Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti per aggiungere una SVM a un Microsoft AD autogestito
Prima di aggiungere un SVM FSx for ONTAP a un dominio Microsoft AD autogestito, assicurati che Active Directory e la rete soddisfino i requisiti descritti nelle sezioni seguenti.
Argomenti
Requisiti di Active Directory locale
Assicurati di disporre già di un Microsoft AD locale o di un altro Microsoft AD autogestito a cui puoi unirti alla SVM. Questo Active Directory dovrebbe avere la seguente configurazione:
-
Il livello di funzionalità del dominio del controller di dominio Active Directory è Windows Server 2000 o superiore.
-
Active Directory utilizza un nome di dominio che non è in formato SLD (Single Label Domain). Amazon FSx non supporta i domini SLD.
-
Se hai definito siti Active Directory, assicurati che le sottoreti nel VPC associato al file system FSx for ONTAP siano definite negli stessi siti di Active Directory e che non esistano conflitti tra le sottoreti VPC e le sottoreti sui siti Active Directory.
Nota
Se si utilizza AWS Directory Service, FSx for ONTAP non supporta l'aggiunta di SVM a Simple Active Directory.
Requisiti relativi alla configurazione della rete
Assicuratevi di disporre delle seguenti configurazioni di rete e di disporre delle informazioni associate.
Importante
Affinché una SVM si unisca ad Active Directory, è necessario assicurarsi che le porte documentate in questo argomento consentano il traffico tra tutti i controller di dominio Active Directory e entrambi gli indirizzi IP iSCSI (interfacce logiche iscsi_1 e iscsi_2) sulla SVM.
-
Gli indirizzi IP del server DNS e del controller di dominio Active Directory.
-
Connettività tra Amazon VPC in cui stai creando il file system e il tuo Active Directory autogestito utilizzando AWS Direct Connect
, AWS VPN o. AWS Transit Gateway -
Il gruppo di sicurezza e gli ACL di rete VPC per le sottoreti su cui si sta creando il file system devono consentire il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
Il ruolo di ciascuna porta è descritto nella tabella seguente.
Protocollo
Porte
Ruolo
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Autenticazione Kerberos
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
TCP
445
Condivisione di file SMB di Servizi directory
TCP/UDP
464
Modifica/reimpostazione della password
TCP
636
Lightweight Directory Access Protocol su TLS/SSL (LDAPS)
-
Queste regole del traffico devono inoltre essere rispecchiate sui firewall che si applicano a ciascuno dei controller di dominio Active Directory, server DNS, client FSx e amministratori FSx.
Importante
Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e degli ACL di rete VPC richiedono che le porte siano aperte in entrambe le direzioni.
Requisiti degli account di servizio Active Directory
Assicurati di disporre di un account di servizio nel tuo account Microsoft AD autogestito con autorizzazioni delegate per aggiungere computer al dominio. Un account di servizio è un account utente di Active Directory autogestito a cui sono state delegate determinate attività.
All'account di servizio devono essere delegate almeno le seguenti autorizzazioni nell'unità organizzativa a cui si accede alla SVM:
-
Possibilità di reimpostare le password
-
Possibilità di impedire agli account di leggere e scrivere dati
-
Possibilità di impostare la
msDS-SupportedEncryptionTypesproprietà sugli oggetti del computer -
Capacità convalidata di scrittura sull'hostname DNS
-
Capacità convalidata di scrivere sul nome principale del servizio
-
Capacità di creare ed eliminare oggetti informatici
-
Capacità convalidata di leggere e scrivere le restrizioni relative all'account
Queste rappresentano il set minimo di autorizzazioni necessarie per unire gli oggetti del computer ad Active Directory. Per ulteriori informazioni, consulta l'argomento della documentazione di Windows Server Errore: accesso negato quando utenti non amministratori a cui è stato delegato il controllo tentano di aggiungere computer a un controller di
Per ulteriori informazioni sulla creazione di un account di servizio con le autorizzazioni corrette, consulta. Delega delle autorizzazioni al tuo account di servizio Amazon FSx
Importante
Amazon FSx richiede un account di servizio valido per tutta la durata del file system Amazon FSx. Amazon FSx deve essere in grado di gestire completamente il file system ed eseguire attività che richiedono l'annullamento e il ricongiungimento delle risorse al tuo dominio Active Directory. Queste attività includono la sostituzione di un file system o SVM guasto o l'applicazione di patch al software ONTAP. NetApp Mantieni aggiornate le informazioni di configurazione di Active Directory con Amazon FSx, incluse le credenziali dell'account di servizio. Per ulteriori informazioni, vedi Mantenere aggiornata la configurazione di Active Directory con Amazon FSx.
Se è la prima volta che utilizzate AWS FSx for ONTAP, assicuratevi di completare i passaggi di configurazione iniziali prima di iniziare l'integrazione con Active Directory. Per ulteriori informazioni, consulta Configurazione di FSx per ONTAP.
Importante
Non spostare oggetti informatici creati da Amazon FSx nell'unità organizzativa dopo la creazione delle SVM o eliminare Active Directory mentre la SVM è unita ad essa. In questo modo le tue SVM potrebbero essere configurate in modo errato.
