Usando um Microsoft Active Directory autogerenciado - Servidor FSx de arquivos Amazon para Windows
Pré-requisitosMelhores práticas para o Active Directory autogerenciadoConta de FSx serviço da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando um Microsoft Active Directory autogerenciado

Se sua organização gerencia identidades e dispositivos usando um Active Directory autogerenciado no local ou na nuvem, você pode associar um FSx sistema de arquivos do Windows File Server ao seu domínio do Active Directory no momento da criação.

Quando você une seu sistema de arquivos ao Active Directory autogerenciado, seu FSx sistema de arquivos do Windows File Server reside na mesma floresta do Active Directory (o principal contêiner lógico em uma configuração do Active Directory que contém domínios, usuários e computadores) e no mesmo domínio do Active Directory que seus usuários e recursos existentes (incluindo servidores de arquivos existentes).

nota

Você pode isolar seus recursos, incluindo seus sistemas de arquivos da FSx Amazon, em uma floresta separada do Active Directory daquela em que seus usuários residem. Para fazer isso, associe seu sistema de arquivos a um Active Directory AWS gerenciado e estabeleça uma relação unidirecional de confiança florestal entre um Active Directory AWS gerenciado que você cria e seu Active Directory autogerenciado existente.

  • Nome de usuário e senha de uma conta de serviço em seu domínio do Active Directory, para FSx a Amazon usar para unir o sistema de arquivos ao seu domínio do Active Directory.

  • (Opcional) A Unidade Organizacional (OU) em seu domínio em que você deseja que seu sistema de arquivos seja associado.

  • (Opcional) O grupo de domínio ao qual você deseja delegar autoridade para executar ações administrativas no sistema de arquivos. Por exemplo, esse grupo de domínio pode gerenciar compartilhamentos de arquivos do Windows, gerenciar listas de controle de acesso (ACLs) na pasta raiz do sistema de arquivos, assumir a propriedade de arquivos e pastas e assim por diante. Se você não especificar esse grupo, a Amazon FSx delegará essa autoridade ao grupo Administradores de Domínio em seu domínio do Active Directory por padrão.

    nota

    O nome do grupo de domínio fornecido deve ser exclusivo no Active Directory. FSxpara Windows File Server não criará o grupo de domínio nas seguintes circunstâncias:

    • Se já existir um grupo com o nome que você especificar

    • Se você não especificar um nome e um grupo chamado “Administradores de domínio” já existir no seu Active Directory.

    Para obter mais informações, consulte Unindo um sistema de FSx arquivos da Amazon a um domínio autogerenciado do Microsoft Active Directory.

Tópicos

Pré-requisitos

Antes de associar um sistema FSx de arquivos do Windows File Server ao seu domínio autogerenciado do Microsoft Active Directory, revise os seguintes pré-requisitos para ajudar a garantir que você possa unir com sucesso seu sistema de FSx arquivos da Amazon ao seu Active Directory autogerenciado.

Configurações on-premises

Esses são os pré-requisitos para seu Microsoft Active Directory autogerenciado, local ou baseado na nuvem, ao qual você se juntará ao sistema de arquivos da Amazon. FSx

  • Os controladores de domínio do Active Directory:

    • Deve ter um nível funcional de domínio no Windows Server 2008 R2 ou superior.

    • Deve ser gravável.

  • Os endereços IP DNS do servidor e do controlador de domínio do Active Directory devem atender aos seguintes requisitos, que variam dependendo de quando o sistema de FSx arquivos da Amazon foi criado:

    Para sistemas de arquivos criados antes de 17 de dezembro de 2020 Para sistemas de arquivos criados após 17 de dezembro de 2020

    Os endereços IP devem estar em um intervalo de RFC1918 endereços IP privados:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Os endereços IP podem estar em qualquer intervalo, exceto:

    • Endereços IP que entram em conflito com os endereços IP de propriedade da Amazon Web Services no Região da AWS qual o sistema de arquivos está inserido. Para obter uma lista de endereços IP AWS próprios por região, consulte os intervalos de endereços AWS IP.

    • Endereços IP na faixa de CIDR blocos de 198.19.0.0/16

    Se precisar acessar um sistema FSx de arquivos do Windows File Server criado antes de 17 de dezembro de 2020 usando um intervalo de endereços IP não privado, você poderá criar um novo sistema de arquivos restaurando um backup do sistema de arquivos. Para obter mais informações, consulte Restaurando um backup em um novo sistema de arquivos.

  • O nome de domínio do seu Active Directory autogerenciado deve atender aos seguintes requisitos:

    • O nome do domínio não está no formato Single Label Domain (SLD). A Amazon FSx não oferece suporte a SLD domínios.

    • Para sistemas de arquivos Single-AZ 2 e todos os sistemas de arquivos Multi-AZ, o nome de domínio não pode exceder 47 caracteres.

  • Todos os sites do Active Directory que você tenha definido devem atender aos seguintes pré-requisitos:

    • As sub-redes associadas ao seu sistema de arquivos devem ser definidas em um site do Active Directory. VPC

    • Não há conflitos entre as VPC sub-redes e nenhuma das sub-redes do site do Active Directory.

    A Amazon FSx exige conectividade com todos os controladores de domínio em seu ambiente do Active Directory. Se você tiver vários controladores de domínio, certifique-se de que todos eles atendam aos requisitos acima e de que todas as alterações na sua conta de serviço sejam propagadas para todos os controladores de domínio.

    Importante

    Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.

Você pode validar sua configuração do Active Directory, incluindo testar a conectividade de vários controladores de domínio, usando a ferramenta de validação do Amazon FSx Active Directory. Para limitar o número de controladores de domínio que exigem conectividade, você também pode criar uma relação de confiança entre os controladores de domínio on-premises e o AWS Managed Microsoft AD. Para obter mais informações, consulte Como usar um modelo de isolamento de floresta de recursos.

Importante

A Amazon FSx só registra os DNS registros para um sistema de arquivos se você estiver usando a Microsoft DNS como DNS serviço padrão. Se você estiver usando um terceiroDNS, precisará configurar manualmente as entradas de DNS registro para seu sistema de arquivos depois de criá-lo.

Configurações de rede

Esta seção descreve os requisitos de configuração de rede para unir um sistema de arquivos ao seu Active Directory autogerenciado. É altamente recomendável que você use a ferramenta de validação do Amazon FSx Active Directory para testar suas configurações de rede antes de tentar unir seu sistema de arquivos ao seu Active Directory autogerenciado.

  • Certifique-se de que suas regras de firewall permitam o ICMP tráfego entre seus controladores de domínio do Active Directory e a AmazonFSx.

  • A conectividade deve ser configurada entre a Amazon VPC em que você deseja criar o sistema de arquivos e seu Active Directory autogerenciado. Você pode configurar essa conectividade usando AWS Direct Connect, AWS Virtual Private Network, VPCpeering ou AWS Transit Gateway.

  • O grupo VPC de segurança padrão para sua Amazon padrão VPC deve ser adicionado ao seu sistema de arquivos usando o FSx console da Amazon. Certifique-se de que o grupo de segurança e a VPC rede ACLs das sub-redes em que você cria seu sistema de arquivos permitam tráfego nas portas e na direção mostrada no diagrama a seguir.

    FSxpara requisitos de configuração de portas do Windows File Server para grupos de VPC segurança e rede ACLs para as sub-redes em que o sistema de arquivos é criado.

    A tabela a seguir identifica o protocolo, as portas e sua função.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Sistema de nomes de domínio (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    464

    Alterar/definir senha

    TCP/UDP

    389

    Protocolo leve de acesso a diretórios (LDAP)
    UDP 123

    Protocolo de horário de rede (NTP)
    TCP 135

    Ambiente de computação distribuída/mapeador de pontos finais (/) DCE EPMAP

    TCP

    445

    Compartilhamento de SMB arquivos do Directory Services

    TCP

    636

    Protocolo leve de acesso a diretórios viaTLS/SSL(LDAPS)

    TCP

    3268

    Catálogo global da Microsoft

    TCP

    3269

    O catálogo global da Microsoft acabou SSL

    TCP

    5985

    WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

    TCP

    9389

    Serviços Web do Microsoft Active Directory DS, PowerShell

    Importante

    É necessário permitir o tráfego de saída na TCP porta 9389 para implantações de sistemas de arquivos Single-AZ 2 e Multi-AZ.

    TCP

    49152 – 65535

    Portas efêmeras para RPC

    Essas regras de tráfego também precisam ser espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio, DNS servidores, FSx clientes e administradores do Active Directory. FSx

nota

Se você estiver usando a VPC redeACLs, também deverá permitir o tráfego de saída nas portas dinâmicas (49152-65535) do seu sistema de arquivos.

Importante

Embora os grupos VPC de segurança da Amazon exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls e VPC redes do Windows ACLs exige que as portas sejam abertas em ambas as direções.

Permissões da conta de serviço

Você precisa ter uma conta de serviço no Microsoft Active Directory autogerenciado com permissões delegadas para unir objetos de computador ao seu domínio autogerenciado do Active Directory. Uma conta de serviço é uma conta de usuário em seu Active Directory autogerenciado à qual foram delegadas determinadas tarefas.

A seguir está o conjunto mínimo de permissões que devem ser delegadas à conta de FSx serviço da Amazon na OU à qual você está ingressando no sistema de arquivos.

  • Se estiver usando o Controle Delegado nos Usuários e Computadores MMC do Active Directory:

    • Redefinir senhas

    • Restrições de leitura e gravação da conta

    • Gravação validada no nome DNS do host

    • Gravação validada no nome da entidade principal do serviço

  • Se estiver usando recursos avançados no usuário e nos computadores do Active DirectoryMMC:

    • Modificar permissões

    • Criação de objetos de computador

    • Excluir objetos do computador

Para obter mais informações, consulte o tópico da documentação do Microsoft Windows Server Erro: o acesso é negado quando usuários não administradores aos quais foi delegado o controle tentam associar computadores a um controlador de domínio.

Para obter mais informações sobre como definir as permissões necessárias, consulteDelegar permissões para a conta de FSx serviço ou grupo da Amazon.

Melhores práticas para o Active Directory autogerenciado

Recomendamos que você siga essas melhores práticas ao unir um sistema de arquivos Amazon FSx para Windows File Server ao seu Microsoft Active Directory autogerenciado. Essas melhores práticas ajudarão você a manter a disponibilidade contínua e ininterrupta do seu sistema de arquivos.

Use uma conta de serviço separada para a Amazon FSx

Use uma conta de serviço separada para delegar os privilégios necessários FSx para que a Amazon gerencie totalmente os sistemas de arquivos associados ao seu Active Directory autogerenciado. Não recomendamos o uso dos administradores de domínio para essa finalidade.

Usar um grupo do Active Directory

Use um grupo do Active Directory para gerenciar as permissões e configurações do Active Directory associadas à conta de FSx serviço da Amazon.

Separe a Unidade Organizacional (OU)

Para facilitar a localização e o gerenciamento de seus objetos de FSx computador da Amazon, recomendamos que você separe a Unidade Organizacional (OU) que você usa FSx para seus sistemas de arquivos do Windows File Server de outras preocupações com controladores de domínio.

Mantenha a configuração do Active Directory up-to-date

É fundamental que você mantenha a configuração do Active Directory do seu sistema de arquivos up-to-date com todas as alterações. Por exemplo, se seu Active Directory autogerenciado usa uma política de redefinição de senha com base no tempo, assim que a senha for redefinida, certifique-se de atualizar a senha da conta de serviço em seu sistema de arquivos. Para obter mais informações, consulte Atualizando uma configuração autogerenciada do Active Directory.

Alterando a conta FSx de serviço da Amazon

Se você atualizar seu sistema de arquivos com uma nova conta de serviço, ela deverá ter as permissões e privilégios necessários para ingressar no Active Directory e ter permissões de controle total para os objetos de computador existentes associados ao sistema de arquivos. Para obter mais informações, consulte Alterando a conta FSx de serviço da Amazon.

Use as regras do grupo de segurança para limitar o tráfego

Use as regras do grupo de segurança para implementar o princípio do menor privilégio em sua nuvem privada virtual (VPC). Você pode limitar o tipo de tráfego de rede de entrada e saída permitido para seu arquivo usando as regras do grupo de VPC segurança. Por exemplo, recomendamos permitir somente o tráfego de saída para seus controladores de domínios autogerenciados do Active Directory ou para dentro da sub-rede ou grupo de segurança que você está usando. Para obter mais informações, consulte Grupos de segurança da Amazon VPC.

Não mova objetos de computador criados na Amazon FSx
Importante

Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.

Valide sua configuração do Active Directory

Antes de tentar unir um FSx sistema de arquivos do Windows File Server ao seu Active Directory, é altamente recomendável que você valide sua configuração do Active Directory usando a ferramenta de validação do Amazon FSx Active Directory.

Conta de FSx serviço da Amazon

Os sistemas de FSx arquivos da Amazon associados a um Active Directory autogerenciado exigem uma conta de serviço válida durante toda sua vida útil. A Amazon FSx usa a conta de serviço para gerenciar totalmente seus sistemas de arquivos e realizar tarefas administrativas que exigem a separação e a rejunção de objetos de computador ao seu domínio do Active Directory. Essas tarefas incluem a substituição de um servidor de arquivos com falha e a correção do software Microsoft Windows Server. Para FSx que a Amazon execute essas tarefas, a conta de FSx serviço da Amazon deve ter, no mínimo, o conjunto de permissões descrito em Permissões da conta de serviço Delegado a ela.

Embora os membros do grupo de administradores de domínio tenham privilégios suficientes para realizar essas tarefas, é altamente recomendável que você use uma conta de serviço separada para delegar os privilégios necessários à Amazon. FSx

Para obter mais informações sobre como delegar privilégios usando os recursos Controle de Delegação ou Recursos Avançados no MMC snap-in Usuários e Computadores do Active Directory, consulte. Delegar permissões para a conta de FSx serviço ou grupo da Amazon

Se você atualizar seu sistema de arquivos com uma nova conta de serviço, a nova conta de serviço deverá ter as permissões e privilégios necessários para ingressar no Active Directory e ter permissões de controle total para os objetos de computador existentes associados ao sistema de arquivos. Para obter mais informações, consulte Alterando a conta FSx de serviço da Amazon.