Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Unire un FSx file system Amazon a un dominio Microsoft Active Directory autogestito
Quando crei un nuovo file system FSx per Windows File Server, puoi configurare l'integrazione con Microsoft Active Directory in modo che venga aggiunto al tuo dominio Microsoft Active Directory autogestito. A tale scopo, fornisci le seguenti informazioni per Microsoft Active Directory:
-
Il nome di dominio completo (FQDN) della directory Microsoft Active Directory locale.
Nota
Amazon FSx attualmente non supporta i domini Single Label Domain (SLD).
-
Gli indirizzi IP dei DNS server del tuo dominio.
-
Credenziali per un account di servizio nel dominio Microsoft Active Directory locale. Amazon FSx utilizza queste credenziali per accedere alla tua Active Directory autogestita.
È anche possibile specificare:
-
Un'unità organizzativa (OU) specifica all'interno del dominio a cui desideri che il tuo FSx file system Amazon si unisca.
-
Il nome del gruppo di dominio ai cui membri sono concessi i privilegi amministrativi per il FSx file system Amazon.
Nota
Il nome del gruppo di dominio fornito deve essere univoco in Active Directory. FSxper Windows File Server non creerà il gruppo di dominio nelle seguenti circostanze:
Se esiste già un gruppo con il nome specificato
Se non specifichi un nome e un gruppo denominato «Domain Admins» esiste già in Active Directory.
Dopo aver specificato queste informazioni, Amazon FSx aggiunge il tuo nuovo file system al tuo dominio Active Directory autogestito utilizzando l'account di servizio che hai fornito.
Importante
Amazon registra i DNS record per un file system FSx solo se il dominio Active Directory a cui ti stai unendo utilizza Microsoft DNS come impostazione predefinitaDNS. Se utilizzi una terza parteDNS, dovrai configurare manualmente le DNS voci per i tuoi FSx file system Amazon dopo aver creato il file system. Per ulteriori informazioni sulla scelta degli indirizzi IP corretti da utilizzare per il file system, consultaOttenere gli indirizzi IP corretti del file system da utilizzare per le immissioni manuali DNS.
Prima di iniziare
Assicurati di aver completato i Prerequisiti dettagli inUtilizzo di un Microsoft Active Directory autogestito.
-
Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/
. -
Nel pannello di controllo, scegli Crea file system per avviare la procedura guidata di creazione del file system.
Scegli FSxWindows File Server, quindi scegli Avanti. Viene visualizzata la pagina Crea file system.
-
Fornisci un nome per il tuo file system. È possibile utilizzare un massimo di 256 lettere Unicode, spazi bianchi e numeri, oltre ai caratteri speciali + - =. _:/
-
Per Capacità di archiviazione, immettere la capacità di archiviazione del file system, in GiB. Se utilizzi SSD lo storage, inserisci un numero intero compreso tra 32 e 65.536. Se utilizzi lo spazio di HDD archiviazione, inserisci un numero intero compreso tra 2.000 e 65.536. È possibile aumentare la capacità di archiviazione in base alle esigenze in qualsiasi momento dopo la creazione del file system. Per ulteriori informazioni, consulta Gestione della capacità di storage.
-
Mantieni Capacità di velocità effettiva sul valore di default. La capacità di throughput è la velocità sostenuta alla quale il file server che ospita il file system può fornire i dati. L'impostazione della capacità di throughput consigliata si basa sulla quantità di capacità di archiviazione scelta. Se hai bisogno di una capacità di throughput superiore a quella consigliata, scegli Specificare la capacità di throughput, quindi scegli un valore. Per ulteriori informazioni, consulta FSxper le prestazioni di Windows File Server.
È possibile modificare la capacità di throughput in base alle esigenze in qualsiasi momento dopo aver creato il file system. Per ulteriori informazioni, consulta Gestione della capacità di throughput sui FSx file system Windows File Server.
-
Scegliete VPC quello che desiderate associare al vostro file system. Ai fini di questo esercizio introduttivo, scegli la VPC stessa procedura per la tua AWS Directory Service directory e l'EC2istanza Amazon.
-
Scegli un valore qualsiasi per le zone di disponibilità e la sottorete.
-
Per VPCi gruppi di sicurezza, il gruppo di sicurezza predefinito per Amazon predefinito VPC è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la VPC rete ACLs per le sottoreti in cui stai creando il FSx file system consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
Nella tabella seguente è indicato il ruolo di ciascuna porta.
Protocollo
Porte
Ruolo
TCP/UDP
53
Sistema dei nomi di dominio () DNS
TCP/UDP
88
Autenticazione Kerberos
TCP/UDP
464
Modifica/reimpostazione della password
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 Ambiente di calcolo distribuito/End Point Mapper (DCE/EPMAP)
TCP
445
Condivisione di SMB file con Directory Services
TCP
636
Lightweight Directory Access Protocol suTLS/SSL(LDAPS)
TCP
3268
Catalogo globale Microsoft
TCP
3269
Microsoft Global Catalog oltre SSL
TCP
5985
WinRM 2.0 (gestione remota di Microsoft Windows)
TCP
9389
Servizi Web Microsoft Active Directory DS, PowerShell
TCP
49152 - 65535
Porte temporanee per RPC
Importante
L'autorizzazione del traffico in uscita sulla TCP porta 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.
Nota
Se utilizzi la VPC reteACLs, devi consentire anche il traffico in uscita sulle porte dinamiche (49152-65535) dal tuo file system. FSx
-
Regole in uscita per consentire tutto il traffico verso gli indirizzi IP associati ai DNS server e ai controller di dominio per il dominio Microsoft Active Directory autogestito. Per ulteriori informazioni, consulta la documentazione Microsoft sulla configurazione del firewall per la comunicazione con Active
Directory. -
Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio, DNS server, FSx client e amministratori di Active Directory. FSx
Nota
Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC tuo FSx file system Amazon siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti del tuo VPC e le sottoreti degli altri siti. Puoi visualizzare e modificare queste impostazioni utilizzando lo snap-in Siti e servizi di Active Directory. MMC
Importante
Sebbene i gruppi VPC di sicurezza di Amazon richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall e della VPC rete Windows ACLs richiede che le porte siano aperte in entrambe le direzioni.
-
-
Per l'autenticazione Windows, scegli Microsoft Active Directory autogestito.
-
Immettere un valore per Nome di dominio completo per la directory Microsoft Active Directory autogestita.
Nota
Il nome di dominio non deve essere nel formato Single Label Domain (SLD). Amazon FSx attualmente non supporta i SLD domini.
Importante
Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio Active Directory non può superare i 47 caratteri.
-
Immettere un valore per Unità organizzativa per la directory Microsoft Active Directory autogestita.
Nota
Assicurati che l'account di servizio fornito disponga delle autorizzazioni delegate all'unità organizzativa specificata qui o all'unità organizzativa predefinita se non ne specifichi una.
-
Immettere almeno uno e non più di due valori per gli indirizzi IP DNS del server per la directory Microsoft Active Directory autogestita.
-
Immetti un valore di stringa per il nome utente dell'account di servizio per l'account sul tuo dominio Active Directory autogestito, ad esempio.
ServiceAcct
Amazon FSx utilizza questo nome utente per iscriversi al tuo dominio Microsoft Active Directory.Importante
Quando inserisci il nome utente dell'account di servizio, NOT includi un prefisso di dominio (
corp.com\ServiceAcct
ServiceAcct@corp.com
) o un suffisso di dominio ().NOTUtilizza il Distinguished Name (DN) quando inserisci il nome utente dell'account di servizio (
CN=ServiceAcct,OU=example,DC=corp,DC=com
). -
Inserisci un valore per la password dell'account di servizio per l'account del tuo dominio Active Directory autogestito. Amazon FSx utilizza questa password per accedere al tuo dominio Microsoft Active Directory.
-
Inserisci nuovamente la password per confermarla in Conferma password.
-
Per il gruppo di amministratori di file system delegati, specifica il
Domain Admins
gruppo o un gruppo di amministratori di file system delegati personalizzato (se ne hai creato uno). Il gruppo specificato deve avere l'autorità delegata per eseguire attività amministrative sul file system. Se non fornisci un valore, Amazon FSx utilizza ilDomain Admins
gruppo Builtin. Tieni presente che Amazon FSx non supporta la presenza di un contenitoreDelegated file system administrators group
(ilDomain Admins
gruppo o un gruppo personalizzato specificato) che si trova nel contenitore Builtin.Importante
Se non fornisci un gruppo di amministratori di file system delegati, per impostazione predefinita Amazon FSx tenta di utilizzare il
Domain Admins
gruppo Builtin nel tuo dominio Active Directory. Se il nome di questo gruppo Builtin è stato modificato o se utilizzi un gruppo diverso per l'amministrazione del dominio, devi fornire quel nome per il gruppo qui.Importante
NOTIncludete un prefisso di dominio (corp.com\FSxAdmins) o un suffisso di dominio (FSxAdmins@corp .com) quando fornite il parametro del nome del gruppo.
NOTUtilizzate il Distinguished Name (DN) per il gruppo. Un esempio di nome distinto è CN=FSxAdmins, OU=example, DC=corp, DC=com.
L'esempio seguente crea un file system FSx per Windows File Server con una SelfManagedActiveDirectoryConfiguration
nella zona di us-east-2
disponibilità.
aws fsx --region us-east-2 \ create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --security-group-ids
security-group-id
\ --subnet-idssubnet-id
\ --windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \ OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \ UserName="FSxService
",Password="password
", \ DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Importante
Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.