Menggunakan Amazon FSx dengan AWS Directory Service for Microsoft Active Directory - Amazon FSx untuk Server File Windows
Prasyarat jaringanMenggunakan model isolasi forest sumber dayaMenguji konfigurasi Direktori Aktif Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Amazon FSx dengan AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) menyediakan direktori Active Directory aktual yang dikelola sepenuhnya, sangat tersedia di cloud. Anda dapat menggunakan direktori Active Directory ini dalam penerapan beban kerja Anda.

Jika organisasi Anda menggunakan AWS Managed Microsoft AD untuk mengelola identitas dan perangkat, sebaiknya Anda mengintegrasikan sistem FSx file Amazon Anda. AWS Managed Microsoft AD Dengan melakukan ini, Anda mendapatkan solusi turnkey menggunakan Amazon FSx dengan AWS Managed Microsoft AD. AWS menangani penyebaran, operasi, ketersediaan tinggi, keandalan, keamanan, dan integrasi yang mulus dari kedua layanan, memungkinkan Anda untuk fokus pada pengoperasian beban kerja Anda sendiri secara efektif.

Untuk menggunakan Amazon FSx dengan AWS Managed Microsoft AD pengaturan Anda, Anda dapat menggunakan FSx konsol Amazon. Saat Anda membuat sistem file Server File Windows baru FSx di konsol, pilih Direktori Aktif AWS Terkelola di bawah bagian Otentikasi Windows. Anda juga memilih direktori khusus yang ingin Anda gunakan. Untuk informasi selengkapnya, lihat Langkah 1. Buat sistem file Anda.

Organisasi Anda mungkin mengelola identitas dan perangkat di domain Direktori Aktif yang dikelola sendiri (on-premise atau di cloud). Jika demikian, Anda dapat bergabung dengan sistem FSx file Amazon langsung ke domain Active Directory yang sudah ada dan dikelola sendiri. Untuk informasi selengkapnya, lihat Menggunakan Microsoft Active Directory yang dikelola sendiri.

Selain itu, Anda juga dapat mengatur sistem Anda untuk mendapatkan manfaat dari model isolasi forest sumber daya. Dalam model ini, Anda mengisolasi sumber daya Anda, termasuk sistem FSx file Amazon Anda, ke dalam hutan Direktori Aktif terpisah dari tempat pengguna Anda berada.

penting

Untuk Single-AZ 2 dan semua sistem file Multi-AZ, nama domain Direktori Aktif tidak boleh melebihi 47 karakter.

Prasyarat jaringan

Sebelum Anda membuat FSx sistem file Windows File Server yang bergabung dengan domain AWS Microsoft Managed Active Directory, pastikan Anda telah membuat dan menyiapkan konfigurasi jaringan berikut:

  • Untuk grup VPC keamanan, grup keamanan default untuk Amazon default Anda VPC sudah ditambahkan ke sistem file Anda di konsol. Harap pastikan bahwa grup keamanan dan VPC Jaringan ACLs untuk subnet tempat Anda membuat sistem FSx file memungkinkan lalu lintas di port dan petunjuk yang ditunjukkan pada diagram berikut.

    FSxuntuk persyaratan konfigurasi port Windows File Server untuk grup VPC keamanan dan jaringan ACLs untuk subnet tempat sistem file sedang dibuat.

    Tabel berikut mengidentifikasi peran masing-masing port.

    Protokol

    Port

    Peran

    TCP/UDP

    53

    Sistem Nama Domain (DNS)

    TCP/UDP

    88

    Autentikasi Kerberos

    TCP/UDP

    464

    Ubah/Atur kata sandi

    TCP/UDP

    389

    Protokol Akses Direktori Ringan (LDAP)
    UDP 123

    Protokol Waktu Jaringan (NTP)
    TCP 135

    Lingkungan Komputasi Terdistribusi/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Berbagi SMB file Directory Services

    TCP

    636

    Protokol Akses Direktori Ringan di atasTLS/SSL(LDAPS)

    TCP

    3268

    Katalog Global Microsoft

    TCP

    3269

    Katalog Global Microsoft berakhir SSL

    TCP

    5985

    WinRM 2.0 (Pengelolaan Jarak Jauh Microsoft Windows)

    TCP

    9389

    Layanan Web Microsoft AD DS, PowerShell

    TCP

    49152 - 65535

    Port fana untuk RPC
    penting

    Mengizinkan lalu lintas keluar pada TCP port 9389 diperlukan untuk penyebaran sistem file Single-AZ 2 dan semua multi-AZ.

    catatan

    Jika Anda menggunakan VPC jaringanACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file Anda. FSx

  • Jika Anda menghubungkan sistem FSx file Amazon Anda ke Direktori Aktif Microsoft AWS Terkelola di akun VPC atau yang berbeda, pastikan konektivitas antara itu VPC dan Amazon VPC tempat Anda ingin membuat sistem file. Untuk informasi selengkapnya, lihat Menggunakan Amazon FSx dengan AWS Managed Microsoft AD di akun VPC atau yang berbeda.

    penting

    Sementara grup VPC keamanan Amazon mengharuskan port dibuka hanya ke arah lalu lintas jaringan dimulai, VPC jaringan ACLs memerlukan port untuk terbuka di kedua arah.

Gunakan alat Validasi FSx Jaringan Amazon untuk memvalidasi konektivitas ke pengontrol domain Direktori Aktif Anda.

Menggunakan model isolasi forest sumber daya

Anda bergabung dengan sistem file Anda ke pengaturan AWS Managed Microsoft AD . Anda kemudian membangun hubungan kepercayaan hutan satu arah antara AWS Managed Microsoft AD domain yang Anda buat dan domain Direktori Aktif yang dikelola sendiri yang ada. Untuk otentikasi Windows di AmazonFSx, Anda hanya memerlukan kepercayaan hutan arah satu arah, di mana hutan AWS terkelola mempercayai hutan domain perusahaan.

Domain perusahaan Anda berperan sebagai domain tepercaya, dan domain AWS Directory Service terkelola berperan sebagai domain yang dipercaya. Permintaan autentikasi yang tervalidasi berpindah antar domain hanya dalam satu arah—yang memungkinkan akun di domain perusahaan Anda untuk melakukan autentikasi terhadap sumber daya yang dibagikan di domain terkelola. Dalam hal ini, Amazon hanya FSx berinteraksi dengan domain AWS terkelola. Dalam skenario otentikasi Kerberos, permintaan otentikasi yang berasal dari klien perusahaan divalidasi oleh domain perusahaan, yang kemudian merujuknya ke AWS Managed Microsoft AD, dan akhirnya klien menyajikan tiket layanannya ke sistem file Windows File Server Anda FSx untuk Windows. Untuk informasi lebih lanjut tentang kepercayaan, lihat posting Segala sesuatu yang ingin Anda ketahui tentang kepercayaan AWS Managed Microsoft AD di Blog AWS Keamanan.

Menguji konfigurasi Direktori Aktif Anda

Sebelum membuat sistem FSx file Amazon, kami sarankan Anda memvalidasi konektivitas ke pengontrol domain Active Directory menggunakan alat Validasi FSx Jaringan Amazon. Untuk informasi selengkapnya, lihat Memvalidasi konektivitas ke pengontrol domain Direktori Aktif Anda.

Sumber daya terkait berikut dapat membantu Anda saat Anda menggunakan AWS Directory Service for Microsoft Active Directory FSx untuk Windows File Server: