Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di un Microsoft Active Directory autogestito
Se la tua organizzazione gestisce identità e dispositivi utilizzando un Active Directory autogestito in locale o nel cloud, puoi aggiungere un file system FSx per Windows File Server al tuo dominio Active Directory al momento della creazione.
Quando si aggiunge il file system all'Active Directory autogestito, il file system FSx per Windows File Server risiede nella stessa foresta di Active Directory (il contenitore logico principale in una configurazione di Active Directory che contiene domini, utenti e computer) e nello stesso dominio di Active Directory degli utenti e delle risorse esistenti (inclusi i file server esistenti).
**Nota**
Puoi isolare le tue risorse, compresi i tuoi file system FSx Amazon, in una foresta Active Directory separata da quella in cui risiedono gli utenti. A tale scopo, collegate il vostro file system a un sistema Microsoft Active Directory AWS gestito e stabilite una relazione di trust forestale unidirezionale tra una AWS Microsoft Active Directory gestita da voi e la vostra Active Directory autogestita esistente.
+ Nome utente e password per un account di servizio sul tuo dominio Active Directory, che Amazon può utilizzare FSx per aggiungere il file system al tuo dominio Active Directory. Puoi fornire queste credenziali come testo semplice o archiviarle Gestione dei segreti AWS e fornire l'ARN segreto (consigliato).
+ (Facoltativo) L'unità organizzativa (OU) del dominio a cui desideri aggiungere il file system.
+ (Facoltativo) Il gruppo di dominio a cui si desidera delegare l'autorità per eseguire azioni amministrative sul file system. Ad esempio, questo gruppo di domini potrebbe gestire le condivisioni di file di Windows, gestire gli elenchi di controllo degli accessi (ACLs) nella cartella principale del file system, assumere la proprietà di file e cartelle e così via. Se non specifichi questo gruppo, Amazon FSx delega questa autorità al gruppo Domain Admins nel tuo dominio Active Directory per impostazione predefinita.
**Nota**
Il nome del gruppo di dominio che fornisci deve essere univoco nel tuo Active Directory. FSx per Windows File Server non creerà il gruppo di dominio nelle seguenti circostanze:
Se esiste già un gruppo con il nome specificato
Se non specifichi un nome e un gruppo denominato «Domain Admins» esiste già in Active Directory.
Per ulteriori informazioni, consulta [Unire un FSx file system Amazon a un dominio Microsoft Active Directory autogestito](creating-joined-ad-file-systems.md).
**Topics**
+ [Prerequisiti](#self-manage-prereqs)
+ [Autorizzazioni dell'account di servizio](#service-account-prereqs)
+ [Procedure consigliate per l'utilizzo di un Active Directory autogestito](#self-managed-AD-best-practices)
+ [Account FSx di servizio Amazon](#self-managed-AD-service-account)
+ [Delegare le autorizzazioni all'account o al gruppo FSx di servizio Amazon](assign-permissions-to-service-account.md)
+ [Convalida della configurazione di Active Directory](validate-ad-config.md)
+ [Unire un FSx file system Amazon a un dominio Microsoft Active Directory autogestito](creating-joined-ad-file-systems.md)
+ [Ottenere gli indirizzi IP corretti del file system da utilizzare per le immissioni DNS manuali](file-system-ip-addresses-for-dns.md)
+ [Aggiornamento di una configurazione di Active Directory autogestita](update-self-ad-config.md)
+ [Modifica dell'account del FSx servizio Amazon](changing-ad-service-account.md)
+ [Monitoraggio degli aggiornamenti di Active Directory gestiti autonomamente](monitor-self-ad-update.md)
## Prerequisiti
Prima di aggiungere un file system FSx per Windows File Server al tuo dominio Microsoft Active Directory autogestito, esamina i seguenti prerequisiti per assicurarti di poter aggiungere correttamente il tuo FSx file system Amazon al tuo Active Directory autogestito.
### Configurazioni locali
Questi sono i prerequisiti per il tuo Microsoft Active Directory autogestito, locale o basato sul cloud, a cui unirai il file system Amazon. FSx
+ I controller di dominio Active Directory:
+ Deve avere un livello di funzionalità del dominio pari o superiore a Windows Server 2008 R2.
+ Deve essere scrivibile.
+ Almeno uno dei controller di dominio raggiungibili deve essere un catalogo globale della foresta.
+ Il server DNS deve essere in grado di risolvere i nomi come segue:
+ Nel dominio in cui si sta entrando a far parte del file system
+ Nel dominio principale della foresta
+ Gli indirizzi IP del server DNS e del controller di dominio Active Directory devono soddisfare i seguenti requisiti, che variano a seconda della data di creazione del FSx file system Amazon:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/self-managed-AD.html)
Se devi accedere a un file system FSx per Windows File Server creato prima del 17 dicembre 2020 utilizzando un intervallo di indirizzi IP non privato, puoi creare un nuovo file system ripristinando un backup del file system. Per ulteriori informazioni, consulta [Ripristino di un backup su un nuovo file system](how-to-restore-backups.md).
+ Il nome di dominio dell'Active Directory autogestito deve soddisfare i seguenti requisiti:
+ Il nome di dominio non è in formato SLD (Single Label Domain). Amazon FSx non supporta i domini SLD.
+ Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio non può superare i 47 caratteri.
+ Tutti i siti di Active Directory che hai definito devono soddisfare i seguenti prerequisiti:
+ Le sottoreti nel VPC associato al file system devono essere definite in un sito di Active Directory.
+ Non vi sono conflitti tra le sottoreti VPC e le sottoreti del sito di Active Directory.
Amazon FSx richiede la connettività ai controller di dominio o ai siti di Active Directory che hai definito nel tuo ambiente Active Directory. Amazon FSx ignorerà qualsiasi controller di dominio con TCP e UDP bloccati sulla porta 389. Per i restanti controller di dominio presenti in Active Directory, assicurati che soddisfino i requisiti di FSx connettività di Amazon. Inoltre, verifica che tutte le modifiche al tuo account di servizio vengano propagate a tutti questi controller di dominio.
**Importante**
Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.
Puoi convalidare la configurazione di Active Directory, incluso il test della connettività di più controller di dominio, utilizzando lo strumento di [convalida di Amazon FSx Active Directory](validate-ad-config.md). Per limitare il numero di controller di dominio che richiedono connettività, puoi anche creare una relazione di fiducia tra i controller di dominio locali e. AWS Managed Microsoft AD Per ulteriori informazioni, consulta [Utilizzo di un modello di isolamento delle foreste di risorse](fsx-aws-managed-ad.md#using-a-rfim).
**Importante**
Amazon registra i record DNS per un file system FSx solo se utilizzi Microsoft DNS come servizio DNS predefinito. Se utilizzi un DNS di terze parti, dovrai configurare manualmente le voci dei record DNS per il tuo file system dopo averlo creato.
### Configurazioni di rete
Questa sezione descrive i requisiti di configurazione di rete per aggiungere un file system all'Active Directory autogestito. Ti consigliamo vivamente di utilizzare lo [strumento di convalida di Amazon FSx Active Directory](validate-ad-config.md#test-ad-network-config) per testare le impostazioni di rete prima di tentare di aggiungere il tuo file system all'Active Directory autogestito.
+ Assicurati che le regole del firewall consentano il traffico ICMP tra i controller di dominio Active Directory e Amazon. FSx
+ La connettività deve essere configurata tra l'Amazon VPC in cui desideri creare il file system e il tuo Active Directory autogestito. È possibile configurare questa connettività utilizzando [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), [AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html), il [peering VPC o](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html). [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ Il gruppo di sicurezza VPC predefinito per il tuo Amazon VPC predefinito deve essere aggiunto al tuo file system utilizzando la console Amazon. FSx Assicurati che il gruppo di sicurezza e la rete VPC ACLs per le sottoreti in cui crei il file system consentano il traffico sulle porte e nella direzione mostrata nel diagramma seguente.
![\[FSx per i requisiti di configurazione delle porte di Windows File Server per i gruppi di sicurezza VPC e la rete ACLs per le sottoreti in cui viene creato il file system.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
La tabella seguente identifica il protocollo, le porte e il relativo ruolo.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/self-managed-AD.html)
Queste regole di traffico devono essere rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio, server DNS, client e amministratori di Active Directory. FSx FSx
**Nota**
Se utilizzi una rete VPC ACLs, devi anche consentire il traffico in uscita su porte dinamiche (49152-65535) dal tuo file system.
**Importante**
Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e delle reti VPC richiedono che le porte siano aperte in ACLs entrambe le direzioni.
## Autorizzazioni dell'account di servizio
È necessario disporre di un account di servizio nel proprio dominio Microsoft Active Directory autogestito con autorizzazioni delegate per aggiungere oggetti computer al dominio Active Directory autogestito. Un *account di servizio è un account* utente di Active Directory autogestito a cui sono state delegate determinate attività.
Di seguito è riportato il set minimo di autorizzazioni che devono essere delegate all'account di FSx servizio Amazon nell'unità organizzativa a cui ti stai unendo al file system.
+ Se utilizzi *Delegate Control nella MMC* User and Computers di Active Directory:
+ Reimpostare le password
+ Leggi e scrivi le restrizioni relative all'account
+ Nome host DNS di scrittura convalidato
+ Nome principale del servizio di scrittura convalidato
+ Se si utilizzano *le funzionalità avanzate* in MMC per utenti e computer di Active Directory:
+ Modifica le autorizzazioni
+ Creazione di oggetti computer
+ Eliminare gli oggetti del computer
Per ulteriori informazioni, vedere l'argomento della documentazione di Microsoft Windows Server [Errore: accesso negato quando utenti non amministratori a cui è stato delegato il controllo tentano di aggiungere computer a un controller di dominio](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).
Per ulteriori informazioni sull'impostazione delle autorizzazioni richieste, vedere. [Delegare le autorizzazioni all'account o al gruppo FSx di servizio Amazon](assign-permissions-to-service-account.md)
## Procedure consigliate per l'utilizzo di un Active Directory autogestito
**Topics**
+ [Memorizzazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS](#bp-store-ad-creds-using-secret-manager-windows)
Ti consigliamo di seguire queste best practice quando unisci un file system Amazon FSx for Windows File Server al tuo Microsoft Active Directory autogestito. Queste best practice ti aiuteranno a mantenere la disponibilità continua e ininterrotta del tuo file system.
**Usa un account di servizio separato per Amazon FSx**
Utilizza un account di servizio separato per delegare [i privilegi richiesti](#service-account-prereqs) FSx ad Amazon per gestire completamente i file system aggiunti al tuo Active Directory autogestito. Non è consigliabile utilizzare **Domain Admins** per questo scopo.
**Utilizzare un gruppo Active Directory**
Utilizza un gruppo Active Directory per gestire le autorizzazioni e le configurazioni di Active Directory associate all'account del FSx servizio Amazon.
**Separare l'unità organizzativa (OU)**
Per semplificare la ricerca e la gestione degli oggetti FSx informatici Amazon, ti consigliamo di separare l'unità organizzativa (OU) che usi per i tuoi file system FSx per Windows File Server dagli altri controller di dominio.
**Mantieni la configurazione di Active Directory up-to-date**
È fondamentale mantenere la configurazione di Active Directory del file system up-to-date con eventuali modifiche. Ad esempio, se il tuo Active Directory autogestito utilizza una politica di reimpostazione della password basata sul tempo, non appena la password viene reimpostata, assicurati di aggiornare la password dell'account di servizio sul tuo file system. Per ulteriori informazioni, consulta [Aggiornamento di una configurazione di Active Directory autogestita](update-self-ad-config.md).
**Modifica dell'account del FSx servizio Amazon**
Se aggiorni il file system con un nuovo account di servizio, quest'ultimo deve disporre delle autorizzazioni e dei privilegi necessari per accedere ad Active Directory e disporre delle autorizzazioni di **controllo completo** per gli oggetti informatici esistenti associati al file system. Per ulteriori informazioni, consulta [Modifica dell'account del FSx servizio Amazon](changing-ad-service-account.md).
**Assegnazione di sottoreti a un singolo sito di Microsoft Active Directory**
Se il tuo ambiente Active Directory ha un numero elevato di controller di dominio, utilizza **Active Directory Sites and Services** per assegnare le sottoreti utilizzate dai tuoi FSx file system Amazon a un singolo sito Active Directory con la massima disponibilità e affidabilità. Assicurati che il gruppo di sicurezza VPC, l'ACL di rete VPC, le regole del firewall di Windows e tutti gli altri controlli di routing di rete presenti nella tua infrastruttura Active Directory consentano la comunicazione da Amazon sulle porte richieste. DCs FSx Ciò consente a Windows di tornare ad altri controller di dominio se non può utilizzare il sito Active Directory assegnato. Per ulteriori informazioni, consulta [Controllo degli accessi ai file system con Amazon VPC](limit-access-security-groups.md).
**Utilizza le regole dei gruppi di sicurezza per limitare il traffico**
Utilizza le regole dei gruppi di sicurezza per implementare il principio del privilegio minimo nel tuo cloud privato virtuale (VPC). Puoi limitare il tipo di traffico di rete in entrata e in uscita consentito per il tuo file utilizzando le regole del gruppo di sicurezza VPC. Ad esempio, consigliamo di consentire il traffico in uscita solo ai controller dei domini Active Directory autogestiti o all'interno della sottorete o del gruppo di sicurezza che state utilizzando. Per ulteriori informazioni, consulta [Controllo degli accessi ai file system con Amazon VPC](limit-access-security-groups.md).
**Non spostare oggetti informatici creati da Amazon FSx**
Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.
**Convalida la configurazione di Active Directory**
Prima di tentare di aggiungere un file system FSx per Windows File Server ad Active Directory, ti consigliamo vivamente di convalidare la configurazione di Active Directory utilizzando lo strumento di [convalida di Amazon FSx Active Directory](validate-ad-config.md).
### Memorizzazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS
È possibile utilizzarlo per Gestione dei segreti AWS archiviare e gestire in modo sicuro le credenziali dell'account del servizio di accesso al dominio Microsoft Active Directory. Questo approccio elimina la necessità di archiviare credenziali sensibili in testo semplice nel codice dell'applicazione o nei file di configurazione, rafforzando il livello di sicurezza.
Puoi anche configurare le policy IAM per gestire l'accesso ai tuoi segreti e impostare policy di rotazione automatica per le tue password.
#### Archivia le credenziali di Active Directory in Gestione dei segreti AWS (Console)
##### Passaggio 1: creare una chiave KMS
Crea una chiave KMS per crittografare e decrittografare le credenziali di Active Directory in Secrets Manager.
**Come creare una chiave**
**Nota**
Per la **chiave di crittografia**, crea una nuova chiave, non utilizzare la chiave KMS predefinita. AWS Assicurati di crearla AWS KMS key nella stessa regione che contiene il file system a cui desideri aggiungere ad Active Directory.
1. Apri la AWS KMS console in https://console.aws.amazon.com /kms.
1. Scegli **Crea chiave**.
1. In **Tipo di chiave**, scegli **Simmetrica**.
1. In **Utilizzo delle chiavi**, scegli **Crittografa e decrittografa**.
1. Per le **opzioni avanzate**, procedi come segue:
1. In **Origine materiale chiave**, scegli **KMS**.
1. **Per **Regionalità**, scegli la **chiave Single-Region** e scegli Avanti.**
1. Scegli **Next (Successivo)**.
1. In **Alias**, fornisci un nome per la chiave KMS.
1. (Facoltativo) In **Descrizione**, immetti una descrizione per la chiave KMS.
1. **(Facoltativo) Per i **tag**, fornisci un tag per la chiave KMS e scegli Avanti.**
1. (Facoltativo) Per **gli amministratori chiave**, fornisci gli utenti e i ruoli IAM autorizzati a gestire questa chiave.
1. **Per l'**eliminazione della chiave**, mantieni selezionata la casella **Consenti agli amministratori chiave** di eliminare questa chiave e scegli Avanti.**
1. (Facoltativo) Per **gli utenti chiave**, fornisci gli utenti e i ruoli IAM autorizzati a utilizzare questa chiave nelle operazioni crittografiche. Scegli **Next (Successivo)**.
1. Per **Politica chiave**, scegli **Modifica** e includi quanto segue nella **dichiarazione** sulla politica per consentire FSx ad Amazon di utilizzare la chiave KMS e scegli **Avanti**. Assicurati di *us-west-2* sostituirlo nel Regione AWS luogo in cui è distribuito il file system e nel tuo *123456789012* Account AWS ID.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. Scegli **Fine**.
**Nota**
Puoi impostare un controllo degli accessi più granulare modificando `aws:SourceArn` i campi `Resource` e in modo da indirizzarli a segreti e file system specifici.
##### Fase 2: Creare un segreto Gestione dei segreti AWS
**Per creare un segreto**
1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Scegli **Archivia un nuovo segreto**.
1. Per **Secret type** (Tipo di segreto), scegli **Other type of secret** (Altro tipo di segreto).
1. Per le **coppie chiave/valore, effettuate** le seguenti operazioni per aggiungere le due chiavi:
1. Per la prima chiave, immetti `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Per il valore della prima chiave, immetti solo il nome utente (senza il prefisso di dominio) dell’utente AD.
1. Per la seconda chiave, immetti `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.
1. **Per **Chiave di crittografia**, inserisci l'ARN della chiave KMS che hai creato in un passaggio precedente e scegli Avanti.**
1. In **Nome del segreto**, inserisci un nome descrittivo che semplifichi l'individuazione del segreto in un secondo momento.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il nome del segreto.
1. **Per l'**autorizzazione della risorsa**, scegli Modifica.**
Aggiungi la seguente politica alla politica di autorizzazione per consentire FSx ad Amazon di utilizzare il segreto, quindi scegli **Avanti**. Assicurati di *us-west-2* sostituirlo nel Regione AWS luogo in cui è distribuito il file system e *123456789012* nel tuo Account AWS ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**Nota**
Puoi impostare un controllo degli accessi più granulare modificando `aws:SourceArn` i campi `Resource` e in modo da indirizzarli a segreti e file system specifici.
1. (Facoltativo) È possibile configurare Secrets Manager per ruotare automaticamente le credenziali. Scegli **Next (Successivo)**.
1. Scegli **Fine**.
#### Archivia le credenziali di Active Directory in Gestione dei segreti AWS (CLI)
##### Fase 1: Creare una chiave KMS
Crea una chiave KMS per crittografare e decrittografare le credenziali di Active Directory in Secrets Manager.
[Per creare una chiave KMS, usa il comando create-key. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)
In questo comando, imposta il `--policy` parametro per specificare la politica chiave che definisce le autorizzazioni per la chiave KMS. La politica deve includere quanto segue:
+ Il principale servizio per Amazon FSx, che è`fsx.amazonaws.com`.
+ Azioni KMS richieste: `kms:Decrypt` e`kms:DescribeKey`.
+ Schema ARN delle risorse per il tuo account Regione AWS .
+ Chiavi condizionali che limitano l'utilizzo delle chiavi:
+ `kms:ViaService`per garantire che le richieste arrivino tramite Secrets Manager.
+ `aws:SourceAccount`da limitare al tuo account.
+ `aws:SourceArn`per limitarsi a specifici FSx file system Amazon.
L'esempio seguente crea una chiave KMS di crittografia simmetrica con una politica che consente ad Amazon FSx di utilizzare la chiave per le operazioni di decrittografia e descrizione delle chiavi. Il comando recupera automaticamente l' Account AWS ID e la regione, quindi configura la politica delle chiavi con questi valori per garantire controlli di accesso adeguati tra Amazon FSx, Secrets Manager e la chiave KMS. Assicurati che il tuo AWS CLI ambiente si trovi nella stessa regione del file system che entrerà a far parte di Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**Nota**
È possibile impostare un controllo degli accessi più granulare modificando `aws:SourceArn` i campi `Resource` and in modo da indirizzarli a segreti e file system specifici.
##### Fase 2: Creare un segreto Gestione dei segreti AWS
Per creare un codice segreto per consentire FSx ad Amazon di accedere al tuo Active Directory, usa il AWS CLI comando [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) e imposta i seguenti parametri:
+ `--name`: L'identificatore del tuo segreto.
+ `--description`: Una descrizione dello scopo del segreto.
+ `--kms-key-id`: L'ARN della chiave KMS che hai creato nel [passaggio 1](#create-kms-key-windows-cli) per crittografare il segreto inattivo.
+ `--secret-string`: Una stringa JSON contenente le tue credenziali AD nel seguente formato:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: nome utente dell'account del servizio AD senza il prefisso del dominio, ad esempio. `svc-fsx` **Non** fornire il prefisso del dominio, ad esempio. `CORP\svc-fsx`
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: la password dell'account del servizio AD.
+ `--region`: Il Regione AWS luogo in cui verrà creato il tuo FSx file system Amazon. Se non è impostata, l'impostazione predefinita `AWS_REGION` è la regione configurata.
Dopo aver creato il segreto, allega una politica delle risorse utilizzando il [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)comando e imposta i seguenti parametri:
+ `--secret-id`: il nome o l'ARN del segreto a cui allegare la policy. L'esempio seguente utilizza **FSxSecret** come. `--secret-id`
+ `--region`: Uguale Regione AWS al tuo segreto.
+ `--resource-policy`: un documento di policy JSON che concede ad Amazon FSx l'autorizzazione ad accedere al segreto. La politica deve includere quanto segue:
+ Il principale servizio per Amazon FSx, che è**fsx.amazonaws.com**.
+ Azioni richieste di Secrets Manager: `secretsmanager:GetSecretValue` e`secretsmanager:DescribeSecret`.
+ Schema ARN delle risorse per il tuo account Regione AWS .
+ Le seguenti chiavi condizionali che limitano l'accesso:
+ `aws:SourceAccount`da limitare al tuo account.
+ `aws:SourceArn`per limitarsi a specifici FSx file system Amazon.
L'esempio seguente crea un segreto con il formato richiesto e allega una politica delle risorse che consente FSx ad Amazon di utilizzare il segreto. Questo esempio recupera automaticamente il tuo Account AWS ID e la tua regione, quindi configura la politica delle risorse con questi valori per garantire controlli di accesso adeguati tra Amazon FSx e il segreto.
Assicurati di sostituirlo `KMS_KEY_ARN` con l'ARN della chiave creata nel [passaggio 1](#create-kms-key-windows-cli) e `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` con le credenziali `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` dell'account del servizio Active Directory. Inoltre, verifica che l' AWS CLI ambiente sia configurato per la stessa regione del file system che entrerà a far parte di Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**Nota**
È possibile impostare un controllo degli accessi più granulare modificando `aws:SourceArn` i campi `Resource` and in modo da indirizzarli a segreti e file system specifici.
## Account FSx di servizio Amazon
I FSx file system Amazon uniti a un Active Directory autogestito richiedono un account di servizio valido per tutta la loro durata. Amazon FSx utilizza l'account di servizio per gestire completamente i tuoi file system ed eseguire attività amministrative che richiedono l'unione e il ricongiungimento degli oggetti del computer al tuo dominio Active Directory. Queste attività includono la sostituzione di un file server guasto e l'applicazione di patch al software Microsoft Windows Server. FSx Affinché Amazon possa eseguire queste attività, l'account di FSx servizio Amazon deve disporre almeno del set di autorizzazioni descritto in [Autorizzazioni dell'account di servizio](#service-account-prereqs) Delegato ad esso.
Sebbene i membri del gruppo **Domain Admins** abbiano privilegi sufficienti per eseguire queste attività, ti consigliamo vivamente di utilizzare un account di servizio separato per delegare i privilegi richiesti ad Amazon. FSx
Per ulteriori informazioni su come delegare i privilegi utilizzando le funzionalità **Delegate Control** o **Advanced Features** nello snap-in MMC **Active Directory** User and Computers, consulta. [Delegare le autorizzazioni all'account o al gruppo FSx di servizio Amazon](assign-permissions-to-service-account.md)
Se si aggiorna il file system con un nuovo account di servizio, il nuovo account di servizio deve disporre delle autorizzazioni e dei privilegi necessari per accedere ad Active Directory e disporre delle autorizzazioni di **controllo completo** per gli oggetti informatici esistenti associati al file system. Per ulteriori informazioni, consulta [Modifica dell'account del FSx servizio Amazon](changing-ad-service-account.md).
Si consiglia di archiviare le credenziali dell'account del servizio Active Directory per una maggiore sicurezza Gestione dei segreti AWS . Ciò elimina la necessità di archiviare le credenziali sensibili in testo semplice e si allinea alle migliori pratiche di sicurezza. Per ulteriori informazioni, consulta [Utilizzo di un Microsoft Active Directory autogestito](#self-managed-AD).
# Delegare le autorizzazioni all'account o al gruppo FSx di servizio Amazon
L'account o il gruppo di amministratori del FSx servizio Amazon deve disporre dei [privilegi necessari](self-managed-AD.md#service-account-prereqs) FSx per accedere ai file system Windows File Server al tuo dominio Active Directory autogestito. Per delegare queste autorizzazioni, puoi utilizzare **Delegate Control** o **Advanced Features** nello Active Directory User and Computers MMC snap-in, come descritto nelle seguenti procedure.
## **Per assegnare le autorizzazioni utilizzando Delegate Control**
****Per assegnare le autorizzazioni a un account o a un gruppo di servizio utilizzando Delegate Control****
1. Accedi al tuo sistema come amministratore di dominio per il tuo dominio Active Directory.
1. Aprire lo snap-in MMC **Utenti e computer di Active Directory**.
1. Nel riquadro attività, espandere il nodo del dominio.
1. Individua e apri il menu contestuale (fai clic con il pulsante destro del mouse) per l'unità organizzativa che desideri modificare, quindi scegli **Controllo delegato**.
1. **Nella pagina **Delegation of Control Wizard**, scegli Avanti.**
1. Scegli **Aggiungi** per aggiungere il nome del tuo account o gruppo di FSx servizi Amazon, quindi scegli **Avanti**.
1. Nella pagina **Tasks to Delegate (Operazioni da delegare)**, selezionare **Create a custom task to delegate (Crea un'operazione personalizzata per eseguire la delega)**, quindi scegliere **Next (Avanti)**.
1. Scegli **Solo i seguenti oggetti nella cartella**, quindi scegli **Oggetti computer**.
1. Scegliete **Crea oggetti selezionati in questa cartella** e **Elimina gli oggetti selezionati in questa cartella**. Quindi scegli **Successivo**.
1. Per **Autorizzazioni**, scegli quanto segue:
+ **Reimpostazione della password**
+ **Leggi e scrivi le restrizioni dell'account**
+ **Nome host DNS di scrittura convalidato**
+ **Nome principale del servizio di scrittura convalidato**
1. Scegli **Next (Avanti)**, quindi scegli **Finish (Fine)**.
1. Chiudere lo **snap-in MMC Utente e computer di Active Directory**.
## **Per assegnare le autorizzazioni utilizzando le funzionalità avanzate**
1. Accedi al tuo sistema come amministratore di dominio per il tuo dominio Active Directory.
1. Aprire lo snap-in MMC **Utenti e computer di Active Directory**.
1. Seleziona **Visualizza** dalla barra dei menu e assicurati che **Advanced Features** sia abilitata (accanto all'opzione comparirà un segno di spunta se la funzionalità è abilitata).
1. Nel riquadro attività, espandi il nodo del dominio.
1. Individua e apri (fai clic con il pulsante destro del mouse) il menu di scelta rapida dell'unità organizzativa che desideri modificare, quindi scegli **Proprietà**.
1. Nel riquadro **Proprietà dell'unità organizzativa**, selezionare la scheda **Sicurezza**.
1. Nella scheda **Sicurezza**, selezionare **Avanzate**. Quindi seleziona **Aggiungi**.
1. Nella pagina **Immissione delle autorizzazioni**, scegli **Seleziona un committente** e inserisci il nome del tuo account o gruppo di FSx servizi Amazon. Per **Si applica a:**, scegli **Questo oggetto e tutti i computer discendenti**. Assicuratevi che siano selezionati i seguenti elementi:
+ **Modificare le autorizzazioni**
+ **Crea oggetti informatici**
+ **Eliminare oggetti del computer**
1. Seleziona **Applica**, quindi seleziona **OK**.
1. Chiudere lo snap-in MMC **Utente e computer di Active Directory**.
# Convalida della configurazione di Active Directory
Prima di creare un file system FSx per Windows File Server unito ad Active Directory, ti consigliamo di convalidare la configurazione di Active Directory utilizzando lo strumento di convalida di Amazon FSx Active Directory. Tieni presente che la connettività Internet in uscita è necessaria per convalidare correttamente la configurazione di Active Directory.
**Per convalidare la configurazione di Active Directory**
1. Avvia un'istanza Amazon EC2 per Windows nella stessa sottorete e con gli stessi gruppi di sicurezza Amazon VPC utilizzati per il file system FSx for Windows File Server. Assicurati che la tua istanza EC2 disponga delle autorizzazioni IAM richieste. `AmazonEC2ReadOnlyAccess` Puoi convalidare le autorizzazioni del ruolo dell'istanza EC2 utilizzando il simulatore di policy IAM. *Per ulteriori informazioni, consulta [Testing IAM Policies with the IAM Policy Simulator nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) User Guide.*
1. Unisci la tua istanza EC2 per Windows alla tua Active Directory. Per ulteriori informazioni, consulta [Aggiungere manualmente un'istanza Windows](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html) nella *Guida all'AWS Directory Service amministrazione*.
1. Connettiti all'istanza EC2. Per ulteriori informazioni, consulta [Connessione all'istanza Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) nella Guida per l'*utente di Amazon EC2*.
1. Apri una PowerShell finestra Windows (utilizzando **Esegui come amministratore**) sull'istanza EC2.
Per verificare se il modulo Active Directory richiesto per Windows PowerShell è installato, usa il seguente comando test.
```
PS C:\> Import-Module ActiveDirectory
```
Se quanto sopra restituisce un errore, installalo utilizzando il seguente comando.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. Scaricate lo strumento di convalida della rete utilizzando il seguente comando.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. Espandi il file zip utilizzando il seguente comando.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. Aggiunge il `AmazonFSxADValidation` modulo alla sessione corrente.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. Imposta i parametri richiesti sostituendo nel seguente comando il tuo:
+ Nome di dominio Active Directory () *DOMAINNAME.COM*
+ Preparate l'`$Credential`oggetto per la password dell'account del servizio utilizzando una delle seguenti opzioni.
+ Per generare l'oggetto credenziale in modo interattivo, utilizzate il comando seguente.
```
$Credential = Get-Credential
```
+ Per generare l'oggetto credenziale utilizzando una Gestione dei segreti AWS risorsa, utilizzate il comando seguente.
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ Indirizzi IP del server DNS (*IP\$1ADDRESS\$11*,) *IP\$1ADDRESS\$12*
+ ID di sottorete per le sottoreti in cui intendi creare il FSx file system Amazon (*SUBNET\$11*ad *SUBNET\$12* esempio). `subnet-04431191671ac0d19`
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (Facoltativo) Imposta l'unità organizzativa, il gruppo di amministratori delegati e abilita la convalida delle autorizzazioni degli account di servizio seguendo le istruzioni nel `README.md` file incluso prima di eseguire lo strumento di convalida. DomainControllersMaxCount
**Nota**
Il `Domain Admins` gruppo ha un nome diverso se il sistema operativo non è in inglese. Ad esempio, il gruppo è denominato `Administrateurs du domaine` nella versione francese del sistema operativo. Se non si specifica un valore, viene utilizzato il nome di `Domain Admins` gruppo predefinito e la creazione del file system ha esito negativo.
1. Eseguite lo strumento di convalida utilizzando questo comando.
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. Di seguito è riportato un esempio di esito positivo del test.
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Di seguito è riportato un esempio di risultato di un test con errori.
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Se ricevi avvisi o errori quando esegui lo strumento di convalida, consulta la guida alla risoluzione dei problemi inclusa nel pacchetto dello strumento di convalida () `TROUBLESHOOTING.md` e. [Risoluzione dei problemi con Amazon FSx](troubleshooting.md)
# Unire un FSx file system Amazon a un dominio Microsoft Active Directory autogestito
Quando crei un nuovo file system FSx per Windows File Server, puoi configurare l'integrazione con Microsoft Active Directory in modo che venga aggiunto al tuo dominio Microsoft Active Directory autogestito. A tale scopo, fornisci le seguenti informazioni per Microsoft Active Directory:
+ Il nome di dominio completo (FQDN) della directory Microsoft Active Directory locale.
**Nota**
Amazon FSx attualmente non supporta i domini Single Label Domain (SLD).
+ Gli indirizzi IP dei server DNS del tuo dominio.
+ Credenziali per un account del servizio Active Directory che Amazon FSx utilizza per aggiungere il file system al tuo dominio. Puoi fornirle in uno dei seguenti modi:
+ **Opzione 1**: ARN Gestione dei segreti AWS segreto: il segreto contenente il nome utente e la password per un account di servizio nel dominio Active Directory. Per ulteriori informazioni, consulta [Memorizzazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opzione 2: credenziali** in chiaro
+ **Nome utente dell'account di servizio**: il nome utente dell'account di servizio nel Microsoft Active Directory esistente. Non includere un prefisso o un suffisso di dominio. Ad esempio`EXAMPLE\ADMIN`, solo per. `ADMIN`
+ **Password dell'account di servizio**: la password per l'account di servizio.
È anche possibile specificare:
+ Un'unità organizzativa (OU) specifica all'interno del dominio a cui desideri che il tuo FSx file system Amazon si unisca.
+ Il nome del gruppo di dominio ai cui membri sono concessi i privilegi amministrativi per il FSx file system Amazon. Il nome del gruppo di dominio fornito deve essere univoco in Active Directory.
Dopo aver specificato queste informazioni, Amazon FSx aggiunge il tuo nuovo file system al tuo dominio Active Directory autogestito utilizzando l'account di servizio che hai fornito.
**Importante**
Amazon registra i record DNS per un file system FSx solo se il dominio Active Directory a cui ti stai unendo utilizza Microsoft DNS come DNS predefinito. Se utilizzi un DNS di terze parti, dovrai configurare manualmente le voci DNS per i tuoi FSx file system Amazon dopo aver creato il file system. Per ulteriori informazioni sulla scelta degli indirizzi IP corretti da utilizzare per il file system, consulta. [Ottenere gli indirizzi IP corretti del file system da utilizzare per le immissioni DNS manuali](file-system-ip-addresses-for-dns.md)
## Prima di iniziare
Assicurati di aver completato i [Prerequisiti](self-managed-AD.md#self-manage-prereqs) dettagli in[Utilizzo di un Microsoft Active Directory autogestito](self-managed-AD.md).
## Per creare un file system FSx per Windows File Server unito a un Active Directory (console) autogestito
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Nel pannello di controllo, scegli **Crea file system** per avviare la procedura guidata di creazione del file system.
1. Scegli **FSx Windows File Server**, quindi scegli **Avanti**. Viene visualizzata la pagina **Crea file system**.
1. Fornisci un nome per il tuo file system. È possibile utilizzare un massimo di 256 lettere Unicode, spazi bianchi e numeri, oltre ai caratteri speciali \$1 - =. \$1:/
1. Per **Capacità di archiviazione**, immettere la capacità di archiviazione del file system, in GiB. Se utilizzi l'archiviazione SSD, inserisci un numero intero compreso tra 32 e 65.536. Se utilizzi l'archiviazione su HDD, inserisci un numero intero compreso tra 2.000 e 65.536. È possibile aumentare la capacità di archiviazione in base alle esigenze in qualsiasi momento dopo la creazione del file system. Per ulteriori informazioni, consulta [Gestione della capacità di storage](managing-storage-configuration.md#managing-storage-capacity).
1. Mantieni **Capacità di velocità effettiva** sul valore di default. La **capacità di throughput** è la velocità sostenuta alla quale il file server che ospita il file system può fornire i dati. L'impostazione della **capacità di throughput consigliata** si basa sulla quantità di capacità di archiviazione scelta. Se hai bisogno di una capacità di throughput superiore a quella consigliata, scegli **Specificare la capacità di throughput**, quindi scegli un valore. Per ulteriori informazioni, consulta [FSx per le prestazioni di Windows File ServerPerformance](performance.md).
È possibile modificare la capacità di throughput in base alle esigenze in qualsiasi momento dopo aver creato il file system. Per ulteriori informazioni, consulta [Gestione della capacità di throughput](managing-throughput-capacity.md).
1. Scegli il VPC che desideri associare al tuo file system. Ai fini di questo esercizio introduttivo, scegli lo stesso VPC utilizzato per la Directory Service directory e l'istanza Amazon EC2.
1. **Scegli un valore qualsiasi per le **zone di disponibilità** e la sottorete.**
1. Per i **gruppi di sicurezza VPC**, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la rete VPC ACLs per le sottoreti in cui stai creando il FSx file system consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
![\[FSx per i requisiti di configurazione delle porte di Windows File Server per i gruppi di sicurezza VPC e la rete ACLs per le sottoreti in cui viene creato il file system.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Nella tabella seguente è indicato il ruolo di ciascuna porta.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**Importante**
L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.
**Nota**
Se utilizzi una rete VPC ACLs, devi anche consentire il traffico in uscita su porte dinamiche (49152-65535) dal tuo file system. FSx
+ Regole in uscita per consentire tutto il traffico verso gli indirizzi IP associati ai server DNS e ai controller di dominio per il dominio Microsoft Active Directory autogestito. Per ulteriori informazioni, consulta la [documentazione Microsoft sulla configurazione del firewall per le comunicazioni con Active Directory](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts).
+ Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio, server DNS, client e amministratori di Active Directory. FSx FSx
**Nota**
Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC associato al tuo file system FSx Amazon siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti nel tuo VPC e le sottoreti negli altri siti. È possibile visualizzare e modificare queste impostazioni utilizzando lo snap-in MMC di Active Directory Sites and Services.
**Importante**
Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e delle reti VPC richiedono che le porte siano aperte in ACLs entrambe le direzioni.
1. Per **l'autenticazione Windows**, scegli **Microsoft Active Directory autogestito**.
1. Immettere un valore per **Nome di dominio completo** per la directory Microsoft Active Directory autogestita.
**Nota**
Il nome di dominio non deve essere nel formato SLD (Single Label Domain). Amazon FSx attualmente non supporta i domini SLD.
**Importante**
Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio Active Directory non può superare i 47 caratteri.
1. Immettere un valore per **Unità organizzativa** per la directory Microsoft Active Directory autogestita.
**Nota**
Assicurati che l'account di servizio fornito disponga delle autorizzazioni delegate all'unità organizzativa specificata qui o all'unità organizzativa predefinita se non ne specifichi una.
1. Immettere almeno uno e non più di due valori per **gli indirizzi IP del server DNS** per la directory Microsoft Active Directory autogestita.
1. **Credenziali dell'account di servizio**: scegli come fornire le credenziali del tuo account di servizio:
+ **Opzione 1**: ARN Gestione dei segreti AWS segreto: il segreto contenente il nome utente e la password per un account di servizio nel dominio Active Directory. Per ulteriori informazioni, consulta [Memorizzazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opzione 2: credenziali** in chiaro
+ **Nome utente dell'account di servizio**: il nome utente dell'account di servizio nel Microsoft Active Directory esistente. Non includere un prefisso o un suffisso di dominio. Ad esempio`EXAMPLE\ADMIN`, solo per. `ADMIN`
+ **Password dell'account di servizio**: la password per l'account di servizio.
+ **Conferma password**: la password per l'account di servizio.
**Importante**
NON includere un prefisso di dominio (`corp.com\ServiceAcct`) o un suffisso di dominio (`ServiceAcct@corp.com`) quando si immette il nome utente dell'**account del Servizio**.
NON utilizzate il nome distinto (DN) quando inserite il nome **utente dell'account di servizio** (`CN=ServiceAcct,OU=example,DC=corp,DC=com`).
1. Per il **gruppo Delegated file system administrators**, specifica il `Domain Admins` gruppo o un gruppo di amministratori di file system delegati personalizzato (se ne hai creato uno). Il gruppo specificato deve avere l'autorità delegata per eseguire attività amministrative sul file system. Se non fornisci un valore, Amazon FSx utilizza il `Domain Admins` gruppo Builtin. Tieni presente che Amazon FSx non supporta la presenza di un contenitore `Delegated file system administrators group` (il `Domain Admins` gruppo o un gruppo personalizzato specificato) che si trova nel contenitore Builtin.
**Importante**
Se non fornisci un **gruppo di amministratori di file system delegati**, per impostazione predefinita Amazon FSx tenta di utilizzare il `Domain Admins` gruppo Builtin nel tuo dominio Active Directory. Se il nome di questo gruppo Builtin è stato modificato o se utilizzi un gruppo diverso per l'amministrazione del dominio, devi fornire quel nome per il gruppo qui.
**Importante**
NON includete un prefisso di dominio (corp.com\$1 FSx Admins) o un suffisso di dominio (FSxAdmins@corp.com) quando fornite il parametro del nome del gruppo.
NON utilizzate il nome distinto (DN) per il gruppo. Un esempio di nome distinto è CN= FSx Admins, OU=example, DC=corp, DC=com.
## Per creare un file system FSx per Windows File Server unito a un Active Directory autogestito ()AWS CLI
L'esempio seguente crea un file system FSx per Windows File Server con una `SelfManagedActiveDirectoryConfiguration` nella zona di `us-east-2` disponibilità.
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**Importante**
Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.
# Ottenere gli indirizzi IP corretti del file system da utilizzare per le immissioni DNS manuali
Amazon registra i record DNS per un file system FSx solo se utilizzi Microsoft DNS come servizio DNS predefinito. Se utilizzi un DNS di terze parti, dovrai configurare manualmente le voci DNS per i tuoi FSx file system Amazon. Questa sezione descrive come ottenere gli indirizzi IP corretti del file system da utilizzare se è necessario aggiungere manualmente il file system al DNS. Tieni presente che una volta creato un file system, i relativi indirizzi IP non cambiano finché il file system non viene eliminato.
**Come ottenere gli indirizzi IP del file system da utilizzare per le voci DNS A**
1. Nella [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/), scegli il file system di cui desideri ottenere l'indirizzo IP per visualizzare la pagina dei dettagli del file system.
1. Nella scheda **Rete e sicurezza**, effettuate una delle seguenti operazioni:
+ Per i file system Single-AZ 1:
+ Nel pannello **Subnet**, scegli l'interfaccia di rete elastica mostrata in **Interfaccia di rete** per aprire la pagina **Interfacce di rete** nella console Amazon EC2.
+ L'indirizzo IP da utilizzare per il file system Single-AZ 1 è indicato nella colonna IP privato **primario**. IPv4
+ Per i file system Single-AZ 2 o Multi-AZ:
+ Nel pannello **Preferred subnet**, scegli l'interfaccia di rete elastica mostrata in **Interfaccia di rete** per aprire la pagina **Interfacce di rete** nella console Amazon EC2.
+ L'indirizzo IP della sottorete preferita da utilizzare è mostrato nella colonna IP privato **secondario**. IPv4
+ Nel pannello della **sottorete Amazon FSx Standby**, scegli l'interfaccia di rete elastica mostrata in **Interfaccia di rete** per aprire la pagina **Interfacce di rete** nella console Amazon EC2.
+ **L'indirizzo IP della sottorete di standby da utilizzare è mostrato nella colonna IP privato secondario. IPv4 **
**Nota**
**Se è necessario configurare voci DNS per Windows Remote PowerShell Endpoint per file system Single-AZ 2 o Multi-AZ, è necessario utilizzare l'** IPv4 indirizzo privato primario** per l'interfaccia di rete elastica per la sottorete Preferred.** Per ulteriori informazioni, consulta [Utilizzo dell'Amazon FSx CLI per PowerShell](administering-file-systems.md#remote-pwrshell).
# Aggiornamento di una configurazione di Active Directory autogestita
Per garantire la disponibilità continua e ininterrotta del tuo FSx file system Amazon, devi aggiornare la configurazione di Active Directory del file system quando cambia una delle seguenti proprietà di Active Directory:
+ Gli indirizzi IP del server DNS
+ Le credenziali dell'account di servizio dell'Active Directory autogestito
Quando aggiorni la configurazione autogestita di Active Directory per il tuo FSx file system Amazon, lo stato del file system passa da **Disponibile** a **Aggiornamento** durante l'applicazione dell'aggiornamento. Verifica che lo stato torni a **Disponibile** dopo l'applicazione dell'aggiornamento: tieni presente che il completamento dell'aggiornamento può richiedere fino a diversi minuti. Per ulteriori informazioni, consulta [Monitoraggio degli aggiornamenti di Active Directory gestiti autonomamente](monitor-self-ad-update.md).
**Se c'è un problema con la configurazione aggiornata di Active Directory autogestita, lo stato del file system passa a Configurato erroneamente.** Questo stato mostra un messaggio di errore e l'azione correttiva consigliata accanto alla descrizione del file system nella console, nell'API e nella CLI. **Dopo aver intrapreso l'azione correttiva consigliata, verifica che lo stato del file system passi infine a Disponibile.**
**Importante**
Se aggiorni il file system con un nuovo account di servizio, assicurati che il nuovo account di servizio disponga delle autorizzazioni di **controllo completo** per gli oggetti informatici esistenti associati al file system.
Per informazioni sulla risoluzione di possibili problemi relativi alle configurazioni di Active Directory autogestite, consulta. [Il file system è in uno stato configurato in modo errato](misconfigured-ad-config.md)
Puoi utilizzare Amazon FSx API o aggiornare le Console di gestione AWS credenziali dell'account AWS CLI di servizio e gli indirizzi IP del server DNS della configurazione Active Directory autogestita di un file system. Puoi monitorare lo stato di avanzamento di un aggiornamento della configurazione di Active Directory autogestito in qualsiasi momento utilizzando la Console di gestione AWS CLI e l'API. Per ulteriori informazioni, consulta [Monitoraggio degli aggiornamenti di Active Directory gestiti autonomamente](monitor-self-ad-update.md).
**Per aggiornare la configurazione di Active Directory autogestita (console)**
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Passa a **File system** e scegli il file system Windows per il quale desideri aggiornare la configurazione autogestita di Active Directory.
1. Nella scheda **Rete e sicurezza**, quindi scegli **Aggiorna** per **gli indirizzi IP del server DNS** o per il nome utente dell'account di servizio, a seconda delle proprietà di Active Directory che stai aggiornando.
1. Inserisci i nuovi indirizzi IP del server DNS o le nuove credenziali dell'account di servizio (nome utente e password) o l'ARN segreto nella finestra di dialogo che appare. È possibile utilizzare Gestione dei segreti AWS per memorizzare le credenziali. Per ulteriori informazioni, consulta [Memorizzazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
1. Scegli **Aggiorna** per avviare l'aggiornamento della configurazione di Active Directory.
È possibile [monitorare l'avanzamento dell'aggiornamento](monitor-self-ad-update.md) utilizzando Console di gestione AWS o il AWS CLI.
**Per aggiornare la configurazione di Active Directory (CLI) autogestita**
+ Per aggiornare la configurazione di Active Directory autogestita di un file system FSx per Windows File Server, utilizzare il comando. AWS CLI [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) Imposta i seguenti parametri:
+ `--file-system-id`all'ID del file system che stai aggiornando.
+ `UserName`il nuovo nome utente per l'account del servizio Active Directory autogestito.
+ `Password`la nuova password per l'account del servizio Active Directory autogestito.
+ `DomainJoinServiceAccountSecret`il Gestione dei segreti AWS segreto contenente il nome utente e la password per un account di servizio nel dominio Active Directory
**Nota**
Non puoi fornire entrambi username/password e un account segreto del servizio di accesso al dominio per connetterti ad Active Directory. Fornisci solo un set di credenziali.
+ `DnsIps`gli indirizzi IP per i server DNS di Active Directory autogestiti.
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
Se l'azione di aggiornamento ha esito positivo, il servizio restituisce una risposta HTTP 200. L'`AdminstrativeActions`oggetto nella risposta descrive la richiesta e il relativo stato.
# Modifica dell'account del FSx servizio Amazon
Se aggiorni il file system con un nuovo account di servizio, il nuovo account di servizio deve disporre delle autorizzazioni e dei privilegi necessari per accedere ad Active Directory e disporre delle autorizzazioni di **controllo completo** per gli oggetti informatici esistenti associati al file system. Inoltre, assicurati che il nuovo account di servizio faccia parte degli account affidabili con l'impostazione dei **Criteri di gruppo** abilitata **Controller di dominio: consenti il riutilizzo dell'account del computer durante** l'aggiunta al dominio.
Consigliamo vivamente di utilizzare un gruppo Active Directory per gestire le autorizzazioni e le configurazioni di Active Directory associate agli account di servizio.
Quando modifichi l'account di servizio per Amazon FSx, assicurati che gli account di servizio abbiano le seguenti impostazioni:
+ Il nuovo account di servizio (o il gruppo Active Directory di cui è membro) dispone delle autorizzazioni di **controllo completo** per gli oggetti informatici esistenti associati al file system.
+ Gli account di servizio nuovi e precedenti (o il gruppo Active Directory di cui fanno parte) fanno parte degli account attendibili (o gruppo attendibile di Active Directory) con il **controller di dominio: Consenti il riutilizzo degli account del computer durante l'aggiunta al dominio. L'impostazione Criteri** di gruppo è abilitata su tutti i controller di dominio in Active Directory.
Se gli account di servizio non soddisfano questi requisiti, potrebbero verificarsi le seguenti condizioni:
+ Per i file system Single-AZ, il file system potrebbe diventare **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**.
+ Per i file system Multi-AZ, il file system potrebbe non essere configurato correttamente e il nome dell'endpoint potrebbe **[cambiare](administering-file-systems.md#file-system-lifecycle-states)**. RemotePowerShell
## Configurazione dei criteri di gruppo di un controller di dominio
La seguente [procedura consigliata da Microsoft](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) descrive come utilizzare i Criteri di gruppo del controller di dominio per configurare i criteri di elenco consentiti.
**Per configurare i criteri di elenco consentiti di un controller di dominio**
1. Installa gli aggiornamenti di Microsoft Windows del 12 settembre 2023 o successivi su tutti i computer membri e i controller di dominio nel tuo Microsoft Active Directory autogestito.
1. In una politica di gruppo nuova o esistente che si applica a tutti i controller di dominio nell'Active Directory autogestito, configura le seguenti impostazioni.
1. Passa a **Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza> Criteri locali>Opzioni di sicurezza**.
1. Fai **doppio clic su Controller di dominio: consenti il riutilizzo dell'account del computer durante l'aggiunta al dominio.**
1. Seleziona **Definisci questa impostazione dei criteri** e.
1. Utilizza il selettore di oggetti per aggiungere utenti o gruppi di creatori e proprietari di account di computer affidabili all'autorizzazione **Consenti**. (Come procedura consigliata, consigliamo vivamente di utilizzare i gruppi per le autorizzazioni.) **Non aggiungere l'account utente che esegue l'aggiunta al dominio.**
**avvertimento**
Limita l'adesione alla policy agli utenti e agli account di servizio attendibili. Non aggiungere utenti autenticati, tutti o altri gruppi di grandi dimensioni a questa politica. Aggiungi invece utenti e account di servizio attendibili specifici ai gruppi e aggiungi tali gruppi alla politica.
1. Attendi l'intervallo di aggiornamento dei criteri di gruppo o eseguili **gpupdate /force** su tutti i controller di dominio.
1. Verificate che la chiave di registro HKLM\$1 System\$1 CCS\$1 Control\$1 SAM — «ComputerAccountReuseAllowList» sia compilata con l'SDDL desiderato. **Non modificate manualmente il registro**.
1. Tentativo di accedere a un computer su cui sono installati gli aggiornamenti del 12 settembre 2023 o successivi. Assicurati che uno degli account elencati nella politica sia proprietario dell'account del computer. Assicurati inoltre che nel registro non sia abilitata la **NetJoinLegacyAccountReuse**chiave (impostata su 1). Se l'aggiunta al dominio non riesce, controlla **`c:\windows\debug\netsetup.log`**.
# Monitoraggio degli aggiornamenti di Active Directory gestiti autonomamente
Puoi monitorare lo stato di avanzamento di un aggiornamento della configurazione di Active Directory autogestito utilizzando Console di gestione AWS, l'API o il AWS CLI, come descritto nelle seguenti procedure.
Quando si aggiorna la configurazione di Active Directory autogestita del file system, lo stato del file system passa da **Disponibile** a **Aggiornamento durante l'**applicazione dell'aggiornamento. **Una volta completato l'aggiornamento, lo stato torna a Disponibile.** Il completamento di un aggiornamento della configurazione di Active Directory può richiedere fino a diversi minuti.
## Monitoraggio degli aggiornamenti nella console
Nella scheda **Aggiornamenti** della finestra dei **dettagli del file system**, puoi visualizzare i 10 aggiornamenti più recenti per ogni tipo di aggiornamento.
![\[Schermata della console che mostra l'elenco degli aggiornamenti recenti.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
Per gli aggiornamenti di Active Directory autogestiti, puoi visualizzare le seguenti informazioni.
****Tipo di aggiornamento****
I tipi supportati sono i seguenti:
+ Indirizzo IP del server DNS
+ Credenziali dell'account di servizio
****Target value (Valore target)****
Il valore desiderato a cui aggiornare la proprietà del file system. Per gli aggiornamenti **delle credenziali degli account di servizio**, viene visualizzato solo il nome utente, le password degli account di servizio non vengono mai incluse in questo campo.
****Stato****
Lo stato attuale dell'aggiornamento. Per gli aggiornamenti di Active Directory autogestiti, i valori possibili sono i seguenti:
+ **In sospeso**: Amazon FSx ha ricevuto la richiesta di aggiornamento, ma non ha avviato l'elaborazione.
+ **In corso**: Amazon FSx sta elaborando la richiesta di aggiornamento.
+ **Completato**: l'aggiornamento del file system è stato completato correttamente.
+ **Non riuscito**: l'aggiornamento del file system non è riuscito. Scegli il punto interrogativo (**?** ) per visualizzare i dettagli sull'errore.
****Progresso%****
Visualizza lo stato di avanzamento dell'aggiornamento del file system come percentuale di completamento.
****Orario della richiesta****
L'ora in cui Amazon FSx ha ricevuto la richiesta di azione di aggiornamento.
## Monitoraggio degli aggiornamenti tramite l'API AWS CLI and
È possibile visualizzare e monitorare le richieste di aggiornamento del file system in corso utilizzando il [describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI comando e l'azione [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API. L'`AdministrativeActions`array elenca le 10 azioni di aggiornamento più recenti per ogni tipo di azione amministrativa.
L'esempio seguente mostra un estratto della risposta di un comando CLI**describe-file-systems**. L'output mostra due aggiornamenti del file system di Active Directory autogestiti.
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```