Trasferimento delle operazioni su Amazon FSx for Windows File Server - File server Amazon FSx per Windows
Preparazione per il passaggio ad Amazon FSxConfigura SPNs per l'autenticazione KerberosAggiorna i DNS CNAME record per il FSx file system Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Trasferimento delle operazioni su Amazon FSx for Windows File Server

Dopo aver migrato lo storage di file locale, la configurazione della condivisione di file e la DNS configurazione, il passaggio successivo consiste nel trasferire le operazioni ai file system Windows File Server. FSx Per eseguire il trasferimento al file system FSx per Windows File Server, effettuate le seguenti operazioni:

  • Preparatevi per il taglio.

    • Disconnettere temporaneamente SMB i client dal file system originale.

    • Esegui una sincronizzazione finale della configurazione del file e della condivisione di file.

  • Configura i nomi principali dei servizi (SPNs) per il tuo FSx file system Amazon.

  • Aggiorna DNS CNAME i record in modo che puntino al tuo FSx file system Amazon.

Le procedure per eseguire ciascuno di questi passaggi sono fornite nelle sezioni seguenti.

Preparazione per il passaggio ad Amazon FSx

Per prepararti al cutover del tuo FSx file system Amazon, devi fare quanto segue:

Configura SPNs per l'autenticazione Kerberos

Ti consigliamo di utilizzare l'autenticazione e la crittografia basate su Kerberos in transito con Amazon. FSx Kerberos fornisce l'autenticazione più sicura per i client che accedono al tuo file system. Per abilitare l'autenticazione Kerberos per i client che accedono ad Amazon FSx utilizzando un DNS alias, devi aggiungere i nomi principali del servizio (SPNs) che corrispondono all'DNSalias sull'oggetto computer Active Directory del tuo FSx file system Amazon.

Ce ne sono due necessari SPNs per l'autenticazione Kerberos.

HOST/alias
HOST/alias.domain

Ad esempio, se l'alias èfinance.domain.com, i due richiesti SPNs sono i seguenti.

HOST/finance
HOST/finance.domain.com

An SPN può essere associato solo a un singolo oggetto informatico di Active Directory alla volta. Se esistono oggetti SPNs per il DNS nome configurato per il computer Active Directory del tuo file system originale, devi eliminarli prima di crearli SPNs per il tuo FSx file system Amazon.

Le seguenti procedure descrivono come trovare eventuali oggetti esistentiSPNs, eliminarli e crearne di nuovi SPNs per l'oggetto informatico Active Directory del tuo FSx file system Amazon.

Per installare il modulo PowerShell Active Directory richiesto

  1. Accedi a un'istanza Windows aggiunta all'Active Directory a cui è collegato il tuo FSx file system Amazon.

  2. Apri PowerShell come amministratore.

  3. Installa il modulo PowerShell Active Directory utilizzando il seguente comando.

    Install-WindowsFeature RSAT-AD-PowerShell
Per trovare ed eliminare DNS gli alias esistenti nell'SPNsoggetto informatico Active Directory del file system originale

  1. SPNsTrovate quelli esistenti utilizzando i seguenti comandi. Sostituiscilo alias_fqdn con l'DNSalias che hai associato al file system inMigrazione della DNS configurazione locale a Windows File FSx Server.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Eliminare l'esistente HOST SPNs restituito nel passaggio precedente utilizzando lo script di esempio seguente.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Ripeti questi passaggi per ogni DNS alias associato al file system inMigrazione della DNS configurazione locale a Windows File FSx Server.

Da impostare SPNs sull'oggetto informatico Active Directory del tuo FSx file system Amazon

  1. Imposta SPNs un nuovo FSx file system Amazon eseguendo i seguenti comandi.

    • Sostituisci file_system_DNS_name con il DNS nome FSx assegnato da Amazon al file system.

      Per trovare il DNS nome del tuo file system sulla FSx console Amazon, scegli File system e scegli il tuo file system. Scegli il pannello Rete e sicurezza della pagina dei dettagli del file system. Puoi anche ottenere il DNS nome nella risposta dell'DescribeFileSystemsAPIoperazione.

    • Sostituiscilo alias_fqdn con l'DNSalias completo in Migrazione della DNS configurazione locale a Windows File FSx Server cui hai associato il file system.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    Nota

    L'impostazione di un SPN per il tuo FSx file system Amazon avrà esito negativo se nell'AD esiste un SPN DNS alias per l'oggetto computer del file system originale. Per informazioni su come trovare ed eliminare elementi esistentiSPNs, consulta. Per trovare ed eliminare DNS gli alias esistenti nell'SPNsoggetto informatico Active Directory del file system originale

  2. Verificate che i nuovi SPNs siano configurati per l'DNSalias utilizzando lo script di esempio seguente. Assicurati che la risposta includa due HOSTSPNs, HOST/alias eHOST/alias_fqdn.

    Sostituiscilo file_system_DNS_name con il DNS nome FSx assegnato da Amazon al tuo file system. Per trovare il DNS nome del tuo file system sulla FSx console Amazon, scegli File system, scegli il tuo file system, quindi scegli il pannello Rete e sicurezza nella pagina dei dettagli del file system.

    Puoi anche ottenere il DNS nome nella risposta dell'DescribeFileSystemsAPIoperazione.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Ripeti i passaggi precedenti per ogni DNS alias che hai associato al file system inMigrazione della DNS configurazione locale a Windows File FSx Server.

Nota

È possibile applicare l'autenticazione e la crittografia Kerberos in transito con i client che si connettono al file system utilizzando DNS alias impostando i seguenti oggetti di policy di gruppo (GPOs) in Active Directory:

  • LimitaNTLM: traffico in uscita verso server remoti NTLM

  • LimitaNTLM: aggiungi eccezioni al server remoto per l'autenticazione NTLM

Per ulteriori informazioni, consulta Applicazione dell'autenticazione Kerberos utilizzando Group Policy Objects () GPOs la procedura dettagliata 5: Utilizzo degli DNS alias per accedere al file system.

Aggiorna i DNS CNAME record per il FSx file system Amazon

Dopo aver configurato correttamente SPNs il file system, puoi passare ad Amazon FSx sostituendo ogni DNS record risolto nel file system originale con un DNS record che si risolve nel DNS nome predefinito del FSx file system Amazon.

Per installare i cmdlet richiesti PowerShell

  1. Accedi a un'istanza Windows aggiunta ad Active Directory a cui fa parte il tuo FSx file system Amazon come utente membro di un gruppo con autorizzazioni amministrative (AWS Delegated Domain Name System DNS Administrators in Managed AWS Microsoft Active Directory e Domain Admins o un altro gruppo a cui hai delegato le autorizzazioni di DNS amministrazione nel tuo Active Directory autogestito)

    Per ulteriori informazioni, consulta Connessione all'istanza Windows nella Amazon EC2 User Guide.

  2. Apri PowerShell come amministratore.

  3. Il modulo PowerShell DNS server è necessario per eseguire le istruzioni di questa procedura. Installarlo utilizzando il comando seguente.

    Install-WindowsFeature RSAT-DNS-Server
Per aggiornare un DNS CNAME record esistente

  1. Lo script seguente aggiorna tutti DNS CNAME i record esistenti alias_fqdn per l'oggetto computer del tuo FSx file system Amazon. Se non ne viene trovato nessuno, crea un nuovo DNS CNAME record per l'DNSalias alias_fqdn che viene risolto nel DNS nome predefinito per il tuo file system AmazonFSx.

    Per eseguire lo script:

    • alias_fqdnSostituiscilo con l'DNSalias che hai associato al file system.

    • Sostituisci file_system_DNS_name con il DNS nome predefinito FSx che Amazon ha assegnato al file system.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. Ripeti il passaggio precedente per ogni DNS alias associato al file system. Migrazione della DNS configurazione locale a Windows File FSx Server