本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更改 Amazon FSx 服務帳戶
如果您使用新的服務帳戶更新檔案系統,則新的服務帳戶必須具備加入 Active Directory 所需的權限和權限,並具有與檔案系統相關聯之現有電腦物件的完整控制權限。此外,請確定新的服務帳戶是已啟用群組原則設定的受信任帳戶的一部分網域控制站:允許在網域加入期間重複使用電腦帳戶。
我們強烈建議您使用 Active Directory 群組來管理與服務帳戶相關聯的 Active Directory 權限和組態。
變更 Amazon 的服務帳戶時FSx,請確保服務帳戶具有以下設定:
新的服務帳戶 (或其所屬的 Active Directory 群組) 具有與檔案系統相關聯之現有電腦物件的「完全控制」權限。
新的和先前的服務帳戶 (或他們所屬的 Active Directory 群組) 是受信任的帳戶 (或受信任的 Active Directory 群組) 與網域控制站的一部分:允許電腦帳戶在 Active Directory 中的所有網域控制站上啟用網域加入群組原則設定。
如果服務帳戶不符合這些需求,可能會發生下列情況:
對於單一可用區檔案系統,檔案系統可能會變成 MISCONFIGURED_ UNAVAILABLE。
對於異地同步備份檔案系統,檔案系統可能會變成 MISCONFIGURED, RemotePowerShell 端點名稱可能會變更。
設定網域控制站的群組原則
下列 Microsoft 建議的程序
設定網域控制站的允許清單原則
在自我管理的 Microsoft 活動目錄中的所有成員電腦和域控制站上安裝 2023 年 9 月 12 日或更高版本的 Microsoft Windows 更新。
在套用至自我管理 Active Directory 中所有網域控制站的新的或現有的群組原則中,設定下列設定。
瀏覽至 [電腦設定] > [原則] > [Windows 設定] > [安全性設定] > [本機原則] > [安全性選項]。
按兩下網域控制站:允許在網域加入期間重複使用電腦帳戶。
選取 [定義這個原則設定和] <Edit Security ... >。
使用物件選擇器將使用者或受信任電腦帳戶建立者和擁有者群組新增至 [允許] 權限。(最佳作法是,我們強烈建議您使用群組來取得權限。) 請勿新增執行網域加入的使用者帳戶。
警告
將策略的成員資格限制為受信任的使用者和服務帳戶。請勿將已驗證的使用者、所有人或其他大型群組新增至此原則。而是將特定受信任的使用者和服務帳戶新增至群組,然後將這些群組新增至策略。
等待群組原則重新整理間隔,或gpupdate /force在所有網域控制站上執行。
確認HKLM\ System\CCS\ Control\ SAM —「ComputerAccountReuseAllowList」登錄機碼已填入所需的SDDL。請勿手動編輯登錄。
嘗試加入已安裝 2023 年 9 月 12 日或更新版本更新的電腦。請確定策略中列出的其中一個帳號擁有電腦帳戶。還要確保其註冊表未啟用NetJoinLegacyAccountReuse密鑰(設置為 1)。如果網域加入失敗,請檢查
c:\windows\debug\netsetup.log.
