将 Amazon FSx 文件系统加入到自行管理的 Microsoft Active Directory 域 - Amazon FSx for Windows File Server
开始前的准备工作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSx 文件系统加入到自行管理的 Microsoft Active Directory 域

当您创建新的 FSx for Windows File Server 文件系统时,您可以配置 Microsoft Active Directory 集成,使其加入您自行管理的 Microsoft Active Directory 域。为此,请为您的 Microsoft Active Directory 提供以下信息:

  • 本地 Microsoft Active Directory 目录的完全限定域名。

    注意

    Amazon FSx 目前不支持单标签域(SLD)。

  • 域的 DNS 服务器的 IP 地址。

  • 本地 Microsoft Active Directory 域中的服务账户凭证。Amazon FSx 使用这些凭证加入您自行管理的 Active Directory。

或者,您也可以指定以下内容:

  • 您希望 Amazon FSx 文件系统加入的域内的特定组织单位(OU)。

  • 为成员授予 Amazon FSx 文件系统管理权限的域组的名称。

    注意

    您提供的域组名称在 Active Directory 中必须是唯一的。在以下情况下,适用于 Windows File Server 的 FSx 将不会创建域组:

    • 如果已经存在一个名为你指定的群组

    • 如果您未指定名称,并且您的 Active Directory 中已存在名为 “域管理员” 的群组。

在您指定此信息后,Amazon FSx 会使用您提供的服务账户将您的新文件系统加入您自行管理的 Active Directory 域。

重要

只有当您要加入的 Active Directory 域使用 Microsoft DNS 作为默认 DNS 时,Amazon FSx 才会注册文件系统的 DNS 记录。如果您使用的是第三方 DNS,则需要在创建文件系统后手动设置 Amazon FSx 文件系统的 DNS 条目。有关为文件系统选择正确 IP 地址的更多信息,请参阅获取用于 DNS 的正确的文件系统 IP 地址

开始前的准备工作

确保您已完成 将 Amazon FSX 与自行管理的 Microsoft Active Directory 结合使用 中详述的 使用自行管理的 Microsoft Active Directory 的先决条件

  1. 通过以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/

  2. 在控制面板上,选择创建文件系统以启动文件系统创建向导。

  3. 选择 FSx for Windows File Server,然后选择下一步。显示创建文件系统页面。

  4. 为您的文件提供名称。您最多可以使用 256 个 Unicode 字母、空格和数字以及特殊字符:+ - = . _ : /

  5. 对于存储容量,请输入文件系统的存储容量,以 GiB 为单位。如果您使用的是 SSD 存储,请输入 32 – 65,536 范围内的任意整数。如果您使用的是 HDD 存储,请输入 2,000 – 65,536 范围内的任意整数。创建文件系统后,您可以根据需要随时增加存储容量。有关更多信息,请参阅 管理存储容量

  6. 保持吞吐能力设置为默认设置。吞吐能力是托管文件系统的文件服务器可以持续提供数据的速度。建议的吞吐能力设置基于您选择的存储容量。如果您需要的吞吐能力超过建议吞吐能力,请选择指定吞吐能力,然后选择一个值。有关更多信息,请参阅 FSx for Windows File Server 性能

    创建文件系统后,您可以根据需要随时修改吞吐能力。有关更多信息,请参阅 管理吞吐能力

  7. 选择要与文件系统关联的 VPC。在本入门练习中,请选择与您的 Amazon Directory Service 目录和 Amazon EC2 实例相同的 VPC。

  8. 可用区子网选择任意值。

  9. 对于 VPC 安全组,用于您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保要在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 在端口上允许有下图所示方向的流量。

    用于 VPC 安全组的 FSx for Windows File Server 端口配置要求,以及用于要在其中创建文件系统的子网的网络 ACL。

    下表确定了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统(DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻型目录访问协议(LDAP)
    UDP 123

    网络时间协议(NTP)
    TCP 135

    分布式计算环境/端点映射器(DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻型目录访问协议(LDAPS)

    TCP

    3268

    Microsoft 全局目录

    TCP

    3269

    基于 SSL 的 Microsoft 全局目录

    TCP

    5985

    WinRM 2.0(Microsoft Windows 远程管理)

    TCP

    9389

    微软活动目录 DS Web 服务, PowerShell

    TCP

    49152 - 65535

    RPC 的临时端口
    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    注意

    如果您使用的是 VPC 网络 ACL,则还必须允许动态端口(49152-65535)上的出站流量。

    • 允许所有流量流向与您自行管理的 Microsoft Active Directory 域的 DNS 服务器和域控制器关联的 IP 地址的出站规则。有关更多信息,请参阅 Microsoft 关于为 Active Directory 通信配置防火墙的文档

    • 确保这些流量规则也镜像到适用于每个 Active Directory 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

    注意

    如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中定义了与 Amazon FSx 文件系统关联的 VPC 中的子网,且 VPC 中的子网与您其他站点中的子网之间不存在冲突。您可以使用 Active Directory Sites and Services MMC 管理单元查看和更改这些设置。

    重要

    虽然 Amazon VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。

  10. 对于 Windows 身份验证,选择自行管理的 Microsoft Active Directory

  11. 输入自行管理的 Microsoft Active Directory 目录的完全限定域名值。

    注意

    域名不能采用单标签域(SLD)格式。Amazon FSx 目前不支持 SLD 域。

    重要

    对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不得超过 47 个字符。

  12. 输入自行管理的 Microsoft Active Directory 目录的组织单位值。

    注意

    确保您提供的服务账号已将权限委托给您在此处指定的 OU,或者如果您未指定,则委托给默认 OU。

  13. 在自行管理的 Microsoft Active Directory 目录的 DNS 服务器 IP 地址中至少输入一个值(不超过两个)。

  14. 在自行管理的 Active Directory 域上的账户的服务账户用户名中输入一个字符串值,例如 ServiceAcct。Amazon FSx 使用此用户名加入您的 Microsoft Active Directory 域。

    重要

    输入服务账户用户名时,请勿包含域前缀(corp.com\ServiceAcct)或域后缀(ServiceAcct@corp.com)。

    输入服务账户用户名CN=ServiceAcct,OU=example,DC=corp,DC=com)时,请勿使用可分辨名称(DN)。

  15. 在自行管理的 Active Directory 域上的账户的服务账户密码中输入一个值。Amazon FSx 使用此密码加入您的 Microsoft Active Directory 域。

  16. 确认密码中重新输入密码以进行确认。

  17. 对于委派的文件系统管理员组,请指定 Domain Admins 组或自定义委派的文件系统管理员组(如果已创建)。您指定的组应具有在您的文件系统上执行管理任务的委托授权。如果您不提供值,Amazon FSx 将使用内置 Domain Admins 组。请注意,Amazon FSx 不支持Delegated file system administrators group将(您指定的Domain Admins群组或自定义群组)置于内置容器中。

    重要

    如果您没有提供委派的文件系统管理员组,则默认情况下,Amazon FSx 会尝试在您的 Active Directory 域中使用内置 Domain Admins 组。如果此内置组的名称已更改,或者您使用其他组进行域管理,则必须在此处为该组提供该名称。

    重要

    在提供组名参数时,请勿包含域前缀 (corp.com\ FSxAdmins) 或域后缀 (F SxAdmins @corp .com)。

    请勿使用该组的可分辨名称(DN)。可分辨名称的一个例子是 CN=F SxAdmins、ou=Example、dc=Corp、dc=com。

以下为在 us-east-2 可用区中创建带有 SelfManagedActiveDirectoryConfiguration 的 FSx for Windows File Server 文件系统的示例。

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。