Usando a Amazon FSx com AWS Directory Service for Microsoft Active Directory - Servidor FSx de arquivos Amazon para Windows
Pré-requisitos de redeComo usar um modelo de isolamento de floresta de recursosTestar sua configuração do Active Directory

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando a Amazon FSx com AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) fornece diretórios reais do Active Directory totalmente gerenciados e altamente disponíveis na nuvem. Você pode usar esses diretórios do Active Directory em sua implantação de carga de trabalho.

Se sua organização estiver usando AWS Managed Microsoft AD para gerenciar identidades e dispositivos, recomendamos que você integre seu sistema de FSx arquivos da Amazon com o. AWS Managed Microsoft AD Ao fazer isso, você obtém uma solução pronta para uso usando a Amazon FSx com AWS Managed Microsoft AD. AWS lida com a implantação, operação, alta disponibilidade, confiabilidade, segurança e integração perfeita dos dois serviços, permitindo que você se concentre em operar sua própria carga de trabalho de forma eficaz.

Para usar a Amazon FSx com sua AWS Managed Microsoft AD configuração, você pode usar o FSx console da Amazon. Ao criar um novo sistema FSx de arquivos do Windows File Server no console, escolha AWS Managed Active Directory na seção Autenticação do Windows. Você também escolhe o diretório específico que deseja usar. Para obter mais informações, consulte Etapa 1. Crie seu sistema de arquivos.

Sua organização pode gerenciar identidades e dispositivos em um domínio do Active Directory autogerenciado (on-premises ou na nuvem). Nesse caso, você pode unir seu sistema de FSx arquivos da Amazon diretamente ao seu domínio existente e autogerenciado do Active Directory. Para obter mais informações, consulte Usando um Microsoft Active Directory autogerenciado.

Além disso, você também pode configurar seu sistema para se beneficiar de um modelo de isolamento de floresta de recursos. Nesse modelo, você isola seus recursos, incluindo seus sistemas de FSx arquivos da Amazon, em uma floresta separada do Active Directory daquela em que seus usuários estão.

Importante

Para sistemas de arquivos single-AZ 2 e todos os sistemas de arquivos multi-AZ, o nome de domínio do Active Directory não pode exceder 47 caracteres.

Pré-requisitos de rede

Antes de criar um sistema FSx de arquivos do Windows File Server associado ao seu domínio AWS Microsoft Managed Active Directory, verifique se você criou e configurou as seguintes configurações de rede:

  • Para grupos VPC de segurança, o grupo de segurança padrão para sua Amazon padrão já VPC está adicionado ao seu sistema de arquivos no console. Certifique-se de que o grupo de segurança e a VPC rede ACLs da (s) sub-rede (s) em que você está criando seu sistema de FSx arquivos permitam tráfego nas portas e nas direções mostradas no diagrama a seguir.

    FSxpara requisitos de configuração de portas do Windows File Server para grupos de VPC segurança e rede ACLs para as sub-redes em que o sistema de arquivos está sendo criado.

    A tabela a seguir identifica o perfil de cada porta.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Sistema de nomes de domínio (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    464

    Alterar/definir senha

    TCP/UDP

    389

    Protocolo leve de acesso a diretórios (LDAP)
    UDP 123

    Protocolo de horário de rede (NTP)
    TCP 135

    Ambiente de computação distribuída/Mapeador de pontos finais (DCE/EPMAP)

    TCP

    445

    Compartilhamento de SMB arquivos do Directory Services

    TCP

    636

    Protocolo leve de acesso a diretórios viaTLS/SSL(LDAPS)

    TCP

    3268

    Catálogo global da Microsoft

    TCP

    3269

    O catálogo global da Microsoft acabou SSL

    TCP

    5985

    WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

    TCP

    9389

    Serviços Web do Microsoft AD DS, PowerShell

    TCP

    49152 – 65535

    Portas efêmeras para RPC
    Importante

    É necessário permitir o tráfego de saída na TCP porta 9389 para implantações de sistemas de arquivos Single-AZ 2 e todas as implantações de sistemas de arquivos Multi-AZ.

    nota

    Se você estiver usando a VPC redeACLs, também deverá permitir o tráfego de saída nas portas dinâmicas (49152-65535) do seu sistema de arquivos. FSx

  • Se você estiver conectando seu sistema de FSx arquivos da Amazon a um Microsoft Active Directory AWS gerenciado em uma conta VPC ou diferente, garanta a conectividade entre esse sistema VPC e a Amazon VPC em que você deseja criar o sistema de arquivos. Para obter mais informações, consulte Usando FSx a Amazon AWS Managed Microsoft AD em uma conta VPC ou diferente.

    Importante

    Enquanto os grupos VPC de segurança da Amazon exigem que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a VPC rede ACLs exige que as portas sejam abertas em ambas as direções.

Use a ferramenta Amazon FSx Network Validation para validar a conectividade com seus controladores de domínio do Active Directory.

Como usar um modelo de isolamento de floresta de recursos

Você associa seu sistema de arquivos a uma configuração do AWS Managed Microsoft AD . Em seguida, você estabelece uma relação unidirecional de confiança florestal entre um AWS Managed Microsoft AD domínio criado por você e seu domínio autogerenciado existente do Active Directory. Para a autenticação do Windows na AmazonFSx, você só precisa de uma relação de confiança de floresta direcional unidirecional, na qual a floresta AWS gerenciada confia na floresta de domínio corporativo.

Seu domínio corporativo assume o papel de domínio confiável, e o domínio AWS Directory Service gerenciado assume o papel de domínio confiável. As solicitações de autenticação validadas percorrem os domínios em apenas uma direção, permitindo que as contas em seu domínio corporativo se autentiquem em relação aos recursos compartilhados no domínio gerenciado. Nesse caso, a Amazon FSx interage somente com o domínio AWS gerenciado. Em um cenário de autenticação Kerberos, as solicitações de autenticação provenientes de um cliente corporativo são validadas pelo domínio corporativo, que então as encaminha para o. e AWS Managed Microsoft AD, eventualmente, o cliente apresenta seu tíquete de serviço ao seu FSx sistema de arquivos do Windows File Server. Para obter mais informações sobre relações de confiança, consulte a postagem Tudo o que você queria saber sobre relações de confiança AWS Managed Microsoft AD no Blog de AWS Segurança.

Testar sua configuração do Active Directory

Antes de criar seu sistema de FSx arquivos da Amazon, recomendamos que você valide a conectividade com seus controladores de domínio do Active Directory usando a ferramenta de validação de FSx rede da Amazon. Para obter mais informações, consulte Como validar a conectividade com seus controladores de domínio do Active Directory.

Os seguintes recursos relacionados podem ajudá-lo a usar AWS Directory Service for Microsoft Active Directory o FSx Windows File Server: