Usare Amazon FSx con AWS Directory Service for Microsoft Active Directory - File server Amazon FSx per Windows
Prerequisiti di reteUtilizzo di un modello di isolamento delle foreste di risorseVerifica la configurazione di Active Directory

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usare Amazon FSx con AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) fornisce directory Active Directory effettive, completamente gestite, ad alta disponibilità e nel cloud. È possibile utilizzare queste directory di Active Directory nella distribuzione del carico di lavoro.

Se la tua organizzazione utilizza AWS Managed Microsoft AD la gestione di identità e dispositivi, ti consigliamo di integrare il tuo FSx file system Amazon con AWS Managed Microsoft AD. In questo modo, ottieni una soluzione chiavi in mano utilizzando Amazon FSx con AWS Managed Microsoft AD. AWS gestisce l'implementazione, il funzionamento, l'alta disponibilità, l'affidabilità, la sicurezza e la perfetta integrazione dei due servizi, consentendoti di concentrarti sulla gestione efficace del tuo carico di lavoro.

Per utilizzare Amazon FSx con la tua AWS Managed Microsoft AD configurazione, puoi utilizzare la FSx console Amazon. Quando crei un nuovo file system FSx per Windows File Server nella console, scegli AWS Managed Active Directory nella sezione Autenticazione di Windows. Scegliete anche la directory specifica che desiderate utilizzare. Per ulteriori informazioni, consulta Fase 5. Crea il tuo file system.

L'organizzazione potrebbe gestire identità e dispositivi su un dominio Active Directory autogestito (in locale o nel cloud). In tal caso, puoi aggiungere il tuo FSx file system Amazon direttamente al tuo dominio Active Directory esistente e autogestito. Per ulteriori informazioni, consulta Utilizzo di un Microsoft Active Directory autogestito.

Inoltre, puoi anche configurare il tuo sistema in modo da trarre vantaggio da un modello di isolamento delle risorse forestali. In questo modello, si isolano le risorse, compresi i FSx file system Amazon, in una foresta Active Directory separata da quella in cui si trovano gli utenti.

Importante

Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio Active Directory non può superare i 47 caratteri.

Prerequisiti di rete

Prima di creare un file system FSx per Windows File Server aggiunto al dominio AWS Microsoft Managed Active Directory, assicurati di aver creato e configurato le seguenti configurazioni di rete:

  • Per i gruppi di sicurezza VPC, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la rete VPC ACLs per le sottoreti in cui stai creando il FSx file system consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.

    FSx per i requisiti di configurazione delle porte di Windows File Server per i gruppi di sicurezza VPC e la rete ACLs per le sottoreti in cui viene creato il file system.

    Nella tabella seguente è indicato il ruolo di ciascuna porta.

    Protocollo

    Porte

    Ruolo

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticazione Kerberos

    TCP/UDP

    464

    Modifica/reimpostazione della password

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Distributed Computing Environment/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Condivisione di file SMB di Servizi directory

    TCP

    636

    Lightweight Directory Access Protocol su TLS/SSL (LDAPS)

    TCP

    3268

    Catalogo globale Microsoft

    TCP

    3269

    Microsoft Global Catalog tramite SSL

    TCP

    5985

    WinRM 2.0 (gestione remota di Microsoft Windows)

    TCP

    9389

    Servizi Web Microsoft AD DS, PowerShell

    TCP

    49152 - 65535

    Porte effimere per RPC
    Importante

    L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.

    Nota

    Se utilizzi una rete VPC ACLs, devi anche consentire il traffico in uscita su porte dinamiche (49152-65535) dal tuo file system. FSx

  • Se stai connettendo il tuo FSx file system Amazon a un Microsoft Active Directory AWS gestito in un VPC o account diverso, assicurati la connettività tra quel VPC e l'Amazon VPC in cui desideri creare il file system. Per ulteriori informazioni, consulta Utilizzo di Amazon FSx con AWS Managed Microsoft AD un altro VPC o account.

    Importante

    Mentre i gruppi di sicurezza Amazon VPC richiedono l'apertura delle porte solo nella direzione in cui viene avviato il traffico di rete, la rete VPC ACLs richiede che le porte siano aperte in entrambe le direzioni.

Utilizza lo strumento Amazon FSx Network Validation per convalidare la connettività ai controller di dominio Active Directory.

Utilizzo di un modello di isolamento delle foreste di risorse

Si unisce il file system a una AWS Managed Microsoft AD configurazione. Si stabilisce quindi una relazione di trust forestale unidirezionale tra un AWS Managed Microsoft AD dominio creato dall'utente e il dominio Active Directory autogestito esistente. Per l'autenticazione Windows in Amazon FSx, è necessario solo un trust di foresta direzionale unidirezionale, in cui la foresta AWS gestita si fida della foresta di dominio aziendale.

Il tuo dominio aziendale assume il ruolo di dominio affidabile e il dominio AWS Directory Service gestito assume il ruolo di dominio affidabile. Le richieste di autenticazione convalidate viaggiano tra i domini in una sola direzione, consentendo agli account del dominio aziendale di autenticarsi con le risorse condivise nel dominio gestito. In questo caso, Amazon FSx interagisce solo con il dominio AWS gestito. In uno scenario di autenticazione Kerberos, le richieste di autenticazione provenienti da un client aziendale vengono convalidate dal dominio aziendale, che quindi le rimanda al file system Windows File Server e infine il AWS Managed Microsoft AD client presenta il ticket di servizio al file system Windows File Server FSx utilizzato. Per ulteriori informazioni sui trust, consulta il post Tutto quello che volevi sapere sui trust nel Security Blog. AWS Managed Microsoft AD AWS

Verifica la configurazione di Active Directory

Prima di creare il tuo FSx file system Amazon, ti consigliamo di convalidare la connettività ai controller di dominio Active Directory utilizzando lo strumento Amazon FSx Network Validation. Per ulteriori informazioni, consulta Convalida della connettività ai controller di dominio Active Directory.

Le seguenti risorse correlate possono esserti utili nell'utilizzo AWS Directory Service for Microsoft Active Directory di Windows File FSx Server: