, veuillez consulter Utilisation d'un Microsoft Active Directory autogéré.

En outre, vous pouvez également configurer votre système pour bénéficier d'un modèle d'isolation des forêts de ressources. Dans ce modèle, vous isolez vos ressources, y compris vos systèmes de FSx fichiers Amazon, dans une forêt Active Directory distincte de celle où se trouvent vos utilisateurs.

Important

Pour les systèmes de fichiers mono-AZ 2 et tous les systèmes de fichiers multi-AZ, le nom de domaine Active Directory ne peut pas dépasser 47 caractères.

Conditions préalables à la mise en réseau

Avant de créer un système de fichiers FSx pour serveur de fichiers Windows joint à votre domaine AWS Microsoft Managed Active Directory, assurez-vous d'avoir créé et configuré les configurations réseau suivantes :

  • Pour les groupes VPC de sécurité, le groupe de sécurité par défaut de votre Amazon par défaut VPC est déjà ajouté à votre système de fichiers dans la console. Assurez-vous que le groupe de sécurité et le VPC réseau du ou ACLs des sous-réseaux sur lesquels vous créez votre système de FSx fichiers autorisent le trafic sur les ports et dans les directions indiquées dans le schéma suivant.

    FSxpour les exigences de configuration des ports du serveur de fichiers Windows pour les groupes de VPC sécurité et le réseau ACLs pour les sous-réseaux sur lesquels le système de fichiers est créé.

    Le tableau suivant identifie le rôle de chaque port.

    Protocole

    Ports

    Rôle

    TCP/UDP

    53

    Système de noms de domaine (DNS)

    TCP/UDP

    88

    Authentification Kerberos

    TCP/UDP

    464

    Changement/définition de mot de passe

    TCP/UDP

    389

    Protocole léger d'accès aux annuaires (LDAP)
    UDP 123

    Protocole horaire réseau (NTP)
    TCP 135

    Environnement informatique distribué/Endpoint Mapper (DCE/EPMAP)

    TCP

    445

    Partage de SMB fichiers avec les services d'annuaire

    TCP

    636

    Protocole léger d'accès aux répertoires viaTLS/SSL(LDAPS)

    TCP

    3268

    Catalogue mondial Microsoft

    TCP

    3269

    Microsoft Global Catalog terminé SSL

    TCP

    5985

    WinRM 2.0 (gestion à distance de Microsoft Windows)

    TCP

    9389

    Services Web Microsoft AD DS, PowerShell

    TCP

    49152 - 65535

    Ports éphémères pour RPC
    Important

    L'autorisation du trafic sortant sur le TCP port 9389 est requise pour les déploiements de systèmes de fichiers mono-AZ 2 et multi-AZ.

    Note

    Si vous utilisez le VPC réseauACLs, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) de votre système de fichiers. FSx

  • Si vous connectez votre système de FSx fichiers Amazon à un Microsoft Active Directory AWS géré dans un autre compte VPC OR, assurez-vous de la connectivité entre celui-ci VPC et l'Amazon sur VPC lequel vous souhaitez créer le système de fichiers. Pour de plus amples informations, veuillez consulter Utiliser Amazon FSx avec AWS Managed Microsoft AD un autre compte VPC OR.

    Important

    Alors que les groupes VPC de sécurité Amazon exigent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, le VPC réseau ACLs exige que les ports soient ouverts dans les deux sens.

Utilisez l'outil Amazon FSx Network Validation pour valider la connectivité à vos contrôleurs de domaine Active Directory.

Utilisation d'un modèle d'isolation des forêts de ressources

Vous associez votre système de fichiers à une AWS Managed Microsoft AD installation. Vous établissez ensuite une relation d'approbation forestière unidirectionnelle entre un AWS Managed Microsoft AD domaine que vous créez et votre domaine Active Directory autogéré existant. Pour l'authentification Windows sur AmazonFSx, vous n'avez besoin que d'une approbation de forêt directionnelle unidirectionnelle, dans laquelle la forêt AWS gérée fait confiance à la forêt de domaines de l'entreprise.

Le domaine de votre entreprise joue le rôle de domaine approuvé, et le domaine AWS Directory Service géré joue le rôle de domaine de confiance. Les demandes d'authentification validées circulent entre les domaines dans une seule direction, ce qui permet aux comptes du domaine de votre entreprise de s'authentifier auprès des ressources partagées dans le domaine géré. Dans ce cas, Amazon FSx interagit uniquement avec le domaine AWS géré. Dans un scénario d'authentification Kerberos, les demandes d'authentification provenant d'un client d'entreprise sont validées par le domaine de l'entreprise, qui les renvoie ensuite au AWS Managed Microsoft AD, et finalement le client présente son ticket de service à votre système FSx de fichiers Windows File Server. Pour plus d'informations sur les approbations, consultez le billet Tout ce que vous vouliez savoir sur les approbations AWS Managed Microsoft AD dans le blog sur la AWS sécurité.

Testez votre configuration Active Directory

Avant de créer votre système de FSx fichiers Amazon, nous vous recommandons de valider la connectivité à vos contrôleurs de domaine Active Directory à l'aide de l'outil Amazon FSx Network Validation. Pour de plus amples informations, veuillez consulter Validation de la connectivité à vos contrôleurs de domaine Active Directory.

Les ressources connexes suivantes peuvent vous aider lors de votre utilisation AWS Directory Service for Microsoft Active Directory du serveur FSx de fichiers Windows :