为切换到亚马逊 FSx 做准备为 Kerberos 身份配置的 SPN 更新亚马逊 FSx 文件系统的 DNS CNAME 记录

切入亚马逊 FSX

要切换到 FSx for Windows File Server 文件系统，您需要执行以下步骤，请执行以下步骤：

准备剪裁。
- 暂时断开 SMB 客户端与原始文件系统的连接。
- 执行最终的文件和文件共享配置同步。
为您的 Amazon FSx 文件系统配置服务主体名称 (SPN)。
更新 DNS CNAME 记录以指向您的亚马逊 FSx 文件系统。

每个步骤的执行以下步骤的过程。

主题

为切换到亚马逊 FSx 做准备
为 Kerberos 身份配置的 SPN
更新亚马逊 FSx 文件系统的 DNS CNAME 记录

为切换到亚马逊 FSx 做准备

要准备切换到 Amazon FSx 文件系统，您必须执行以下操作：

断开所有写入原始文件系统的客户端。
使用执行最终文件同步Amazon DataSync或者 Robocopy。有关更多信息，请参阅将现有文件存储迁移到 FSx for Windows File Server。
执行最终的文件共享配置同步。有关更多信息，请参阅将文件共享配置迁移到 Amazon FSx。

为 Kerberos 身份配置的 SPN

我们建议您在 Amazon FSx 中使用基于 Kerberos 的身份验证和加密。Kerberos 为访问文件系统的客户端提供最安全的身份验证。要为使用 DNS 别名访问 Amazon FSX 的客户端启用 Kerberos 身份验证，您必须添加与 Amazon FSx 文件系统的 Active Directory 计算机对象上的 DNS 别名相对应的服务主体名称 (SPN)。

对 Kerberos 身份验证有两个必需的 SPN。


HOST/alias
HOST/alias.domain

举个例子，如果别名是finance.domain.com，两个必需的 SPN 如下所示。


HOST/finance
HOST/finance.domain.com

SPN 同时只能与一个 Active Directory 计算机对象关联。如果为原始文件系统的 Active Directory 计算机对象配置的 DNS 名称存在现有 SPN，则必须在为 Amazon FSx 文件系统创建 SPN 之前将其删除。

以下过程介绍如何为您的 Amazon FSx 文件系统的 Active Directory 计算机对象查找任何现有 SPN、删除它们以及创建新的 SPN。

安装所需的 PowerShell Active Di

登录加入您的 Amazon FSx 文件系统所加入的活动目录的 Windows 实例。
打开 PowerShell 作为管理员。
安装 PowerShell 使用以下命令命令命令使用以下命令命令命令命令命令命令命令命令命令将
```
Install-WindowsFeature RSAT-AD-PowerShell
```

查找和删除原始文件系统的 Active Directory 计算机对象上的现有 DNS 别名 SPN

使用以下命令查找任何现有的 SPN。Replacealias_fqdn使用与文件系统关联的 DNS 别名迁移 DNS 配置以使用亚马逊 FSx.


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

使用以下示例脚本删除上一步中返回的现有 HOST SPN。

Replacealias_fqdn使用与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用亚马逊 FSx.
Replacefile_system_DNS_name使用原始文件系统的 DNS 名称。


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

对与中的文件系统关联的每个 DNS 别名重复这些步骤迁移 DNS 配置以使用亚马逊 FSx.

在 Amazon FSx 文件系统的 Active Directory 计算机对象上设置 SPN

通过运行以下命令为您的 Amazon FSx 文件系统设置新的 SPN。
- Replacefile_system_DNS_name使用 Amazon FSx 分配给文件系统的 DNS 名称。
  
  要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，然后选择您的文件系统。选择网络和安全文件系统详细信息页面的窗格。你也可以在响应中获取 DNS 名称DescribeFileSystemsAPI 操作。
- Replacealias_fqdn使用与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用亚马逊 FSx.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
注意
如果原始文件系统的计算机对象的 AD 中存在 DNS 别名的 SPN，则为 Amazon FSx 文件系统设置 SPN 将失败。有关查找和删除现有 SPN 的信息，请参阅查找和删除原始文件系统的 Active Directory 计算机对象上的现有 DNS 别名 SPN.
使用以下示例脚本验证是否为 DNS 别名配置了新 SPN。确保响应中包含两个 HOST SPN，HOST/alias和HOST/alias_fqdn.

Replacefile_system_DNS_name使用 Amazon FSx 分配给您的文件系统的 DNS 名称。要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，选择您的文件系统，然后选择网络和安全” 窗格位于文件系统详细信息页面上。

你也可以在响应中获取 DNS 名称DescribeFileSystemsAPI 操作。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
对与中的文件系统关联的每个 DNS 别名重复上步骤 DNS 别名，重复上述步骤迁移 DNS 配置以使用亚马逊 FSx.

注意

通过在 Active Directory 中设置以下组策略对象 (GPO)，可以在客户端使用 DNS 别名连接到文件系统的过程中强制执行 Kerberos 身份验证和加密：

限制 NTLM：向远程服务器传出 NTLM 流量
限制 NTLM：为 NTLM 身份验证添加远程服务器例外

有关更多信息，请参阅。使用 GPO 强制执行 Kerberos 身份验证在演练 5：使用 DNS 别名访问文件系统.

更新亚马逊 FSx 文件系统的 DNS CNAME 记录

为文件系统正确配置 SPN 后，您可以将解析到原始文件系统的每个 DNS 记录替换为解析为 Amazon FSx 文件系统的默认 DNS 名称的 DNS 记录，从而切换到 Amazon FSx。

安装所需的 PowerShell cmdlet

以具有 DNS 管理权限的组成员的身份登录到加入您的 Amazon FSx 文件系统的 Active Directory 的 Windows 实例（Amazon域名系统委托管理员在Amazon管理Microsoft ActiveDomain Admins或您在自己管理的 Active Directory 中委派了 DNS 管理权限的其他组）

有关更多信息，请参阅适用于 Windows 实例的 Amazon EC2 用户指南中的连接您的 Windows 实例。
打开 PowerShell 作为管理员。
这些区域有： PowerShell 需要使用 DNS 服务器模块来执行此过程中的说明。使用以下命令安装它。
```
Install-WindowsFeature RSAT-DNS-Server
```

更新现有的 DNS 别名记录的步骤

以下脚本更新所有现有的 DNS CNAME 记录alias_fqdn到您的 Amazon FSx 文件系统的计算机对象。如果未找到，则会为 DNS 别名创建一个新的 DNS 别名记录alias_fqdn它会解析为您的 Amazon FSx 文件系统的默认 DNS 名称。

要运行脚本，请执行以下操作：
- Replacealias_fqdn使用与文件系统关联的 DNS 别名。
- Replacefile_system_DNS_name使用 Amazon FSx 已分配给文件系统的默认 DNS 名称。
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
对与中的文件系统关联的每个 DNS 别名重复上步骤 DNS 别名，重复上步骤。迁移 DNS 配置以使用亚马逊 FSx.

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

迁移 DNS 配置以使用亚马逊 FSx

将 FSx for Windows File Server 与 Microsoft