翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon FSx for Windows File Server へのオペレーションのカットオーバー
オンプレミスのファイルストレージ、ファイル共有設定、および DNS 設定を移行したら、次のステップは FSx for Windows File Server ファイルシステムにオペレーションを引き継ぐことです。FSx for Windows File Server のファイルシステムにカットオーバーするには、次のステップを実行します。
カットオーバーの準備をします。
SMB クライアントを元のファイルシステムから一時的に切断します。
最終ファイルとファイル共有設定の同期を実行します。
Amazon FSx ファイルシステムのサービスプリンシパル名 (SPN) を設定します。
DNS CNAME レコードを更新して、Amazon FSx ファイルシステムを指定します。
これらの各ステップを実行する手順は、後に続くセクションで説明します。
Amazon FSx へのカットオーバーの準備
Amazon FSx ファイルシステムへのカットオーバーを準備するには、次の操作を行う必要があります。
元のファイルシステムに書き込むすべてのクライアントを切断します。
AWS DataSync または Robocopy を使用して最終ファイル同期を実行します。詳細については、「FSx for Windows File Server に既存のファイルストレージを移行する」を参照してください。
最終ファイル共有設定の同期を実行します。詳細については、「オンプレミスのファイル共有設定を Amazon FSx に移行する」を参照してください。
Kerberos 認証用の SPN の設定
Amazon FSx との転送中に、Kerberos ベースの認証と暗号化を使用することをお勧めします。Kerberos は、ファイルシステムにアクセスするクライアントに最も安全な認証を提供します。DNS エイリアスを使用して Amazon FSx にアクセスするクライアントの Kerberos 認証を有効にするには、Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクトの DNS エイリアスに対応するサービスプリンシパル名 (SPN) を追加する必要があります。
Kerberos 認証には必要な SPN が 2 つあります。
HOST/aliasHOST/alias.domain
例として、エイリアスが finance.domain.com の場合、必要な 2 つの SPN は以下の通りです。
HOST/finance HOST/finance.domain.com
SPN は、一度に 1 つのアクティブディレクトリコンピュータオブジェクトにのみ関連付けることができます。元のファイルシステムの アクティブディレクトリコンピュータオブジェクトに設定された DNS 名の既存 SPN がある場合は、Amazon FSx ファイルシステムの SPN を作成する前にそれらを削除する必要があります。
次の手順では、既存の SPN を検索して削除し、Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクトの既存 SPN を作成する方法について説明します。
必要な PowerShell アクティブディレクトリモジュールをインストールするには
-
Amazon FSx ファイルシステムが参加しているアクティブディレクトリに参加している Windows インスタンスにログオンします。
管理者として PowerShell を開きます。
次のコマンドを使用して、PowerShell アクティブディレクトリのモジュールをインストールします。
Install-WindowsFeature RSAT-AD-PowerShell
元のファイルシステムのアクティブディレクトリコンピュータオブジェクト上で、既存の DNS エイリアス SPN を検索して削除するには
次のコマンドを使用して、既存の SPN を検索します。
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])次のスクリプティング例を使用して、前のステップで返された既存の HOST SPN を削除します。
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
オンプレミス DNS 設定の FSx for Windows File Server への移行 のファイルシステムに関連付けた各 DNS エイリアスで、これらのステップを繰り返します。
Amazon FSx ファイルシステムの アクティブディレクトリコンピュータオブジェクトに SPN を設定するには
次のコマンドを実行して、Amazon FSx ファイルシステムの新しい SPN を設定します。
file_system_DNS_nameAmazon FSx コンソールでファイルシステムの DNS 名を検索するには、[File Systems] (ファイルシステム) を選択し、ユーザーのファイルシステムを選択します。ファイルシステム詳細ページの [Network & security] (ネットワークとセキュリティ) ペインを選択します。DNS 名は、DescribeFileSystems API オペレーションのレスポンスで取得することもできます。
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name注記
元のファイルシステムのコンピュータオブジェクトの AD に DNS エイリアスの SPN が存在する場合、Amazon FSx ファイルシステムの SPN の設定は失敗します。既存の SPN の検索および削除については、「元のファイルシステムのアクティブディレクトリコンピュータオブジェクト上で、既存の DNS エイリアス SPN を検索して削除するには」を参照してください。
-
次のスクリプティング例を使用して、新しい SPN が DNS エイリアス用に設定されていることを確認します。レスポンスに 2 つの HOST SPN、
HOST/およびaliasHOST/が含まれていることを確認します。alias_fqdnfile_system_DNS_nameDNS 名は、DescribeFileSystems API オペレーションのレスポンスで取得することもできます。
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
オンプレミス DNS 設定の FSx for Windows File Server への移行 でファイルシステムに関連付けた DNS エイリアスごとに、前のステップを繰り返します。
注記
アクティブディレクトリで次のグループポリシーオブジェクト (GPO) を設定することにより、DNS エイリアスを使用してファイルシステムに接続しているクライアントとの転送中に Kerberos 認証と暗号化を適用できます。
NTLM の制限: リモートサーバーへの発信 NTLM トラフィック
NTLM の制限: NTLM 認証のリモートサーバー例外の追加
詳細については、「チュートリアル 5: DNS エイリアスを使用してファイルシステムにアクセスする」の「グループポリシーオブジェクトを使用した Kerberos 認証の強制 (GPOs)」を参照してください。
Amazon FSx ファイルシステムの DNS CNAME レコードを更新する
ファイルシステムの SPN を適切に設定した後、元のファイルシステムに解決された各 DNS レコードを、Amazon FSx ファイルシステムのデフォルトの DNS 名に解決する DNS レコードに置き換えることによって、Amazon FSx にカットオーバーできます。
必要な PowerShell cmdlets をインストールするには
-
DNS 管理許可を持つグループのメンバーユーザーとして、Amazon FSx ファイルシステムが参加する Active Directory に結合された、Windows インスタンスにログオンします (AWS Managed Microsoft Active Directory の AWS 委任されたドメイン名システム管理者、および ドメイン管理者 または、セルフマネージド Active Directoryで DNS 管理許可を委任した別のグループ)
詳細については、「Amazon EC2 ユーザーガイド」の「Windows インスタンスに接続する」を参照してください。
管理者として PowerShell を開きます。
この手順の指示を実行するには、PowerShell DNS サーバーモジュールが必要です。次のコマンドを使用してインストールします。
Install-WindowsFeature RSAT-DNS-Server
既存の DNS CNAME レコードを更新するには
次のスクリプティングは、Amazon FSx ファイルシステムのコンピュータオブジェクトに、
alias_fqdnalias_fqdnスクリプティングを実行するには。
alias_fqdnfile_system_DNS_name
$Alias="alias_fqdn" $FSxDnsName="file_system_dns_name" $AliasHost=$Alias.Split('.')[0] $ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain) $DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0] Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName-
オンプレミス DNS 設定の FSx for Windows File Server への移行 でファイルシステムに関連付けた DNS エイリアスごとに、前述のステップを繰り返します。
