Como usar o Amazon FSx com o AWS Directory Service for Microsoft Active Directory - Amazon FSx for Windows File Server
Pré-requisitos de redeComo usar um modelo de isolamento de floresta de recursosTestar sua configuração do Active Directory

Como usar o Amazon FSx com o AWS Directory Service for Microsoft Active Directory

O AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) fornece diretórios efetivos, totalmente gerenciados e altamente disponíveis do Active Directory na nuvem. Você pode usar esses diretórios do Active Directory em sua implantação da workload.

Se sua organização estiver usando o AWS Managed Microsoft AD para gerenciar identidades e dispositivos, recomendamos que você integre seu sistema de arquivos do Amazon FSx com o AWS Managed Microsoft AD. Ao fazer isso, você obtém uma solução pronta para uso usando o Amazon FSx com o AWS Managed Microsoft AD. A AWS lida com a implantação, operação, alta disponibilidade, confiabilidade, segurança e integração perfeita dos dois serviços, permitindo que você se concentre em operar sua própria workload de forma eficaz.

Para usar o Amazon FSx com a configuração do AWS Managed Microsoft AD, você pode usar o console do Amazon FSx. Ao criar um novo sistema de arquivos do FSx para Windows File Server no console, escolha AWS Managed Active Directory na seção Autenticação do Windows. Você também escolhe o diretório específico que deseja usar. Para obter mais informações, consulte Etapa 1. Criar seu sistema de arquivos.

Sua organização pode gerenciar identidades e dispositivos em um domínio do Active Directory autogerenciado (on-premises ou na nuvem). Nesse caso, você pode associar seu sistema de arquivos do Amazon FSx diretamente ao seu domínio do Active Directory autogerenciado existente. Para obter mais informações, consulte Usar um Microsoft Active Directory autogerenciado.

Além disso, você também pode configurar seu sistema para se beneficiar de um modelo de isolamento de floresta de recursos. Nesse modelo, você isola seus recursos, incluindo seus sistemas de arquivos do Amazon FSx, em uma floresta de Active Directory separada daquela em que seus usuários estão.

Importante

Para sistemas de arquivos single-AZ 2 e todos os sistemas de arquivos multi-AZ, o nome de domínio do Active Directory não pode exceder 47 caracteres.

Pré-requisitos de rede

Antes de criar um sistema de arquivos do FSx para Windows File Server associado ao seu domínio do AWS Microsoft Managed Active Directory, verifique se você criou e definiu as seguintes configurações de rede:

  • Em Grupos de segurança da VPC, o grupo de segurança padrão para a Amazon VPC padrão já está adicionado ao sistema de arquivos no console. Certifique-se de que o grupo de segurança e as ACLs de rede da VPC para as sub-redes nas quais você vai criar seu sistema de arquivos do FSx permite tráfego nas portas e nas direções mostradas no diagrama a seguir.

    Requisitos de configuração de porta do FSx para Windows File Server para grupos de segurança de VPC e ACLs de rede para as sub-redes em que o sistema de arquivos está sendo criado.

    A tabela a seguir identifica o perfil de cada porta.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    464

    Alterar/definir senha

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Distributed Computing Environment/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Compartilhamento de arquivos de SMB para serviços de diretório

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

    TCP

    3268

    Catálogo global da Microsoft

    TCP

    3269

    Catálogo global da Microsoft sobre SSL

    TCP

    5985

    WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

    TCP

    9389

    Serviços web do Microsoft AD DS, PowerShell

    TCP

    49152 – 65535

    Portas efêmeras para RPC
    Importante

    É necessário permitir o tráfego de saída na porta TCP 9389 para implantações de sistemas de arquivos single-AZ 2 e todas as implantações de sistemas de arquivos multi-AZ.

    nota

    Se estiver usando ACLs de rede de VPC, você também deverá permitir tráfego de saída em portas dinâmicas (49152-65535) do sistema de arquivos do FSx.

  • Se você estiver conectando seu sistema de arquivos do Amazon FSx a um AWS Managed Microsoft Active Directory em uma VPC ou conta diferente, garanta a conectividade entre essa VPC e a Amazon VPC onde você deseja criar o sistema de arquivos. Para obter mais informações, consulte Como usar o Amazon FSx com o AWS Managed Microsoft AD em outra VPC ou conta.

    Importante

    Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, as ACLs da rede VPC exigem que as portas sejam abertas nas duas direções.

Use a ferramenta de validação de rede do Amazon FSx para validar a conectividade com seus controladores de domínio do Active Directory.

Como usar um modelo de isolamento de floresta de recursos

Você associa seu sistema de arquivos a uma configuração do AWS Managed Microsoft AD. Em seguida, você estabelece uma relação de confiança de floresta unidirecional entre um domínio do AWS Managed Microsoft AD criado por você e seu domínio autogerenciado existente do Active Directory. Para a autenticação do Windows no Amazon FSx, você só precisa de uma relação de confiança de floresta unidirecional, na qual a floresta gerenciada da AWS confia na floresta de domínio corporativo.

Seu domínio corporativo assume o papel de domínio confiável, e o domínio gerenciado pelo AWS Directory Service assume o papel de domínio confiável. As solicitações de autenticação validadas percorrem os domínios em apenas uma direção, permitindo que as contas em seu domínio corporativo se autentiquem em relação aos recursos compartilhados no domínio gerenciado. Nesse caso, o Amazon FSx interage somente com o domínio gerenciado pela AWS. Em um cenário de autenticação do Kerberos, as solicitações de autenticação provenientes de um cliente corporativo são validadas pelo domínio corporativo, que então as encaminha para o AWS Managed Microsoft AD, e eventualmente o cliente apresentará seu tíquete de serviço ao seu sistema de arquivos do FSx para Windows File Server. Para obter mais informações sobre confianças, consulte a publicação Everything you wanted to know about trusts with AWS Managed Microsoft AD no blog de segurança da AWS.

Testar sua configuração do Active Directory

Antes de criar seu sistema de arquivos do Amazon FSx, recomendamos que você valide a conectividade com seus controladores de domínio do Active Directory usando a ferramenta de validação de rede do Amazon FSx. Para obter mais informações, consulte Como validar a conectividade com seus controladores de domínio do Active Directory.

Os recursos relacionados a seguir podem ajudar, conforme você usa o AWS Directory Service for Microsoft Active Directory com o FSx para Windows File Server: