将 SVM 加入 Microsoft Active Directory - FSx for ONTAP
需要活动目录信息
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 SVM 加入 Microsoft Active Directory

无论是在本地还是在云中,您的组织都可能使用 Active Directory 管理身份和设备。使用适用于 ONTAP 的 FSx,您可以通过以下方式将 SVM 直接加入现有的 Active Directory 域:

  • 在创建时将新 SVM 加入活动目录:

    • 使用 Amazon FSx 控制台中的标准创建选项为 ONTAP 文件系统创建新的 FSx,您可以将默认 SVM 加入自我管理的 Active Directory。有关更多信息,请参阅创建文件系统(控制台)

    • 使用亚马逊 FSx 控制台或 Amazon FSx API 在现有 FSx for ONTAP 文件系统上创建新的 SVM。 Amazon CLI有关更多信息,请参阅创建存储虚拟机

  • 将现有 SVM 加入活动目录:

    • 使用 Amazon Web Services Management Console Amazon CLI、和 API 将 SVM 加入 Active Directory,如果首次尝试加入失败,则使用、和 API 重新尝试将 SVM 加入活动目录。您还可以更新已加入活动目录的 SVM 的某些活动目录配置属性。有关更多信息,请参阅管理 SVM 活动目录配置

    • 使用 NetApp ONTAP CLI 或 REST API 加入、重新尝试加入和取消加入 SVM Active Directory 配置。有关更多信息,请参阅使用 CLI 管理 SVM 活动目录配置 NetApp

重要

  • 如果使用 Microsoft DNS 作为默认 DNS 服务,Amazon FSx 仅注册 SVM 的 DNS 记录。如果使用第三方 DNS,则必须在创建 Amazon FSX SVM 后手动为其设置 DNS 条目。

  • 如果使用 Amazon Managed Microsoft AD,则必须指定一个群组,例如 Amazon 委托 FSx 管理员、 Amazon 授权管理员或具有向 OU 委派权限的自定义群组。

当您将适用于 ONTAP 的 FSx SVM 直接加入自我管理的 Active Directory 时,SVM 与您的用户和现有资源(包括现有文件服务器)位于同一 Active Directory 林(包含域、用户和计算机的 Active Directory 配置中最顶层的逻辑容器)中,并且位于同一个 Active Directory 域中。

将 SVM 加入 Active Directory 时所需的信息

无论您选择哪种 API 操作,在将 SVM 加入 Active Directory 时,您都必须提供有关活动目录的以下信息:

  • 为 SVM 创建的 Active Directory 计算机对象的 NetBIOS 名称。这是 Active Directory 中 SVM 的名称,该名称在您的活动目录中必须是唯一的。不要使用主域的 NetBIOS 名称。NetBIOS 名称不能超过 15 个字符。

  • Active Directory 域的完全限定域名(FQDN)。FQDN 不能超过 255 个字符。

    注意

    FQDN 不能采用单标签域(SLD)格式。Amazon FSx 不支持 SLD 域。

  • 域的 DNS 服务器或域主机的 IP 地址(最多三个)。

    DNS 服务器 IP 地址和 Active Directory 域控制器 IP 地址可以在任何 IP 地址范围内,但以下除外:

    • 与相应 Amazon Web Services 区域 中 Amazon Web Services 拥有的 IP 地址冲突的 IP 地址。有关按地区划分 Amazon 的 IP 地址列表,请参阅 Amazon IP 地址范围

    • 以下 CIDR 块范围内的 IP 地址:198.19.0.0/16

  • Amazon FSx 在将 SVM 加入 Active Directory 域时使用的 Active Directory 域上的服务账户的用户名和密码。有关服务账户要求的更多信息,请参阅 Active Directory 服务账户要求

  • (可选)域中 SVM 所加入的组织单位(OU)。

    注意

    如果您将 SVM 加入 Act Amazon Directory Service ive Directory,则必须提供一个 OU,该组织单元位于为相关的目录对象 Amazon Directory Service 创建的默认 OU 中。 Amazon这是因为 Amazon Directory Service 不提供对您的 Active Directory 默认 Computers OU 的访问权限。例如,如果您的 Active Directory 域是example.com,则可以指定以下 OU: OU=Computers,OU=example,DC=example,DC=com

  • (可选)您要将授权委派给的域组,使其对文件系统执行管理操作。例如,此域组可以管理 Windows SMB 文件共享、获取文件和文件夹的所有权等。如果您未指定此组,Amazon FSx 会默认将此授权委派给 Active Directory 域中的域管理员组。