Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation d'un Microsoft Active Directory autogéré
Si votre organisation gère les identités et les appareils à l'aide d'un Active Directory autogéré sur site ou dans le cloud, vous pouvez associer un système de fichiers FSx pour Windows File Server à votre domaine Active Directory lors de sa création.
Lorsque vous associez votre système de fichiers à votre Active Directory autogéré, votre système de fichiers FSx pour Windows File Server réside dans la même forêt Active Directory (le conteneur logique supérieur d'une configuration Active Directory qui contient des domaines, des utilisateurs et des ordinateurs) et dans le même domaine Active Directory que vos utilisateurs et ressources existantes (y compris les serveurs de fichiers existants).
Note
Vous pouvez isoler vos ressources, y compris vos systèmes de fichiers AmazonFSx, dans une forêt Active Directory distincte de celle où résident vos utilisateurs. Pour ce faire, associez votre système de fichiers à un Active Directory AWS géré et établissez une relation d'approbation forestière unidirectionnelle entre un Active Directory AWS géré que vous créez et votre Active Directory autogéré existant.
-
Nom d'utilisateur et mot de passe d'un compte de service sur votre domaine Active Directory, FSx à utiliser par Amazon pour associer le système de fichiers à votre domaine Active Directory.
-
(Facultatif) Unité organisationnelle (UO) de votre domaine à laquelle vous souhaitez associer votre système de fichiers.
-
(Facultatif) Le groupe de domaines auquel vous souhaitez déléguer l'autorité pour effectuer des actions administratives sur votre système de fichiers. Par exemple, ce groupe de domaines peut gérer les partages de fichiers Windows, gérer les listes de contrôle d'accès (ACLs) sur le dossier racine du système de fichiers, s'approprier des fichiers et des dossiers, etc. Si vous ne spécifiez pas ce groupe, Amazon FSx délègue cette autorité au groupe des administrateurs de domaine de votre domaine Active Directory par défaut.
Note
Le nom de groupe de domaines que vous fournissez doit être unique dans votre Active Directory. FSxpour Windows File Server ne créera pas le groupe de domaines dans les cas suivants :
Si un groupe existe déjà avec le nom que vous spécifiez
Si vous ne spécifiez pas de nom et qu'un groupe nommé « Administrateurs de domaine » existe déjà dans votre Active Directory.
Pour de plus amples informations, veuillez consulter Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré.
Rubriques
- Prérequis
- Bonnes pratiques pour l'autogestion d'Active Directory
- Compte FSx de service Amazon
- Délégation d'autorisations au compte ou au FSx groupe de service Amazon
- Validation de votre configuration Active Directory
- Joindre un système de FSx fichiers Amazon à un domaine Microsoft Active Directory autogéré
- Obtenir les adresses IP de système de fichiers correctes à utiliser pour les DNS saisies manuelles
- Mettre à jour une configuration Active Directory autogérée
- Modifier le compte FSx de service Amazon
- Surveillance des mises à jour d'Active Directory autogérées
Prérequis
Avant de joindre un système de fichiers FSx pour serveur de fichiers Windows à votre domaine Microsoft Active Directory autogéré, passez en revue les conditions préalables suivantes pour vous assurer que vous pouvez associer avec succès votre système de FSx fichiers Amazon à votre Active Directory autogéré.
Configurations sur site
Voici les prérequis pour votre Microsoft Active Directory autogéré, sur site ou dans le cloud, auquel vous rejoindrez le système de FSx fichiers Amazon.
-
Les contrôleurs de domaine Active Directory :
Doit avoir un niveau fonctionnel de domaine Windows Server 2008 R2 ou supérieur.
Doit être inscriptible.
-
Les adresses IP DNS du serveur et du contrôleur de domaine Active Directory doivent répondre aux exigences suivantes, qui varient en fonction de la date de création de votre système de FSx fichiers Amazon :
Pour les systèmes de fichiers créés avant le 17 décembre 2020 Pour les systèmes de fichiers créés après le 17 décembre 2020 Les adresses IP doivent être comprises dans une plage d'adresses IP privées de RFC1918
: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Les adresses IP peuvent être comprises dans n'importe quelle plage, sauf :
Adresses IP en conflit avec les adresses IP détenues par Amazon Web Services dans le système de fichiers dans Région AWS lequel se trouve le système de fichiers. Pour obtenir la liste des adresses IP AWS détenues par région, consultez les plages d'adresses AWS IP.
Adresses IP comprises dans la plage de CIDR blocs 198.19.0.0/16
Si vous devez accéder à un système de fichiers FSx pour serveur de fichiers Windows créé avant le 17 décembre 2020 à l'aide d'une plage d'adresses IP non privées, vous pouvez créer un nouveau système de fichiers en restaurant une sauvegarde du système de fichiers. Pour de plus amples informations, veuillez consulter Restauration d'une sauvegarde sur un nouveau système de fichiers.
-
Le nom de domaine de votre Active Directory autogéré doit répondre aux exigences suivantes :
Le nom de domaine n'est pas au format Single Label Domain (SLD). Amazon FSx ne prend pas en charge SLD les domaines.
Pour les systèmes de fichiers mono-AZ 2 et tous les systèmes de fichiers multi-AZ, le nom de domaine ne peut pas dépasser 47 caractères.
-
Tous les sites Active Directory que vous avez définis doivent répondre aux conditions préalables suivantes :
Les sous-réseaux associés à votre système de fichiers doivent être définis dans un site Active Directory. VPC
Il n'y a aucun conflit entre les VPC sous-réseaux et les sous-réseaux du site Active Directory.
Amazon a FSx besoin d'une connectivité à tous les contrôleurs de domaine de votre environnement Active Directory. Si vous avez plusieurs contrôleurs de domaine, assurez-vous qu'ils répondent tous aux exigences ci-dessus et assurez-vous que toute modification apportée à votre compte de service est répercutée sur tous les contrôleurs de domaine.
Important
Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.
Vous pouvez valider votre configuration Active Directory, notamment tester la connectivité de plusieurs contrôleurs de domaine, à l'aide de l'outil de validation Amazon FSx Active Directory. Pour limiter le nombre de contrôleurs de domaine nécessitant une connectivité, vous pouvez également établir une relation de confiance entre vos contrôleurs de domaine sur site et AWS Managed Microsoft AD. Pour de plus amples informations, veuillez consulter Utilisation d'un modèle d'isolation des forêts de ressources.
Important
Amazon enregistre les DNS enregistrements d'un système de fichiers FSx uniquement si vous utilisez Microsoft DNS comme DNS service par défaut. Si vous faites appel à un tiersDNS, vous devrez configurer manuellement les entrées d'DNSenregistrement pour votre système de fichiers après l'avoir créé.
Configurations réseau
Cette section décrit les exigences de configuration réseau pour joindre un système de fichiers à votre Active Directory autogéré. Nous vous recommandons vivement d'utiliser l'outil de validation Amazon FSx Active Directory pour tester vos paramètres réseau avant de tenter de joindre votre système de fichiers à votre Active Directory autogéré.
Assurez-vous que vos règles de pare-feu autorisent ICMP le trafic entre vos contrôleurs de domaine Active Directory et AmazonFSx.
-
La connectivité doit être configurée entre l'Amazon sur VPC lequel vous souhaitez créer le système de fichiers et votre Active Directory autogéré. Vous pouvez configurer cette connectivité à l'aide de AWS Direct ConnectAWS Virtual Private Network, VPCpeering ou AWS Transit Gateway.
-
Le groupe VPC de sécurité par défaut pour votre Amazon par défaut VPC doit être ajouté à votre système de fichiers à l'aide de la FSx console Amazon. Assurez-vous que le groupe de sécurité et le VPC réseau ACLs des sous-réseaux sur lesquels vous créez votre système de fichiers autorisent le trafic sur les ports et dans le sens indiqué dans le schéma suivant.
Le tableau suivant identifie le protocole, les ports et leur rôle.
Protocole
Ports
Rôle
TCP/UDP
53
Système de noms de domaine (DNS)
TCP/UDP
88
Authentification Kerberos
TCP/UDP
464
Modifier/définir le mot de passe
TCP/UDP
389
Protocole léger d'accès aux annuaires (LDAP)
UDP 123 Protocole horaire réseau (NTP)
TCP 135 Environnement informatique distribué/mappeur de points de terminaison (/) DCE EPMAP
TCP
445
Partage de SMB fichiers avec les services d'annuaire
TCP
636
Protocole léger d'accès aux répertoires viaTLS/SSL(LDAPS)
TCP
3268
Catalogue mondial Microsoft
TCP
3269
Microsoft Global Catalog terminé SSL
TCP
5985
WinRM 2.0 (gestion à distance de Microsoft Windows)
TCP
9389
Services Web Microsoft Active Directory DS, PowerShell
Important
L'autorisation du trafic sortant sur le TCP port 9389 est requise pour les déploiements de systèmes de fichiers mono-AZ 2 et multi-AZ.
TCP
49152 - 65535
Ports éphémères pour RPC
Ces règles de trafic doivent également être reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, DNS serveurs, FSx clients et administrateurs Active Directory. FSx
Note
Si vous utilisez le VPC réseauACLs, vous devez également autoriser le trafic sortant sur les ports dynamiques (49152-65535) de votre système de fichiers.
Important
Alors que les groupes VPC de sécurité Amazon exigent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux et VPC réseaux Windows ACLs exigent que les ports soient ouverts dans les deux sens.
Autorisations relatives aux comptes de service
Vous devez disposer d'un compte de service dans votre Microsoft Active Directory autogéré avec des autorisations déléguées pour joindre des objets informatiques à votre domaine Active Directory autogéré. Un compte de service est un compte utilisateur de votre Active Directory autogéré auquel certaines tâches ont été déléguées.
Voici l'ensemble minimal d'autorisations qui doivent être déléguées au compte de FSx service Amazon dans l'unité d'organisation à laquelle vous rejoignez le système de fichiers.
Si vous utilisez le contrôle délégué dans l'utilisateur et les ordinateurs Active Directory MMC :
-
Réinitialisation des mots de passe
-
Lire et écrire les restrictions du compte
-
Écriture validée sur le nom DNS d'hôte
-
Écriture validée sur le nom principal du service
-
-
Si vous utilisez les fonctionnalités avancées dans Active Directory User and Computers MMC :
-
Modifier les autorisations
-
Créer des objets ordinateur
-
Supprimer des objets informatiques
-
Pour plus d'informations, consultez la rubrique de documentation de Microsoft Windows Server Erreur : l'accès est refusé lorsque des utilisateurs non administrateurs auxquels le contrôle a été délégué tentent de joindre des ordinateurs à un contrôleur de domaine
Pour plus d'informations sur la définition des autorisations requises, consultezDélégation d'autorisations au compte ou au FSx groupe de service Amazon.
Bonnes pratiques pour l'autogestion d'Active Directory
Nous vous recommandons de suivre ces bonnes pratiques lorsque vous associez un système de fichiers Amazon FSx pour Windows File Server à votre Microsoft Active Directory autogéré. Ces bonnes pratiques vous aideront à maintenir la disponibilité continue et ininterrompue de votre système de fichiers.
- Utiliser un compte de service distinct pour Amazon FSx
-
Utilisez un compte de service distinct pour déléguer les privilèges nécessaires FSx à Amazon afin de gérer entièrement les systèmes de fichiers associés à votre Active Directory autogéré. Nous vous déconseillons d'utiliser les administrateurs de domaine à cette fin.
- Utiliser un groupe Active Directory
Utilisez un groupe Active Directory pour gérer les autorisations et les configurations Active Directory associées au compte de FSx service Amazon.
- Séparer l'unité organisationnelle (UO)
-
Pour faciliter la recherche et la gestion des objets de votre FSx ordinateur Amazon, nous vous recommandons de séparer l'unité organisationnelle (UO) que vous utilisez pour vos systèmes de fichiers FSx pour Windows File Server des autres problèmes liés aux contrôleurs de domaine.
- Conserver la configuration d'Active Directory up-to-date
Il est impératif que vous conserviez la configuration up-to-date Active Directory de votre système de fichiers, quelle que soit la modification apportée. Par exemple, si votre Active Directory autogéré utilise une politique de réinitialisation des mots de passe basée sur le temps, assurez-vous de mettre à jour le mot de passe du compte de service sur votre système de fichiers dès que le mot de passe est réinitialisé. Pour de plus amples informations, veuillez consulter Mettre à jour une configuration Active Directory autogérée.
- Modifier le compte FSx de service Amazon
-
Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, celui-ci doit disposer des autorisations et privilèges requis pour rejoindre votre Active Directory et disposer des autorisations de contrôle total pour les objets informatiques existants associés au système de fichiers. Pour de plus amples informations, veuillez consulter Modifier le compte FSx de service Amazon.
- Utiliser les règles des groupes de sécurité pour limiter le trafic
Utilisez les règles des groupes de sécurité pour mettre en œuvre le principe du moindre privilège dans votre cloud privé virtuel (VPC). Vous pouvez limiter le type de trafic réseau entrant et sortant autorisé pour votre fichier à l'aide de règles de groupe VPC de sécurité. Par exemple, nous recommandons d'autoriser uniquement le trafic sortant vers vos contrôleurs de domaines Active Directory autogérés ou vers le sous-réseau ou le groupe de sécurité que vous utilisez. Pour de plus amples informations, veuillez consulter Groupes de sécurité Amazon VPC.
- Ne déplacez pas les objets informatiques créés par Amazon FSx
Important
Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après la création de votre système de fichiers. Cela entraînera une mauvaise configuration de votre système de fichiers.
- Validez votre configuration Active Directory
Avant de tenter de joindre un système de fichiers FSx pour serveur de fichiers Windows à votre Active Directory, nous vous recommandons vivement de valider votre configuration Active Directory à l'aide de l'outil de validation Amazon FSx Active Directory.
Compte FSx de service Amazon
Les systèmes de FSx fichiers Amazon associés à un Active Directory autogéré nécessitent un compte de service valide pendant toute leur durée de vie. Amazon FSx utilise le compte de service pour gérer entièrement vos systèmes de fichiers et effectuer des tâches administratives qui nécessitent de dissocier et de joindre des objets informatiques à votre domaine Active Directory. Ces tâches incluent le remplacement d'un serveur de fichiers défaillant et l'application de correctifs au logiciel Microsoft Windows Server. Pour FSx qu'Amazon puisse effectuer ces tâches, le compte de FSx service Amazon doit disposer, au minimum, de l'ensemble des autorisations décrites dans la section qui lui est Autorisations relatives aux comptes de service déléguée.
Bien que les membres du groupe des administrateurs de domaine disposent de privilèges suffisants pour effectuer ces tâches, nous vous recommandons vivement d'utiliser un compte de service distinct pour déléguer les privilèges requis à AmazonFSx.
Pour plus d'informations sur la façon de déléguer des privilèges à l'aide des fonctionnalités de contrôle délégué ou de fonctionnalités avancées du MMC composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, consultezDélégation d'autorisations au compte ou au FSx groupe de service Amazon.
Si vous mettez à jour votre système de fichiers avec un nouveau compte de service, le nouveau compte de service doit disposer des autorisations et privilèges requis pour rejoindre votre Active Directory et disposer des autorisations de contrôle total pour les objets informatiques existants associés au système de fichiers. Pour de plus amples informations, veuillez consulter Modifier le compte FSx de service Amazon.
