将 Amazon FSx File 系统加入自行管理的 Microsoft Active Directory 域 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSx File 系统加入自行管理的 Microsoft Active Directory 域

当你为 Windows 文件服务器文件系统创建新的 FSx 时,你可以配置 Microsoft Active Directory 集成,以便它加入你的自我管理的 Microsoft Active Directory 域。为此,请为 Microsoft AD 提供以下信息:

  • 本地 Microsoft AD 目录的完全限定域名。

    注意

    亚马逊 FSx 目前不支持单一标签域 (SLD) 域名。

  • 域的 DNS 服务器的 IP 地址。

  • 本地 Microsoft AD 域中的服务帐户的凭据。亚马逊 FSx 使用这些凭证加入您的自我管理的广告。

或者,您也可以指定以下内容:

  • 您希望 Amazon FSx 文件系统加入的域中的特定组织单位 (OU)。

  • 向其成员授予 Amazon FSx File 系统管理权限的域组的名称。

指定此信息后,Amazon FSx 会使用您提供的服务帐户将您的新文件系统加入到自我管理的 AD 域。

重要

如果您加入的 AD 域使用 Microsoft DNS 作为默认 DNS,则 Amazon FSx 仅为文件系统注册 DNS 记录。如果您使用的是第三方 DNS,则需要在创建文件系统后为 Amazon FSx 文件系统手动设置 DNS 条目。有关选择要用于文件系统的正确 IP 地址的详细信息,请参阅获取用于 DNS 的正确文件系统 IP 地址.

开始前的准备工作

请确保您已完成使用自行管理的 Microsoft AD 的先决条件详细信息在将 Amazon FSx 与您自主管理的 Microsoft Active Directory 结合使用.

  1. 在以下位置打开 Amazon FSx 控制台https://console.aws.amazon.com/fsx/.

  2. 在控制面板上,选择创建文件系统以启动文件系统创建向导。

  3. 选择FSx for Windows File Server然后选择下一步. 显示创建文件系统 页面。

  4. 为您的文件系统提供名称。您最多可以使用 256 个 Unicode 字母、空格和数字,以及特殊字符 +、-、=。

  5. 适用于存储容量中,输入您文件系统的存储容量(以 GiB 为单位)。如果您使用的是 SSD 存储,请输入 32—65,536 之间的任意整数。如果您使用的是硬盘存储,请输入 2,000 到 65,536 之间的任意整数。创建文件系统后,您可以随时根据需要增加存储容量。有关更多信息,请参阅 管理存储容量

  6. 保持吞吐量容量设置为原定设置。吞吐量容量是托管文件系统的文件服务器可以提供数据的持续速度。这些区域有:推荐吞吐量容量设置基于您选择的存储容量。如果您需要超过建议的吞吐容量,请选择指定吞吐量容量,然后选择一个值。有关更多信息,请参阅 FSx for Windows File Server 性能

    创建文件系统后,您可以随时根据需要修改吞吐量容量。有关更多信息,请参阅 管理吞吐量容量

  7. 选择要与您的文件系统关联的 VPC。出于本入门练习的目的,请选择与您的相同 VPCAmazon Directory Service目录和 Amazon EC2 实例。

  8. 为其中选择任意值可用区子网.

  9. 适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中的您的文件系统。请确保您在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。

    
        vFSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

    下表确定了每个端口的角色。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻型目录访问协议 (LDAP)

    UDP 123

    网络时间协议 (NTP)

    TCP 135

    分布式计算环境/端点映射器(DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

    TCP

    3268

    Microsoft 全球目录

    TCP

    3269

    SSL 上的微软全球目录

    TCP

    5985

    WinRM 2.0(微软视窗远程管理)

    TCP

    9389

    微软 AD DS Web 服务,PowerShell

    TCP

    49152 - 65535

    RPC 的临时端口

    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    注意

    如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSx 文件系统的动态端口 (49152-65535) 上的出站流量。

    • 出站规则允许所有流量到达与自管 Microsoft AD 域的 DNS 服务器和域控制器关联的 IP 地址。有关更多信息,请参阅 。Microsoft 关于为 Active Directory 通信配置防火墙的文档.

    • 确保这些流量规则也镜像在适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

    注意

    如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

    重要

    尽管 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。

  10. 适用于Windows 身份验证,选择自行管理的 Microsoft Active Directory.

  11. 为其输入值完全限定域名对于自行管理的 Microsoft AD 目录。

    注意

    域名不得采用单一标签域 (SLD) 格式。Amazon FSx 目前不支持 SLD 域。

    重要

    对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。

  12. 为其输入值组织部门对于自行管理的 Microsoft AD 目录。

    注意

    确保您提供的服务帐户具有委派给您在此处指定的 OU 的权限,或者如果未指定默认 OU,则委派给默认 OU 的权限。

  13. 输入至少一个且不超过两个值DNS 服务器 IP 地址对于自行管理的 Microsoft AD 目录。

  14. 为其输入字符串值服务账户用户名用于自管 AD 域中的账户,例如ServiceAcct. 亚马逊 FSx 使用此用户名加入你的 Microsoft AD 域。

    重要

    不要包含域前缀 (corp.com\ServiceAcct) 或域后缀 (ServiceAcct@corp.com) 当进入服务账户用户名.

    输入时请勿使用唯一判别名 (DN)服务账户用户名(CN=ServiceAcct,OU=example,DC=corp,DC=com)。

  15. 为其输入值服务账户密码用于自我管理的 AD 域中的账户。亚马逊 FSx 使用此密码加入你的 Microsoft AD 域。

  16. 重新输入密码以在其中进行确认确认密码.

  17. (可选)为委派文件系统管理员组在您的域中。该组拥有在文件系统上执行管理任务的授权。如果没有提供,亚马逊 FSx 将尝试使用内置域管理员组。

    重要

    如果您不提供委派文件系统管理员组,默认情况下,Amazon FSx 尝试在 AD 域中使用内置域管理员组。如果此内置组的名称已更改,或者如果您使用其他组进行域管理,则必须在此处为该组提供该名称。

    重要

    不要包含域名前缀 (corp.com\ FSxAdmins) 或域后缀 (FSxAdmins@corp .com) 提供组名参数时。

    不要对组使用唯一判别名 (DN)。可分辨名称的一个例子是 CN=FSxAdmins,OU= 例,DC=Corp,DC=com。

以下示例创建一个 FSx for Windows File Server 文件系统,其中包含SelfManagedActiveDirectoryConfiguration中的us-east-2可用区。

aws fsx --region us-east-2 \ create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --security-group-ids security-group-id \ --subnet-ids subnet-id\ --windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \ OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \ UserName="FSxService",Password="password", \ DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做将导致文件系统配置错误。