将 Amazon FSx 文件系统加入自行管理的 Microsoft Active Directory 域 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSx 文件系统加入自行管理的 Microsoft Active Directory 域

当您为 Windows 文件服务器创建新的 Amazon FSX 文件系统时,您可以配置 Microsoft 活动目录集成,以便它加入到自我管理的 Microsoft 活动目录域。若要执行此操作,请为 Microsoft AD 提供以下信息:

  • 本地 Microsoft AD 目录的完全限定域名。

    注意

    Amazon FSX 目前不支持单标签域 (SLD) 域。

  • 域的 DNS 服务器的 IP 地址。

  • 本地 Microsoft AD 域中服务帐户的凭据。Amazon FSX 使用这些凭证加入您的自我管理的 AD。

或者,您也可以指定以下内容:

  • 您希望 Amazon FSX 文件系统加入的域中的特定组织单位 (OU)。

  • 为成员授予 Amazon FSx 文件系统管理权限的域组的名称。

指定此信息后,Amazon FSX 会使用您提供的服务帐户将您的新文件系统加入到自我管理的 AD 域。

重要

如果您加入文件系统的 AD 域使用 Microsoft DNS 作为默认 DNS,Amazon FSX 仅注册文件系统的 DNS 记录。如果您使用的是第三方 DNS,则需要在创建文件系统后为 Amazon FSX 文件系统手动设置 DNS 条目。有关选择用于文件系统的正确 IP 地址的详细信息,请参阅获取用于 DNS 的正确文件系统 IP 地址

开始前的准备工作

请确保您已完成使用自我管理的微软 AD 的先决条件详细信息结合使用 Amazon FSx 与自行管理的 Microsoft Active Directory

  1. 从打开 Amazon FSx 控制台https://console.aws.amazon.com/fsx/

  2. 在控制面板上,选择创建文件系统以启动文件系统创建向导。

  3. 选择FSx for Windows File Server,然后选择下一步。这些区域有:此时将显示 Create file system 页面。

  4. 提供文件系统的名称。您最多可以使用 256 个 Unicode 字母、空格和数字,以及特殊字符 +-=. _:/

  5. 适用于存储容量中,输入文件系统的存储容量(以 GiB 为单位)。如果您使用的是 SSD 存储,请输入范围为 32—65,536 的任何整数。如果您使用的是硬盘存储,请输入 2,000—65,536 范围内的任何整数。创建文件系统后,您可以随时根据需要增加存储容量。有关更多信息,请参阅 管理存储容量

  6. 保持吞吐量在其默认设置。吞吐量是托管您的文件系统的文件服务器可以提供数据的持续速度。这些区域有:建议的吞吐量设置取决于您选择的存储容量。如果您需要的吞吐量超过建议的吞吐量,请选择指定吞吐量容量,然后选择一个值。有关更多信息,请参阅 Amazon FSx for Windows File Server 的性能

    创建文件系统后,您可以随时根据需要修改吞吐量容量。有关更多信息,请参阅 管理吞吐量容量

  7. 选择要与文件系统相关联的 VPC。出于本入门练习的目的,选择与Amazon Directory Service目录和 Amazon EC2 实例。

  8. 选择任何值Availability Zones (可用区)子网

  9. 适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中您的文件系统。请确保您正在创建 FSX 文件系统的子网的安全组和 VPC 网络 ACL 允许端口以及下图所示方向上的流量。

    
        Amazon FSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

    下表列出了每个端口的角色。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/建置密码

    TCP/UDP

    389

    轻量目录访问协议 (LDAP)

    UDP 123

    网络时间协议 (NTP)

    TCP 135

    分布式计算环境/端点映射器 (DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

    TCP

    3268

    Microsoft 全球目录

    TCP

    3269

    微软全局编录通过 SSL

    TCP

    5985

    WinRM 2.0(微软视窗远程管理)

    TCP

    9389

    微软广告 DS 网络服务

    TCP

    49152 - 65535

    RPC 的临时端口

    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    注意

    如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSX 文件系统的动态端口 (49152-65535) 上的出站流量。

    • 出站规则允许所有流量到与自我管理的 Microsoft AD 域的 DNS 服务器和域控制器相关联的 IP 地址。有关更多信息,请参阅 。微软有关为活动目录通信配置防火墙的文档

    • 确保这些流量规则也在应用于每个 AD 域控制器、DNS 服务器、FSX 客户端和 FSX 管理员的防火墙上进行镜像。

    注意

    如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中与 Amazon FSx File System 关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

    重要

    虽然 Amazon VPC 安全组要求端口仅在启动网络流量的方向打开,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。

  10. 适用于Windows 身份验证中,选择自主管理的 Microsoft Active Directory

  11. 完全限定域名以获取自行管理的 Microsoft AD 目录。

    注意

    域名不得采用单标签域 (SLD) 格式。Amazon FSx 目前不支持 SLD 域。

    重要

    对于单可用区 2 和所有多可用区文件系统,活动目录域名不能超过 47 个字符。

  12. 组织部门以获取自行管理的 Microsoft AD 目录。

    注意

    确保您提供的服务帐户具有权限委派给您在此指定的 OU 或默认 OU(如果未指定)。

  13. 输入至少一个值(不得超过两个)DNS 服务器 IP 地址以获取自行管理的 Microsoft AD 目录。

  14. 输入字符串值服务账户用户名用于自我管理的 AD 域上的帐户,例如ServiceAcct。亚马逊 FSX 使用此用户名加入您的 Microsoft AD 域。

    重要

    请勿包含域前缀 (corp.com\ServiceAcct) 或域后缀 (ServiceAcct@corp.com)时输入服务账户用户名

    不要使用唯一判别名 (DN) 在输入服务账户用户名(CN=ServiceAcct,OU=example,DC=corp,DC=com)。

  15. 服务账户密码用于您自我管理的 AD 域中的帐户。亚马逊 FSX 使用此密码加入您的 Microsoft AD 域。

  16. 重新输入密码以在确认密码

  17. (可选)指定委派的文件系统管理员组在您的域中。此组具有在您的文件系统上执行管理任务的委派权限。如果没有提供,Amazon FSX 将尝试使用内置域管理员组。

    重要

    如果未提供委派的文件系统管理员组,默认情况下,Amazon FSX 会尝试在您的 AD 域中使用内置域管理员组。如果此 Builtin 组的名称已更改,或者您正在使用其他组进行域管理,则必须在此处为该组提供该名称。

    重要

    在提供组名参数时,请勿包含域前缀 (corp.com\ fxAdmins) 或域后缀 (FSxAdmins@corp.com)。

    请勿对组使用唯一判别名 (DN)。唯一判别名称的例子是 CN =FSxandmins, OU=例, DC=Corp, DC=com。

以下示例创建 Amazon FSx for Windows File Server 系统,其中包含SelfManagedActiveDirectoryConfiguration中的us-east-2可用区。

aws fsx --region us-east-2 \ create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --security-group-ids security-group-id \ --subnet-ids subnet-id\ --windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \ OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \ UserName="FSxService",Password="password", \ DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
重要

创建文件系统后,请勿移动 Amazon FSX 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。