Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti per aderire SVM a un Microsoft AD autogestito
Prima di aggiungere un FSx nome ONTAP SVM a un dominio Microsoft AD autogestito, assicurati che Active Directory e la rete soddisfino i requisiti descritti nelle sezioni seguenti.
Argomenti
Requisiti di Active Directory locale
Assicurati di disporre già di un Microsoft AD locale o di un altro Microsoft AD autogestito a cui puoi partecipare. SVM Questo Active Directory dovrebbe avere la seguente configurazione:
-
Il livello di funzionalità del dominio del controller di dominio Active Directory è Windows Server 2000 o superiore.
-
Active Directory utilizza un nome di dominio che non è nel formato Single Label Domain (SLD). Amazon FSx non supporta i SLD domini.
-
Se hai definito siti Active Directory, assicurati che le sottoreti del ONTAP file system FSx for siano definite negli stessi siti di Active Directory e che non esistano conflitti tra le sottoreti e le VPC sottoreti dei siti Active Directory. VPC
Nota
Se utilizzi AWS Directory Service, FSx for ONTAP non supporta l'accesso a Simple Active Directory. SVMs
Requisiti relativi alla configurazione della rete
Assicurati di disporre delle seguenti configurazioni di rete e delle informazioni associate disponibili.
Importante
Per accedere SVM ad Active Directory, è necessario assicurarsi che le porte documentate in questo argomento consentano il traffico tra tutti i controller di dominio Active Directory e entrambi gli indirizzi SCSI IP (interfacce logiche iscsi_1 e iscsi_2 ()) presenti su. LIFs SVM
-
Gli DNS indirizzi IP del server e del controller di dominio Active Directory.
-
Connettività tra Amazon VPC in cui stai creando il file system e il tuo Active Directory autogestito utilizzando AWS Direct ConnectAWS VPN
, o AWS Transit Gateway . -
Il gruppo di sicurezza e la VPC rete ACLs per le sottoreti su cui stai creando il file system devono consentire il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
Il ruolo di ciascuna porta è descritto nella tabella seguente.
Protocollo
Porte
Ruolo
TCP/UDP
53
Sistema dei nomi di dominio (DNS)
TCP/UDP
88
Autenticazione Kerberos
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
TCP
445
Condivisione di SMB file con Directory Services
TCP/UDP
464
Modifica/reimpostazione della password
TCP
636
Lightweight Directory Access Protocol suTLS/SSL(LDAPS)
-
Queste regole del traffico devono inoltre essere rispecchiate nei firewall che si applicano a ciascuno dei controller di dominio, DNS server, FSx client e amministratori di Active Directory. FSx
Importante
Sebbene i gruppi VPC di sicurezza di Amazon richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall e della VPC rete Windows ACLs richiede che le porte siano aperte in entrambe le direzioni.
Requisiti degli account del servizio Active Directory
Assicurati di disporre di un account di servizio nel tuo account Microsoft AD autogestito con autorizzazioni delegate per aggiungere computer al dominio. Un account di servizio è un account utente di Active Directory autogestito a cui sono state delegate determinate attività.
All'account di servizio devono essere delegate almeno le seguenti autorizzazioni nell'unità organizzativa a cui si sta aderendo: SVM
-
Possibilità di reimpostare le password
-
Possibilità di impedire agli account di leggere e scrivere dati
-
Possibilità di impostare la
msDS-SupportedEncryptionTypesproprietà sugli oggetti del computer -
Capacità convalidata di scrittura sul nome host DNS
-
Capacità convalidata di scrivere sul nome principale del servizio
-
Capacità di creare ed eliminare oggetti informatici
-
Capacità convalidata di leggere e scrivere le restrizioni relative all'account
Queste rappresentano il set minimo di autorizzazioni necessarie per unire gli oggetti del computer ad Active Directory. Per ulteriori informazioni, consulta l'argomento della documentazione di Windows Server Errore: accesso negato quando utenti non amministratori a cui è stato delegato il controllo tentano di aggiungere computer a un controller di
Per ulteriori informazioni sulla creazione di un account di servizio con le autorizzazioni corrette, consulta. Delega delle autorizzazioni al tuo account di servizio Amazon FSx
Importante
Amazon FSx richiede un account di servizio valido per tutta la durata del FSx file system Amazon. Amazon FSx deve essere in grado di gestire completamente il file system ed eseguire attività che richiedono l'annullamento e il ricongiungimento delle risorse al tuo dominio Active Directory. Queste attività includono la sostituzione di un file system guasto o SVM l'applicazione di patch NetApp ONTAP al software. Mantieni aggiornate le informazioni di configurazione di Active Directory con AmazonFSx, incluse le credenziali dell'account di servizio. Per ulteriori informazioni, consulta Mantenere aggiornata la configurazione di Active Directory con Amazon FSx.
Se è la prima volta che utilizzi AWS Active DirectoryONTAP, assicurati di completare i passaggi di configurazione iniziali prima di iniziare l'integrazione con Active Directory. FSx Per ulteriori informazioni, consulta Configurazione FSx per ONTAP.
Importante
Non spostare oggetti informatici creati da Amazon FSx nell'unità organizzativa dopo la SVMs creazione, né eliminare Active Directory mentre si SVM è collegati ad essa. In questo modo potresti non SVMs essere configurato correttamente.
