Validation de votre configuration Active Directory

Avant de créer un système de fichiers FSx pour serveur de fichiers Windows joint à votre Active Directory, nous vous recommandons de valider votre configuration Active Directory à l'aide de l'outil de validation Amazon FSx Active Directory. Notez qu'une connexion Internet sortante est requise pour valider correctement la configuration d'Active Directory.

Pour valider votre configuration Active Directory

Lancez une instance Amazon EC2 Windows dans le même sous-réseau et avec les mêmes groupes de VPC sécurité Amazon que ceux que vous utilisez pour votre système de fichiers FSx pour Windows File Server. Assurez-vous que votre EC2 instance dispose des AmazonEC2ReadOnlyAccess IAM autorisations requises. Vous pouvez valider les autorisations des rôles d'EC2instance à l'aide du simulateur IAM de politiques. Pour plus d'informations, consultez la section Tester IAM les politiques avec le simulateur de IAM politiques dans le guide de IAM l'utilisateur.
Joignez votre instance EC2 Windows à votre Active Directory. Pour plus d'informations, voir Joindre manuellement une instance Windows dans le Guide AWS Directory Service d'administration.
Connectez-vous à votre EC2 instance. Pour plus d'informations, consultez la section Connexion à votre instance Windows dans le guide de EC2 l'utilisateur Amazon.
Ouvrez une PowerShell fenêtre Windows (en utilisant Exécuter en tant qu'administrateur) sur l'EC2instance.

Pour vérifier si le module Active Directory requis pour Windows PowerShell est installé, utilisez la commande de test suivante.
```
PS C:\> Import-Module ActiveDirectory
```
Si le message ci-dessus renvoie une erreur, installez-le à l'aide de la commande suivante.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```

Téléchargez l'outil de validation réseau à l'aide de la commande suivante.


PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

Développez le fichier zip à l'aide de la commande suivante.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
Ajoutez le AmazonFSxADValidation module à la session en cours.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
Définissez les paramètres requis en remplaçant dans la commande suivante votre :
- Nom de domaine Active Directory (DOMAINNAME.COM)
- Préparez l'$Credentialobjet pour le mot de passe du compte de service à l'aide de l'une des options suivantes.
  - Pour générer l'objet d'identification de manière interactive, utilisez la commande suivante.
    
    $Credential = Get-Credential
  - Pour générer l'objet d'identification à l'aide d'une AWS Secrets Manager ressource, utilisez la commande suivante.
    
    $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString $Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
- DNSadresses IP du serveur (IP_ADDRESS_1, IP_ADDRESS_2)
- ID (s) de sous-réseau pour les sous-réseaux sur lesquels vous prévoyez de créer votre système de FSx fichiers Amazon (SUBNET_1, SUBNET_2, par exemple,subnet-04431191671ac0d19).
```
PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}
```
(Facultatif) Définissez l'unité organisationnelle, le groupe des administrateurs délégués et activez la validation des autorisations du compte de service en suivant les instructions du README.md fichier inclus avant d'exécuter l'outil de validation. DomainControllersMaxCount

Note
Le Domain Admins groupe porte un nom différent si le système d'exploitation n'est pas en anglais. Par exemple, le groupe est nommé Administrateurs du domaine dans la version française du système d'exploitation. Si vous ne spécifiez aucune valeur, le nom de Domain Admins groupe par défaut est utilisé et la création du système de fichiers échoue.

Exécutez l'outil de validation à l'aide de cette commande.


PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

Voici un exemple de résultat de test réussi.


Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

Voici un exemple de résultat de test comportant des erreurs.


Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

Si vous recevez des avertissements ou des erreurs lorsque vous exécutez l'outil de validation, reportez-vous au guide de résolution des problèmes inclus dans le package de l'outil de validation (TROUBLESHOOTING.md) etRésolution des problèmes liés à Amazon FSx.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Délégation de privilèges à Amazon FSx

FSxAdhérer à un Active Directory autogéré