Operações de substituição para o Amazon FSx para Windows File Server - Servidor FSx de arquivos Amazon para Windows
Preparar a substituição para o Amazon FSxConfigurar SPNs para autenticação KerberosAtualizar os registros CNAME do DNS para o sistema de arquivos do Amazon FSx

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Operações de substituição para o Amazon FSx para Windows File Server

Após migrar o armazenamento de arquivos on-premises, a configuração de compartilhamento de arquivos e a configuração de DNS, a próxima etapa é substituir suas operações para os sistemas de arquivos do FSx para Windows File Server. Para mudar para o sistema de arquivos do FSx para Windows File Server, execute as seguintes etapas:

  • Preparar para a mudança.

    • Desconecte temporariamente os clientes SMB do sistema de arquivos original.

    • Execute uma sincronização final da configuração de arquivos e do compartilhamento de arquivos.

  • Configure nomes de entidades principais de serviço (SPNs) para o sistema de arquivos do Amazon FSx.

  • Atualize os registros CNAME do DNS para que apontem para o sistema de arquivos do Amazon FSx.

Os procedimentos para a execução de cada uma dessas etapas são fornecidos nas seções a seguir.

Preparar a substituição para o Amazon FSx

Para preparar a substituição para o sistema de arquivos do Amazon FSx, você deve fazer o seguinte:

Configurar SPNs para autenticação Kerberos

Recomendamos que você use autenticação e criptografia baseadas no Kerberos em trânsito com o Amazon FSx. O Kerberos oferece a autenticação mais segura para clientes que acessam o sistema de arquivos. Para habilitar a autenticação Kerberos para clientes que acessam o Amazon FSx usando um alias de DNS, você deve adicionar nomes de entidades principais de serviço (SPNs) que correspondam ao alias de DNS no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx.

Existem dois SPNs necessários para autenticação Kerberos.

HOST/alias
HOST/alias.domain

Por exemplo, se o alias é finance.domain.com, os dois SPNs necessários são os seguintes.

HOST/finance
HOST/finance.domain.com

Um SPN só pode ser associado a um único objeto de computador do Active Directory de cada vez. Se houver SPNs para o nome DNS configurado para o objeto de computador do Active Directory do sistema de arquivos original, você deverá excluí-los antes de criar SPNs para o sistema de arquivos do Amazon FSx.

Os procedimentos a seguir descrevem como encontrar quaisquer SPNs atuais, excluí-los e criar SPNs para o objeto de computador do Active Directory do sistema de arquivos do Amazon FSx.

Instalar o módulo Active Directory para PowerShell necessário

  1. Faça logon em uma instância do Windows associada ao Active Directory à qual o sistema de arquivos do Amazon FSx está associado.

  2. Abra o PowerShell como administrador.

  3. Instale o módulo Active Directory para PowerShell usando o comando a seguir.

    Install-WindowsFeature RSAT-AD-PowerShell
Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original

  1. Encontre todos os SPNs atuais usando os comandos a seguir. Substitua alias_fqdn pelo alias de DNS que você associou ao sistema de arquivos em Como migrar sua configuração de DNS on-premises para o FSx para Windows File Server.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Exclua os SPNs HOST atuais retornados na etapa anterior usando o exemplo de script a seguir.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Repita essas etapas para cada alias de DNS que você associou ao sistema de arquivos em Como migrar sua configuração de DNS on-premises para o FSx para Windows File Server.

Definir SPNs no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx

  1. Defina novos SPNs para o sistema de arquivos do Amazon FSx executando os comandos a seguir.

    • Substitua file_system_DNS_name pelo nome DNS que o Amazon FSx atribuiu ao sistema de arquivos.

      Para encontrar o nome DNS do sistema de arquivos no console do Amazon FSx, escolha Sistemas de arquivos e escolha o sistema de arquivos. Escolha o painel Rede e segurança da página de detalhes do sistema de arquivos. Você também pode obter o nome DNS na resposta da operação da API DescribeFileSystems.

    • Substitua alias_fqdn pelo alias de DNS completo que você associou ao sistema de arquivos em Como migrar sua configuração de DNS on-premises para o FSx para Windows File Server.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    nota

    A configuração de um SPN para o sistema de arquivos do Amazon FSx apresentará falha se existir um SPN para o alias de DNS no AD do objeto de computador do sistema de arquivos original. Para obter informações sobre como encontrar e excluir SPNs atuais, consulte Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original.

  2. Verifique se os novos SPNs estão configurados para o alias de DNS usando o exemplo de script a seguir. Certifique-se de que a resposta inclua dois SPNs HOST, HOST/alias e HOST/alias_fqdn.

    Substitua file_system_DNS_name pelo nome DNS que o Amazon FSx atribuiu ao sistema de arquivos. Para encontrar o nome DNS do sistema de arquivos no console do Amazon FSx, escolha Sistemas de arquivos, escolha o sistema de arquivos e, em seguida, escolha o painel Rede e segurança na página de detalhes do sistema de arquivos.

    Você também pode obter o nome DNS na resposta da operação da API DescribeFileSystems.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos em Como migrar sua configuração de DNS on-premises para o FSx para Windows File Server.

nota

Você pode aplicar a autenticação e a criptografia Kerberos em trânsito com clientes que se conectam ao sistema de arquivos usando aliases de DNS ao definir os seguintes Group Policy Objects (GPOs - Objetos de política de grupo) no Active Directory:

  • Restringir NTLM: tráfego NTLM de saída para servidores remotos

  • Restringir NTLM: adicionar exceções de servidor remoto para autenticação NTLM

Para obter mais informações, consulte Impondo a autenticação Kerberos usando objetos de política de grupo () GPOs em Passo a passo 5: usar aliases de DNS para acessar o sistema de arquivos.

Atualizar os registros CNAME do DNS para o sistema de arquivos do Amazon FSx

Depois de configurar adequadamente os SPNs do sistema de arquivos, mude para o Amazon FSx substituindo cada registro DNS resolvido no sistema de arquivos original por um registro DNS resolvido com o nome DNS padrão do sistema de arquivos do Amazon FSx.

Instalar os cmdlets necessários do PowerShell

  1. Faça logon em uma instância do Windows associada ao Active Directory ao qual seu sistema de arquivos do Amazon FSx está associado como um usuário e que seja membro de um grupo que tenha permissões de administração de DNS (Administradores de sistema de nomes de domínio delegados da AWS no AWS Managed Microsoft Active Directory e Administradores de domínio ou outro grupo ao qual você tenha delegado permissões de administração de DNS no Active Directory autogerenciado).

    Para obter mais informações, consulte Conectar-se à sua instância baseada no Windows usando RDP no Guia do usuário do Amazon EC2.

  2. Abra o PowerShell como administrador.

  3. O módulo do servidor DNS do PowerShell é necessário para a execução das instruções neste procedimento. Instale-o usando o comando a seguir.

    Install-WindowsFeature RSAT-DNS-Server
Atualizar um registro CNAME do DNS atual

  1. O script a seguir atualiza todos os registros CNAME do DNS atuais do alias_fqdn para o objeto de computador do sistema de arquivos do Amazon FSx. Se nenhum for encontrado, ele cria um novo registro CNAME do DNS para o alias de DNS alias_fqdn que é resolvido para o nome DNS padrão do sistema de arquivos do Amazon FSx.

    Para executar o script:

    • Substitua alias_fqdn pelo alias de DNS que você associou ao sistema de arquivos.

    • Substitua file_system_DNS_name pelo nome DNS padrão que o Amazon FSx atribuiu ao sistema de arquivos.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. Repita a etapa anterior para cada alias de DNS que você associou ao sistema de arquivos em Como migrar sua configuração de DNS on-premises para o FSx para Windows File Server.