本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Active Directory 的最佳实践
以下是将适用于 NetApp ONTAP 的 Amazon FSX SVM 加入自我管理的 Microsoft Active Directory 时应考虑的一些建议和指南。请注意,这些建议和指南是最佳实践,不是硬性要求。
向 Amazon FSx 服务账户委托权限
请务必为 Amazon FSx 服务账户配置必要的最低权限。此外,将组织单位(OU)与其他域控制器问题分开。
要将 Amazon FSX SVM 加入您的域,请确保服务账户具有委托的权限。域管理员组的成员有足够的权限来执行此任务。但是,作为最佳实践,请使用仅具有此任务的最低执行权限的服务账户。以下过程演示如何仅将加入 FSx for ONTAP SVM 所需的权限委托给您的域。
您必须在已加入目录且已安装 Active Directory User and Computers MMC 管理单元的计算机上执行此过程。
为您的 Microsoft Active Directory 域创建服务帐户
确保你以 Microsoft Active Directory 域的域管理员身份登录。
-
打开 Active Directory User and Computers MMC 管理单元。
在任务窗格中,展开域节点。
-
找到并打开您要修改的 OU 的上下文(右键单击)菜单,然后选择委派控制。
-
在委派控制向导页面上,选择下一步。
-
选择添加,在选定的用户和组中添加特定用户或特定组,然后选择下一步。
-
在 Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。
-
选择仅文件夹中的以下对象,然后选择计算机对象。
-
选择在此文件夹中创建选定对象和删除此文件夹中的选定对象。然后选择下一步。
-
在 “显示这些权限” 下,确保选中 “常规” 和 “特定于属性”。
-
在权限中,请选择以下选项:
-
重置密码
-
读取和写入账户限制
-
已验证写入 DNS 主机名
-
已验证写入服务主体名称
写下 MSD-SupportedEncryptionTypes
-
-
选择下一步,然后选择完成。
-
关闭 Active Directory User and Computers MMC 管理单元。
重要
创建 SVM 后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做会导致您的 SVM 配置错误。
使用 Amazon FSx 确保 Active Directory 配置不断更新
要使 Amazon FSX SVM 一直可用,请在更改自行管理的 AD 设置时更新 SVM 自行管理的 Active Directory(AD)配置。
例如,假设您的 AD 使用基于时间的密码重置策略。在这种情况下,请在密码重置后立即使用 Amazon FSx 更新服务账户密码。为此,请使用 Amazon FSx 控制台、Amazon FSx API 或 Amazon CLI。同样,如果您的 Active Directory 域的 DNS 服务器 IP 地址发生变化,请在更改发生后立即使用 Amazon FSx 更新 DNS 服务器 IP 地址。
如果更新的自行管理 AD 配置存在问题,则 SVM 状态会切换为错误配置。在此状态下,控制台、API 和 CLI 中的 SVM 描述旁边会显示错误消息和推荐操作。如果您的 SVM 的 AD 配置存在问题,请务必对配置属性采取推荐的纠正操作。如果问题得到解决,请验证 SVM 的状态是否更改为已创建。
有关更多信息,请参阅 使用 Amazon Web Services Management Console、 Amazon CLI和 API 更新现有 SVM Active Directory 配置 和 使用 ONTAP CLI 修改 Active Directory 配置。
使用安全组限制 VPC 内的流量
要限制虚拟私有云(VPC)内的网络流量,您可以在 VPC 中实施最低权限原则。换言之,您可以将权限限制为所需的最低权限。为此,请使用安全组规则。要了解更多信息,请参阅Amazon VPC 安全组。
为文件系统的网络接口创建出站安全组规则
为提高安全性,请考虑使用出站流量规则来配置安全组。这些规则应仅允许出站流量流向自行管理的 AD 域控制器或子网或安全组内部。将此安全组应用于与您的 Amazon FSx 文件系统的弹性网络接口关联的 VPC。要了解更多信息,请参阅“使用 Amazon VPC 进行文件系统访问控制”。