翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Kerberos のサービスプリンシパル名 (SPN) を設定する
Amazon FSx との転送中に、Kerberos ベースの認証と暗号化を使用することをお勧めします。Kerberos は、ファイルシステムにアクセスするクライアントに最も安全な認証を提供します。
DNS エイリアスを使用して Amazon FSx にアクセスするクライアントに対して Kerberos 認証を有効にするには、Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクトの DNS エイリアスに対応するサービスプリンシパル名 (SPN) を追加する必要があります。SPN は、一度に 1 つのアクティブディレクトリのコンピュータオブジェクトにのみ関連付けることができます。元のファイルシステムのアクティブディレクトリコンピュータオブジェクトに対して設定された DNS 名の既存の SPN がある場合は、まずそれらを削除する必要があります。
Kerberos 認証に必要な SPN は 2 つあります。
HOST/aliasHOST/alias.domain
エイリアスが finance.domain.com の場合、必要な SPN は次の 2 つです。
HOST/finance HOST/finance.domain.com
注記
Amazon FSx ファイルシステムのアクティブディレクトリ (AD) コンピュータオブジェクトの新しいホスト SPN を作成する前に、アクティブディレクトリコンピュータオブジェクトの DNS エイリアスに対応する既存のホスト SPN を削除する必要があります。AD に DNS エイリアスの SPN が存在する場合、Amazon FSx ファイルシステムの SPN を設定しようとすると失敗します。
次の手順では、その方法を説明します。
元のファイルシステムのアクティブディレクトリコンピュータオブジェクト上の既存の DNS エイリアス SPN を検索します。
既存の SPN が見つかった場合、削除します。
Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクト用の新しい DNS エイリアス SPN を作成します。
必要な PowerShell アクティブディレクトリのモジュールをインストールするには
-
Amazon FSx ファイルシステムが接続しているアクティブディレクトリに接続している Windows インスタンスにログオンします。
管理者として PowerShell を開きます。
次のコマンドを使用して、PowerShell アクティブディレクトリのモジュールをインストールします。
Install-WindowsFeature RSAT-AD-PowerShell
元のファイルシステムのアクティブディレクトリコンピュータオブジェクト上で、既存の DNS エイリアス SPN を検索して削除するには
アクティブディレクトリ内のコンピュータオブジェクト上の別のファイルシステムに割り当てた DNS エイリアスに SPN が設定されている場合は、ファイルシステムのコンピュータオブジェクトに SPN を追加する前に、まずこれらの SPN を削除する必要があります。
次のコマンドを使用して、既存の SPN を検索します。
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])次のスクリプティング例を使用して、前のステップで返された既存の HOST SPN を削除します。
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
ステップ 1 でファイルシステムに関連付けた各 DNS エイリアスについて、これまでの手順を繰り返します。
Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクトに SPN を設定するには
次のコマンドを実行して、Amazon FSx ファイルシステムの新しい SPN を設定します。
file_system_DNS_nameAmazon FSx コンソールでファイルシステムの DNS 名を確認するには、ファイルシステムを選択し、自分のファイルシステムを選択し、ファイルシステムの詳細ページのネットワークとセキュリティペインを選択します。
また、DescribeFileSystems API オペレーションのレスポンスで DNS 名を取得することもできます。
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name注記
元のファイルシステムのコンピュータオブジェクトの AD に、DNS エイリアスの SPN が存在する場合は、Amazon FSx ファイルシステムの SPN の設定は失敗します。既存の SPN の検索および削除については、「元のファイルシステムのアクティブディレクトリコンピュータオブジェクト上で、既存の DNS エイリアス SPN を検索して削除するには」を参照してください。
-
次のスクリプティング例を使用して、新しい SPN が DNS エイリアス用に設定されていることを確認します。この手順で前述したように、レスポンスに 2 つのホスト SPN (
HOST/とaliasHOST/) が含まれていることを確認します。alias_fqdnfile_system_DNS_nameまた、DescribeFileSystems API オペレーションのレスポンスで DNS 名を取得することもできます。
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
ステップ 1 でファイルシステムに関連付けた各 DNS エイリアスについて、これまでの手順を繰り返します。
