本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
更改 Amazon FSx 服务账户
如果您使用新的服务帐户更新文件系统,则新的服务帐户必须具有加入您的 Active Directory 所需的权限和权限,并且对与文件系统关联的现有计算机对象具有完全控制权限。此外,通过启用组策略设置域控制器:允许在加入域期间重复使用计算机帐户,请确保新的服务帐户是受信任帐户的一部分。
我们强烈建议使用 Active Directory 组来管理与服务帐户关联的 Active Directory 权限和配置。
更改 Amazon 的服务账户时FSx,请确保服务账户具有以下设置:
新的服务帐户(或其所属的 Active Directory 组)对与文件系统关联的现有计算机对象具有完全控制权限。
新的和以前的服务帐户(或他们所属的 Active Directory 组)是受信任帐户(或受信任的 Active Directory 组)的一部分,域控制器:允许在域加入期间重复使用计算机帐户组策略设置在 Active Directory 中的所有域控制器上启用。
如果服务帐号不符合这些要求,则可能会出现以下情况:
对于单可用区文件系统,文件系统可能变为 MISCONFIGURED_ UNAVAILABLE。
对于多可用区文件系统,文件系统可能会变成 MISCONFIGURED, RemotePowerShell 端点名称可能会更改。
配置域控制器的组策略
以下 Microsoft 推荐的步骤
配置域控制器的允许列表策略
在你自行管理的微软 Active Directory 中的所有成员计算机和域控制器上安装 2023 年 9 月 12 日或之后的微软 Windows 更新。
在适用于自行管理的 Active Directory 中所有域控制器的新的或现有的组策略中,配置以下设置。
导航到 “计算机配置” > “策略” > “Windows 设置” > “安全设置” > “本地策略” > “安全选项”。
双击 “域控制器”:允许在加入域期间重复使用计算机帐户。
选择 “定义此策略设置”,然后<Edit Security ... >。
使用对象选择器将用户或受信任的计算机帐户创建者和所有者组添加到 “允许” 权限。(作为最佳实践,我们强烈建议您使用群组来获得权限。) 请勿添加执行域加入的用户帐户。
警告
将策略的成员资格限制为可信用户和服务帐号。请勿将经过身份验证的用户、所有人或其他大型群组添加到此策略中。相反,应将特定的可信用户和服务帐户添加到群组中,然后将这些群组添加到策略中。
等待组策略刷新间隔或gpupdate /force在所有域控制器上运行。
验证\ SystemHKLM\CCS\ Control\ SAM — “ComputerAccountReuseAllowList” 注册表项是否填充了所需的注册项SDDL。请勿手动编辑注册表。
尝试加入安装了 2023 年 9 月 12 日或更高版本更新的计算机。确保策略中列出的其中一个帐户拥有该计算机帐户。还要确保其注册表未启用该NetJoinLegacyAccountReuse密钥(设置为 1)。如果域加入失败,请检查
c:\windows\debug\netsetup.log。
