本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Active Directory 的最佳實務
以下是您在SVMs將 Amazon FSx for NetApp ONTAP 加入自我管理 Microsoft Active Directory 時應考慮的一些建議和準則。請注意,建議將這些作為最佳實務,但並非必要。
將許可委派給您的 Amazon FSx服務帳戶
請務必使用所需的FSx最低許可來設定您提供給 Amazon 的服務帳戶。此外,將組織單位 (OU) 與其他網域控制站問題分開。
若要FSxSVMs將 Amazon 加入您的網域,請確定服務帳戶已委派許可。網域管理員群組的成員具有足夠的許可來執行此任務。不過,最佳實務是使用只有執行此作業所需的最低許可的服務帳戶。下列程序示範如何僅將 FSx 的 加入網域所需的許可委派ONTAPSVMs給網域。
在已加入目錄且已安裝 Active Directory 使用者和電腦MMC的機器上執行此程序。
為您的 Microsoft Active Directory 網域建立服務帳戶
請確定您以 Microsoft Active Directory 網域的網域管理員身分登入。
-
開啟 Active Directory 使用者和電腦MMC嵌入。
在任務窗格中,展開網域節點。
-
找到並開啟您要修改之 OU 的內容 (按一下滑鼠右鍵) 選單,然後選擇委派控制。
-
在控制委派精靈頁面上,選擇下一步。
-
選擇新增,為選取的使用者和群組新增特定使用者或特定群組,然後選擇下一步。
-
在 Tasks to Delegate (要委派的任務) 頁面上,選擇 Create a custom task to delegate (建立要委派的自訂任務),然後選擇 Next (下一步)。
-
選擇僅資料夾中的下列物件,然後選擇電腦物件。
-
選擇在此資料夾中建立選取的物件,以及在此資料夾中刪除選取的物件。然後選擇下一步。
-
在顯示這些許可下,確保已選取一般和屬性特定。
-
針對許可,選擇下列項目:
-
重設密碼
-
讀取和寫入帳戶限制
-
驗證寫入DNS主機名稱
-
驗證寫入服務主體名稱
寫入 msDS-SupportedEncryptionTypes
-
-
選擇 Next (下一步),然後選擇 Finish (完成)。
-
關閉 Active Directory 使用者和電腦MMC嵌入。
重要
請勿在FSx建立 後移動 Amazon 在 OU 中SVMs建立的電腦物件。這樣做會導致您的 設定SVMs錯誤。
使用 Amazon 保持 Active Directory 組態更新 FSx
為了讓 Amazon FSx 的可用性不中斷SVMs,請在變更SVM自我管理 AD 設定時更新 的自我管理 Active Directory (AD) 組態。
例如,假設您的 AD 使用以時間為基礎的密碼重設政策。在此情況下,一旦重設密碼,請務必使用 Amazon 更新服務帳戶密碼FSx。若要這樣做,請使用 Amazon FSx主控台API、Amazon 或 FSx AWS CLI。同樣地,如果 Active Directory 網域的DNS伺服器 IP 地址變更,一旦發生變更,就會立即使用 Amazon 更新DNS伺服器 IP 地址FSx。
如果更新的自我管理 AD 組態發生問題,SVM狀態會切換到設定錯誤。此狀態會在主控台、 和 的SVM描述旁顯示錯誤訊息API和建議的動作CLI。如果 SVM的 AD 組態發生問題,請務必針對組態屬性採取建議的修正動作。如果問題已解決,請確認您的 SVM狀態變更為已建立。
如需詳細資訊,請參閱 使用 更新現有的 SVM Active Directory 組態 AWS Management ConsoleAWS CLI,以及 API 和 使用 修改 Active Directory 組態 ONTAP CLI。
使用安全群組來限制 內部的流量 VPC
若要限制虛擬私有雲端 (VPC) 中的網路流量,您可以在 中實作最低權限的原則VPC。換句話說,您可以將許可限制為所需的最低許可。若要這樣做,請使用安全群組規則。如需進一步了解,請參閱 Amazon VPC安全群組。
為您的檔案系統的網路界面建立傳出安全群組規則
為了提高安全性,請考慮使用傳出流量規則設定安全群組。這些規則應僅允許傳出流量傳送到自我管理 AD 網域控制站,或在子網路或安全群組內。將此安全群組套用至與您 Amazon FSx 檔案系統彈性網路介面VPC相關聯的 。如需進一步了解,請參閱Amazon 檔案系統存取控制 VPC。
