将 SVM 加入自行管理的 Microsoft AD 的先决条件 - FSx for ONTAP
自我管理的活动目录要求网络配置要求Active Directory 服务账户要求
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 SVM 加入自行管理的 Microsoft AD 的先决条件

在将 FSx for ONTAP SVM 加入自行管理的 Microsoft AD 域之前,请确保 Active Directory 和网络符合以下部分中描述的要求。

本地 Active Directory 要求

确保您已经有一个本地或其他自行管理的 Microsoft AD,可以在其中加入 SVM。此活动目录应具有以下配置:

  • Active Directory 域控制器域功能级别为 Windows Server 2000 或更高版本。

  • Active Directory 使用的域名不是单一标签域 (SLD) 格式。Amazon FSx 不支持 SLD 域。

  • 如果您定义了 Active Directory 站点,请确保与 FSx for ONTAP 文件系统关联的 VPC 子网是在相同的 Active Directory 站点中定义的,并且您的 VPC 子网与 Active Directory 站点上的子网之间不存在冲突。

注意

如果您使用的是 Amazon Directory Service,则适用于 ONTAP 的 FSx 不支持将 SVM 加入简单活动目录。

网络配置要求

确保您进行了以下网络配置并具有相关信息。

重要

要将 SVM 加入 Active Directory,您需要确保本主题中介绍的端口允许所有 Active Directory 域控制器与 SVM 上的两个 iSCSI IP 地址(iscsi_1 和 iscsi_2 逻辑接口(LIF))之间的流量。

  • DNS 服务器和 Active Directory 域控制器 IP 地址。

  • 使用 Amazon Direct ConnectAmazon VPNAmazon Transit Gateway 在创建文件系统的 Amazon VPC 与自行管理的 Active Directory 之间建立了连接。

  • 要在其上创建文件系统的子网的安全组和 VPC 网络 ACL 必须允许下图所示端口和方向上的流量。

    FSx for ONTAP 端口配置要求示意图,展示了要在其中创建 FSx for ONTAP 文件系统的子网的 VPC 安全组和网络 ACL 要求。

    下表说明了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统(DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    389

    轻型目录访问协议(LDAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP/UDP

    464

    更改/设置密码

    TCP

    636

    基于 TLS/SSL 的轻型目录访问协议(LDAPS)

  • 这些流量规则还应镜像到适用于每个 Active Directory 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

    重要

    虽然 Amazon VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。

Active Directory 服务账户要求

确保您在自行管理的 Microsoft AD 中有一个服务账户,该账户具有将计算机加入该域的委派权限。服务帐户是您自行管理的 Active Directory 中的一个用户帐户,该帐户已被委派某些任务。

在要加入 SVM 的 OU 中,必须至少为服务账户委派了以下权限:

  • 能够重置密码

  • 能够限制账户读取和写入数据

  • 能够在计算机对象上设置msDS-SupportedEncryptionTypes属性

  • 验证写入 DNS 主机名的能力

  • 验证写入服务主体名称的能力

  • 能够创建和删除计算机对象

  • 经过验证的读取和写入账户限制的能力

这些权限代表将计算机对象加入到您的 Active Directory 至少需要具备的一组权限。有关更多信息,请参阅 Windows Server 文档主题 Error: Access is denied when non-administrator users who have been delegated control try to join computers to a domain controller

要了解有关创建具有正确权限的服务账户的更多信息,请参阅向 Amazon FSx 服务账户委托权限

重要

Amazon FSx 在 Amazon FSx 文件系统的整个生命周期中都需要有一个有效的服务账户。Amazon FSx 必须能够完全管理文件系统并执行要求其取消加入并重新加入您的 Active Directory 域的资源。这些任务包括更换出现故障的文件系统或 SVM,或者修补 NetApp ONTAP 软件。使用 Amazon FSx 更新您的 Active Directory 配置信息,包括服务账户凭证。要了解更多信息,请参阅使用 Amazon FSx 确保 Active Directory 配置不断更新

如果这是您首次使用 Amazon 适用于 ONTAP 的 FSx,请确保在开始 Active Directory 集成之前完成初始设置步骤。有关更多信息,请参阅设置 FSx for ONTAP

重要

在创建 SVM 后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象,也不要在 SVM 已加入 Active Directory 时将其删除。这样做会导致您的 SVM 配置错误。