Windows File Server용 Amazon FSx로 작업 축소 - Amazon FSx for Windows 파일 서버
Amazon FSx로 전환하기 위한 준비Kerberos 인증에 대한 SPN 구성Amazon FSx 파일 시스템의 DNS CNAME 레코드 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Windows File Server용 Amazon FSx로 작업 축소

온프레미스 파일 스토리지, 파일 공유 구성 및 DNS 구성을 마이그레이션한 후 다음 단계는 작업을 Windows File Server용 FSx 파일 시스템으로 축소하는 것입니다. FSx for Windows File Server 파일 시스템으로 전환하려면 다음 단계를 수행합니다.

  • 전환을 준비합니다.

    • 원래 파일 시스템에서 SMB 클라이언트의 연결을 일시적으로 끊습니다.

    • 최종 파일 및 파일 공유 구성 동기화를 수행합니다.

  • Amazon FSx 파일 시스템의 서비스 보안 주체 이름(SPN)을 구성합니다.

  • Amazon FSx 파일 시스템을 가리키도록 DNS CNAME 레코드를 업데이트합니다.

각 단계를 수행하는 절차는 다음 섹션에 나와 있습니다.

Amazon FSx로 전환하기 위한 준비

Amazon FSx 파일 시스템으로 전환을 준비하기 위해 다음을 수행해야 합니다.

Kerberos 인증에 대한 SPN 구성

Amazon FSx에서 Kerberos 기반 인증 및 전송 중 암호화를 사용하는 것이 좋습니다. Kerberos는 파일 시스템에 액세스하는 클라이언트에게 가장 안전한 인증을 제공합니다. DNS 별칭을 사용하여 Amazon FSx에 액세스하는 클라이언트에 대해 Kerberos 인증을 활성화하려면 Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체에서 DNS 별칭에 해당하는 서비스 보안 주체 이름(SPN)을 추가해야 합니다.

Kerberos 인증에는 두 개의 필수 SPN이 있습니다.

HOST/alias
HOST/alias.domain

예를 들어 별칭이 finance.domain.com인 경우 두 개의 필수 SPN은 다음과 같습니다.

HOST/finance
HOST/finance.domain.com

SPN은 한 번에 하나의 Active Directory 컴퓨터 객체와만 연결할 수 있습니다. 원본 파일 시스템의 Active Directory 컴퓨터 객체에 대해 구성된 DNS 이름의 기존 SPN이 있는 경우 Amazon FSx 파일 시스템용 SPN을 생성하기 전에 해당 SPN을 삭제해야 합니다.

다음 절차는 기존 SPN을 찾고, 삭제하고, Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체를 위한 새 SPN을 생성하는 방법을 설명합니다.

필수 PowerShell Active Directory 모듈 설치

  1. Amazon FSx 파일 시스템이 조인되어 있는 Active Directory에 조인된 Windows 인스턴스에 로그온합니다.

  2. 관리자 권한으로 PowerShell을 엽니다.

  3. 다음 명령을 사용하여 PowerShell Active Directory 모듈을 설치합니다.

    Install-WindowsFeature RSAT-AD-PowerShell
원본 파일 시스템의 Active Directory 컴퓨터 개체에서 기존 DNS 별칭 SPN을 찾아 삭제

  1. 다음 명령을 사용하여 기존 SPN을 모두 찾습니다. alias_fqdn온프레미스 DNS 구성을 Windows File Server용 FSx로 마이그레이션에서 파일 시스템과 연결한 DNS 별칭으로 바꿉니다.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. 다음 예제 스크립트를 사용하여 이전 단계에서 반환된 기존 HOST SPN을 삭제합니다.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. 온프레미스 DNS 구성을 Windows File Server용 FSx로 마이그레이션에서 파일 시스템과 연결한 각 DNS 별칭에 대해 이 단계를 반복합니다.

Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체에 SPN 설정

  1. 다음 명령을 실행하여 Amazon FSx 파일 시스템의 새 SPN을 설정합니다.

    • file_system_DNS_name을 Amazon FSx가 파일 시스템에 할당한 DNS 이름으로 바꿉니다.

      Amazon FSx 콘솔에서 파일 시스템의 DNS 이름을 찾으려면 파일 시스템을 선택하여 파일 시스템을 선택합니다. 파일 시스템 세부 정보 페이지의 네트워크 및 보안 창을 선택합니다. 또한 DescribeFileSystems API 작업의 응답에서 DNS 이름을 가져올 수도 있습니다.

    • alias_fqdn온프레미스 DNS 구성을 Windows File Server용 FSx로 마이그레이션에서 파일 시스템과 연결한 전체 DNS 별칭으로 바꿉니다.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    참고

    DNS 별칭에 대한 SPN이 원본 파일 시스템의 컴퓨터 객체의 AD에 있는 경우 Amazon FSx 파일 시스템에 대한 SPN 설정이 실패합니다. 기존 SPN 검색 및 삭제에 대한 자세한 내용은 원본 파일 시스템의 Active Directory 컴퓨터 개체에서 기존 DNS 별칭 SPN을 찾아 삭제 섹션을 참조하세요.

  2. 다음 예제 스크립트를 사용하여 DNS 별칭에 대해 새 SPN이 구성되었는지 확인합니다. 응답에 두 개의 호스트 SPN인 HOST/aliasHOST/alias_fqdn이 포함되어 있는지 확인합니다.

    file_system_DNS_name을 Amazon FSx가 파일 시스템에 할당한 DNS 이름으로 바꿉니다. Amazon FSx 콘솔에서 파일 시스템의 DNS 이름을 찾으려면 파일 시스템을 선택하고 파일 시스템을 선택한 다음 파일 시스템 세부 정보 페이지의 네트워크 및 보안 창을 선택합니다.

    또한 DescribeFileSystems API 작업의 응답에서 DNS 이름을 가져올 수도 있습니다.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. 온프레미스 DNS 구성을 Windows File Server용 FSx로 마이그레이션에서 파일 시스템과 연결한 각 DNS 별칭에 대해 이전 단계를 반복합니다.

참고

Active Directory에서 다음과 같은 그룹 정책 객체(GPO)를 설정하여 DNS 별칭으로 파일 시스템에 연결하는 클라이언트가 Kerberos 인증 및 전송 중 암호화를 사용하도록 할 수 있습니다.

  • NTLM 제한: 원격 서버로 나가는 NTLM 트래픽

  • NTLM 제한: NTLM 인증을 위한 원격 서버 예외 추가

자세한 내용은 연습 5: DNS 별칭을 사용하여 파일 시스템에 액세스그룹 정책 객체를 사용하여 Kerberos 인증 적용(GPOs) 섹션을 참조하세요.

Amazon FSx 파일 시스템의 DNS CNAME 레코드 업데이트

파일 시스템에 맞게 SPN을 적절히 구성한 후에는 원본 파일 시스템으로 확인된 각 DNS 레코드를 Amazon FSx 파일 시스템의 기본 DNS 이름으로 확인되는 DNS 레코드로 교체하여 Amazon FSx로 전환할 수 있습니다.

필수 PowerShell cmdlet 설치

  1. DNS 관리 권한이 있는 그룹(AWS 관리형 Microsoft Active Directory의 AWS 위임 도메인 이름 시스템 관리자, 도메인 관리자, 자체 관리형 Active Directory에서 DNS 관리 권한을 위임한 또 다른 그룹)의 구성원인 사용자로 Amazon FSx 파일 시스템이 조인되어 있는 Active Directory에 조인된 Windows 인스턴스에 로그온합니다.

    자세한 내용은 Amazon EC2 사용 설명서의 Windows 인스턴스에 연결을 참조하세요.

  2. 관리자 권한으로 PowerShell을 엽니다.

  3. 이 절차의 지침을 수행하려면 PowerShell DNS 서버 모듈이 필요합니다. 다음 명령을 사용하여 설치합니다.

    Install-WindowsFeature RSAT-DNS-Server
기존 DNS CNAME 레코드 업데이트

  1. 다음 스크립트는 alias_fqdn에 대한 기존 DNS CNAME 레코드를 Amazon FSx 파일 시스템의 컴퓨터 객체로 업데이트합니다. 찾지 못했다면 Amazon FSx 파일 시스템의 기본 DNS 이름으로 확인되는 DNS 별칭 alias_fqdn에 대한 새 DNS CNAME 레코드를 생성합니다.

    스크립트를 실행하려면 다음과 같이 하세요.

    • alias_fqdn을 파일 시스템에 연결한 DNS 별칭으로 바꿉니다.

    • file_system_DNS_name을 Amazon FSx가 파일 시스템에 할당한 기본 DNS 이름으로 바꿉니다.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. 온프레미스 DNS 구성을 Windows File Server용 FSx로 마이그레이션에서 파일 시스템에 연결한 각 DNS 별칭에 대해 이전 단계를 반복합니다.