Validation de votre configuration Active Directory

Avant de créer un système de fichiers FSx for Windows File Server joint à votre Active Directory, nous vous recommandons de valider votre configuration Active Directory à l'aide de l'outil de validation Amazon FSx Active Directory. Notez qu'une connexion Internet sortante est requise pour valider correctement la configuration d'Active Directory.

Pour valider votre configuration Active Directory

Lancez une instance Windows Amazon EC2 dans le même sous-réseau et avec les mêmes groupes de sécurité Amazon VPC que ceux que vous utilisez pour votre système de fichiers FSx for Windows File Server. Assurez-vous que votre instance EC2 dispose des autorisations AmazonEC2ReadOnlyAccess IAM requises. Vous pouvez valider les autorisations de rôle d'instance EC2 à l'aide du simulateur de politique IAM. Pour plus d'informations, consultez la section Tester les politiques IAM avec le simulateur de politiques IAM dans le guide de l'utilisateur IAM.
Joignez votre instance Windows EC2 à votre Active Directory. Pour plus d'informations, voir Joindre manuellement une instance Windows dans le Guide AWS Directory Service d'administration.
Connectez-vous à votre instance EC2. Pour plus d'informations, consultez la section Connexion à votre instance Windows dans le guide de l'utilisateur Amazon EC2.
Ouvrez une PowerShell fenêtre Windows (en utilisant Exécuter en tant qu'administrateur) sur l'instance EC2.

Pour vérifier si le module Active Directory requis pour Windows PowerShell est installé, utilisez la commande de test suivante.
```
PS C:\> Import-Module ActiveDirectory
```
Si le message ci-dessus renvoie une erreur, installez-le à l'aide de la commande suivante.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```

Téléchargez l'outil de validation réseau à l'aide de la commande suivante.


PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

Développez le fichier zip à l'aide de la commande suivante.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
Ajoutez le AmazonFSxADValidation module à la session en cours.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
Définissez les paramètres requis en remplaçant dans la commande suivante votre :
- Nom de domaine Active Directory (DOMAINNAME.COM)
- Préparez l'$Credentialobjet pour le mot de passe du compte de service à l'aide de l'une des options suivantes.
  - Pour générer l'objet d'identification de manière interactive, utilisez la commande suivante.
    
    $Credential = Get-Credential
  - Pour générer l'objet d'identification à l'aide d'une AWS Secrets Manager ressource, utilisez la commande suivante.
    
    $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString $Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
- Adresses IP du serveur DNS (IP_ADDRESS_1, IP_ADDRESS_2)
- ID (s) de sous-réseau pour les sous-réseaux sur lesquels vous prévoyez de créer votre système de fichiers Amazon FSx (SUBNET_1, SUBNET_2, par exemple). subnet-04431191671ac0d19
```
PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}
```
(Facultatif) Définissez l'unité organisationnelle, le groupe des administrateurs délégués et activez la validation des autorisations du compte de service en suivant les instructions du README.md fichier inclus avant d'exécuter l'outil de validation. DomainControllersMaxCount

Note
Le Domain Admins groupe porte un nom différent si le système d'exploitation n'est pas en anglais. Par exemple, le groupe est nommé Administrateurs du domaine dans la version française du système d'exploitation. Si vous ne spécifiez aucune valeur, le nom de Domain Admins groupe par défaut est utilisé et la création du système de fichiers échoue.

Exécutez l'outil de validation à l'aide de cette commande.


PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

Voici un exemple de résultat de test réussi.


Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

Voici un exemple de résultat de test comportant des erreurs.


Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

Si vous recevez des avertissements ou des erreurs lorsque vous exécutez l'outil de validation, reportez-vous au guide de résolution des problèmes inclus dans le package de l'outil de validation (TROUBLESHOOTING.md) etRésolution des problèmes liés à Amazon FSx.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Meilleures pratiques d'autogestion d'Active Directory

Associer FSx à un Active Directory autogéré