Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan Amazon FSx dengan AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) menyediakan direktori Active Directory aktual yang dikelola sepenuhnya, sangat tersedia di cloud. Anda dapat menggunakan direktori Active Directory ini dalam penerapan beban kerja Anda.
Jika organisasi Anda menggunakan AWS Managed Microsoft AD untuk mengelola identitas dan perangkat, sebaiknya Anda mengintegrasikan sistem FSx file Amazon Anda. AWS Managed Microsoft AD Dengan melakukan ini, Anda mendapatkan solusi turnkey menggunakan Amazon FSx dengan AWS Managed Microsoft AD. AWS menangani penyebaran, operasi, ketersediaan tinggi, keandalan, keamanan, dan integrasi yang mulus dari kedua layanan, memungkinkan Anda untuk fokus pada pengoperasian beban kerja Anda sendiri secara efektif.
Untuk menggunakan Amazon FSx dengan AWS Managed Microsoft AD pengaturan Anda, Anda dapat menggunakan FSx konsol Amazon. Saat Anda membuat sistem file Server File Windows baru FSx di konsol, pilih Direktori Aktif AWS Terkelola di bawah bagian Otentikasi Windows. Anda juga memilih direktori khusus yang ingin Anda gunakan. Untuk informasi selengkapnya, lihat Langkah 1. Buat sistem file Anda.
Organisasi Anda mungkin mengelola identitas dan perangkat di domain Direktori Aktif yang dikelola sendiri (on-premise atau di cloud). Jika demikian, Anda dapat bergabung dengan sistem FSx file Amazon langsung ke domain Active Directory yang sudah ada dan dikelola sendiri. Untuk informasi selengkapnya, lihat Menggunakan Microsoft Active Directory yang dikelola sendiri.
Selain itu, Anda juga dapat mengatur sistem Anda untuk mendapatkan manfaat dari model isolasi forest sumber daya. Dalam model ini, Anda mengisolasi sumber daya Anda, termasuk sistem FSx file Amazon Anda, ke dalam hutan Direktori Aktif terpisah dari tempat pengguna Anda berada.
penting
Untuk Single-AZ 2 dan semua sistem file Multi-AZ, nama domain Direktori Aktif tidak boleh melebihi 47 karakter.
Prasyarat jaringan
Sebelum Anda membuat FSx sistem file Windows File Server yang bergabung dengan domain AWS Microsoft Managed Active Directory, pastikan Anda telah membuat dan menyiapkan konfigurasi jaringan berikut:
-
Untuk grup VPC keamanan, grup keamanan default untuk Amazon default Anda VPC sudah ditambahkan ke sistem file Anda di konsol. Harap pastikan bahwa grup keamanan dan VPC Jaringan ACLs untuk subnet tempat Anda membuat sistem FSx file memungkinkan lalu lintas di port dan petunjuk yang ditunjukkan pada diagram berikut.
Tabel berikut mengidentifikasi peran masing-masing port.
Protokol
Port
Peran
TCP/UDP
53
Sistem Nama Domain (DNS)
TCP/UDP
88
Autentikasi Kerberos
TCP/UDP
464
Ubah/Atur kata sandi
TCP/UDP
389
Protokol Akses Direktori Ringan (LDAP)
UDP 123 Protokol Waktu Jaringan (NTP)
TCP 135 Lingkungan Komputasi Terdistribusi/End Point Mapper (DCE/EPMAP)
TCP
445
Berbagi SMB file Directory Services
TCP
636
Protokol Akses Direktori Ringan di atasTLS/SSL(LDAPS)
TCP
3268
Katalog Global Microsoft
TCP
3269
Katalog Global Microsoft berakhir SSL
TCP
5985
WinRM 2.0 (Pengelolaan Jarak Jauh Microsoft Windows)
TCP
9389
Layanan Web Microsoft AD DS, PowerShell
TCP
49152 - 65535
Port fana untuk RPC
penting
Mengizinkan lalu lintas keluar pada TCP port 9389 diperlukan untuk penyebaran sistem file Single-AZ 2 dan semua multi-AZ.
catatan
Jika Anda menggunakan VPC jaringanACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file Anda. FSx
-
Jika Anda menghubungkan sistem FSx file Amazon Anda ke Direktori Aktif Microsoft AWS Terkelola di akun VPC atau yang berbeda, pastikan konektivitas antara itu VPC dan Amazon VPC tempat Anda ingin membuat sistem file. Untuk informasi selengkapnya, lihat Menggunakan Amazon FSx dengan AWS Managed Microsoft AD di akun VPC atau yang berbeda.
penting
Sementara grup VPC keamanan Amazon mengharuskan port dibuka hanya ke arah lalu lintas jaringan dimulai, VPC jaringan ACLs memerlukan port untuk terbuka di kedua arah.
Gunakan alat Validasi FSx Jaringan Amazon untuk memvalidasi konektivitas ke pengontrol domain Direktori Aktif Anda.
Menggunakan model isolasi forest sumber daya
Anda bergabung dengan sistem file Anda ke pengaturan AWS Managed Microsoft AD . Anda kemudian membangun hubungan kepercayaan hutan satu arah antara AWS Managed Microsoft AD domain yang Anda buat dan domain Direktori Aktif yang dikelola sendiri yang ada. Untuk otentikasi Windows di AmazonFSx, Anda hanya memerlukan kepercayaan hutan arah satu arah, di mana hutan AWS terkelola mempercayai hutan domain perusahaan.
Domain perusahaan Anda berperan sebagai domain tepercaya, dan domain AWS Directory Service terkelola berperan sebagai domain yang dipercaya. Permintaan autentikasi yang tervalidasi berpindah antar domain hanya dalam satu arah—yang memungkinkan akun di domain perusahaan Anda untuk melakukan autentikasi terhadap sumber daya yang dibagikan di domain terkelola. Dalam hal ini, Amazon hanya FSx berinteraksi dengan domain AWS terkelola. Dalam skenario otentikasi Kerberos, permintaan otentikasi yang berasal dari klien perusahaan divalidasi oleh domain perusahaan, yang kemudian merujuknya ke AWS Managed Microsoft AD, dan akhirnya klien menyajikan tiket layanannya ke sistem file Windows File Server Anda FSx untuk Windows. Untuk informasi lebih lanjut tentang kepercayaan, lihat posting Segala sesuatu yang ingin Anda ketahui tentang kepercayaan AWS Managed Microsoft AD
Menguji konfigurasi Direktori Aktif Anda
Sebelum membuat sistem FSx file Amazon, kami sarankan Anda memvalidasi konektivitas ke pengontrol domain Active Directory menggunakan alat Validasi FSx Jaringan Amazon. Untuk informasi selengkapnya, lihat Memvalidasi konektivitas ke pengontrol domain Direktori Aktif Anda.
Sumber daya terkait berikut dapat membantu Anda saat Anda menggunakan AWS Directory Service for Microsoft Active Directory FSx untuk Windows File Server:
-
Apa itu AWS Directory Service dalam Panduan AWS Directory Service Administrasi
-
Buat Direktori Aktif AWS Terkelola Anda di Panduan AWS Directory Service Administrasi
-
Kapan Membuat Hubungan Kepercayaan di Panduan Administrasi AWS Directory Service