Konfigurasikan nama utama layanan (SPNs) untuk Kerberos

Kami menyarankan Anda menggunakan otentikasi dan enkripsi berbasis Kerberos dalam perjalanan dengan Amazon. FSx Kerberos menyediakan autentikasi paling aman untuk klien yang mengakses sistem file Anda.

Untuk mengaktifkan otentikasi Kerberos untuk klien yang mengakses Amazon FSx menggunakan DNS alias, Anda harus menambahkan nama utama layanan (SPNs) yang sesuai dengan DNS alias pada objek komputer Active Directory sistem file FSx Amazon Anda. An hanya SPN dapat dikaitkan dengan objek komputer Active Directory tunggal pada satu waktu. Jika Anda memiliki DNS nama yang SPNs dikonfigurasi untuk objek komputer Active Directory sistem file asli Anda, Anda harus menghapusnya terlebih dahulu.

Ada dua yang diperlukan SPNs untuk otentikasi Kerberos:


HOST/alias
HOST/alias.domain

Jika aliasnyafinance.domain.com, berikut ini adalah dua yang diperlukanSPNs:


HOST/finance
HOST/finance.domain.com

catatan

Anda harus menghapus apa pun HOST SPNs yang ada yang sesuai dengan DNS alias pada objek komputer Active Directory sebelum Anda membuat baru HOST SPNs untuk objek komputer Active Directory (AD) sistem FSx file Amazon Anda. Upaya SPNs untuk mengatur untuk sistem FSx file Amazon Anda akan gagal jika DNS alias SPN untuk ada di AD.

Prosedur berikut menjelaskan cara melakukan hal berikut:

Temukan DNS alias yang ada SPNs pada objek komputer Active Directory sistem file asli.
Hapus yang ada SPNs ditemukan, jika ada.
Buat DNS alias baru SPNs untuk objek komputer Active Directory sistem FSx file Amazon Anda.

Untuk menginstal modul PowerShell Active Directory yang diperlukan

Masuk ke instance Windows yang bergabung dengan Active Directory tempat sistem FSx file Amazon Anda bergabung.
Buka PowerShell sebagai administrator.
Instal modul PowerShell Active Directory menggunakan perintah berikut.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Untuk menemukan dan menghapus DNS alias yang ada SPNs pada objek komputer Active Directory sistem file asli

Jika Anda telah SPNs mengonfigurasi DNS alias yang telah ditetapkan ke sistem file lain pada objek komputer di Active Directory, Anda harus terlebih dahulu menghapusnya SPNs sebelum menambahkan SPNs ke objek komputer sistem file Anda.

Temukan yang ada SPNs dengan menggunakan perintah berikut. Ganti alias_fqdn dengan DNS alias yang Anda kaitkan dengan sistem file di Langkah 1.


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

Hapus yang ada HOST SPNs dikembalikan pada langkah sebelumnya dengan menggunakan contoh skrip berikut.

Ganti alias_fqdn dengan DNS alias lengkap yang Anda kaitkan dengan sistem file di Langkah 1.
Ganti file_system_DNS_name dengan DNS nama sistem file asli.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Ulangi langkah sebelumnya untuk setiap DNS alias yang Anda kaitkan dengan sistem file di Langkah 1.

Untuk mengatur SPNs objek komputer Active Directory sistem FSx file Amazon Anda

Tetapkan baru SPNs untuk sistem FSx file Amazon Anda dengan menjalankan perintah berikut.
- Ganti file_system_DNS_name dengan DNS nama yang FSx ditetapkan Amazon ke sistem file.
  
  Untuk menemukan DNS nama sistem file Anda di FSx konsol Amazon, pilih Sistem file, pilih sistem file Anda, lalu pilih panel Jaringan & keamanan di halaman detail sistem file.
  
  Anda juga bisa mendapatkan DNS nama dalam respons DescribeFileSystemsAPIoperasi.
- Ganti alias_fqdn dengan DNS alias lengkap yang Anda kaitkan dengan sistem file di Langkah 1.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use one of the following commands, not both:
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
##Or
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
catatan
Menyetel SPN untuk sistem FSx file Amazon Anda akan gagal jika DNS alias SPN untuk ada di AD untuk objek komputer sistem file asli. Untuk informasi tentang menemukan dan menghapus yang adaSPNs, lihatUntuk menemukan dan menghapus DNS alias yang ada SPNs pada objek komputer Active Directory sistem file asli.
Verifikasi bahwa SPNs yang baru dikonfigurasi untuk DNS alias menggunakan contoh skrip berikut. Pastikan bahwa respons mencakup dua HOSTSPNs, HOST/alias danHOST/alias_fqdn, seperti yang dijelaskan sebelumnya dalam prosedur ini.

Ganti file_system_DNS_name dengan DNS nama yang FSx ditetapkan Amazon ke sistem file Anda. Untuk menemukan DNS nama sistem file Anda di FSx konsol Amazon, pilih Sistem file, pilih sistem file Anda, lalu pilih panel Jaringan & keamanan di halaman detail sistem file.

Anda juga bisa mendapatkan DNS nama dalam respons DescribeFileSystemsAPIoperasi.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Ulangi langkah sebelumnya untuk setiap DNS alias yang Anda kaitkan dengan sistem file di Langkah 1.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kaitkan DNS alias dengan sistem file Anda

Perbarui atau buat DNS CNAME catatan