Como validar a configuração do Active Directory - Amazon FSx for Windows File Server

Como validar a configuração do Active Directory

Antes de criar um sistema de arquivos do FSx para Windows File Server associado ao seu Active Directory, recomendamos que você valide a configuração do Active Directory usando a Ferramenta de validação do Active Directory do Amazon FSx. Observe que a conectividade de saída com a Internet é necessária para validar com êxito a configuração do Active Directory.

Validar a configuração do Active Directory

  1. Inicie uma instância do Amazon EC2 do Windows na mesma sub-rede e com os mesmos grupos de segurança da Amazon VPC que você usa para o sistema de arquivos do FSx para Windows File Server. Certifique-se de que sua instância do EC2 tenha as permissões AmazonEC2ReadOnlyAccess do IAM necessárias. Você pode validar as permissões de perfil da instância do EC2 usando o simulador de políticas do IAM. Para obter mais informações, consulte Testar as políticas do IAM com o simulador de políticas do IAM no Guia do usuário do IAM.

  2. Associe sua instância do EC2 do Windows ao seu Active Directory. Para obter mais informações, consulte Manually Join a Windows Instance no Guia de administração do AWS Directory Service.

  3. Conecte-se à sua instância do EC2. Para obter mais informações, consulte Connecting to Your Windows Instance no Amazon EC2 User Guide.

  4. Abra uma janela do Windows PowerShell (usando Executar como administrador) na instância do EC2.

    Para testar se o módulo do Active Directory necessário para o Windows PowerShell está instalado, use o comando de teste a seguir.

    PS C:\> Import-Module ActiveDirectory

    Se a mensagem acima retornar um erro, instale-o usando o comando a seguir.

    PS C:\> Install-WindowsFeature RSAT-AD-PowerShell

  5. Baixe a ferramenta de validação de rede usando o comando a seguir. 

    PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

  6. Faça download do arquivo zip usando o comando a seguir.

    PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"

  7. Adicione o módulo AmazonFSxADValidation à sessão atual.

    PS C:\> Import-Module .\AmazonFSxADValidation

  8. Defina os parâmetros necessários substituindo-os no comando a seguir.

    • Nome de domínio do Active Directory (DOMAINNAME.COM)

    • Prepare o objeto $Credential para a senha da conta de serviço usando uma das seguintes opções:

      • Para gerar o objeto de credencial de forma interativa, use o comando a seguir.

        $Credential = Get-Credential

      • Para gerar o objeto de credencial usando um recurso do AWS Secrets Manager, use o comando a seguir.

        $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))

    • Endereços IP do servidor DNS (IP_ADDRESS_1, IP_ADDRESS_2)

    • ID(s) de sub-rede para sub-redes nas quais você planeja criar seu sistema de arquivos do Amazon FSx (SUBNET_1, SUBNET_2, por exemplo, subnet-04431191671ac0d19).

    PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}

  9. (Opcional) Defina a unidade organizacional, o grupo de administradores delegados, a DomainControllersMaxCount e ative a validação de permissão da conta de serviço seguindo as instruções no arquivo README.md incluído antes de executar a ferramenta de validação.

    nota

    O grupo Domain Admins tem um nome diferente se o sistema operacional não estiver em inglês. Por exemplo, o grupo é denominado Administrateurs du domaine na versão francesa do OS. Se você não especificar um valor, o nome de grupo padrão Domain Admins será usado e a criação do sistema de arquivos falhará.

  10. Execute a ferramenta de validação usando este comando.

    PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

  11. A seguir, um exemplo de um resultado de teste bem-sucedido.

    Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    A seguir, um exemplo de um resultado de teste com erros.

    Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    Se você receber avisos ou erros ao executar a ferramenta de validação, consulte o Guia de solução de problemas incluído no pacote da ferramenta de validação (TROUBLESHOOTING.md) e Solução de problemas do Amazon FSx.