加入自我管理的 Microsoft AD 的先决条件 SVM - 适用于 ONTAP 的 FSx
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加入自我管理的 Microsoft AD 的先决条件 SVM

在加入自我管理FSx的 ONTAP SVM Microsoft AD 域之前,请确保你的活动目录和网络符合以下各节中描述的要求。

本地 Active Directory 要求

请确保你已经有本地或其他自我管理的 Microsoft AD 可供你加入。SVM此 Active Directory 应具有以下配置:

  • Active Directory 域控制器的域功能级别为 Windows Server 2000 或更高版本。

  • Active Directory 使用的域名不是单一标签域 (SLD) 格式。Amazon FSx 不支持SLD域名。

  • 如果您定义了 Active Directory 站点,请确保与您的FSxONTAP文件系统关联的子网是在相同的 Active Directory 站点中定义的,并且您的VPC子网与 Active Directory 站点上的子网之间不存在冲突。VPC

注意

如果您使用的是 Amazon Directory Service,FSxfor ONTAP 不支持SVMs加入简单活动目录。

网络配置要求

确保您进行了以下网络配置并具有相关信息。

重要

SVM要加入 Active Directory,你需要确保本主题中记录的端口允许所有 Active Directory 域控制器与上SCSI的 i IP 地址(iscsi_1 和 iscsi_2 逻辑接口 ())之间的流量。LIFs SVM

  • DNS服务器和 Active Directory 域控制器 IP 地址。

  • 使用Amazon Direct Connect、或VPCAmazon Transit Gateway在您创建文件系统的亚马逊和自行管理的 Active Directory 之间建立连接。Amazon VPN

  • 要在其上创建文件系统的子网的安全组和VPC网络ACLs必须允许端口上的流量,其方向如下图所示。

    该图显示了FSx您正在为ONTAP文件系统创建ACLs的子网VPC的安全组和网络FSx的ONTAP端口配置要求。

    下表说明了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    389

    轻量级目录访问协议 (LDAP)

    TCP

    445

    目录服务SMB文件共享

    TCP/UDP

    464

    更改/设置密码

    TCP

    636

    TLS/SSL(LDAPS) 上的轻量级目录访问协议

  • 这些流量规则还应镜像到适用于每个 Active Directory 域控制器、DNS服务器、FSx客户端和管理员的防火墙上。FSx

    重要

    虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口,但大多数 Windows 防火墙和VPC网络都ACLs要求双向打开端口。

Active Directory 服务账户要求

确保您在自行管理的 Microsoft AD 中有一个服务账户,该账户具有将计算机加入该域的委派权限。服务账户是自行管理的 Active Directory 中的一个用户账户,该账户已被委派某些任务。

在您加入的 OU 中,必须至少向服务帐号授予以下权限SVM:

  • 能够重置密码

  • 能够限制账户读取和写入数据

  • 能够在计算机对象上设置 msDS-SupportedEncryptionTypes 属性

  • 已验证能够写入DNS主机名

  • 验证写入服务主体名称的能力

  • 能够创建和删除计算机对象

  • 经过验证的读取和写入账户限制的能力

这些权限代表将计算机对象加入到您的 Active Directory 至少需要具备的一组权限。有关更多信息,请参阅 Windows Server 文档主题 Error: Access is denied when non-administrator users who have been delegated control try to join computers to a domain controller

要了解有关创建具有正确权限的服务账户的更多信息,请参阅向您的 Amazon FSx 服务账户委派权限

重要

亚马逊FSx要求在您的亚马逊FSx文件系统的整个生命周期内都有一个有效的服务账户。Amazon FSx 必须能够全面管理文件系统并执行要求其取消加入并重新加入您的 Active Directory 域的资源。这些任务包括更换出现故障的文件系统或SVM,或修补 NetApp ONTAP软件。在 Amazon 上更新您的 Active Directory 配置信息FSx,包括服务账户凭证。要了解更多信息,请参阅 使用 Amazon 更新您的活动目录配置 FSx

如果这是您第一次使用 Amazon 和 FSxONTAP,请确保在开始 Active Directory 集成之前完成初始设置步骤。有关更多信息,请参阅 正在FSx设置 ONTAP

重要

请勿在FSx创建组织单位后移动 Amazon 在 OU 中创建的计算机对象,SVMs也不要在您已加入 Active Directory 时将其删除。SVM这样做会SVMs导致您的配置错误。