Usar um Microsoft Active Directory autogerenciado - Servidor FSx de arquivos Amazon para Windows
Pré-requisitosPráticas recomendadas ao usar um Active Directory autogerenciadoConta de FSx serviço da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar um Microsoft Active Directory autogerenciado

Se sua organização gerencia identidades e dispositivos usando um Active Directory autogerenciado no local ou na nuvem, você pode associar um FSx sistema de arquivos do Windows File Server ao seu domínio do Active Directory no momento da criação.

Quando você une seu sistema de arquivos ao Active Directory autogerenciado, seu FSx sistema de arquivos do Windows File Server reside na mesma floresta do Active Directory (o principal contêiner lógico em uma configuração do Active Directory que contém domínios, usuários e computadores) e no mesmo domínio do Active Directory que seus usuários e recursos existentes (incluindo servidores de arquivos existentes).

nota

Você pode isolar seus recursos, incluindo seus sistemas de arquivos da FSx Amazon, em uma floresta separada do Active Directory daquela em que seus usuários residem. Para fazer isso, associe seu sistema de arquivos a um Microsoft Active Directory AWS gerenciado e estabeleça uma relação unidirecional de confiança florestal entre um AWS Microsoft Active Directory gerenciado que você cria e seu Active Directory autogerenciado existente.

  • Nome de usuário e senha de uma conta de serviço em seu domínio do Active Directory, para FSx a Amazon usar para unir o sistema de arquivos ao seu domínio do Active Directory.

  • (Opcional) A Unidade Organizacional (UO) em seu domínio na qual você deseja que seu sistema de arquivos seja associado.

  • (Opcional) O grupo de domínio ao qual você deseja delegar autoridade para executar ações administrativas no sistema de arquivos. Por exemplo, esse grupo de domínio pode gerenciar compartilhamentos de arquivos do Windows, gerenciar listas de controle de acesso (ACLs) na pasta raiz do sistema de arquivos, assumir a propriedade de arquivos e pastas e assim por diante. Se você não especificar esse grupo, a Amazon FSx delegará essa autoridade ao grupo Administradores de Domínio em seu domínio do Active Directory por padrão.

    nota

    O nome do grupo de domínio fornecido deve ser exclusivo no Active Directory. FSx para Windows File Server não criará o grupo de domínio nas seguintes circunstâncias:

    • Se já houver um grupo com o nome que você especificar

    • Se você não especificar um nome, e já houver um grupo chamado “Administradores de domínio” no seu Active Directory.

    Para obter mais informações, consulte Unindo um sistema de FSx arquivos da Amazon a um domínio autogerenciado do Microsoft Active Directory.

Tópicos

Pré-requisitos

Antes de associar um sistema FSx de arquivos do Windows File Server ao seu domínio autogerenciado do Microsoft Active Directory, revise os seguintes pré-requisitos para ajudar a garantir que você possa unir com sucesso seu sistema de FSx arquivos da Amazon ao seu Active Directory autogerenciado.

Configurações on-premises

Esses são os pré-requisitos para seu Microsoft Active Directory autogerenciado, local ou baseado na nuvem, ao qual você se juntará ao sistema de arquivos da Amazon. FSx

  • Os controladores de domínio do Active Directory:

    • Precisa ter um nível funcional de domínio no Windows Server 2008 R2 ou posterior.

    • Precisa ser gravável.

    • Pelo menos um dos controladores de domínio acessíveis deve ser um Catálogo Global da floresta.

  • O servidor DNS deve ser capaz de resolver nomes da seguinte forma:

    • No domínio em que você está ingressando no sistema de arquivos

    • No domínio raiz da floresta

  • Os endereços IP do servidor DNS e do controlador de domínio do Active Directory devem atender aos seguintes requisitos, que variam dependendo de quando o sistema de FSx arquivos da Amazon foi criado:

    Para sistemas de arquivos criados antes de 17 de dezembro de 2020 Para sistemas de arquivos criados após 17 de dezembro de 2020

    Os endereços IP devem estar em um intervalo de endereços IP privados do RFC 1918:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Os endereços IP podem estar em qualquer intervalo, exceto:

    • Endereços IP que entram em conflito com os endereços IP de propriedade da Amazon Web Services no Região da AWS qual o sistema de arquivos está inserido. Para obter uma lista de endereços IP AWS próprios por região, consulte os intervalos de endereços AWS IP.

    • Endereços IP no intervalo de blocos CIDR de 198.19.0.0/16

    Se precisar acessar um sistema FSx de arquivos do Windows File Server criado antes de 17 de dezembro de 2020 usando um intervalo de endereços IP não privado, você poderá criar um novo sistema de arquivos restaurando um backup do sistema de arquivos. Para obter mais informações, consulte Restaurar um backup em um novo sistema de arquivos.

  • O nome de domínio do Active Directory autogerenciado deve atender aos seguintes requisitos:

    • O nome de domínio que não está no formato de domínio de rótulo único (SLD). A Amazon FSx não oferece suporte a domínios SLD.

    • Para sistemas de arquivos Single-AZ 2 e todos os sistemas de arquivos Multi-AZ, o nome de domínio não pode exceder 47 caracteres.

  • Todos os sites do Active Directory que você definiu devem atender aos seguintes pré-requisitos:

    • As sub-redes na VPC associada ao seu sistema de arquivos devem ser definidas em um site do Active Directory.

    • Não há conflitos entre as sub-redes da VPC e nenhuma das sub-redes do site do Active Directory.

    A Amazon FSx exige conectividade com os controladores de domínio ou sites do Active Directory que você definiu em seu ambiente do Active Directory. A Amazon FSx ignorará qualquer controlador de domínio com TCP e UDP bloqueados na porta 389. Para os controladores de domínio restantes em seu Active Directory, certifique-se de que eles atendam aos requisitos de FSx conectividade da Amazon. Além disso, verifique se todas as alterações na sua conta de serviço são propagadas para todos esses controladores de domínio.

    Importante

    Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.

Você pode validar sua configuração do Active Directory, incluindo testar a conectividade de vários controladores de domínio, usando a ferramenta de validação do Amazon FSx Active Directory. Para limitar o número de controladores de domínio que exigem conectividade, você também pode criar uma relação de confiança entre os controladores de domínio on-premises e o AWS Managed Microsoft AD. Para obter mais informações, consulte Como usar um modelo de isolamento de floresta de recursos.

Importante

A Amazon FSx só registra os registros DNS para um sistema de arquivos se você estiver usando o Microsoft DNS como o serviço DNS padrão. Se estiver usando um DNS de terceiros, será necessário configurar manualmente as entradas de registro de DNS para seu sistema de arquivos após criá-lo.

Configurações de rede

Esta seção descreve os requisitos de configuração de rede para associar um sistema de arquivos ao Active Directory autogerenciado. É altamente recomendável que você use a ferramenta de validação do Amazon FSx Active Directory para testar suas configurações de rede antes de tentar unir seu sistema de arquivos ao seu Active Directory autogerenciado.

  • Certifique-se de que suas regras de firewall permitam o tráfego ICMP entre seus controladores de domínio do Active Directory e a Amazon. FSx

  • A conectividade deve ser configurada entre a Amazon VPC na qual você deseja criar o sistema de arquivos e o seu Active Directory autogerenciado. Você pode configurar essa conectividade usando AWS Direct Connect, AWS Virtual Private Network, emparelhamento da VPC ou AWS Transit Gateway.

  • O grupo de segurança VPC padrão para sua Amazon VPC padrão deve ser adicionado ao seu sistema de arquivos usando o console da Amazon. FSx Certifique-se de que o grupo de segurança e a rede ACLs VPC das sub-redes em que você cria seu sistema de arquivos permitam tráfego nas portas e na direção mostrada no diagrama a seguir.

    FSx para requisitos de configuração de portas do Windows File Server para grupos de segurança de VPC e rede ACLs para as sub-redes em que o sistema de arquivos é criado.

    A tabela a seguir identifica o protocolo, as portas e sua função.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    464

    Alterar/definir senha

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Computação distribuídaEnvironment/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Compartilhamento de arquivos de SMB para serviços de diretório

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

    TCP

    3268

    Catálogo global da Microsoft

    TCP

    3269

    Catálogo global da Microsoft sobre SSL

    TCP

    5985

    WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

    TCP

    9389

    Serviços Web do Microsoft Active Directory DS, PowerShell

    Importante

    A permissão do tráfego de saída na porta TCP 9389 é necessária para implantações de sistemas de arquivos single-AZ 2 e multi-AZ.

    TCP

    49152 – 65535

    Portas efêmeras para RPC

    Essas regras de tráfego também precisam ser espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio, servidores DNS, clientes e administradores do Active Directory. FSx FSx

nota

Se você estiver usando uma rede VPC ACLs, também deverá permitir o tráfego de saída nas portas dinâmicas (49152-65535) do seu sistema de arquivos.

Importante

Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e da rede VPC ACLs exigem que as portas sejam abertas em ambas as direções.

Permissões da conta de serviço

É necessário ter uma conta de serviço em seu Microsoft Active Directory autogerenciado com permissões delegadas para associar objetos de computador ao seu domínio do Active Directory autogerenciado. Uma conta de serviço é uma conta de usuário no Active Directory autogerenciado que recebeu a delegação de certas tarefas.

A seguir está o conjunto mínimo de permissões que devem ser delegadas à conta de FSx serviço da Amazon na OU à qual você está ingressando no sistema de arquivos.

  • Se estiver usando o Controle delegado no Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory:

    • Redefinir senhas

    • Restrições de leitura e gravação da conta

    • Gravação validada no nome do host DNS

    • Gravação validada no nome da entidade principal do serviço

  • Se estiver usando Recursos avançados no Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory:

    • Modificar permissões

    • Criação de objetos de computador

    • Excluir objetos de computador

Para obter mais informações, consulte o tópico da documentação do Microsoft Windows Server Erro: o acesso é negado quando usuários não administradores aos quais foi delegado o controle tentam associar computadores a um controlador de domínio.

Para mais informações sobre como configurar as permissões necessárias, consulte Delegar permissões para a conta de FSx serviço ou grupo da Amazon.

Práticas recomendadas ao usar um Active Directory autogerenciado

Recomendamos que você siga essas melhores práticas ao unir um sistema de arquivos Amazon FSx para Windows File Server ao seu Microsoft Active Directory autogerenciado. Essas práticas recomendadas ajudarão a manter a disponibilidade contínua e ininterrupta do sistema de arquivos.

Use uma conta de serviço separada para a Amazon FSx

Use uma conta de serviço separada para delegar os privilégios necessários FSx para que a Amazon gerencie totalmente os sistemas de arquivos associados ao seu Active Directory autogerenciado. Não recomendamos o uso de Administradores de domínio para essa finalidade.

Usar grupo do Active Directory

Use um grupo do Active Directory para gerenciar as permissões e configurações do Active Directory associadas à conta de FSx serviço da Amazon.

Separar a unidade organizacional (UO)

Para facilitar a localização e o gerenciamento de seus objetos de FSx computador da Amazon, recomendamos que você separe a Unidade Organizacional (OU) que você usa FSx para seus sistemas de arquivos do Windows File Server de outras preocupações com controladores de domínio.

Mantenha a configuração do Active Directory up-to-date

É fundamental que você mantenha a configuração do Active Directory do seu sistema de arquivos up-to-date com todas as alterações. Por exemplo, se o Active Directory autogerenciado usar uma política de redefinição de senha com base no tempo, atualize a senha da conta de serviço no sistema de arquivos assim que a senha for redefinida. Para obter mais informações, consulte Como atualizar a configuração de um Active Directory autogerenciado.

Alterando a conta FSx de serviço da Amazon

Se você atualizar o sistema de arquivos com uma nova conta de serviço, ela deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de Controle total para os objetos de computador atuais associados ao sistema de arquivos. Para obter mais informações, consulte Alterando a conta FSx de serviço da Amazon.

Atribuir sub-redes a um único site do Microsoft Active Directory

Se o seu ambiente do Active Directory tiver um grande número de controladores de domínio, use os sites e serviços do Active Directory para atribuir as sub-redes usadas pelos sistemas de FSx arquivos da Amazon a um único site do Active Directory com a maior disponibilidade e confiabilidade. Certifique-se de que o grupo de segurança da VPC, a ACL da rede VPC, as regras de firewall do Windows e quaisquer outros controles de roteamento de rede que você tenha na sua infraestrutura do Active Directory permitam a comunicação da Amazon nas portas necessárias. DCs FSx Isso permite que o Windows reverta para outros controladores de domínio se não puder usar o site atribuído do Active Directory. Para obter mais informações, consulte Controle de acesso ao sistema de arquivos com a Amazon VPC.

Usar regras de grupo de segurança para limitar o tráfego

Use as regras de grupos de segurança para implementar o princípio do privilégio mínimo na nuvem privada virtual (VPC). Com as regras do grupo de segurança da VPC, você pode limitar o tipo de tráfego de entrada e saída da rede permitido para seu arquivo. Por exemplo, sugerimos que você permita somente o tráfego de saída para os controladores de domínios do Active Directory autogerenciado ou dentro da sub-rede ou do grupo de segurança que esteja usando. Para obter mais informações, consulte Controle de acesso ao sistema de arquivos com a Amazon VPC.

Não mova objetos de computador criados na Amazon FSx
Importante

Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.

Validar sua configuração do Active Directory

Antes de tentar unir um FSx sistema de arquivos do Windows File Server ao seu Active Directory, é altamente recomendável que você valide sua configuração do Active Directory usando a ferramenta de validação do Amazon FSx Active Directory.

Conta de FSx serviço da Amazon

Os sistemas de FSx arquivos da Amazon associados a um Active Directory autogerenciado exigem uma conta de serviço válida durante toda sua vida útil. A Amazon FSx usa a conta de serviço para gerenciar totalmente seus sistemas de arquivos e realizar tarefas administrativas que exigem a separação e a rejunção de objetos de computador ao seu domínio do Active Directory. Essas tarefas incluem a substituição de um servidor de arquivos com falha e a aplicação de patches no software Microsoft Windows Server. Para FSx que a Amazon execute essas tarefas, a conta de FSx serviço da Amazon deve ter, no mínimo, o conjunto de permissões descrito em Permissões da conta de serviço Delegado a ela.

Embora os membros do grupo de administradores de domínio tenham privilégios suficientes para realizar essas tarefas, é altamente recomendável que você use uma conta de serviço separada para delegar os privilégios necessários à Amazon. FSx

Para obter mais informações sobre como delegar privilégios usando os recursos Controle de delegado ou Recursos avançados no snap-in do Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory, consulte Delegar permissões para a conta de FSx serviço ou grupo da Amazon.

Se você atualizar o sistema de arquivos com uma nova conta de serviço, a nova conta de serviço deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de Controle total para os objetos de computador atuais associados ao sistema de arquivos. Para obter mais informações, consulte Alterando a conta FSx de serviço da Amazon.