Unire un FSx file system Amazon a un dominio Microsoft Active Directory autogestito - File server Amazon FSx per Windows

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unire un FSx file system Amazon a un dominio Microsoft Active Directory autogestito

Quando crei un nuovo file system FSx per Windows File Server, puoi configurare l'integrazione con Microsoft Active Directory in modo che venga aggiunto al tuo dominio Microsoft Active Directory autogestito. A tale scopo, fornisci le seguenti informazioni per Microsoft Active Directory:

  • Il nome di dominio completo (FQDN) della directory Microsoft Active Directory locale.

    Nota

    Amazon FSx attualmente non supporta i domini Single Label Domain (SLD).

  • Gli indirizzi IP dei DNS server del tuo dominio.

  • Credenziali per un account di servizio nel dominio Microsoft Active Directory locale. Amazon FSx utilizza queste credenziali per accedere alla tua Active Directory autogestita.

È anche possibile specificare:

  • Un'unità organizzativa (OU) specifica all'interno del dominio a cui desideri che il tuo FSx file system Amazon si unisca.

  • Il nome del gruppo di dominio ai cui membri sono concessi i privilegi amministrativi per il FSx file system Amazon.

    Nota

    Il nome del gruppo di dominio fornito deve essere univoco in Active Directory. FSxper Windows File Server non creerà il gruppo di dominio nelle seguenti circostanze:

    • Se esiste già un gruppo con il nome specificato

    • Se non specifichi un nome e un gruppo denominato «Domain Admins» esiste già in Active Directory.

Dopo aver specificato queste informazioni, Amazon FSx aggiunge il tuo nuovo file system al tuo dominio Active Directory autogestito utilizzando l'account di servizio che hai fornito.

Importante

Amazon registra i DNS record per un file system FSx solo se il dominio Active Directory a cui ti stai unendo utilizza Microsoft DNS come impostazione predefinitaDNS. Se utilizzi una terza parteDNS, dovrai configurare manualmente le DNS voci per i tuoi FSx file system Amazon dopo aver creato il file system. Per ulteriori informazioni sulla scelta degli indirizzi IP corretti da utilizzare per il file system, consultaOttenere gli indirizzi IP corretti del file system da utilizzare per le immissioni manuali DNS.

Prima di iniziare

Assicurati di aver completato i Prerequisiti dettagli inUtilizzo di un Microsoft Active Directory autogestito.

  1. Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/.

  2. Nel pannello di controllo, scegli Crea file system per avviare la procedura guidata di creazione del file system.

  3. Scegli FSxWindows File Server, quindi scegli Avanti. Viene visualizzata la pagina Crea file system.

  4. Fornisci un nome per il tuo file system. È possibile utilizzare un massimo di 256 lettere Unicode, spazi bianchi e numeri, oltre ai caratteri speciali + - =. _:/

  5. Per Capacità di archiviazione, immettere la capacità di archiviazione del file system, in GiB. Se utilizzi SSD lo storage, inserisci un numero intero compreso tra 32 e 65.536. Se utilizzi lo spazio di HDD archiviazione, inserisci un numero intero compreso tra 2.000 e 65.536. È possibile aumentare la capacità di archiviazione in base alle esigenze in qualsiasi momento dopo la creazione del file system. Per ulteriori informazioni, consulta Gestione della capacità di storage.

  6. Mantieni Capacità di velocità effettiva sul valore di default. La capacità di throughput è la velocità sostenuta alla quale il file server che ospita il file system può fornire i dati. L'impostazione della capacità di throughput consigliata si basa sulla quantità di capacità di archiviazione scelta. Se hai bisogno di una capacità di throughput superiore a quella consigliata, scegli Specificare la capacità di throughput, quindi scegli un valore. Per ulteriori informazioni, consulta FSxper le prestazioni di Windows File Server.

    È possibile modificare la capacità di throughput in base alle esigenze in qualsiasi momento dopo aver creato il file system. Per ulteriori informazioni, consulta Gestione della capacità di throughput sui FSx file system Windows File Server.

  7. Scegliete VPC quello che desiderate associare al vostro file system. Ai fini di questo esercizio introduttivo, scegli la VPC stessa procedura per la tua AWS Directory Service directory e l'EC2istanza Amazon.

  8. Scegli un valore qualsiasi per le zone di disponibilità e la sottorete.

  9. Per VPCi gruppi di sicurezza, il gruppo di sicurezza predefinito per Amazon predefinito VPC è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la VPC rete ACLs per le sottoreti in cui stai creando il FSx file system consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.

    FSxper i requisiti di configurazione delle porte di Windows File Server per i gruppi VPC di sicurezza e la rete ACLs per le sottoreti in cui viene creato il file system.

    Nella tabella seguente è indicato il ruolo di ciascuna porta.

    Protocollo

    Porte

    Ruolo

    TCP/UDP

    53

    Sistema dei nomi di dominio () DNS

    TCP/UDP

    88

    Autenticazione Kerberos

    TCP/UDP

    464

    Modifica/reimpostazione della password

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)

    UDP 123

    Network Time Protocol (NTP)

    TCP 135

    Ambiente di calcolo distribuito/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Condivisione di SMB file con Directory Services

    TCP

    636

    Lightweight Directory Access Protocol suTLS/SSL(LDAPS)

    TCP

    3268

    Catalogo globale Microsoft

    TCP

    3269

    Microsoft Global Catalog oltre SSL

    TCP

    5985

    WinRM 2.0 (gestione remota di Microsoft Windows)

    TCP

    9389

    Servizi Web Microsoft Active Directory DS, PowerShell

    TCP

    49152 - 65535

    Porte temporanee per RPC

    Importante

    L'autorizzazione del traffico in uscita sulla TCP porta 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.

    Nota

    Se utilizzi la VPC reteACLs, devi consentire anche il traffico in uscita sulle porte dinamiche (49152-65535) dal tuo file system. FSx

    • Regole in uscita per consentire tutto il traffico verso gli indirizzi IP associati ai DNS server e ai controller di dominio per il dominio Microsoft Active Directory autogestito. Per ulteriori informazioni, consulta la documentazione Microsoft sulla configurazione del firewall per la comunicazione con Active Directory.

    • Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio, DNS server, FSx client e amministratori di Active Directory. FSx

    Nota

    Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC tuo FSx file system Amazon siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti del tuo VPC e le sottoreti degli altri siti. Puoi visualizzare e modificare queste impostazioni utilizzando lo snap-in Siti e servizi di Active Directory. MMC

    Importante

    Sebbene i gruppi VPC di sicurezza di Amazon richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall e della VPC rete Windows ACLs richiede che le porte siano aperte in entrambe le direzioni.

  10. Per l'autenticazione Windows, scegli Microsoft Active Directory autogestito.

  11. Immettere un valore per Nome di dominio completo per la directory Microsoft Active Directory autogestita.

    Nota

    Il nome di dominio non deve essere nel formato Single Label Domain (SLD). Amazon FSx attualmente non supporta i SLD domini.

    Importante

    Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio Active Directory non può superare i 47 caratteri.

  12. Immettere un valore per Unità organizzativa per la directory Microsoft Active Directory autogestita.

    Nota

    Assicurati che l'account di servizio fornito disponga delle autorizzazioni delegate all'unità organizzativa specificata qui o all'unità organizzativa predefinita se non ne specifichi una.

  13. Immettere almeno uno e non più di due valori per gli indirizzi IP DNS del server per la directory Microsoft Active Directory autogestita.

  14. Immetti un valore di stringa per il nome utente dell'account di servizio per l'account sul tuo dominio Active Directory autogestito, ad esempio. ServiceAcct Amazon FSx utilizza questo nome utente per iscriversi al tuo dominio Microsoft Active Directory.

    Importante

    Quando inserisci il nome utente dell'account di servizio, NOT includi un prefisso di dominio (corp.com\ServiceAcctServiceAcct@corp.com) o un suffisso di dominio ().

    NOTUtilizza il Distinguished Name (DN) quando inserisci il nome utente dell'account di servizio (CN=ServiceAcct,OU=example,DC=corp,DC=com).

  15. Inserisci un valore per la password dell'account di servizio per l'account del tuo dominio Active Directory autogestito. Amazon FSx utilizza questa password per accedere al tuo dominio Microsoft Active Directory.

  16. Inserisci nuovamente la password per confermarla in Conferma password.

  17. Per il gruppo di amministratori di file system delegati, specifica il Domain Admins gruppo o un gruppo di amministratori di file system delegati personalizzato (se ne hai creato uno). Il gruppo specificato deve avere l'autorità delegata per eseguire attività amministrative sul file system. Se non fornisci un valore, Amazon FSx utilizza il Domain Admins gruppo Builtin. Tieni presente che Amazon FSx non supporta la presenza di un contenitore Delegated file system administrators group (il Domain Admins gruppo o un gruppo personalizzato specificato) che si trova nel contenitore Builtin.

    Importante

    Se non fornisci un gruppo di amministratori di file system delegati, per impostazione predefinita Amazon FSx tenta di utilizzare il Domain Admins gruppo Builtin nel tuo dominio Active Directory. Se il nome di questo gruppo Builtin è stato modificato o se utilizzi un gruppo diverso per l'amministrazione del dominio, devi fornire quel nome per il gruppo qui.

    Importante

    NOTIncludete un prefisso di dominio (corp.com\FSxAdmins) o un suffisso di dominio (FSxAdmins@corp .com) quando fornite il parametro del nome del gruppo.

    NOTUtilizzate il Distinguished Name (DN) per il gruppo. Un esempio di nome distinto è CN=FSxAdmins, OU=example, DC=corp, DC=com.

L'esempio seguente crea un file system FSx per Windows File Server con una SelfManagedActiveDirectoryConfiguration nella zona di us-east-2 disponibilità.

aws fsx --region us-east-2 \ create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --security-group-ids security-group-id \ --subnet-ids subnet-id\ --windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \ OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \ UserName="FSxService",Password="password", \ DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Importante

Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.