Mempersiapkan cutover ke Amazon FSx Konfigurasikan SPNs untuk otentikasi Kerberos Perbarui DNS CNAME catatan untuk sistem FSx file Amazon

Memotong operasi ke Amazon FSx untuk Windows File Server

Setelah memigrasikan penyimpanan file lokal, konfigurasi berbagi file, dan DNS konfigurasi, langkah selanjutnya adalah memotong operasi Anda ke sistem file Windows File Server. FSx Untuk memotong ke sistem file Windows File Server Anda, Anda melakukan langkah-langkah berikut: FSx

Bersiap untuk cut over.
- Putuskan sementara SMB klien dari sistem file asli.
- Lakukan sinkronisasi konfigurasi file akhir dan Berbagi file.
Konfigurasikan nama utama layanan (SPNs) untuk sistem FSx file Amazon Anda.
Perbarui DNS CNAME catatan untuk menunjuk ke sistem FSx file Amazon Anda.

Prosedur untuk melakukan setiap langkah ini disediakan di bagian-bagian berikut.

Topik

Mempersiapkan cutover ke Amazon FSx
Konfigurasikan SPNs untuk otentikasi Kerberos
Perbarui DNS CNAME catatan untuk sistem FSx file Amazon

Mempersiapkan cutover ke Amazon FSx

Untuk mempersiapkan cutover ke sistem FSx file Amazon Anda, Anda harus melakukan hal berikut:

Putuskan sambungan semua klien yang menulis ke sistem file yang asli.
Lakukan sinkronisasi file akhir menggunakan AWS DataSync atau Robocopy. Untuk informasi selengkapnya, lihat Migrasi penyimpanan file yang ada ke FSx Windows File Server.
Lakukan sinkronisasi konfigurasi Berbagi file akhir. Untuk informasi selengkapnya, lihat Memigrasi konfigurasi berbagi file lokal ke Amazon FSx.

Konfigurasikan SPNs untuk otentikasi Kerberos

Kami menyarankan Anda menggunakan otentikasi dan enkripsi berbasis Kerberos dalam perjalanan dengan Amazon. FSx Kerberos menyediakan autentikasi paling aman untuk klien yang mengakses sistem file Anda. Untuk mengaktifkan otentikasi Kerberos untuk klien yang mengakses Amazon FSx menggunakan DNS alias, Anda harus menambahkan nama utama layanan (SPNs) yang sesuai dengan alias DNS pada objek komputer Active Directory sistem FSx file Amazon Anda.

Ada dua yang diperlukan SPNs untuk otentikasi Kerberos.


HOST/alias
HOST/alias.domain

Sebagai contoh, jika alias adalahfinance.domain.com, dua yang diperlukan SPNs adalah sebagai berikut.


HOST/finance
HOST/finance.domain.com

An hanya SPN dapat dikaitkan dengan objek komputer Active Directory tunggal pada satu waktu. Jika ada SPNs DNS nama yang dikonfigurasi untuk objek komputer Active Directory sistem file asli Anda, Anda harus menghapusnya sebelum membuat SPNs untuk sistem FSx file Amazon Anda.

Prosedur berikut menjelaskan cara menemukan yang adaSPNs, menghapusnya, dan membuat yang baru SPNs untuk objek komputer Active Directory sistem FSx file Amazon Anda.

Untuk menginstal modul PowerShell Active Directory yang diperlukan

Masuk ke instance Windows yang bergabung dengan Active Directory tempat sistem FSx file Amazon Anda bergabung.
Buka PowerShell sebagai administrator.
Instal modul PowerShell Active Directory menggunakan perintah berikut.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Untuk menemukan dan menghapus DNS alias yang ada SPNs pada objek komputer Active Directory sistem file asli

Temukan yang ada SPNs dengan menggunakan perintah berikut. Ganti alias_fqdn dengan DNS alias yang Anda kaitkan dengan sistem file diMemigrasi DNS konfigurasi lokal Anda ke FSx Windows File Server.
```
## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])
```

Hapus yang ada HOST SPNs dikembalikan pada langkah sebelumnya dengan menggunakan contoh skrip berikut.

Ganti alias_fqdn dengan DNS alias lengkap yang Anda kaitkan dengan sistem file. Memigrasi DNS konfigurasi lokal Anda ke FSx Windows File Server
Ganti file_system_DNS_name dengan DNS nama sistem file asli.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Ulangi langkah-langkah ini untuk setiap DNS alias yang Anda kaitkan dengan sistem file. Memigrasi DNS konfigurasi lokal Anda ke FSx Windows File Server

Untuk mengatur SPNs objek komputer Active Directory sistem FSx file Amazon

Tetapkan baru SPNs untuk sistem FSx file Amazon Anda dengan menjalankan perintah berikut.
- Ganti file_system_DNS_name dengan DNS nama yang FSx ditetapkan Amazon ke sistem file.
  
  Untuk menemukan DNS nama sistem file Anda di FSx konsol Amazon, pilih Sistem file, dan pilih sistem file Anda. Pilih jendela Jaringan & keamanan di halaman detail sistem file. Anda juga bisa mendapatkan DNS nama dalam respons DescribeFileSystemsAPIoperasi.
- Ganti alias_fqdn dengan DNS alias lengkap yang Anda kaitkan dengan sistem file. Memigrasi DNS konfigurasi lokal Anda ke FSx Windows File Server
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
catatan
Menyetel SPN untuk sistem FSx file Amazon Anda akan gagal jika DNS alias SPN untuk ada di AD untuk objek komputer sistem file asli. Untuk informasi tentang menemukan dan menghapus yang sudah adaSPNs, lihatUntuk menemukan dan menghapus DNS alias yang ada SPNs pada objek komputer Active Directory sistem file asli.
Verifikasi bahwa SPNs yang baru dikonfigurasi untuk DNS alias menggunakan contoh skrip berikut. Pastikan bahwa respons mencakup dua HOSTSPNs, HOST/alias danHOST/alias_fqdn.

Ganti file_system_DNS_name dengan DNS nama yang FSx ditetapkan Amazon ke sistem file Anda. Untuk menemukan DNS nama sistem file Anda di FSx konsol Amazon, pilih Sistem file, pilih sistem file Anda, lalu pilih panel Jaringan & keamanan di halaman detail sistem file.

Anda juga bisa mendapatkan DNS nama dalam respons DescribeFileSystemsAPIoperasi.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Ulangi langkah sebelumnya untuk setiap DNS alias yang Anda kaitkan dengan sistem file. Memigrasi DNS konfigurasi lokal Anda ke FSx Windows File Server

catatan

Anda dapat menerapkan otentikasi dan enkripsi Kerberos dalam perjalanan dengan klien yang terhubung ke sistem file Anda menggunakan DNS alias dengan menyetel Objek Kebijakan Grup berikut (GPOs) di Direktori Aktif Anda:

BatasiNTLM: NTLM Lalu lintas keluar ke server jarak jauh
BatasiNTLM: Tambahkan pengecualian server jarak jauh untuk otentikasi NTLM

Untuk informasi selengkapnya, lihat Menegakkan otentikasi Kerberos menggunakan Objek Kebijakan Grup () GPOs di Panduan 5: Menggunakan DNS alias untuk mengakses sistem file Anda.

Perbarui DNS CNAME catatan untuk sistem FSx file Amazon

Setelah Anda mengkonfigurasi dengan benar SPNs untuk sistem file Anda, Anda dapat memotong ke Amazon FSx dengan mengganti setiap DNS catatan yang diselesaikan ke sistem file asli dengan DNS catatan yang menyelesaikan ke DNS nama default sistem FSx file Amazon.

Untuk menginstal PowerShell cmdlet yang diperlukan

Masuk ke instans Windows yang bergabung dengan Direktori Aktif tempat sistem FSx file Amazon Anda bergabung sebagai pengguna yang merupakan anggota grup yang memiliki izin DNS administrasi (Administrator Sistem Nama Domain AWS Delegasi di Direktori Aktif AWS Microsoft Terkelola, dan Admin Domain atau grup lain tempat Anda telah mendelegasikan izin DNS administrasi di Direktori Aktif yang dikelola sendiri)

Untuk informasi selengkapnya, lihat Menyambungkan ke instans Windows Anda di Panduan EC2 Pengguna Amazon.
Buka PowerShell sebagai administrator.
Modul PowerShell DNS server diperlukan untuk melakukan instruksi dalam prosedur ini. Instal modul tersebut perintah berikut.
```
Install-WindowsFeature RSAT-DNS-Server
```

Untuk memperbarui DNS CNAME catatan yang ada

Skrip berikut memperbarui DNS CNAME catatan yang ada alias_fqdn untuk objek komputer sistem FSx file Amazon Anda. Jika tidak ada yang ditemukan, itu membuat DNS CNAME catatan baru untuk DNS alias alias_fqdn yang menyelesaikan DNS nama default untuk sistem file Amazon FSx Anda.

Untuk menjalankan skrip tersebut:
- Ganti alias_fqdn dengan DNS alias yang Anda kaitkan dengan sistem file.
- Ganti file_system_DNS_name dengan DNS nama default yang FSx telah ditetapkan Amazon ke sistem file.
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
Ulangi langkah sebelumnya untuk setiap DNS alias yang Anda kaitkan dengan sistem file. Memigrasi DNS konfigurasi lokal Anda ke FSx Windows File Server

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memigrasi DNS konfigurasi lokal Anda ke FSx Windows File Server

Memantau sistem file