As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar um Microsoft Active Directory autogerenciado
Se sua organização gerencia identidades e dispositivos usando um Active Directory autogerenciado no local ou na nuvem, você pode associar um FSx sistema de arquivos do Windows File Server ao seu domínio do Active Directory no momento da criação.
Quando você une seu sistema de arquivos ao Active Directory autogerenciado, seu FSx sistema de arquivos do Windows File Server reside na mesma floresta do Active Directory (o principal contêiner lógico em uma configuração do Active Directory que contém domínios, usuários e computadores) e no mesmo domínio do Active Directory que seus usuários e recursos existentes (incluindo servidores de arquivos existentes).
**nota**
Você pode isolar seus recursos, incluindo seus sistemas de arquivos da FSx Amazon, em uma floresta separada do Active Directory daquela em que seus usuários residem. Para fazer isso, associe seu sistema de arquivos a um Microsoft Active Directory gerenciado pela AWS e estabeleça uma relação de confiança de floresta unidirecional entre um Microsoft Active Directory gerenciado pela AWS que você criar e seu Active Directory autogerenciado existente.
+ Nome de usuário e senha de uma conta de serviço em seu domínio do Active Directory, para FSx a Amazon usar para unir o sistema de arquivos ao seu domínio do Active Directory. Você pode fornecer essas credenciais como texto simples ou armazená-las AWS Secrets Manager e fornecer o ARN secreto (recomendado).
+ (Opcional) A Unidade Organizacional (UO) em seu domínio na qual você deseja que seu sistema de arquivos seja associado.
+ (Opcional) O grupo de domínio ao qual você deseja delegar autoridade para executar ações administrativas no sistema de arquivos. Por exemplo, esse grupo de domínio pode gerenciar compartilhamentos de arquivos do Windows, gerenciar listas de controle de acesso (ACLs) na pasta raiz do sistema de arquivos, assumir a propriedade de arquivos e pastas e assim por diante. Se você não especificar esse grupo, a Amazon FSx delegará essa autoridade ao grupo Administradores de Domínio em seu domínio do Active Directory por padrão.
**nota**
O nome do grupo de domínio fornecido deve ser exclusivo no Active Directory. FSx para Windows File Server não criará o grupo de domínio nas seguintes circunstâncias:
Se já houver um grupo com o nome que você especificar
Se você não especificar um nome, e já houver um grupo chamado “Administradores de domínio” no seu Active Directory.
Para obter mais informações, consulte [Unindo um sistema de FSx arquivos da Amazon a um domínio autogerenciado do Microsoft Active Directory](creating-joined-ad-file-systems.md).
**Topics**
+ [Pré-requisitos](#self-manage-prereqs)
+ [Permissões da conta de serviço](#service-account-prereqs)
+ [Práticas recomendadas ao usar um Active Directory autogerenciado](#self-managed-AD-best-practices)
+ [Conta de FSx serviço da Amazon](#self-managed-AD-service-account)
+ [Delegar permissões para a conta de FSx serviço ou grupo da Amazon](assign-permissions-to-service-account.md)
+ [Como validar a configuração do Active Directory](validate-ad-config.md)
+ [Unindo um sistema de FSx arquivos da Amazon a um domínio autogerenciado do Microsoft Active Directory](creating-joined-ad-file-systems.md)
+ [Como obter os endereços IP corretos do sistema de arquivos para usar em entradas DNS manuais](file-system-ip-addresses-for-dns.md)
+ [Como atualizar a configuração de um Active Directory autogerenciado](update-self-ad-config.md)
+ [Alterando a conta FSx de serviço da Amazon](changing-ad-service-account.md)
+ [Como monitorar as atualizações do Active Directory autogerenciado](monitor-self-ad-update.md)
## Pré-requisitos
Antes de associar um sistema FSx de arquivos do Windows File Server ao seu domínio autogerenciado do Microsoft Active Directory, revise os seguintes pré-requisitos para ajudar a garantir que você possa unir com sucesso seu sistema de FSx arquivos da Amazon ao seu Active Directory autogerenciado.
### Configurações on-premises
Esses são os pré-requisitos para seu Microsoft Active Directory autogerenciado, local ou baseado na nuvem, ao qual você se juntará ao sistema de arquivos da Amazon. FSx
+ Os controladores de domínio do Active Directory:
+ Precisa ter um nível funcional de domínio no Windows Server 2008 R2 ou posterior.
+ Precisa ser gravável.
+ Pelo menos um dos controladores de domínio acessíveis deve ser um catálogo global da floresta.
+ O servidor DNS deve ser capaz de resolver nomes da seguinte forma:
+ No domínio em que você está associando ao sistema de arquivos
+ No domínio raiz da floresta
+ Os endereços IP do servidor DNS e do controlador de domínio do Active Directory devem atender aos seguintes requisitos, que variam dependendo de quando o sistema de FSx arquivos da Amazon foi criado:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/self-managed-AD.html)
Se precisar acessar um sistema FSx de arquivos do Windows File Server criado antes de 17 de dezembro de 2020 usando um intervalo de endereços IP não privado, você poderá criar um novo sistema de arquivos restaurando um backup do sistema de arquivos. Para obter mais informações, consulte [Restaurar um backup em um novo sistema de arquivos](how-to-restore-backups.md).
+ O nome de domínio do Active Directory autogerenciado deve atender aos seguintes requisitos:
+ O nome de domínio que não está no formato de domínio de rótulo único (SLD). A Amazon FSx não oferece suporte a domínios SLD.
+ Para sistemas de arquivos single-AZ 2 e todos os sistemas de arquivos multi-AZ, o nome de domínio não pode exceder 47 caracteres.
+ Todos os sites do Active Directory que você definiu devem atender aos seguintes pré-requisitos:
+ As sub-redes na VPC associada ao seu sistema de arquivos devem ser definidas em um site do Active Directory.
+ Não há conflitos entre as sub-redes da VPC e nenhuma das sub-redes do site do Active Directory.
A Amazon FSx exige conectividade com os controladores de domínio ou sites do Active Directory que você definiu em seu ambiente do Active Directory. A Amazon FSx ignorará qualquer controlador de domínio com TCP e UDP bloqueados na porta 389. Para os controladores de domínio restantes em seu Active Directory, certifique-se de que eles atendam aos requisitos de FSx conectividade da Amazon. Além disso, verifique se todas as alterações na conta de serviço são propagadas para todos esses controladores de domínio.
**Importante**
Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.
Você pode validar sua configuração do Active Directory, incluindo testar a conectividade de vários controladores de domínio, usando a ferramenta de [validação do Amazon FSx Active Directory](validate-ad-config.md). Para limitar o número de controladores de domínio que exigem conectividade, você também pode criar uma relação de confiança entre os controladores de domínio on-premises e o AWS Managed Microsoft AD. Para obter mais informações, consulte [Como usar um modelo de isolamento de floresta de recursos](fsx-aws-managed-ad.md#using-a-rfim).
**Importante**
A Amazon FSx só registra os registros DNS para um sistema de arquivos se você estiver usando o Microsoft DNS como o serviço DNS padrão. Se estiver usando um DNS de terceiros, será necessário configurar manualmente as entradas de registro de DNS para seu sistema de arquivos após criá-lo.
### Configurações de rede
Esta seção descreve os requisitos de configuração de rede para associar um sistema de arquivos ao Active Directory autogerenciado. É altamente recomendável que você use a [ferramenta de validação do Amazon FSx Active Directory](validate-ad-config.md#test-ad-network-config) para testar suas configurações de rede antes de tentar unir seu sistema de arquivos ao seu Active Directory autogerenciado.
+ Certifique-se de que suas regras de firewall permitam o tráfego ICMP entre seus controladores de domínio do Active Directory e a Amazon. FSx
+ A conectividade deve ser configurada entre a Amazon VPC na qual você deseja criar o sistema de arquivos e o seu Active Directory autogerenciado. Você pode configurar essa conectividade usando [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), [AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html), [emparelhamento da VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) ou [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
+ O grupo de segurança VPC padrão para sua Amazon VPC padrão deve ser adicionado ao seu sistema de arquivos usando o console da Amazon. FSx Certifique-se de que o grupo de segurança e a rede ACLs VPC das sub-redes em que você cria seu sistema de arquivos permitam tráfego nas portas e na direção mostrada no diagrama a seguir.
![\[FSx para requisitos de configuração de portas do Windows File Server para grupos de segurança de VPC e rede ACLs para as sub-redes em que o sistema de arquivos é criado.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
A tabela a seguir identifica o protocolo, as portas e sua função.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/self-managed-AD.html)
Essas regras de tráfego também precisam ser espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio, servidores DNS, clientes e administradores do Active Directory. FSx FSx
**nota**
Se você estiver usando uma rede VPC ACLs, também deverá permitir o tráfego de saída nas portas dinâmicas (49152-65535) do seu sistema de arquivos.
**Importante**
Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e da rede VPC ACLs exigem que as portas sejam abertas em ambas as direções.
## Permissões da conta de serviço
É necessário ter uma conta de serviço em seu Microsoft Active Directory autogerenciado com permissões delegadas para associar objetos de computador ao seu domínio do Active Directory autogerenciado. Uma *conta de serviço* é uma conta de usuário no Active Directory autogerenciado que recebeu a delegação de certas tarefas.
A seguir está o conjunto mínimo de permissões que devem ser delegadas à conta de FSx serviço da Amazon na OU à qual você está ingressando no sistema de arquivos.
+ Se estiver usando o *Controle delegado* no Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory:
+ Redefinir senhas
+ Restrições de leitura e gravação da conta
+ Gravação validada no nome do host DNS
+ Gravação validada no nome da entidade principal do serviço
+ Se estiver usando *Recursos avançados* no Console de gerenciamento Microsoft de Computadores e Usuários do Active Directory:
+ Modificar permissões
+ Criação de objetos de computador
+ Excluir objetos de computador
Para obter mais informações, consulte o tópico da documentação do Microsoft Windows Server [Erro: o acesso é negado quando usuários não administradores aos quais foi delegado o controle tentam associar computadores a um controlador de domínio](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).
Para mais informações sobre como configurar as permissões necessárias, consulte [Delegar permissões para a conta de FSx serviço ou grupo da Amazon](assign-permissions-to-service-account.md).
## Práticas recomendadas ao usar um Active Directory autogerenciado
**Topics**
+ [Armazenando credenciais do Active Directory usando AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
Recomendamos que você siga essas melhores práticas ao unir um sistema de arquivos Amazon FSx para Windows File Server ao seu Microsoft Active Directory autogerenciado. Essas práticas recomendadas ajudarão a manter a disponibilidade contínua e ininterrupta do sistema de arquivos.
**Use uma conta de serviço separada para a Amazon FSx**
Use uma conta de serviço separada para delegar os [privilégios necessários](#service-account-prereqs) FSx para que a Amazon gerencie totalmente os sistemas de arquivos associados ao seu Active Directory autogerenciado. Não recomendamos o uso de **Administradores de domínio** para essa finalidade.
**Usar grupo do Active Directory**
Use um grupo do Active Directory para gerenciar as permissões e configurações do Active Directory associadas à conta de FSx serviço da Amazon.
**Separar a unidade organizacional (UO)**
Para facilitar a localização e o gerenciamento de seus objetos de FSx computador da Amazon, recomendamos que você separe a Unidade Organizacional (OU) que você usa FSx para seus sistemas de arquivos do Windows File Server de outras preocupações com controladores de domínio.
**Mantenha a configuração do Active Directory up-to-date**
É fundamental que você mantenha a configuração do Active Directory do seu sistema de arquivos up-to-date com todas as alterações. Por exemplo, se o Active Directory autogerenciado usar uma política de redefinição de senha com base no tempo, atualize a senha da conta de serviço no sistema de arquivos assim que a senha for redefinida. Para obter mais informações, consulte [Como atualizar a configuração de um Active Directory autogerenciado](update-self-ad-config.md).
**Alterando a conta FSx de serviço da Amazon**
Se você atualizar o sistema de arquivos com uma nova conta de serviço, ela deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de **Controle total** para os objetos de computador atuais associados ao sistema de arquivos. Para obter mais informações, consulte [Alterando a conta FSx de serviço da Amazon](changing-ad-service-account.md).
**Atribua sub-redes a um único site do Microsoft Active Directory**
Se o seu ambiente do Active Directory tiver um grande número de controladores de domínio, use os **sites e serviços do Active Directory** para atribuir as sub-redes usadas pelos sistemas de FSx arquivos da Amazon a um único site do Active Directory com a maior disponibilidade e confiabilidade. Certifique-se de que o grupo de segurança da VPC, a ACL da rede VPC, as regras de firewall do Windows e quaisquer outros controles de roteamento de rede que você tenha na sua infraestrutura do Active Directory permitam a comunicação da Amazon nas portas necessárias. DCs FSx Isso permite que o Windows reverta para outros controladores de domínio, se não puder usar o site do Active Directory atribuído. Para obter mais informações, consulte [Controle de acesso ao sistema de arquivos com a Amazon VPC](limit-access-security-groups.md).
**Usar regras de grupo de segurança para limitar o tráfego**
Use as regras de grupos de segurança para implementar o princípio do privilégio mínimo na nuvem privada virtual (VPC). Com as regras do grupo de segurança da VPC, você pode limitar o tipo de tráfego de entrada e saída da rede permitido para seu arquivo. Por exemplo, sugerimos que você permita somente o tráfego de saída para os controladores de domínios do Active Directory autogerenciado ou dentro da sub-rede ou do grupo de segurança que esteja usando. Para obter mais informações, consulte [Controle de acesso ao sistema de arquivos com a Amazon VPC](limit-access-security-groups.md).
**Não mova objetos de computador criados na Amazon FSx**
Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.
**Validar sua configuração do Active Directory**
Antes de tentar unir um FSx sistema de arquivos do Windows File Server ao seu Active Directory, é altamente recomendável que você valide sua configuração do Active Directory usando a ferramenta de [validação do Amazon FSx Active Directory](validate-ad-config.md).
### Armazenando credenciais do Active Directory usando AWS Secrets Manager
Você pode usar AWS Secrets Manager para armazenar e gerenciar com segurança suas credenciais da conta de serviço de ingresso no domínio do Microsoft Active Directory. Essa abordagem elimina a necessidade de armazenar credenciais confidenciais em texto simples no código da aplicação ou nos arquivos de configuração, fortalecendo sua postura de segurança.
Você também pode configurar políticas do IAM para gerenciar o acesso aos seus segredos e configurar políticas de rotação automática para suas senhas.
#### Armazene as credenciais do Active Directory em AWS Secrets Manager (Console)
##### Etapa 1: criar uma chave do KMS
Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.
**Para criar uma chave**
**nota**
Para **Chave de criptografia**, crie uma nova chave, não use a chave KMS AWS padrão. Certifique-se de criar o AWS KMS key na mesma região que contém o sistema de arquivos que você deseja associar ao seu Active Directory.
1. Abra o AWS KMS console em https://console.aws.amazon.com /kms.
1. Escolha **Criar chave**.
1. Em **Tipo de chave**, escolha **Simétrica**.
1. Em **Uso da chave**, escolha **Criptografar e descriptografar**.
1. Em **Opções avançadas**, faça o seguinte:
1. Em **Origem do material de chaves**, escolha **Externa**.
1. Em **Regionalidade**, escolha **Chave de região única** e escolha **Próximo**.
1. Escolha **Próximo**.
1. Em **Alias**, forneça um nome para a chave do KMS.
1. (Opcional) Em **Descrição**, forneça uma descrição da chave do KMS.
1. (Opcional) Em **Tags**, forneça uma tag da chave do KMS e clique em **Próximo**.
1. (Opcional) Para **administradores de chaves**, forneça os usuários e usuários e perfis do IAM autorizados a gerenciar essa chave.
1. Em **Exclusão de chaves**, mantenha a caixa **Permitir administradores de chaves** selecionada para que eles possam excluir essa chave, e escolha **Próximo**.
1. (Opcional) Para **usuários de chaves**, forneça os usuários e perfis do IAM autorizados a usar essa chave em operações criptográficas. Escolha **Próximo**.
1. Em **Política de chaves**, escolha **Editar** e inclua o seguinte na **Declaração** de política para permitir que FSx a Amazon use a chave KMS e escolha **Avançar**. Certifique-se de substituir o no local em *us-west-2* Região da AWS que o sistema de arquivos está implantado e *123456789012* pelo seu Conta da AWS ID.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. Escolha **Terminar**.
**nota**
Você pode definir um controle de acesso mais granular modificando os campos `aws:SourceArn` e `Resource` para alcançar segredos e sistemas de arquivos específicos.
##### Etapa 2: criar um AWS Secrets Manager segredo
**Como criar um segredo**
1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Selecione **Armazenar um novo segredo**.
1. Em **Tipo de segredo**, escolha **Outro tipo de segredo**.
1. Em **Pares de chave/valor**, faça o seguinte para adicionar suas duas chaves:
1. Para a primeira chave, insira `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Para o valor da primeira chave, insira somente o nome de usuário (sem o prefixo do domínio) do usuário do AD.
1. Para a segunda chave, insira `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Para o valor da segunda chave, insira a senha que você criou para o usuário do AD no domínio.
1. Em **Chave de criptografia**, insira a chave do KMS que você criou em uma etapa anterior e escolha **Próximo**.
1. Em **Nome do secreto**, insira um nome descritivo que ajude você a encontrar o segredo posteriormente.
1. (Opcional) Em **Descrição**, insira uma descrição para o nome do segredo.
1. Em **Permissão de recurso**, escolha **Editar**.
Adicione a política a seguir à política de permissão para permitir que FSx a Amazon use o segredo e escolha **Avançar**. Certifique-se de substituir o no local em *us-west-2* Região da AWS que o sistema de arquivos está implantado e *123456789012* pelo seu Conta da AWS ID.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**nota**
Você pode definir um controle de acesso mais granular modificando os campos `aws:SourceArn` e `Resource` para alcançar segredos e sistemas de arquivos específicos.
1. (Opcional) Você pode configurar o Secrets Manager para alternar suas credenciais automaticamente. Escolha **Próximo**.
1. Escolha **Terminar**.
#### Armazene as credenciais do Active Directory em AWS Secrets Manager (CLI)
##### Etapa 1: criar uma chave do KMS
Crie uma chave do KMS para criptografar e descriptografar suas credenciais do Active Directory no Secrets Manager.
Para criar uma chave KMS, use o AWS CLI comando [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
Nesse comando, defina o parâmetro `--policy` para especificar a política de chave que define as permissões para a chave do KMS. A política deve incluir o seguinte:
+ O principal serviço da Amazon FSx, qual é`fsx.amazonaws.com`.
+ Ações necessárias do KMS: `kms:Decrypt` e `kms:DescribeKey`.
+ Padrão de ARN de recurso para sua conta Região da AWS .
+ Chaves de condição que restringem o uso da chave:
+ `kms:ViaService` para garantir que as solicitações cheguem por meio do Secrets Manager.
+ `aws:SourceAccount` para limitar sua conta.
+ `aws:SourceArn`para restringir a sistemas de FSx arquivos específicos da Amazon.
O exemplo a seguir cria uma chave KMS de criptografia simétrica com uma política que permite que FSx a Amazon use a chave para operações de descriptografia e descrição da chave. O comando recupera automaticamente seu Conta da AWS ID e região e, em seguida, configura a política de chaves com esses valores para garantir controles de acesso adequados entre a Amazon FSx, o Secrets Manager e a chave KMS. Certifique-se de que seu AWS CLI ambiente esteja na mesma região do sistema de arquivos que se juntará ao Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**nota**
Você pode definir um controle de acesso mais granular modificando os campos `aws:SourceArn` e `Resource` para alcançar segredos e sistemas de arquivos específicos.
##### Etapa 2: criar um AWS Secrets Manager segredo
Para criar um segredo para FSx a Amazon acessar seu Active Directory, use o AWS CLI comando [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) e defina os seguintes parâmetros:
+ `--name`: o identificador do seu segredo.
+ `--description`: uma descrição da finalidade do segredo.
+ `--kms-key-id`: o ARN da chave do KMS que você criou na [Etapa 1](#create-kms-key-windows-cli) para criptografar o segredo em repouso.
+ `--secret-string`: uma string JSON contendo suas credenciais do AD no seguinte formato:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: o nome de usuário da sua conta de serviço do AD sem o prefixo do domínio, como `svc-fsx`. **Não** forneça o prefixo do domínio, como `CORP\svc-fsx`.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: sua senha da conta de serviço do AD.
+ `--region`: O Região da AWS local onde seu sistema de FSx arquivos da Amazon será criado. Isso é padronizado para sua região configurada, se a `AWS_REGION` não estivesse definida.
Depois de criar o segredo, anexe uma política de recursos usando o [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)comando e defina os seguintes parâmetros:
+ `--secret-id`: o nome ou ARN do segredo para anexar à política. O exemplo a seguir usa **FSxSecret** como `--secret-id`.
+ `--region`: O mesmo Região da AWS que seu segredo.
+ `--resource-policy`: um documento de política JSON que concede FSx permissão à Amazon para acessar o segredo. A política deve incluir o seguinte:
+ O principal serviço da Amazon FSx, qual é**fsx.amazonaws.com**.
+ Ações necessárias do Secrets Manager: `secretsmanager:GetSecretValue` e `secretsmanager:DescribeSecret`.
+ Padrão de ARN de recurso para sua conta Região da AWS .
+ As seguintes chaves de condição que restringem o acesso:
+ `aws:SourceAccount` para limitar sua conta.
+ `aws:SourceArn`para restringir a sistemas de FSx arquivos específicos da Amazon.
O exemplo a seguir cria um segredo com o formato necessário e anexa uma política de recursos que permite que FSx a Amazon use o segredo. Este exemplo recupera automaticamente seu Conta da AWS ID e sua região e, em seguida, configura a política de recursos com esses valores para garantir controles de acesso adequados entre a Amazon FSx e o segredo.
Certifique-se de substituir `KMS_KEY_ARN` o pelo ARN da chave que você criou na [Etapa 1](#create-kms-key-windows-cli), `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` e `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` pelas credenciais da sua conta de serviço do Active Directory. Além disso, verifique se seu AWS CLI ambiente está configurado para a mesma região do sistema de arquivos que se juntará ao Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**nota**
Você pode definir um controle de acesso mais granular modificando os campos `aws:SourceArn` e `Resource` para alcançar segredos e sistemas de arquivos específicos.
## Conta de FSx serviço da Amazon
Os sistemas de FSx arquivos da Amazon associados a um Active Directory autogerenciado exigem uma conta de serviço válida durante toda sua vida útil. A Amazon FSx usa a conta de serviço para gerenciar totalmente seus sistemas de arquivos e realizar tarefas administrativas que exigem a separação e a rejunção de objetos de computador ao seu domínio do Active Directory. Essas tarefas incluem a substituição de um servidor de arquivos com falha e a aplicação de patches no software Microsoft Windows Server. Para FSx que a Amazon execute essas tarefas, a conta de FSx serviço da Amazon deve ter, no mínimo, o conjunto de permissões descrito em [Permissões da conta de serviço](#service-account-prereqs) Delegado a ela.
Embora os membros do grupo de **administradores de domínio** tenham privilégios suficientes para realizar essas tarefas, é altamente recomendável que você use uma conta de serviço separada para delegar os privilégios necessários à Amazon. FSx
Para obter mais informações sobre como delegar privilégios usando os recursos **Controle de delegado** ou **Recursos avançados** no snap-in do Console de gerenciamento Microsoft de **Computadores e Usuários do Active Directory**, consulte [Delegar permissões para a conta de FSx serviço ou grupo da Amazon](assign-permissions-to-service-account.md).
Se você atualizar o sistema de arquivos com uma nova conta de serviço, a nova conta de serviço deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de **Controle total** para os objetos de computador atuais associados ao sistema de arquivos. Para obter mais informações, consulte [Alterando a conta FSx de serviço da Amazon](changing-ad-service-account.md).
Recomendamos armazenar as credenciais da conta de serviço do Active Directory no AWS Secrets Manager para aumentar a segurança. Isso elimina a necessidade de armazenar credenciais confidenciais em texto simples e se alinha às práticas de segurança recomendadas. Para obter mais informações, consulte [Usar um Microsoft Active Directory autogerenciado](#self-managed-AD).
# Delegar permissões para a conta de FSx serviço ou grupo da Amazon
A conta FSx de serviço ou grupo de administradores da Amazon deve ter [os privilégios necessários](self-managed-AD.md#service-account-prereqs) FSx para unir os sistemas de arquivos do Windows File Server ao seu domínio autogerenciado do Active Directory. Para delegar essas permissões, você pode usar o **Controle de delegado** ou os **Recursos avançados** no snap-in do Active Directory User and Computers MMC, conforme descrito nos procedimentos a seguir.
## Para atribuir permissões usando o **Controle de delegado**
**Para atribuir permissões a uma conta ou grupo de serviço usando o **Controle de delegado****
1. Faça login no sistema como administrador de domínio para o domínio do Active Directory.
1. Abra o snap-in do MMC de **Computadores e Uuários do Active Directory**.
1. No painel de tarefas, expanda o nó do domínio.
1. Localize e abra o menu de contexto (clique com o botão direito do mouse) na UO que deseja modificar e selecione **Delegar controle**.
1. Na página **Assistente de delegação de controle**, escolha **Próximo**.
1. Escolha **Adicionar** para adicionar o nome da sua conta de FSx serviço ou grupo da Amazon e, em seguida, escolha **Avançar**.
1. Na página **Tasks to Delegate** (Tarefas para delegar), selecione **Create a custom task to delegate** (Criar uma tarefa personalizada para delegar) e, em seguida, selecione **Next** (Avançar).
1. Escolha **Somente os objetos a seguir na pasta**, e depois **Objetos de computador**.
1. Selecione **Criar objetos selecionados nesta pasta** e **Excluir objetos selecionados nesta pasta**. Escolha **Próximo**.
1. Em **Permissões**, escolha o seguinte:
+ **Redefinir senha**
+ **Restrições de leitura e gravação da conta**
+ **Gravação validada no nome do host DNS**
+ **Gravação validada no nome da entidade principal do serviço**
1. Escolha **Next (Próximo)** e, em seguida, escolha **Finish (Concluir)**.
1. Feche o snap-in do MMC de **Computadores e Usuários do Active Directory**.
## Para atribuir permissões usando **Recursos avançados**
1. Faça login no sistema como administrador de domínio para o domínio do Active Directory.
1. Abra o snap-in do MMC de **Computadores e Uuários do Active Directory**.
1. Selecione **Visualizar** na barra de menu e certifique-se de que a opção **Recursos avançados** esteja habilitada (uma marca de seleção aparecerá ao lado dela se o recurso estiver habilitado).
1. No painel de tarefas, expanda o nó do domínio.
1. Localize e abra o menu de contexto (clique com o botão direito do mouse) da UO que você deseja modificar e escolha **Propiedades**.
1. No painel **Propriedades da UO**, selecione a guia **Segurança**.
1. Na guia **Segurança**, selecione **Avançado**. Em seguida, selecione **Adicionar**.
1. Na página de **entrada de permissão**, escolha **Selecionar um diretor** e insira o nome da sua conta ou grupo de FSx serviços da Amazon. Em **Aplica-se a:**, escolha **Este objeto e todos os computadores descendentes**. Certifique-se de que o seguinte esteja selecionado:
+ **Modificar permissões**
+ **Criar objetos de computador**
+ **Excluir objetos de computador**
1. Selecione **Aplicar** e, em seguida, selecione **OK**.
1. Feche o snap-in do MMC de **Computadores e Usuários do Active Directory**.
# Como validar a configuração do Active Directory
Antes de criar um sistema de arquivos FSx para Windows File Server associado ao seu Active Directory, recomendamos que você valide sua configuração do Active Directory usando a ferramenta de validação do Amazon FSx Active Directory. Observe que a conectividade de saída com a Internet é necessária para validar com êxito a configuração do Active Directory.
**Validar a configuração do Active Directory**
1. Inicie uma instância do Amazon EC2 para Windows na mesma sub-rede e com os mesmos grupos de segurança da Amazon VPC que você usa para o sistema de arquivos do FSx para Windows File Server. Certifique-se de que sua instância do EC2 tenha as permissões `AmazonEC2ReadOnlyAccess` do IAM necessárias. Você pode validar as permissões de perfil da instância do EC2 usando o simulador de políticas do IAM. Para obter mais informações, consulte [Testar as políticas do IAM com o simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) no *Guia do usuário do IAM*.
1. Associe sua instância do EC2 para Windows ao seu Active Directory. Para obter mais informações, consulte [Manually Join a Windows Instance](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html) no *Guia de administração do AWS Directory Service *.
1. Conecte-se à sua instância do EC2. Para obter mais informações, consulte [Connecting to Your Windows Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) no *Amazon EC2 User Guide*.
1. Abra uma PowerShell janela do Windows (usando **Executar como administrador**) na instância do EC2.
Para testar se o módulo necessário do Active Directory para Windows PowerShell está instalado, use o comando de teste a seguir.
```
PS C:\> Import-Module ActiveDirectory
```
Se a mensagem acima retornar um erro, instale-o usando o comando a seguir.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. Baixe a ferramenta de validação de rede usando o comando a seguir.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. Faça download do arquivo zip usando o comando a seguir.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. Adicione o módulo `AmazonFSxADValidation` à sessão atual.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. Defina os parâmetros necessários substituindo-os no comando a seguir.
+ Nome de domínio do Active Directory (*DOMAINNAME.COM*)
+ Prepare o objeto `$Credential` para a senha da conta de serviço usando uma das seguintes opções:
+ Para gerar o objeto de credencial de forma interativa, use o comando a seguir.
```
$Credential = Get-Credential
```
+ Para gerar o objeto de credencial usando um AWS Secrets Manager recurso, use o comando a seguir.
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ Endereços IP do servidor DNS (*IP\$1ADDRESS\$11*,*IP\$1ADDRESS\$12*)
+ ID (s) de sub-rede para sub-redes nas quais você planeja criar seu sistema de FSx arquivos da Amazon (*SUBNET\$11*, por exemplo*SUBNET\$12*,). `subnet-04431191671ac0d19`
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (Opcional) Defina a unidade organizacional, o grupo de administradores delegados e habilite a validação da permissão da conta de serviço seguindo as instruções no `README.md` arquivo incluído antes de executar a ferramenta de validação. DomainControllersMaxCount
**nota**
O grupo `Domain Admins` tem um nome diferente se o sistema operacional não estiver em inglês. Por exemplo, o grupo é denominado `Administrateurs du domaine` na versão francesa do OS. Se você não especificar um valor, o nome de grupo padrão `Domain Admins` será usado e a criação do sistema de arquivos falhará.
1. Execute a ferramenta de validação usando este comando.
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. A seguir, um exemplo de um resultado de teste bem-sucedido.
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
A seguir, um exemplo de um resultado de teste com erros.
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Se você receber avisos ou erros ao executar a ferramenta de validação, consulte o Guia de solução de problemas incluído no pacote da ferramenta de validação (`TROUBLESHOOTING.md`) e [Solução de problemas da Amazon FSx](troubleshooting.md).
# Unindo um sistema de FSx arquivos da Amazon a um domínio autogerenciado do Microsoft Active Directory
Ao criar um novo FSx sistema de arquivos do Windows File Server, você pode configurar a integração do Microsoft Active Directory para que ela se junte ao seu domínio autogerenciado do Microsoft Active Directory. Para fazer isso, forneça as seguintes informações para o Microsoft Active Directory:
+ O nome de domínio totalmente qualificado (FQDN) do diretório on-premises do Microsoft Active Directory.
**nota**
FSx Atualmente, a Amazon não oferece suporte a domínios Single Label Domain (SLD).
+ Os endereços IP de servidores DNS para o seu domínio.
+ Credenciais para uma conta de serviço do Active Directory que a Amazon FSx usa para unir o sistema de arquivos ao seu domínio. Você pode fornecê-los como:
+ **Opção 1**: ARN AWS Secrets Manager secreto - O segredo que contém o nome de usuário e a senha de uma conta de serviço no seu domínio do Active Directory. Para obter mais informações, consulte [Armazenando credenciais do Active Directory usando AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opção 2**: credenciais em texto não criptografado
+ **Nome de usuário da conta de serviço**: o nome de usuário da conta de serviço no seu Microsoft Active Directory existente. Não inclua um prefixo ou sufixo de domínio. Por exemplo, para `EXAMPLE\ADMIN`, use apenas `ADMIN`.
+ **Senha da conta de serviço**: a senha da conta de serviço.
Opcionalmente, também é possível especificar as seguintes opções:
+ Uma Unidade Organizacional (OU) específica dentro do domínio ao qual você deseja que seu sistema de FSx arquivos da Amazon se junte.
+ O nome do grupo de domínio cujos membros recebem privilégios administrativos para o sistema de FSx arquivos da Amazon. O nome do grupo de domínio fornecido deve ser exclusivo no Active Directory.
Depois de especificar essas informações, a Amazon FSx associa seu novo sistema de arquivos ao seu domínio autogerenciado do Active Directory usando a conta de serviço que você forneceu.
**Importante**
A Amazon FSx só registra registros DNS para um sistema de arquivos se o domínio do Active Directory ao qual você está se associando estiver usando o Microsoft DNS como o DNS padrão. Se você estiver usando um DNS de terceiros, precisará configurar manualmente as entradas de DNS para seus sistemas de FSx arquivos da Amazon depois de criar seu sistema de arquivos. Para obter mais informações sobre como escolher os endereços IP corretos a serem usados no sistema de arquivos, consulte [Como obter os endereços IP corretos do sistema de arquivos para usar em entradas DNS manuais](file-system-ip-addresses-for-dns.md).
## Antes de começar
Garanta que concluiu o [Pré-requisitos](self-managed-AD.md#self-manage-prereqs) detalhado no [Usar um Microsoft Active Directory autogerenciado](self-managed-AD.md).
## Para criar um FSx sistema de arquivos do Windows File Server associado a um Active Directory (Console) autogerenciado
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. No painel, escolha **Create file system** (Criar sistema de arquivos) para iniciar o assistente de criação de sistemas de arquivos.
1. Escolha **Windows FSx File Server** e, em seguida, escolha **Avançar**. A página **Criar sistema de arquivos** é exibida.
1. Forneça um nome para o sistema de arquivos. Você pode usar no máximo 256 letras Unicode, espaços em branco e números, além dos caracteres especiais \$1 - = . \$1 : /
1. Em **Capacidade de armazenamento**, insira a capacidade de armazenamento do sistema de arquivos, em GiB. Se você estiver usando o armazenamento SSD, insira qualquer número inteiro no intervalo entre 32 e 65.536. Se você estiver usando o armazenamento em HDD, insira qualquer número inteiro no intervalo entre 2 mil e 65.536. Você pode aumentar a capacidade de armazenamento, conforme necessário, a qualquer momento após a criação do sistema de arquivos. Para obter mais informações, consulte [Como gerenciar a capacidade de armazenamento](managing-storage-configuration.md#managing-storage-capacity).
1. Mantenha a **Capacidade de Throughput** na configuração padrão. **Capacidade de throughput**: é a velocidade sustentada na qual o servidor de arquivos que hospeda o sistema de arquivos pode fornecer dados. A configuração da **capacidade de throughput recomendada** é baseada na quantidade de capacidade de armazenamento que você escolher. Se você precisar de mais do que a capacidade de throughput recomendada, escolha **Especificar capacidade de throughput** e, em seguida, escolha um valor. Para obter mais informações, consulte [FSx para desempenho do Windows File Serverdesempenho](performance.md).
Você pode modificar a capacidade de throughput, conforme necessário, a qualquer momento depois de criar o sistema de arquivos. Para obter mais informações, consulte [Como gerenciar a capacidade de throughput](managing-throughput-capacity.md).
1. Escolha a VPC que você deseja associar a um sistema de arquivos. Para fins deste exercício de introdução, escolha a mesma VPC do seu Directory Service diretório e da instância do Amazon EC2.
1. Escolha qualquer valor para **zonas de disponibilidade** e **sub-rede**.
1. Em **Grupos de segurança da VPC**, o grupo de segurança padrão para a Amazon VPC padrão já está adicionado ao sistema de arquivos no console. Certifique-se de que o grupo de segurança e a rede VPC da (s) sub-rede ACLs (s) em que você está criando seu sistema de FSx arquivos permitam tráfego nas portas e nas direções mostradas no diagrama a seguir.
![\[FSx para requisitos de configuração de portas do Windows File Server para grupos de segurança de VPC e rede ACLs para as sub-redes em que o sistema de arquivos está sendo criado.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
A tabela a seguir identifica o perfil de cada porta.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**Importante**
É necessário permitir o tráfego de saída na porta TCP 9389 para implantações de sistemas de arquivos single-AZ 2 e todas as implantações de sistemas de arquivos multi-AZ.
**nota**
Se você estiver usando uma rede VPC ACLs, também deverá permitir o tráfego de saída nas portas dinâmicas (49152-65535) do seu sistema de arquivos. FSx
+ Regras de saída para permitir todo o tráfego para os endereços IP associados aos servidores DNS e controladores de domínio do seu domínio do Microsoft Active Directory autogerenciado. Para obter mais informações, consulte a [documentação da Microsoft sobre como configurar seu firewall para comunicação com o Active Directory](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts).
+ Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio, servidores DNS, clientes e administradores do Active Directory. FSx FSx
**nota**
Se você tiver sites do Active Directory definidos, deverá garantir que as sub-redes na VPC associadas ao seu sistema de arquivos da FSx Amazon estejam definidas em um site do Active Directory e que não existam conflitos entre as sub-redes em sua VPC e as sub-redes em seus outros sites. Você pode exibir e alterar essas configurações usando o snap-in do MMC de Serviços e Sites do Active Directory.
**Importante**
Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e da rede VPC ACLs exigem que as portas sejam abertas em ambas as direções.
1. Para **Autenticação do Windows**, escolha **Microsoft Active Directory autogerenciado**.
1. Insira um valor para o **Nome de domínio totalmente qualificado** para o diretório do Microsoft Active Directory autogerenciado.
**nota**
Seu nome de domínio de AD não pode estar no formato de domínio de rótulo único (SLD). FSx Atualmente, a Amazon não oferece suporte a domínios SLD.
**Importante**
Para sistemas de arquivos single-AZ 2 e todos os sistemas de arquivos multi-AZ, o nome de domínio do Active Directory não pode exceder 47 caracteres.
1. Insira um valor de **unidade organizacional** para o diretório do Microsoft Active Directory autogerenciado.
**nota**
Certifique-se de que a conta de serviço que você forneceu tenha permissões delegadas à UO especificada aqui ou à UO padrão, se você não especificar uma.
1. Insira pelo menos um, e não mais do que dois, valores para **Endereços IP do servidor DNS** para o diretório do Microsoft Active Directory autogerenciado.
1. **Credenciais da conta de serviço**: escolha como fornecer as credenciais da sua conta de serviço:
+ **Opção 1**: ARN AWS Secrets Manager secreto - O segredo que contém o nome de usuário e a senha de uma conta de serviço no seu domínio do Active Directory. Para obter mais informações, consulte [Armazenando credenciais do Active Directory usando AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opção 2**: credenciais em texto não criptografado
+ **Nome de usuário da conta de serviço**: o nome de usuário da conta de serviço no seu Microsoft Active Directory existente. Não inclua um prefixo ou sufixo de domínio. Por exemplo, para `EXAMPLE\ADMIN`, use apenas `ADMIN`.
+ **Senha da conta de serviço**: a senha da conta de serviço.
+ **Confirmar senha**: a senha da conta de serviço.
**Importante**
NÃO inclua um prefixo de domínio (`corp.com\ServiceAcct`) ou sufixo de domínio (`ServiceAcct@corp.com`) ao inserir o **Nome de usuário da conta de serviço**.
NÃO use o Nome Distinto (DN) ao inserir o **Nome de usuário da conta de serviço** (`CN=ServiceAcct,OU=example,DC=corp,DC=com`).
1. Para o **Grupo de administradores delegado do sistema de arquivos**, especifique o grupo `Domain Admins` ou um grupo personalizado delegado de administradores do sistema de arquivos (se você tiver criado um). O grupo que você especificar deve ter a autoridade delegada para realizar tarefas administrativas em seu sistema de arquivos. Se você não fornecer um valor, a Amazon FSx usa o `Domain Admins` grupo Builtin. Observe que FSx a Amazon não oferece suporte para ter um `Delegated file system administrators group` (o `Domain Admins` grupo ou um grupo personalizado que você especificar) localizado no contêiner embutido.
**Importante**
Se você não fornecer um grupo **delegado de administradores do sistema de arquivos, por padrão**, a Amazon FSx tentará usar o `Domain Admins` grupo integrado no seu domínio do Active Directory. Se o nome desse grupo incorporado tiver sido alterado ou se você estiver usando um grupo diferente para administração de domínio, forneça esse nome para o grupo aqui.
**Importante**
NÃO inclua um prefixo de domínio (corp.com\$1 FSx Admins) ou sufixo de domínio (FSxAdmins@corp.com) ao fornecer o parâmetro do nome do grupo.
NÃO use o Nome distinto (DN) para o grupo. Um exemplo de nome distinto é CN= FSx Admins, OU=Example, DC=corp, DC=com.
## Para criar um FSx sistema de arquivos do Windows File Server associado a um Active Directory autogerenciado ()AWS CLI
O exemplo a seguir cria um sistema de arquivos FSx para Windows File Server com um `SelfManagedActiveDirectoryConfiguration` na Zona de `us-east-2` Disponibilidade.
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**Importante**
Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.
# Como obter os endereços IP corretos do sistema de arquivos para usar em entradas DNS manuais
A Amazon FSx só registra registros DNS para um sistema de arquivos se você estiver usando o Microsoft DNS como o serviço DNS padrão. Se você estiver usando um DNS de terceiros, precisará configurar manualmente as entradas de DNS para seus sistemas de FSx arquivos da Amazon. Esta seção descreve como obter os endereços IP corretos do sistema de arquivos a serem usados se for necessário adicionar manualmente o sistema de arquivos ao seu DNS. Observe que, depois que um sistema de arquivos é criado, seus endereços IP não mudam até que o sistema de arquivos seja excluído.
**Como obter endereços IP do sistema de arquivos para usar nas entradas DNS A**
1. No [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/), escolha o sistema de arquivos do qual você deseja obter o endereço IP para exibir a página de detalhes do sistema de arquivos.
1. Na guia **Rede e segurança**, siga um destes procedimentos:
+ Para sistemas de arquivos single-AZ 1:
+ No painel **Sub-rede**, selecione a interface de rede elástica mostrada em **Interface de rede** para abrir a página **Interfaces de rede** no console do Amazon EC2.
+ O endereço IP do sistema de arquivos Single-AZ 1 a ser usado é mostrado na coluna ** IPv4 IP privado primário**.
+ Para sistemas de arquivos single-AZ 2 ou multi-AZ:
+ No painel **Sub-rede preferencial**, escolha a interface de rede elástica mostrada em **Interface de rede** para abrir a página **Interfaces de rede** no console do Amazon EC2.
+ O endereço IP da sub-rede preferencial a ser usada é mostrado na coluna ** IPv4 IP privado secundário**.
+ No painel de **sub-rede Amazon FSx Standby**, escolha a interface de rede elástica mostrada em **Interface de rede** para abrir a página **Interfaces de rede** no console do Amazon EC2.
+ O endereço IP usado pela sub-rede em espera é mostrado na coluna ** IPv4 IP privado secundário**.
**nota**
**Se precisar configurar entradas de DNS para seu PowerShell Endpoint Remoto do Windows para sistemas de arquivos Single-AZ 2 ou Multi-AZ, use o ** IPv4 endereço privado primário** para a interface de rede elástica de sua sub-rede preferencial.** Para obter mais informações, consulte [Usando a Amazon FSx CLI para PowerShell](administering-file-systems.md#remote-pwrshell).
# Como atualizar a configuração de um Active Directory autogerenciado
Para ajudar a garantir a disponibilidade contínua e ininterrupta do seu sistema de FSx arquivos da Amazon, você deve atualizar a configuração do Active Directory do sistema de arquivos quando qualquer uma das seguintes propriedades do Active Directory for alterada:
+ Os endereços IP do servidor DNS
+ As credenciais da conta de serviço do Active Directory autogerenciado
Quando você atualiza a configuração autogerenciada do Active Directory para seu sistema de FSx arquivos da Amazon, o estado do seu sistema de arquivos muda de **Disponível** para **Atualizado** enquanto a atualização é aplicada. Verifique se o estado volta para **Disponível** após a aplicação da atualização. A atualização pode levar alguns minutos para ser concluída. Para obter mais informações, consulte [Como monitorar as atualizações do Active Directory autogerenciado](monitor-self-ad-update.md).
Se houver algum problema com a configuração atualizada do Active Directory autogerenciado, o estado do sistema de arquivos mudará para **Configurado incorretamente**. Esse estado mostra uma mensagem de erro e uma ação corretiva recomendada ao lado da descrição do sistema de arquivos no console, na API e na CLI. Depois de executar a ação corretiva recomendada, verifique se o estado do sistema de arquivos muda para **Disponível**.
**Importante**
Se você atualizar o sistema de arquivos com uma nova conta de serviço, certifique-se de que a nova conta de serviço tenha permissões de **Controle total** para os objetos de computador atuais associados ao sistema de arquivos.
Para obter informações sobre a solução de possíveis problemas relacionados às configurações do Active Directory autogerenciado, consulte [O sistema de arquivos está em um estado de configuração incorreta](misconfigured-ad-config.md).
Você pode usar a Console de gerenciamento da AWS FSx API da Amazon ou AWS CLI para atualizar as credenciais da conta de serviço e os endereços IP do servidor DNS da configuração autogerenciada do Active Directory de um sistema de arquivos. Você pode acompanhar o progresso de uma atualização de configuração autogerenciada do Active Directory a qualquer momento usando a Console de gerenciamento da AWS CLI e a API. Para obter mais informações, consulte [Como monitorar as atualizações do Active Directory autogerenciado](monitor-self-ad-update.md).
**Atualizar a configuração do Active Directory autogerenciado (console)**
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Navegue até **Sistemas de arquivos** e selecione o sistema de arquivos do Windows para o qual você deseja atualizar a configuração do Active Directory autogerenciado.
1. Na guia **Rede e segurança**, selecione **Atualizar** para os **endereços IP do servidor DNS** ou para o nome de usuário da conta de serviço, dependendo das propriedades do Active Directory que você está atualizando.
1. Insira os novos endereços IP do servidor DNS ou as credenciais da nova conta de serviço (nome de usuário e senha) ou o ARN secreto na caixa de diálogo exibida. Você pode usar AWS Secrets Manager para armazenar suas credenciais. Para obter mais informações, consulte [Armazenando credenciais do Active Directory usando AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
1. Selecione **Atualizar** para iniciar a atualização da configuração do Active Directory.
Você pode [monitorar o progresso da atualização](monitor-self-ad-update.md) usando o Console de gerenciamento da AWS ou AWS CLI o.
**Atualizar a configuração do Active Directory autogerenciado (CLI)**
+ Para atualizar a configuração autogerenciada do Active Directory de um sistema FSx de arquivos do Windows File Server, use o AWS CLI comando [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html). Defina os seguintes parâmetros:
+ `--file-system-id` para o ID do sistema de arquivos que você está atualizando.
+ `UserName`: o novo nome de usuário para a conta de serviço do Active Directory autogerenciado.
+ `Password`: a nova senha da conta de serviço do Active Directory autogerenciado.
+ `DomainJoinServiceAccountSecret`o AWS Secrets Manager segredo contendo o nome de usuário e a senha de uma conta de serviço no seu domínio do Active Directory
**nota**
Você não pode fornecer ambos username/password e um segredo de conta de serviço de ingresso no domínio para se conectar ao seu Active Directory. Forneça somente um conjunto de credenciais.
+ `DnsIps`: os endereços IP dos servidores DNS do Active Directory autogerenciado.
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
Se a ação de atualização for bem-sucedida, o serviço enviará de volta uma resposta HTTP 200. O objeto `AdminstrativeActions` na resposta descreve a solicitação e seu status.
# Alterando a conta FSx de serviço da Amazon
Se você atualizar o sistema de arquivos com uma nova conta de serviço, a nova conta de serviço deverá ter as permissões e os privilégios necessários para associá-la a um Active Directory e ter permissões de **Controle total** para os objetos de computador atuais associados ao sistema de arquivos. Além disso, verifique se a nova conta de serviço está nas contas confiáveis com a configuração de **Política de grupo** **Controlador de domínio: permitir a reutilização da conta de computador durante a associação ao domínio** habilitada.
Recomendamos fortemente usar um grupo do Active Directory para gerenciar as permissões e configurações do Active Directory associadas a contas de serviço.
Ao alterar a conta de serviço da Amazon FSx, certifique-se de que as contas de serviço tenham as seguintes configurações:
+ A nova conta de serviço (ou o grupo do Active Directory ao qual ela pertence) tem permissões de **Controle total** para os objetos de computador atuais associados ao sistema de arquivos.
+ As contas de serviço novas e anteriores (ou o grupo do Active Directory ao qual elas pertencem) fazem parte das contas confiáveis (ou do grupo confiável do Active Directory) com a configuração da Política de grupo **Controlador de domínio: Permitir a reutilização da conta de computador durante a associação ao domínio** habilitada em todos os controladores de domínio no Active Directory.
Se as contas de serviço não atenderem a esses requisitos, o sistema poderá apresentar as seguintes condições:
+ Para sistemas de arquivos single-AZ, o sistema de arquivos poderá ficar **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**.
+ Para sistemas de arquivos Multi-AZ, o sistema de arquivos pode ficar **[MAL CONFIGURADO](administering-file-systems.md#file-system-lifecycle-states)** e o nome do RemotePowerShell endpoint pode mudar.
## Como configurar a Política de grupo de um controlador de domínio
O seguinte [procedimento recomendado pela Microsoft](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) descreve como usar a Política de grupo do controlador de domínio para configurar a política de lista de permissões.
**Para configurar a política de lista de permissões de um controlador de domínio**
1. Instale as atualizações de 12 de setembro de 2023 ou posteriores do Microsoft Windows em todos os computadores membros e controladores de domínio no Microsoft Active Directory autogerenciado.
1. Em uma política de grupo nova ou existente aplicável a todos os controladores de domínio em seu Active Directory autogerenciado, defina as seguintes configurações.
1. Acesse **Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança**.
1. Clique duas vezes em **Controlador de domínio: permitir a reutilização da conta do computador durante a associação ao domínio**.
1. Selecione **Definir esta configuração de política e **.
1. Use o seletor de objetos para adicionar usuários ou grupos de criadores e proprietários de contas de computador confiáveis à permissão **Permitir**. (Como prática recomendada, recomendamos que você use grupos para obter permissões.) **Não adicione a conta de usuário que realiza a associação ao domínio.**
**Atenção**
Limite a associação à política a usuários e contas de serviço confiáveis. Não adicione usuários autenticados, todos ou outros grupos grandes a essa política. Em vez disso, adicione usuários confiáveis e contas de serviço específicos aos grupos e adicione esses grupos à política.
1. Aguarde o intervalo de atualização da Política de grupo ou execute **gpupdate /force** em todos os controladores de domínio.
1. Verifique se a chave de registro HKLM\$1 System\$1 CCS\$1 Control\$1 SAM — “ComputerAccountReuseAllowList” está preenchida com o SDDL desejado. **Não edite o registro manualmente**.
1. Tente se conectar a um computador que tenha as atualizações de 12 de setembro de 2023 ou posteriores instaladas. Certifique-se de que uma das contas listadas na política seja proprietária da conta do computador. Certifique-se também de que seu registro não tenha a **NetJoinLegacyAccountReuse**chave ativada (definida como 1). Se a associação ao domínio falhar, verifique o **`c:\windows\debug\netsetup.log`**.
# Como monitorar as atualizações do Active Directory autogerenciado
Você pode monitorar o progresso de uma atualização de configuração autogerenciada do Active Directory usando a Console de gerenciamento da AWS, a API ou a AWS CLI, conforme descrito nos procedimentos a seguir.
Quando você atualiza a configuração do Active Directory autogerenciado do seu sistema de arquivos, o estado do sistema de arquivos muda de **Disponível** para **Atualizando** enquanto a atualização é aplicada. Quando a atualização for concluída, o estado voltará para **Disponível**. A conclusão de atualização de configuração do Active Directory pode levar vários minutos.
## Como monitorar as atualizações no console
Na guia **Atualizações** na janela **Detalhes do sistema de arquivos**, você pode ver as dez atualizações mais recentes para cada tipo de atualização.
![\[Captura de tela do console mostrando a lista de atualizações recentes.\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
Para atualizações do Active Directory autogerenciado, você pode visualizar as seguintes informações:
****Tipo de atualização****
Os tipos compatíveis são os seguintes:
+ Endereço IP do servidor DNS
+ Credenciais da conta de serviço
****Target value (Valor de destino)****
O valor desejado para atualizar a propriedade do sistema de arquivos. Para atualizações de **Credenciais da conta de serviço**, somente o nome de usuário é mostrado. As senhas da conta de serviço nunca são incluídas nesse campo.
****Status****
O status atual da atualização. Para atualizações do Active Directory autogerenciado, os valores possíveis são os seguintes:
+ **Pendente** — a Amazon FSx recebeu a solicitação de atualização, mas ainda não começou a processá-la.
+ **Em andamento** — a Amazon FSx está processando a solicitação de atualização.
+ **Concluída**: a atualização do sistema de arquivos foi concluída com êxito.
+ **Com falha**: a atualização do sistema de arquivos falhou. Selecione o ponto de interrogação (**?**) para ver os detalhes sobre a falha.
****% de progresso****
Exibe o progresso da atualização do sistema de arquivos como porcentagem concluída.
****Horário da solicitação****
A hora em que a Amazon FSx recebeu a solicitação de ação de atualização.
## Monitorando atualizações usando a API AWS CLI e
Você pode visualizar e monitorar as solicitações de atualização do sistema de arquivos que estão em andamento usando o [describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI comando e a ação da [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API. A matriz `AdministrativeActions` lista as dez ações de atualização mais recentes para cada tipo de ação administrativa.
O exemplo apresentado a seguir mostra um trecho da resposta de um comando **describe-file-systems** da CLI. A saída mostra duas atualizações autogerenciadas do sistema de arquivos do Active Directory.
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```