翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon FSx for Windows File Server へのオペレーションのカットオーバー
オンプレミスのファイルストレージ、ファイル共有設定、およびDNS設定を移行した後、次のステップでは、オペレーションを FSx for Windows File Server ファイルシステムにカットオーバーします。FSx for Windows File Server ファイルシステムにカットオーバーするには、次の手順を実行します。
カットオーバーの準備をします。
SMB クライアントを元のファイルシステムから一時的に切断します。
最終ファイルとファイル共有設定の同期を実行します。
Amazon FSx ファイルシステムのサービスプリンシパル名 (SPNs) を設定します。
Amazon FSx ファイルシステムを指すようにDNSCNAMEレコードを更新します。
これらの各ステップを実行する手順は、後に続くセクションで説明します。
Amazon へのカットオーバーの準備 FSx
Amazon FSx ファイルシステムへのカットオーバーを準備するには、以下を実行する必要があります。
元のファイルシステムに書き込むすべてのクライアントを切断します。
AWS DataSync または Robocopy を使用して最終ファイル同期を実行します。詳細については、「for Windows File Server への既存のファイルストレージFSxの移行」を参照してください。
最終ファイル共有設定の同期を実行します。詳細については、「オンプレミスのファイル共有設定を Amazon に移行する FSx」を参照してください。
Kerberos 認証SPNs用に を設定する
Amazon で転送中は、Kerberos ベースの認証と暗号化を使用することをお勧めしますFSx。Kerberos は、ファイルシステムにアクセスするクライアントに最も安全な認証を提供します。エイリアスFSxを使用して Amazon にアクセスするクライアントの Kerberos DNS 認証を有効にするには、Amazon FSx ファイルシステムの Active Directory DNS コンピュータオブジェクトのエイリアスに対応するサービスプリンシパル名 (SPNs) を追加する必要があります。
Kerberos 認証SPNsには 2 つの が必要です。
HOST/aliasHOST/alias.domain
例えば、エイリアスが の場合finance.domain.com、必要な 2 つの項目SPNsは次のとおりです。
HOST/finance HOST/finance.domain.com
は、一度に 1 つの Active Directory コンピュータオブジェクトにのみ関連付けSPNることができます。元のファイルシステムの Active Directory コンピュータオブジェクトに設定されたSPNsDNS名前に既存の がある場合は、Amazon FSx ファイルシステムSPNs用に を作成する前にそれらを削除する必要があります。
次の手順では、既存の を検索しSPNs、削除して、Amazon FSx ファイルシステムの Active Directory コンピュータオブジェクトSPNs用に新しい を作成する方法について説明します。
必要な PowerShell Active Directory モジュールをインストールするには
-
Amazon FSx ファイルシステムが参加している Active Directory に参加している Windows インスタンスにログオンします。
管理者 PowerShell として を開きます。
次のコマンドを使用して PowerShell Active Directory モジュールをインストールします。
Install-WindowsFeature RSAT-AD-PowerShell
元のファイルシステムの Active Directory DNS コンピュータオブジェクトSPNsで既存のエイリアスを検索して削除するには
次のコマンドSPNsを使用して、既存の を検索します。を、 DNS のファイルシステムに関連付けられたエイリアス
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])次のサンプルスクリプトを使用して、前のステップでHOSTSPNs返された既存の を削除します。
を、 DNS のファイルシステムに関連付けられた完全なエイリアス
alias_fqdnを元のファイルシステムDNSの名前
file_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
でファイルシステムに関連付けたエイDNSリアスごとに、これらの手順を繰り返しますfor Windows File Server へのオンプレミスDNS設定FSxの移行。
Amazon FSx ファイルシステムの Active Directory コンピュータオブジェクトSPNsで を設定するには
次のコマンドを実行して、SPNsAmazon FSx ファイルシステムに新しい を設定します。
を、Amazon がファイルシステムにFSx割り当てたDNS名前
file_system_DNS_nameAmazon FSxコンソールでファイルシステムDNSの名前を検索するには、ファイルシステム を選択し、ファイルシステムを選択します。ファイルシステム詳細ページの [Network & security] (ネットワークとセキュリティ) ペインを選択します。DescribeFileSystems API オペレーションのレスポンスでDNS名前を取得することもできます。
を、 DNS のファイルシステムに関連付けられた完全なエイリアス
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name注記
エイリアスの が元のFSxファイルシステムのコンピュータオブジェクトSPNの AD DNS に存在する場合、Amazon ファイルシステムの の設定は失敗SPNします。既存の の検索と削除については、SPNs「」を参照してください元のファイルシステムの Active Directory DNS コンピュータオブジェクトSPNsで既存のエイリアスを検索して削除するには。
-
次のサンプルスクリプトを使用して、新しい DNS がエイリアス用に設定SPNsされていることを確認します。レスポンスに 2 つの HOST SPNs、
HOST/、および が含まれていることを確認しますaliasHOST/。alias_fqdnを、Amazon がファイルシステムにFSx割り当てたDNS名前
file_system_DNS_nameDescribeFileSystems API オペレーションのレスポンスでDNS名前を取得することもできます。
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
でファイルシステムに関連付けたエイDNSリアスごとに、前の手順を繰り返しますfor Windows File Server へのオンプレミスDNS設定FSxの移行。
注記
Active Directory で次のグループポリシーオブジェクト (GPOs) DNS を設定することで、エイリアスを使用してファイルシステムに接続するクライアントで転送中の Kerberos 認証と暗号化を強制できます。
制限NTLM: リモートサーバーへの送信NTLMトラフィック
制限NTLM: NTLM認証にリモートサーバーの例外を追加する
詳細については、グループポリシーオブジェクトを使用した Kerberos 認証の適用 (GPOs)「チュートリアル 5: DNS エイリアスを使用してファイルシステム にアクセスする」の「」を参照してください。
Amazon FSx ファイルシステムのDNSCNAMEレコードを更新する
SPNs ファイルシステムに を適切に設定したら、元のファイルシステムに解決された各DNSレコードを、Amazon ファイルシステムのデフォルトDNS名に解決されたDNSレコードに置き換えFSxることで、Amazon にカットオーバーできますFSx。
必要な PowerShell コマンドレットをインストールするには
-
Amazon FSx ファイルシステムが参加している Active Directory に参加している Windows インスタンスに、DNS管理権限を持つグループのメンバーであるユーザーとしてログオンします ( AWS Managed Microsoft Active Directory のAWS 委任されたドメインネームシステム管理者、およびセルフマネージド Active Directory DNSの管理権限を委任したドメイン管理者または別のグループ)。
詳細については、「Amazon ユーザーガイド」の「Windows インスタンスへの接続」を参照してください。 EC2
管理者 PowerShell として を開きます。
この手順の手順を実行するには、 PowerShell DNSサーバーモジュールが必要です。次のコマンドを使用してインストールします。
Install-WindowsFeature RSAT-DNS-Server
既存のDNSCNAMEレコードを更新するには
次のスクリプトは、 の既存のDNSCNAMEレコードを Amazon FSx ファイルシステムのコンピュータオブジェクト
alias_fqdnalias_fqdnスクリプティングを実行するには:
を、ファイルシステムに関連付けられたDNSエイリアス
alias_fqdnを、Amazon FSx がファイルシステムに割り当てたデフォルトDNS名
file_system_DNS_name
$Alias="alias_fqdn" $FSxDnsName="file_system_dns_name" $AliasHost=$Alias.Split('.')[0] $ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain) $DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0] Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName-
でファイルシステムに関連付けたエイDNSリアスごとに、前のステップを繰り返しますfor Windows File Server へのオンプレミスDNS設定FSxの移行。
