将FSx适用于 Windows 文件服务器的操作移交给亚马逊 - FSx适用于 Windows 文件服务器的亚马逊
为转换到 Amazon 做准备 FSx为 Kerber SPNs os 身份验证进行配置更新 Amazon FSx 文件系统的DNSCNAME记录
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将FSx适用于 Windows 文件服务器的操作移交给亚马逊

迁移本地文件存储、文件共享配置和DNS配置后,下一步是将操作切换到FSx适用于 Windows File Server 的文件系统。要切换到 Window FSx s 文件服务器文件系统,请执行以下步骤:

  • 准备割接。

    • 暂时断开SMB客户端与原始文件系统的连接。

    • 执行最终的文件和文件共享配置同步。

  • 为您的 Amazon FSx 文件系统配置服务主体名称 (SPNs)。

  • 更新DNSCNAME记录以指向您的 Amazon FSx 文件系统。

以下各部分介绍了执行每个步骤的过程。

为转换到 Amazon 做准备 FSx

要为转换到 Amazon FSx 文件系统做准备,您必须执行以下操作:

为 Kerber SPNs os 身份验证进行配置

我们建议您在通过 Amazon 传输时使用基于 Kerberos 的身份验证和加密。FSxKerberos 能够为访问文件系统的客户端提供最安全的身份验证。要为FSx使用DNS别名访问亚马逊的客户启用 Kerberos 身份验证,您必须添加与亚马逊FSx文件系统的 Active Directory 计算机对象上的DNS别名相对应的服务主体名称 (SPNs)。

Kerberos SPNs 身份验证需要两个。

HOST/alias
HOST/alias.domain

例如,如果别名是finance.domain.com,则所需的两个别名SPNs如下所示。

HOST/finance
HOST/finance.domain.com

一次SPN只能与一个 Active Directory 计算机对象相关联。如果存在SPNs为原始文件系统的 Active Directory 计算机对象配置的DNS名称,则必须先将其删除,然后才能为您的 Amazon FSx 文件系统创建SPNs。

以下过程介绍如何查找任何现有的SPNs、删除它们以及如何SPNs为亚马逊FSx文件系统的 Active Directory 计算机对象创建新的对象。

安装所需的 PowerShell 活动目录模块

  1. 登录已加入您的亚马逊FSx文件系统所加入的活动目录的 Windows 实例。

  2. PowerShell 以管理员身份打开。

  3. 使用以下命令安装 Act PowerShell ive Directory 模块。

    Install-WindowsFeature RSAT-AD-PowerShell
在原始文件系统的 Active Directory 计算机对象SPNs上查找和删除现有DNS别名

  1. 使用以下命令查找任何现有SPNs命令。替换为您在中alias_fqdn与文件系统关联的DNS别名将本地DNS配置迁移到 Window FSx s 文件服务器版

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. 使用以下示例脚本删除上一步中HOSTSPNs返回的现有内容。

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. 对您在中与文件系统关联的每个DNS别名重复这些步骤将本地DNS配置迁移到 Window FSx s 文件服务器版

要SPNs在您的亚马逊FSx文件系统的 Active Directory 计算机对象上设置

  1. 运行以下命令SPNs,为您的 Amazon FSx 文件系统设置新内容。

    • file_system_DNS_name替换为 Amazon FSx 分配给文件系统的DNS名称。

      要在 Amazon FSx 控制台上查找您的文件系统的DNS名称,请选择文件系统,然后选择您的文件系统。选择文件系统详细信息页面中的网络与安全窗格。您也可以在DescribeFileSystemsAPI操作的响应中获取DNS名称。

    • 替换为您在中alias_fqdn与文件系统关联的完整DNS别名将本地DNS配置迁移到 Window FSx s 文件服务器版

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    注意

    如果原始FSx文件系统的计算机对象的 AD 中存在DNS别名,则为您的 Amazon 文件系统设置将失败。SPN SPN有关查找和删除现有内容的信息SPNs,请参见在原始文件系统的 Active Directory 计算机对象SPNs上查找和删除现有DNS别名

  2. 使用以下示例脚本验证SPNs是否已为DNS别名配置了新的别名。确保响应中包含两个HOSTSPNsHOST/aliasHOST/alias_fqdn

    file_system_DNS_name替换为 Amazon 为您的文件系统FSx分配的DNS名称。要在 Amazon FSx 控制台上查找您的文件系统的DNS名称,请选择文件系统,选择您的文件系统,然后在文件系统详情页面上选择 “网络和安全” 窗格。

    您也可以在DescribeFileSystemsAPI操作的响应中获取DNS名称。

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. 对您在中与文件系统关联的每个DNS别名重复上述步骤将本地DNS配置迁移到 Window FSx s 文件服务器版

注意

通过在 Active Directory 中设置以下组策略对象 (GPOs),您可以在客户端使用DNS别名连接到您的文件系统的过程中强制执行 Kerberos 身份验证和加密:

  • 限制NTLM:到远程服务器的传出NTLM流量

  • 限制NTLM:添加远程服务器例外以进行NTLM身份验证

有关更多信息,请参阅使用组策略对象强制执行 Kerberos 身份验证 () GPOs练 5:使用DNS别名访问您的文件系统

更新 Amazon FSx 文件系统的DNSCNAME记录

正确配置SPNs文件系统后,您可以切换到亚马逊,FSx方法是将解析为原始文件系统的每DNSDNS条记录替换为解析为亚马逊FSx文件系统默认DNS名称的记录。

安装所需的 PowerShell cmdlet

  1. 以具有DNS管理权限的群组(Amazon 托 Amazon 管 Microsoft Active Directory 中的委托域名系统管理员,以及您在自行管理的 Active Directory 中向其委派管理权限的域管理员或其他群组)的用户身份登录加入您的亚马逊FSx文件系统的 Active Directory 的 Windows 实例 DNS

    有关更多信息,请参阅亚马逊EC2用户指南中的连接到您的 Windows 实例

  2. PowerShell 以管理员身份打开。

  3. 执行此过程中的说明需要 PowerShell DNS服务器模块。使用以下命令安装该模块。

    Install-WindowsFeature RSAT-DNS-Server
更新现有DNSCNAME记录

  1. 以下脚本将所有现有DNSCNAME记录更新alias_fqdn到您的 Amazon FSx 文件系统的计算机对象中。如果未找到,它将为DNS别名创建新DNSCNAME记录alias_fqdn,该记录将解析为 Amazon FSx 文件系统的默认DNS名称。

    要运行脚本,请执行以下操作:

    • 替换为alias_fqdn与文件系统关联的DNS别名。

    • file_system_DNS_name替换为 Amazon FSx 为文件系统分配的默认DNS名称。

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. 对您在中与文件系统关联的每个DNS别名重复上述步骤将本地DNS配置迁移到 Window FSx s 文件服务器版