選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

將 SVM 加入自我管理 Microsoft AD 的先決條件

PDF
RSS
焦點模式
將 SVM 加入自我管理 Microsoft AD 的先決條件 - FSx for OnTAP
自我管理 Active Directory 需求網路組態需求Active Directory 服務帳戶需求

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 FSx for ONTAP SVM 加入自我管理的 Microsoft AD 網域之前,請確定您的 Active Directory 和網路符合下列各節中所述的要求。

內部部署 Active Directory 需求

請確定您已擁有可加入 SVM 的內部部署或其他自我管理 Microsoft AD。此 Active Directory 應具有下列組態:

  • Active Directory 網域控制站網域功能層級位於 Windows Server 2000 或更高版本。

  • Active Directory 使用的網域名稱不是單一標籤網域 (SLD) 格式。Amazon FSx 不支援 SLD 網域。

  • 如果您已定義 Active Directory 網站,請確定與 FSx for ONTAP 檔案系統相關聯的 VPC 子網路已定義在相同的 Active Directory 網站中,而且您的 VPC 子網路和 Active Directory 網站上的子網路之間不存在衝突。

注意

如果您使用的是 AWS Directory Service,FSx for ONTAP 不支援將 SVMs加入 Simple Active Directory。

網路組態需求

請確定您已備妥下列網路組態,並提供相關資訊。

重要

若要讓 SVM 加入 Active Directory,您需要確保本主題中記錄的連接埠允許 SVM 上所有 Active Directory 網域控制器與兩個 iSCSI IP 地址 (iscsi_1 和 iscsi_2 邏輯界面 (LIFs)) 之間的流量。

  • DNS 伺服器和 Active Directory 網域控制器 IP 地址。

  • 使用 AWS VPN、 或 建立檔案系統和自我管理 Active Directory 的 AWS Direct ConnectAmazon VPC 之間的連線AWS Transit Gateway

  • 您建立檔案系統之子網路的安全群組和 VPC 網路 ACLs 必須允許連接埠上的流量,並依照下圖所示的指示進行。

    圖表顯示 VPC 安全群組的 FSx for ONTAP 連接埠組態需求,以及您正在建立 ONTAP 檔案系統 FSx 的子網路的網路 ACLs。

    下表說明每個連接埠的角色。

    通訊協定

    連接埠

    角色

    TCP/UDP

    53

    網域名稱系統 (DNS)

    TCP/UDP

    88

    Kerberos 身分驗證

    TCP/UDP

    389

    輕量型目錄存取通訊協定 (LDAP)

    TCP

    445

    目錄服務 SMB 檔案共用

    TCP/UDP

    464

    變更/設定密碼

    TCP

    636

    透過 TLS/SSL 的輕量型目錄存取通訊協定 (LDAPS)

  • 這些流量規則也應該鏡像到套用至每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 管理員的防火牆上。

    重要

    雖然 Amazon VPC 安全群組要求連接埠只能在啟動網路流量的方向開啟,但大多數 Windows 防火牆和 VPC 網路 ACLs 都需要雙向開啟連接埠。

Active Directory 服務帳戶需求

請確定您在自我管理的 Microsoft AD 中擁有服務帳戶,該帳戶已委派將電腦加入網域的許可。服務帳戶是您自我管理 Active Directory 中的使用者帳戶,該帳戶已被委派特定任務。

服務帳戶至少必須委派您加入 SVM 之 OU 中的下列許可:

  • 能夠重設密碼

  • 限制帳戶讀取和寫入資料的能力

  • 在電腦物件上設定 msDS-SupportedEncryptionTypes 屬性的能力

  • 驗證寫入 DNS 主機名稱的能力

  • 已驗證能夠寫入服務主體名稱

  • 能夠建立和刪除電腦物件

  • 驗證讀取和寫入帳戶限制的能力

這些代表將電腦物件加入 Active Directory 所需的最低許可集。如需詳細資訊,請參閱 Windows Server 文件主題 錯誤:當被委派控制的非管理員使用者嘗試將電腦加入網域控制器時,存取會遭拒

若要進一步了解如何建立具有正確許可的服務帳戶,請參閱將許可委派給您的 Amazon FSx 服務帳戶

重要

Amazon FSx 在您的 Amazon FSx 檔案系統生命週期內需要有效的服務帳戶。Amazon FSx 必須能夠完整管理檔案系統,並執行需要它才能將資源退出並重新加入 Active Directory 網域的任務。這些任務包括取代失敗的檔案系統或 SVM,或修補 NetApp ONTAP 軟體。使用 Amazon FSx 將您的 Active Directory 組態資訊保持在最新狀態,包括服務帳戶憑證。如需進一步了解,請參閱 使用 Amazon FSx 保持 Active Directory 組態的更新

如果這是您第一次使用 AWS 和 FSx for ONTAP,請務必先完成初始設定步驟,再開始 Active Directory 整合。如需詳細資訊,請參閱設定適用於 ONTAP 的 FSx

重要

建立 SVMs 後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件,或在加入 SVM 時刪除您的 Active Directory。這樣做會導致您的 SVMs設定錯誤。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。