View a markdown version of this page

Utilizzo di Amazon FSx con AWS Directory Service for Microsoft Active Directory - Amazon FSx per Windows File Server

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Amazon FSx con AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) fornisce directory Active Directory effettive, completamente gestite, ad alta disponibilità e nel cloud. È possibile utilizzare queste directory di Active Directory nella distribuzione del carico di lavoro.

Se la tua organizzazione utilizza AWS Managed Microsoft AD la gestione di identità e dispositivi, ti consigliamo di integrare il file system Amazon FSx con. AWS Managed Microsoft AD In questo modo, ottieni una soluzione chiavi in mano che utilizza Amazon AWS Managed Microsoft AD FSx con. AWS gestisce l'implementazione, il funzionamento, l'alta disponibilità, l'affidabilità, la sicurezza e la perfetta integrazione dei due servizi, consentendoti di concentrarti sulla gestione efficace del tuo carico di lavoro.

Per utilizzare Amazon FSx con la tua AWS Managed Microsoft AD configurazione, puoi utilizzare la console Amazon FSx. Quando create un nuovo file system FSx for Windows File Server nella console, AWS scegliete Managed Active Directory nella sezione Autenticazione di Windows. Scegliete anche la directory specifica che desiderate utilizzare. Per ulteriori informazioni, consulta Fase 5. Crea il tuo file system.

L'organizzazione potrebbe gestire identità e dispositivi su un dominio Active Directory autogestito (in locale o nel cloud). In tal caso, puoi aggiungere il tuo file system Amazon FSx direttamente al tuo dominio Active Directory esistente e autogestito. Per ulteriori informazioni, consulta Utilizzo di un Microsoft Active Directory autogestito.

Inoltre, puoi anche configurare il tuo sistema per trarre vantaggio da un modello di isolamento delle foreste di risorse. In questo modello, si isolano le risorse, inclusi i file system Amazon FSx, in una foresta Active Directory separata da quella in cui si trovano gli utenti.

Importante

Per Single-AZ due o tutti i Multi-AZ file system, il nome di dominio completo (FQDN) di Active Directory non può superare i 47 caratteri.

Prerequisiti di rete

Prima di creare un file system FSx for Windows File Server aggiunto al dominio AWS Microsoft Managed Active Directory, assicuratevi di aver creato e impostato le seguenti configurazioni di rete:

  • Per i gruppi di sicurezza VPC, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e gli ACL di rete VPC per le sottoreti in cui stai creando il file system FSx consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.

    Requisiti di configurazione delle porte FSx for Windows File Server per i gruppi di sicurezza VPC e gli ACL di rete per le sottoreti in cui viene creato il file system.

    Nella tabella seguente è indicato il ruolo di ciascuna porta.

    Protocollo

    Porte

    Ruolo

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticazione Kerberos

    TCP/UDP

    464

    Change/Set password

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)

    UDP 123

    Network Time Protocol (NTP)

    TCP 135

    Distributed Computing Environment/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Condivisione di file SMB di Servizi directory

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

    TCP

    3268

    Catalogo globale Microsoft

    TCP

    3269

    Microsoft Global Catalog tramite SSL

    TCP

    5985

    WinRM 2.0 (gestione remota di Microsoft Windows)

    TCP

    9389

    Servizi Web Microsoft AD DS, PowerShell

    TCP

    49152 - 65535

    Porte effimere per RPC

    Importante

    L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per Single-AZ 2 e tutte le Multi-AZ distribuzioni di file system.

    Nota

    Se utilizzi ACL di rete VPC, devi anche consentire il traffico in uscita su porte dinamiche (49152-65535) dal tuo file system FSx.

  • Se stai connettendo il tuo file system Amazon FSx a un AWS Microsoft Active Directory gestito in un VPC o account diverso, assicurati la connettività tra quel VPC e l'Amazon VPC in cui desideri creare il file system. Per ulteriori informazioni, consulta Utilizzo di Amazon FSx con AWS Managed Microsoft AD in un altro VPC o account.

    Importante

    Mentre i gruppi di sicurezza Amazon VPC richiedono l'apertura delle porte solo nella direzione in cui viene avviato il traffico di rete, gli ACL di rete VPC richiedono che le porte siano aperte in entrambe le direzioni.

Utilizza lo strumento di convalida della rete Amazon FSx per convalidare la connettività ai controller di dominio Active Directory.

Utilizzo di un modello di isolamento delle foreste di risorse

Si unisce il file system a una AWS Managed Microsoft AD configurazione. Si stabilisce quindi una relazione di trust forestale unidirezionale tra un AWS Managed Microsoft AD dominio creato dall'utente e il dominio Active Directory autogestito esistente. Per l'autenticazione Windows in Amazon FSx, è necessario solo un trust di foresta direzionale unidirezionale, in cui la foresta AWS gestita si fida della foresta di dominio aziendale.

Il tuo dominio aziendale assume il ruolo di dominio affidabile e il dominio Directory Service gestito assume il ruolo di dominio affidabile. Le richieste di autenticazione convalidate viaggiano tra i domini in una sola direzione, consentendo agli account del dominio aziendale di autenticarsi con le risorse condivise nel dominio gestito. In questo caso, Amazon FSx interagisce solo con il AWS dominio gestito. In uno scenario di autenticazione Kerberos, le richieste di autenticazione provenienti da un client aziendale vengono convalidate dal dominio aziendale, che quindi le rimanda al AWS Managed Microsoft AD, e infine il client presenta il ticket di servizio al file system FSx for Windows File Server. Per ulteriori informazioni sui trust, consulta il post Tutto quello che volevi sapere sui trust nel Security Blog. AWS Managed Microsoft AD AWS

Verifica la configurazione di Active Directory

Prima di creare il file system Amazon FSx, ti consigliamo di convalidare la connettività ai controller di dominio Active Directory utilizzando lo strumento di convalida della rete Amazon FSx. Per ulteriori informazioni, consulta Convalida della connettività ai controller di dominio Active Directory.

Le seguenti risorse correlate possono esservi utili durante l'utilizzo AWS Directory Service for Microsoft Active Directory con FSx for Windows File Server: