本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 SVM 加入自我管理的 Microsoft AD 的先決條件
在您將 FSx 適用於 ONTAP SVM 加入自我管理的 Microsoft AD 網域之前,請確定您的作用中目錄和網路符合下列各節所述的需求。
內部部署作用中目錄
請確定您已經擁有可加入 SVM 的內部部署或其他自行管理 Microsoft AD。此活動目錄應具有以下配置:
-
作用中目錄網域控制站網域功能層級為 Windows 伺服器 2000 或更高版本。
-
作用中目錄使用的網域名稱不是單一標籤網域 (SLD) 格式。Amazon FSx 不支持 SLD 域。
-
如果您已定義 Active Directory 站台,請確定 VPC 中與 ONTAP 檔案系統的 FSx 相關聯的子網路定義在相同的 Active Directory 站台中,而且您的 VPC 子網路與 Active Directory 站台上的子網路之間沒有衝突。
注意
如果您正在使用 AWS Directory Service,則適用於 ONTAP 的 FSx 不支援將 SVM 加入簡易作用中目錄。
網路組態需求
請確定您有下列網路組態設定,以及可供您使用的相關資訊。
重要
若要加入使用中目錄的 SVM,您必須確定本主題所述的連接埠允許 SVM 上的所有作用中目錄網域控制站和 iSCSI IP 位址 (iscsi_1 和 iscsi_2 邏輯介面 (LIF)) 之間的流量。
-
DNS 伺服器和使用中目錄網域控制站的 IP 位址。
-
您正在建立檔案系統的 Amazon VPC 與使用AWS Direct Connect
、AWS VPN 或的自我管理作用中目錄之間的連線。AWS Transit Gateway -
要建立檔案系統之子網路的安全性群組和 VPC Network ACL 必須允許連接埠上的流量,並按照下圖所示的方向執行。
下表說明每個連接埠的角色。
通訊協定
連接埠
角色
TCP/UDP
53
網域名稱系統 (DNS)
TCP/UDP
88
Kerberos 身分驗證
TCP/UDP
389
輕量型目錄存取通訊協定 (LDAP)
TCP
445
目錄服務 SMB 檔案共用
TCP/UDP
464
變更/設定密碼
TCP
636
透過 TLS/SSL 的輕量型目錄存取通訊協定 (LDAPS)
-
這些流量規則也應該鏡像在適用於每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 系統管理員的防火牆上。
重要
雖然 Amazon VPC 安全群組要求連接埠只能以網路流量起始的方向開啟,但大多數 Windows 防火牆和 VPC 人雲端網路 ACL 都要求連接埠雙向開啟。
作用中目錄服務帳戶需求
請確定您的自我管理 Microsoft AD 中有一個服務帳戶,該帳戶已委派將電腦加入網域的權限。服務帳戶是指已委派特定工作的自我管理 Active Directory 中的使用者帳戶。
至少,服務帳戶必須在您加入 SVM 的 OU 中委派下列權限:
-
能夠重置密碼
-
限制帳戶讀取和寫入資料的能力
-
能夠在計算機對象上設置
msDS-SupportedEncryptionTypes屬性 -
已驗證寫入 DNS 主機名稱的能力
-
已驗證能夠寫入服務主體名稱
-
能夠創建和刪除計算機對象
-
經過驗證的讀取和寫入帳戶限制功能
這些代表將電腦物件加入您的 Active Directory 所需的最低權限集合。如需詳細資訊,請參閱 Windows Server 文件主題錯誤:已委派控制項的非系統管理員使用者嘗試將電腦加入網域控制站時,會拒絕存
若要進一步瞭解如何建立具有正確權限的服務帳戶,請參閱將許可委派給您的 Amazon FSx 服務帳戶。
重要
Amazon FSx 需要在 Amazon FSx 檔案系統整個生命週期內擁有有效的服務帳戶。Amazon FSx 必須能夠完全管理檔案系統,並執行要求其取消加入資源並將資源重新加入至您的作用中目錄網域的任務。這些工作包括取代失敗的檔案系統或 SVM,或修補 NetApp ONTAP 軟體。使用 Amazon FSx 讓您的作用中目錄組態資訊保持在最新狀態,包括服務帳戶登入資料。如需進一步了解,請參閱 使用 Amazon FSx 保持您的活動目錄配置更新。
如果這是您第一次使用 AWS 和 FSx 用於 ONTAP,請確定您已完成初始設定步驟,然後再開始進行 Active Directory 整合。如需詳細資訊,請參閱 為 ONTAP 設定 FSx。
重要
建立 SVM 之後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件,也不要在 SVM 加入時刪除您的作用中目錄。這樣做會導致您的 SVM 配置錯誤。
