准备转移到亚马逊 FSx 为 Kerberos 身份验证配置 SPN 更新亚马逊 FSx 文件系统的 DNS 别名记录

切换到亚马逊 FSx

要切换到 FSx for Windows File Server 文件系统，请执行以下步骤：

为切割做好准备。
- 暂时断开 SMB 客户端与原始文件系统的连接。
- 执行最终的文件和文件共享配置同步。
为您的 Amazon FSx 文件系统配置服务主体名称 (SPN)。
更新 DNS 别名记录以指向您的 Amazon FSx 文件系统。

以下部分介绍了执行上述每个步骤的过程。

主题

准备转移到亚马逊 FSx
为 Kerberos 身份验证配置 SPN
更新亚马逊 FSx 文件系统的 DNS 别名记录

准备转移到亚马逊 FSx

要准备转换到 Amazon FSx 文件系统，您必须执行以下操作：

断开所有写入原始文件系统的客户端。
使用执行最终文件同步Amazon DataSync或者 Robocopy。有关更多信息，请参阅将现有文件存储迁移到 FSx for Windows File Server。
执行最终的文件共享配置同步。有关更多信息，请参阅将文件共享配置迁移到 Amazon FSx。

为 Kerberos 身份验证配置 SPN

我们建议您在传输过程中将基于 Kerberos 的身份验证和加密与 Amazon FSx 一起使用。Kerberos 为访问文件系统的客户端提供了最安全的身份验证。要为使用 DNS 别名访问 Amazon FSx 的客户端启用 Kerberos 身份验证，您必须添加与 Amazon FSx 文件系统 Active Directory 计算机对象上的 DNS 别名对应的服务主体名称 (SPN)。

Kerberos 身份验证需要两个 SPN。


HOST/alias
HOST/alias.domain

例如，如果别名是finance.domain.com，所需的两个 SPN 如下。


HOST/finance
HOST/finance.domain.com

一次 SPN 只能与单个 Active Directory 计算机对象关联。如果为原始文件系统的 Active Directory 计算机对象配置了 DNS 名称的现有 SPN，则必须在为 Amazon FSx 文件系统创建 SPN 之前将其删除。

以下过程描述了如何查找任何现有 SPN、删除它们以及如何为 Amazon FSx 文件系统的 Active Directory 计算机对象创建新的 SPN。

安装所需的PowerShellActive Directory 模块

登录到加入您的 Amazon FSx 文件系统所加入的 Active Directory 的 Windows 实例。
打开PowerShell作为管理员。
安装PowerShell使用以下命令使用 Active Directory 模块。
```
Install-WindowsFeature RSAT-AD-PowerShell
```

查找和删除原始文件系统 Active Directory 计算机对象上的现有 DNS 别名 SPN

使用以下命令查找任何现有的 SPN。Replacealias_fqdn使用与文件系统关联的 DNS 别名迁移 DNS 配置以使用亚马逊 FSx.


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

使用以下示例脚本删除上一步中返回的现有 HOST SPN。

Replacealias_fqdn使用您在中与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用亚马逊 FSx.
Replacefile_system_DNS_name使用原始文件系统的 DNS 名称。


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

对您在中与文件系统关联的每个 DNS 别名重复这些步骤迁移 DNS 配置以使用亚马逊 FSx.

在 Amazon FSx 文件系统的 Active Directory 计算机对象上设置 SPN

通过运行以下命令为您的 Amazon FSx 文件系统设置新的 SPN。
- Replacefile_system_DNS_name使用 Amazon FSx 分配给文件系统的 DNS 名称。
  
  要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，然后选择您的文件系统。选择网络 & 安全窗格中的文件系统详细信息页面。你也可以在响应中获取 DNS 名称DescribeFile系统API 操作。
- Replacealias_fqdn使用您在中与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用亚马逊 FSx.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
注意
如果原始文件系统的计算机对象的 AD 中存在 DNS 别名的 SPN，则为 Amazon FSx 文件系统设置 SPN 将失败。有关查找和删除现有 SPN 的信息，请参阅查找和删除原始文件系统 Active Directory 计算机对象上的现有 DNS 别名 SPN.
使用以下示例脚本验证是否为 DNS 别名配置了新的 SPN。确保响应包括两个 HOST SPN，HOST/alias和HOST/alias_fqdn.

Replacefile_system_DNS_name使用 Amazon FSx 分配给您的文件系统的 DNS 名称。要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，选择您的文件系统，然后选择网络 & 安全窗格中的文件系统详细信息页面上。

你也可以在响应中获取 DNS 名称DescribeFile系统API 操作。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
对您在中与文件系统关联的每个 DNS 别名重复上述步骤。迁移 DNS 配置以使用亚马逊 FSx.

注意

通过在 Active Directory 中设置以下组策略对象 (GPO)，您可以在使用 DNS 别名连接到文件系统的客户端时强制执行 Kerberos 身份验证和加密：

限制 NTLM：将 NTLM 流量传出到远程服务器
限制 NTLM：为 NTLM 验证添加远程服务器例外

有关更多信息，请参阅。使用 GPO 实施 Kerberos 身份验证在演练 5：使用 DNS 别名访问文件系统.

更新亚马逊 FSx 文件系统的 DNS 别名记录

为文件系统正确配置 SPN 后，您可以通过将解析为 Amazon FSx 文件系统的默认 DNS 名称的 DNS 记录替换为原始文件系统的每条 DNS 记录来切换到 Amazon FSx。

安装所需的PowerShellcmdlet

登录到加入 Active Directory 的 Windows 实例，您的 Amazon FSx 文件系统以具有 DNS 管理权限的组的成员身份加入该 Active Directory（Amazon域名系统委托管理员在Amazon以及托管 Microsoft Active DirectoryDomain Admins或者您在自我管理的 Active Directory 中向其委派了 DNS 管理权限的另一个组）

有关更多信息，请参阅适用于 Windows 实例的 Amazon EC2 用户指南中的连接您的 Windows 实例。
打开PowerShell作为管理员。
这些区域有：PowerShell执行此过程中的说明需要 DNS 服务器模块。使用以下命令安装它。
```
Install-WindowsFeature RSAT-DNS-Server
```

更新现有的 DNS 别名记录

以下脚本更新了所有现有的 DNS CNAME 记录alias_fqdn到您的 Amazon FSx 文件系统的计算机对象。如果找不到，它会为 DNS 别名创建新的 DNS 别名记录alias_fqdn这将解析为您的 Amazon FSx 文件系统的默认 DNS 名称。

要运行脚本，请执行以下操作：
- Replacealias_fqdn使用与文件系统关联的 DNS 别名。
- Replacefile_system_DNS_name使用 Amazon FSx 已分配给文件系统的默认 DNS 名称。
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
对您在中与文件系统关联的每个 DNS 别名重复上一步。迁移 DNS 配置以使用亚马逊 FSx.

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

迁移 DNS 配置以使用亚马逊 FSx

将 FSx for Windows File Server 与 Microsoft SQL Server 结合使用