使用自我管理的 Microsoft 活動目錄 - Amazon FSx for Windows File Server
必要條件自我管理的活動目錄的最佳實踐Amazon FSx 服務帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用自我管理的 Microsoft 活動目錄

如果您的組織使用自我管理的 Active Directory 在內部部署或雲端中管理身分識別和裝置,您可以在建立時將 Windows 檔案伺服器檔案系統加入您的 Active Directory 網域。FSx

當您將檔案系統加入自我管理的 Active Directory 時,Windows 檔案伺服器檔案系統會位於相同的 Active Directory 樹系 (包含網域、使用者和電腦的 Active Directory 組態中的頂層邏輯容器),以及與使用者和現有資源 (包括現有檔案伺服器) 相同的 Active Directory 網域中。FSx

注意

您可以將資源 (包括 Amazon FSx 網站系統) 隔離到個別的 Active Directory 樹系中,與使用者所在的樹系中。若要這麼做,請將您的系統加入 AWS 受管理的 Active Directory,並在您建立的受管理 Active Directory 與現有的自我 AWS 管理 Active Directory 之間建立單向樹系信任關係。

  • 您的 Active Directory 網域上服務帳戶的使用者名稱和密碼,供 Amazon 用FSx來將檔案系統加入您的活動目錄網域。

  • (選擇性) 您要加入檔案系統的網域中的組織單位 (OU)。

  • (選擇性) 您想要委派權限以在檔案系統上執行管理動作的網域群組。例如,此網域群組可能會管理 Windows 檔案共用、管理檔案系統根資料夾上的存取控制清單 (ACLs)、取得檔案和資料夾的擁有權等等。如果您未指定此群組,Amazon 預設會將此授權FSx委派給 Active Directory 網域中的網域管理員群組。

    注意

    您提供的網域群組名稱在您的作用中目錄中必須是唯一的。FSxWindows 檔案伺服器在下列情況下不會建立網域群組:

    • 如果您指定的名稱已存在群組

    • 如果您沒有指定名稱,且您的 Active Directory 中已經存在名為「網域管理員」的群組。

    如需詳細資訊,請參閱將 Amazon FSx 檔案系統加入自我管理的 Microsoft 活動目錄域

主題

必要條件

在您將 Windows 檔案伺服器檔案系統加入自我管理的 Microsoft Active Directory 網域之前,請檢閱下列先決條件,以協助確保您可以成功將 Amazon FSx 檔案系統加入自我管理的作用中目錄。FSx

內部部署組

這些是您自我管理的 Microsoft Active Directory (內部部署或雲端) 的必要條件,您將加入 Amazon FSx 檔案系統。

  • 活動目錄域控制站:

    • 必須在視窗伺服器 2008 R2 或更高版本具有網域功能層級。

    • 必須是可寫入的。

  • DNS伺服器和 Active Directory 網域控制站 IP 位址必須符合下列需求,這些需求會因您建立 Amazon FSx 檔案系統的時間而有所不同:

    適用於 2020 年 12 月 17 日之前建立的檔案系統 適用於 2020 年 12 月 17 日之後建立的檔案系統

    IP 位址必須在 RFC1918 私有 IP 位址範圍內:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP 位址可以在任何範圍內,但下列情況除外:

    • 與 Amazon Web Services 衝突的 IP 地址擁有文件系統 AWS 區域 所在的 IP 地址。如需依地區分類的 AWS 擁有 IP 位址清單,請參閱 AWS IP 位址範圍

    • 在CIDR區塊範圍內的 IP 位址

    如果您需要使FSx用非私有 IP 位址範圍存取在 2020 年 12 月 17 日之前建立的 Windows 檔案伺服器檔案系統,您可以透過還原檔案系統的備份來建立新的檔案系統。如需詳細資訊,請參閱將備份還原至新的檔案系統

  • 您自我管理的 Active Directory 網域名稱必須符合下列需求:

    • 網域名稱不是單一標籤網域 (SLD) 格式。Amazon FSx 不支持SLD域。

    • 對於單一可用區 2 和所有異地同步備份檔案系統,網域名稱不得超過 47 個字元。

  • 您定義的任何作用中目錄站台都必須符合下列必要條件:

    • 與您的檔案系統相關聯的子網路必須在 Active Directory 站台中定義。VPC

    • VPC子網路與任何 Active Directory 站台子網路之間沒有衝突。

    Amazon FSx 需要連接到活動目錄環境中的所有域控制器。如果您有多個網域控制站,請確定所有網域控制站都符合上述需求,並確定您的服務帳戶的任何變更都會傳播到所有網域控制站。

    重要

    建FSx立檔案系統之後,請勿移動 Amazon 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。

您可以使用 Amazon FSx 活動目錄驗證工具來驗證您的活動目錄組態,包括測試多個網域控制站的連線。若要限制需要連線的網域控制站數目,您也可以在內部部署網域控制站和 AWS Managed Microsoft AD. 如需詳細資訊,請參閱使用資源樹系隔離模型

重要

Amazon FSx 僅在您使用 Microsoft DNS 作為默認DNS服務時註冊文件系統的DNS記錄。如果您使用的是協力廠商DNS,則必須在建立檔案系統之後手動設定檔案系統的DNS記錄項目。

網路組態

本節說明將檔案系統加入您自我管理的 Active Directory 的網路組態需求。強烈建議您在嘗試將檔案系統加入自我管理的 FSxActive Directory 之前,先使用 Amazon Active Directory 驗證工具來測試您的網路設定。

  • 確保您的防火牆規則允許 Active Directory 網域控制站和 Amazon 之間的ICMP流量FSx。

  • 必須VPC在您要建立檔案系統的 Amazon 和自我管理的 Active Directory 之間設定連線能力。您可以使用AWS Direct Connect、、AWS Virtual Private Network VPC等互連或AWS Transit Gateway來設定此連線。

  • VPC必須使用 Amazon FSx 主控台將預設 Amazon 的預設VPC安全群組新增至檔案系統。請確定您建立檔案系統之子VPC網路ACLs的安全性群組和網路允許連接埠上的流量,並遵循下圖所示的方向。

    FSxWindows 檔案伺服器連接埠組態需求,適用於建立檔案系統之子網路ACLs的VPC安全性群組和網路。

    下表說明通訊協定、連接埠及其角色。

    通訊協定

    連接埠

    角色

    TCP/UDP

    53

    網域名稱系統 (DNS)

    TCP/UDP

    88

    Kerberos 身分驗證

    TCP/UDP

    464

    變更/設定密碼

    TCP/UDP

    389

    輕量型目錄存取通訊協定 (LDAP)
    UDP 123

    網路時間通訊協定 (NTP)
    TCP 135

    分散式計算環境/端點映射器 (/) DCE EPMAP

    TCP

    445

    目錄服務SMB檔案共用

    TCP

    636

    透過TLS/SSL(LDAPS) 輕量型目錄存取通訊協定

    TCP

    3268

    Microsoft 全球編錄

    TCP

    3269

    Microsoft 全局編錄結束 SSL

    TCP

    5985

    Microsoft 視窗遠端管理

    TCP

    9389

    Microsoft 活動目錄 DS Web 服務, PowerShell

    重要

    單一可用區 2 和異地同步備份檔案系統部署需要在TCP連接埠 9389 上允許輸出流量。

    TCP

    49152 - 65535

    暫時連接埠 RPC

    這些流量規則也必須鏡像到適用於每個 Active Directory 網域控制站、DNS伺服器、用FSx戶端和FSx系統管理員的防火牆上。

注意

如果您使用VPC網路ACLs,也必須允許來自檔案系統的動態連接埠 (49152-65535) 上的輸出流量。

重要

雖然 Amazon VPC 安全群組只要求以網路流量起始的方向開啟連接埠,但大多數 Windows 防火牆和VPC網路都ACLs要求連接埠雙向開啟。

服務帳戶權限

您必須在自我管理的 Microsoft Active Directory 中具有委派權限的服務帳戶,才能將電腦物件加入您自我管理的 Active Directory 網域。服務帳戶是指已委派特定工作的自我管理 Active Directory 中的使用者帳戶。

以下是必須委派給您要加入檔案系統之 OU 中 Amazon FSx 服務帳戶的最低許可集。

  • 如果在使用中目錄使用者和電腦中使用委派控制MMC:

    • 重設密碼

    • 讀取和寫入帳戶限制

    • 已驗證的寫入DNS主機名稱

    • 已驗證的寫入服務主要名稱

  • 如果在使用中的目錄使用者和電腦中的進階功能MMC:

    • 修改權限

    • 建立電腦物件

    • 刪除電腦物件

如需詳細資訊,請參閱 Microsoft Windows Server 文件主題錯誤:已委派控制項的非系統管理員使用者嘗試將電腦加入網域控制站時,會拒絕存取。

如需有關設定所需權限的詳細資訊,請參閱將許可委派給 Amazon FSx 服務帳戶或群組

自我管理的活動目錄的最佳實踐

我們建議您在加入 Amazon FSx 視窗版檔案伺服器系統到您自我管理的 Microsoft 活動目錄時,遵循這些最佳實務。這些最佳做法將協助您維持檔案系統的持續、不中斷的可用性。

為 Amazon 使用單獨的服務帳戶 FSx

使用單獨的服務帳戶委派所需的權限,FSx讓 Amazon 完全管理加入自我管理 Active Directory 的檔案系統。我們不建議為此目的使用網域管理員

使用作用中目錄群組

使用活動目錄組來管理與 Amazon FSx 服務帳戶關聯的活動目錄許可和組態。

隔離組織單位 (OU)

為了更容易尋找和管理 Amazon FSx 電腦物件,建議您將用於 Windows 檔案伺服器檔案系統的組織單位 (OU) 與其他網域控制站的FSx問題隔離開來。

保留活動目錄配置 up-to-date

您必須保留檔案系統的 Active Directory 組態 up-to-date 並進行任何變更。例如,如果您的自我管理 Active Directory 使用以時間為基礎的密碼重設原則,一旦重設密碼,請務必更新檔案系統上的服務帳戶密碼。如需詳細資訊,請參閱更新自我管理的作用中目錄組態

更改 Amazon FSx 服務帳戶

如果您使用新的服務帳戶更新檔案系統,它必須具備加入 Active Directory 所需的權限和權限,並且對與檔案系統相關聯的現有電腦物件具有「完全控制」權限。如需詳細資訊,請參閱更改 Amazon FSx 服務帳戶

使用安全群組規則來限制流量

使用安全性群組規則,在虛擬私有雲中實作最低權限原則 (VPC)。您可以使用VPC安全性群組規則來限制檔案允許的輸入和輸出網路流量類型。例如,我們建議您只允許輸出流量到您自我管理的 Active Directory 網域控制站,或是您正在使用的子網路或安全性群組內。如需詳細資訊,請參閱Amazon VPC 安全群組

不要移動 Amazon 創建的計算機對象 FSx
重要

建FSx立檔案系統之後,請勿移動 Amazon 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。

驗證您的活動目錄配置

在嘗試將 Windows 檔案伺服器檔案系統加入您的作用中目錄之前,我們強烈建議您使用 Amazon 活動目錄驗證工具來驗證您的FSx活動目錄組態。FSx

Amazon FSx 服務帳戶

加入自我管理 Active Directory 的 Amazon FSx 檔案系統在整個生命週期內都需要有效的服務帳戶。Amazon FSx 使用該服務帳戶來完全管理您的檔案系統,並執行需要取消加入電腦物件並將電腦物件重新加入 Active Directory 網域的管理任務。這些工作包括更換失敗的檔案伺服器和修補 Microsoft 視窗伺服器軟體。FSx若要讓 Amazon 執行這些任FSx務,Amazon 服務帳戶必須至少具有服務帳戶權限委派給它所述的一組許可。

雖然網域管理員群組的成員擁有足夠的權限來執行這些任務,但我們強烈建議您使用個別的服務帳戶將所需的權限委派給 Amazon FSx。

如需有關如何使用 [Active Directory 使用者和電腦MMC] 嵌入式管理單元中的 [委派控制項] 或 [進階功能] 功能委派權限的詳細資訊,請參閱將許可委派給 Amazon FSx 服務帳戶或群組

如果您使用新的服務帳戶更新檔案系統,則新的服務帳戶必須具備加入 Active Directory 所需的權限和權限,並具有與檔案系統相關聯之現有電腦物件的完整控制權限。如需詳細資訊,請參閱更改 Amazon FSx 服務帳戶