将亚马逊FSx文件系统加入自我管理的 Microsoft Active Directory 域 - FSx适用于 Windows 文件服务器的亚马逊
开始前的准备工作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将亚马逊FSx文件系统加入自我管理的 Microsoft Active Directory 域

当你FSx为 Windows 文件服务器创建新的文件系统时,你可以配置 Microsoft Active Directory 集成,使其加入你自行管理的 Microsoft Active Directory 域。为此,请为您的 Microsoft Active Directory 提供以下信息:

  • 您的本地 Microsoft Active Directory 目录的完全限定域名 (FQDN)。

    注意

    Amazon FSx 目前不支持单一标签域名 (SLD)。

  • 您的域名DNS服务器的 IP 地址。

  • 本地 Microsoft Active Directory 域中的服务账户凭证。Amazon FSx 使用这些凭证加入您自行管理的活动目录。

或者,您也可以指定以下内容:

  • 您希望 Amazon FSx 文件系统加入的域内的特定组织单位 (OU)。

  • 域组的名称,其成员被授予 Amazon FSx 文件系统的管理权限。

    注意

    您提供的域组名称在 Active Directory 中必须是唯一的。FSxWindows 文件服务器在以下情况下不会创建域组:

    • 如果已经存在一个名为你指定的群组

    • 如果您未指定名称,并且您的 Active Directory 中已存在名为 “域管理员” 的群组。

在您指定此信息后,Amazon 会使用您提供的服务账户将您的新文件系统FSx加入到您自行管理的 Active Directory 域中。

重要

FSx只有当你加入的活动目录域使用微软DNS作为默认域时,亚马逊才会注册文件系统的DNS记录DNS。如果您使用的是第三方DNS,则需要在创建FSx文件系统后手动设置 Amazon 文件系统的DNS条目。有关为文件系统选择正确 IP 地址的更多信息,请参阅获取用于手动DNS输入的正确文件系统 IP 地址

开始前的准备工作

确保您已完成 使用自我管理的 Microsoft 活动目录 中详述的 先决条件

  1. 打开亚马逊FSx控制台,网址为https://console.aws.amazon.com/fsx/

  2. 在控制面板上,选择创建文件系统以启动文件系统创建向导。

  3. 选择 Window FSx s 文件服务器,然后选择下一步。显示创建文件系统页面。

  4. 为您的文件提供名称。您最多可以使用 256 个 Unicode 字母、空格和数字以及特殊字符:+ - = . _ : /

  5. 对于存储容量,请输入文件系统的存储容量,以 GiB 为单位。如果您使用的是SSD存储空间,请输入 32—65,536 范围内的任意整数。如果您使用的是HDD存储空间,请输入 2,000—65,536 范围内的任意整数。创建文件系统后,您可以根据需要随时增加存储容量。有关更多信息,请参阅 管理存储容量

  6. 保持吞吐能力设置为默认设置。吞吐能力是托管文件系统的文件服务器可以持续提供数据的速度。建议的吞吐能力设置基于您选择的存储容量。如果您需要的吞吐能力超过建议吞吐能力,请选择指定吞吐能力,然后选择一个值。有关更多信息,请参阅 FSx用于 Windows 文件服务器的性能

    创建文件系统后,您可以根据需要随时修改吞吐能力。有关更多信息,请参阅 正在管理 Windows 文件服务器文件系统的吞吐容量 FSx

  7. 选择VPC要与文件系统关联的。在本入门练习中,请选择与您的 Amazon Directory Service 目录和 Amazon EC2 实例VPC相同的选项。

  8. 可用区子网选择任意值。

  9. 对于VPC安全组,您的默认 Amazon 的默认安全组VPC已在控制台中添加到您的文件系统中。请确保您创建FSx文件系统的子网的安全组和VPC网络ACLs允许端口上的流量,并遵循下图所示的方向。

    FSx适用于 Windows File Server VPC 的安全组和创建文件系统的子网的网络ACLs端口配置要求。

    下表确定了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻量级目录访问协议 (LDAP)
    UDP 123

    网络时间协议 (NTP)
    TCP 135

    分布式计算环境/端点映射器 (DCE/EPMAP)

    TCP

    445

    目录服务SMB文件共享

    TCP

    636

    TLS/SSL(LDAPS) 上的轻量级目录访问协议

    TCP

    3268

    Microsoft 全局目录

    TCP

    3269

    微软全球目录结束 SSL

    TCP

    5985

    WinRM 2.0(Microsoft Windows 远程管理)

    TCP

    9389

    微软活动目录 DS Web 服务, PowerShell

    TCP

    49152 - 65535

    临时端口 RPC
    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许TCP端口 9389 上的出站流量。

    注意

    如果您使用的是VPC网络ACLs,则还必须允许来自文件系统的动态端口 (49152-65535) 上的出站流量。FSx

    • 出站规则,允许所有流量流向与你自行管理的 Microsoft Active Directory 域的DNS服务器和域控制器关联的 IP 地址。有关更多信息,请参阅 Microsoft 关于为 Active Directory 通信配置防火墙的文档

    • 确保这些流量规则也镜像到适用于每个 Active Directory 域控制器、DNS服务器、FSx客户端和管理员的防火墙上。FSx

    注意

    如果您定义了 Active Directory 站点,则必须确保与您的 Amazon FSx 文件系统VPC关联的子网在 Active Directory 站点中定义,VPC并且您的子网与其他站点的子网之间不存在冲突。您可以使用 Active Directory 网站和服务MMC管理单元查看和更改这些设置。

    重要

    虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口,但大多数 Windows 防火墙和VPC网络都ACLs要求双向打开端口。

  10. 对于 Windows 身份验证,选择自行管理的 Microsoft Active Directory

  11. 输入自行管理的 Microsoft Active Directory 目录的完全限定域名值。

    注意

    域名不得采用单一标签域 (SLD) 格式。Amazon FSx 目前不支持SLD域名。

    重要

    对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不得超过 47 个字符。

  12. 输入自行管理的 Microsoft Active Directory 目录的组织单位值。

    注意

    确保您提供的服务账号已将权限委托给您在此处指定的 OU,或者如果您未指定,则委托给默认 OU。

  13. 为自行管理的 Microsoft Active Directory 目录的DNS服务器 IP 地址输入至少一个且不超过两个的值。

  14. 在自行管理的 Active Directory 域上的账户的服务账户用户名中输入一个字符串值,例如 ServiceAcct。亚马逊FSx使用此用户名加入你的微软活动目录域。

    重要

    输入服务帐户用户名时,请务必NOT包含域前缀 (corp.com\ServiceAcctServiceAcct@corp.com) 或域后缀 ()。

    输入服务帐户用户名 () 时,请务必NOT使用可分辨名称 (DNCN=ServiceAcct,OU=example,DC=corp,DC=com)。

  15. 在自行管理的 Active Directory 域上的账户的服务账户密码中输入一个值。亚马逊FSx使用此密码加入你的微软活动目录域。

  16. 确认密码中重新输入密码以进行确认。

  17. 对于委派的文件系统管理员组,请指定 Domain Admins 组或自定义委派的文件系统管理员组(如果已创建)。您指定的组应具有在您的文件系统上执行管理任务的委托授权。如果您不提供值,Amazon 会FSx使用内置Domain Admins组。请注意,Amazon FSx 不支持Delegated file system administrators group将(您指定的Domain Admins群组或自定义群组)置于内置容器中。

    重要

    如果您未提供委派文件系统管理员组,则默认情况下,Amazon 会FSx尝试在您的 Active Directory 域中使用该内置Domain Admins组。如果此内置组的名称已更改,或者您使用其他组进行域管理,则必须在此处为该组提供该名称。

    重要

    在提供群组名称参数时,请务必NOT包含域名前缀 (corp.com\FSxAdmins) 或域后缀 (FSxAdmins@corp .com)。

    请NOT务必使用该组的可分辨名称 (DN)。可分辨名称的一个例子是 CN= FSxAdmins、ou=Example、dc=Corp、dc=com。

以下示例创建了一个FSx适用于 Windows 文件服务器的文件系统,该文件系统SelfManagedActiveDirectoryConfiguration位于us-east-2可用区。

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
重要

FSx创建文件系统后,请勿移动 Amazon 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。