將 Amazon FSx 檔案系統加入自我管理的 Microsoft 活動目錄域 - Amazon FSx for Windows File Server
開始之前

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Amazon FSx 檔案系統加入自我管理的 Microsoft 活動目錄域

當您創建一個新FSx的 Windows 文件服務器文件系統,您可以配置 Microsoft 活動目錄集成,以便它加入到您自我管理的 Microsoft 活動目錄域。若要這麼做,請為您的 Microsoft 作用中目錄提供下列資訊:

  • 內部部署 Microsoft 活動目錄目錄的完整網域名稱 (FQDN)。

    注意

    Amazon FSx 目前不支援單一標籤網域 (SLD) 網域。

  • 您網域的DNS伺服器 IP 位址。

  • 內部部署 Microsoft 活動目錄網域中服務帳戶的認證。Amazon FSx 使用這些憑據加入到您的自我管理活動目錄。

或者,您也可以指定以下内容:

  • 網域內您希望 Amazon FSx 檔案系統加入的特定組織單位 (OU)。

  • 其成員被授與 Amazon FSx 檔案系統管理權限之網域群組的名稱。

    注意

    您提供的網域群組名稱在您的作用中目錄中必須是唯一的。FSxWindows 檔案伺服器在下列情況下不會建立網域群組:

    • 如果您指定的名稱已存在群組

    • 如果您沒有指定名稱,且您的 Active Directory 中已經存在名為「網域管理員」的群組。

指定此資訊之後,Amazon 會使用您提供的服務帳戶,將您的新檔案系統FSx加入您的自我管理 Active Directory 網域。

重要

Amazon FSx 只會在您加入檔案系統的使用中目錄網域使用 Microsoft DNS 作為預設值時,才會註冊該檔案系統的DNS記錄DNS。如果您使用的是第三方DNS,則需要在建立FSx檔案系統後手動設定 Amazon 檔案系統的DNS項目。如需選擇用於檔案系統之正確 IP 位址的詳細資訊,請參閱取得用於手動DNS輸入的正確檔案系統 IP 位址

開始之前

請確定您已完成中的必要條件詳細資訊使用自我管理的 Microsoft 活動目錄

  1. 在打開 Amazon FSx 控制台https://console.aws.amazon.com/fsx/

  2. 在儀表板上,選擇 Create file system (建立檔案系統) 以啟動檔案系統建立精靈。

  3. 選擇 FSx [Windows 檔案伺服器],然後選擇 [下一步]。Create file system (建立檔案系統) 頁面隨即顯示。

  4. 為您的檔案系統提供名稱。您最多可以使用 256 個 Unicode 字母、空格和數字,再加上 +-= 的特殊字元。_:/

  5. 對於儲存容量,請輸入檔案系統的儲存容量 (以 GiB 為單位)。如果您正在使用SSD儲存空間,請輸入介於 32 到 65,536 範圍內的任何整數。如果您使用的是HDD儲存空間,請輸入介於 2,000—65,536 範圍內的任何整數。您可以在建立檔案系統之後,隨時視需要增加儲存容量。如需詳細資訊,請參閱管理儲存容量

  6. 保留 Throughput capacity (輸送容量) 的預設設定。輸送量容量是代管檔案系統的檔案伺服器可以提供資料的持續速度。[建議的輸送量容量] 設定是根據您選擇的儲存容量量而定。如果您需要超過建議的輸送量容量,請選擇 [指定輸送量容量],然後選擇一個值。如需詳細資訊,請參閱FSx視窗檔案伺服器效能

    您可以在建立檔案系統之後,隨時視需要修改輸送量容量。如需詳細資訊,請參閱管理 Windows 檔案伺服器檔案系統FSx的輸送量容量

  7. 選擇您VPC要與檔案系統建立關聯的項目。基於此入門練習的目的,請選擇與您的 AWS Directory Service 目錄和 Amazon EC2 執行個體相同VPC的選項。

  8. 選擇可用區域子網路的任何值。

  9. 對於VPC安全群組,預設 Amazon 的預設安全群組VPC已新增至主控台中的檔案系統。請確定您要建立FSx檔案系統之子VPC網ACLs路的安全性群組和網路允許連接埠上的流量,並遵循下圖所示的指示。

    FSxWindows 檔案伺服器連接埠組態需求,適用ACLs於建立檔案系統之子網路的VPC安全性群組和網路。

    下表識別每個連接埠的角色。

    通訊協定

    連接埠

    角色

    TCP/UDP

    53

    網域名稱系統 (DNS)

    TCP/UDP

    88

    Kerberos 身分驗證

    TCP/UDP

    464

    變更/設定密碼

    TCP/UDP

    389

    輕量型目錄存取通訊協定 (LDAP)
    UDP 123

    網路時間通訊協定 (NTP)
    TCP 135

    分散式計算環境/端點映射器 (DCE/EPMAP)

    TCP

    445

    目錄服務SMB檔案共用

    TCP

    636

    透過TLS/SSL(LDAPS) 輕量型目錄存取通訊協定

    TCP

    3268

    Microsoft 全球編錄

    TCP

    3269

    Microsoft 全局目錄結束 SSL

    TCP

    5985

    Microsoft 視窗遠端管理

    TCP

    9389

    Microsoft 活動目錄 DS Web 服務, PowerShell

    TCP

    49152 - 65535

    暫時連接埠 RPC
    重要

    單一可用區 2 和所有異地同步備份檔案系統部署需要在TCP連接埠 9389 上允許輸出流量。

    注意

    如果您使用VPC網路ACLs,也必須允許來自檔案系統的動態連接埠 (49152-65535) 上的輸出流量。FSx

    • 輸出規則,允許所有流量傳送至與您自我管理的 Microsoft Active Directory 網域之DNS伺服器和網域控制站相關聯的 IP 位址。如需詳細資訊,請參閱 Microsoft 關於設定防火牆以進行作用中目錄通訊的文件。

    • 請確定這些流量規則也會鏡像到適用於每個 Active Directory 網域控制站、DNS伺服器、用FSx戶端和FSx系統管理員的防火牆上。

    注意

    如果您已定義 Active Directory 站台,則必須確保在 Active Directory 站台中定義了與 Amazon FSx 檔案系統VPC關聯的子網路,而且您的子網路VPC與其他網站中的子網路之間沒有衝突。您可以使用 [Active Directory 站台和服務MMC] 嵌入式管理單元來檢視和變更這些設定。

    重要

    雖然 Amazon VPC 安全群組只要求以網路流量初始化的方向開啟連接埠,但大多數 Windows 防火牆和VPC網路都ACLs要求連接埠雙向開啟。

  10. 對於 Windows 驗證,請選擇自我管理 Microsoft 活動目錄

  11. 為自我管理的 Microsoft 活動目錄目錄的完整網域名稱輸入一個值。

    注意

    網域名稱不得為單一標籤網域 (SLD) 格式。Amazon FSx 目前不支持SLD域。

    重要

    對於單一可用區 2 和所有異地同步備份檔案系統,Active Directory 網域名稱不得超過 47 個字元。

  12. 為自我管理的 Microsoft 活動目錄目錄的組織單位輸入值。

    注意

    請確定您提供的服務帳戶具有委派給您在此處指定的 OU 或預設 OU 的權限 (如果您未指定 OU)。

  13. 為自我管理的 Microsoft Active Directory 目錄的DNS伺服器 IP 位址輸入至少一個值,且不超過兩個值。

  14. 為您自我管理的 Active Directory 網域上的帳戶輸入服務帳戶使用者名稱的字串值,例如ServiceAcct。Amazon FSx 使用此用戶名加入到您的 Microsoft 活動目錄域。

    重要

    輸入服務帳戶用戶名時,請NOT包括域前綴(corp.com\ServiceAcctServiceAcct@corp.com)或域後綴()。

    輸入服務帳戶NOT使用者名稱 () 時,請使用辨別名稱 (DNCN=ServiceAcct,OU=example,DC=corp,DC=com)。

  15. 輸入您自我管理的 Active Directory 網域上帳戶的服務帳戶密碼值。Amazon FSx 使用此密碼加入到您的 Microsoft 活動目錄域。

  16. 在確認密碼中重新輸入密碼以確認密碼

  17. 對於委派檔案系統管理員群組,請指定Domain Admins群組或自訂委派檔案系統管理員群組 (如果您已建立群組)。您指定的群組應具有委派的授權,可以在檔案系統上執行管理工作。如果你不提供一個值,Amazon FSx 使用內置Domain Admins組。請注意,Amazon FSx 不支持位於內建容器中的Delegated file system administrators groupDomain Admins組或您指定的自定義組)。

    重要

    如果您未提供委派檔案系統管理員群組,Amazon 預設會FSx嘗試在您的 Active Directory 網域中使用內建Domain Admins群組。如果此內建群組的名稱已變更,或是您使用不同的群組進行網域管理,您必須在此提供該群組的名稱。

    重要

    提供群組名稱參數時,請NOT包含網域前置詞 (corp.com\FSxAdmins) 或網域尾碼 (FSxAdmins@corp .com)。

    請NOT使用群組的辨別名稱 (DN)。辨別名稱的範例為 CN= FSxAdmins、OU = 範例、DC = 公司、DC = COM。

下列範例會FSx針對us-east-2可用區域SelfManagedActiveDirectoryConfiguration中的 Windows 檔案伺服器檔案系統建立。

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
重要

建FSx立檔案系統之後,請勿移動 Amazon 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。