为切换到亚马逊 FSx 做准备配置 SPN for Kerberos 身份验证更新 Amazon FSx 文件系统的 DNS 别名记录

切换到亚马逊 FSx

要切换到 FSx for Windows File Server 文件系统，请执行以下步骤：

准备切割。
- 暂时断开 SMB 客户端与原始文件系统的连接。
- 执行最后的文件和文件共享配置同步。
为您的 Amazon FSx 文件系统配置服务主体名称 (SPN)。
更新 DNS 别名记录以指向您的 Amazon FSx 文件系统。

以下各节提供了执行每个步骤的过程。

主题

为切换到亚马逊 FSx 做准备
配置 SPN for Kerberos 身份验证
更新 Amazon FSx 文件系统的 DNS 别名记录

为切换到亚马逊 FSx 做准备

要准备切换到 Amazon FSx 文件系统，您必须执行以下操作：

断开所有写入原始文件系统的客户端。
使用Amazon DataSync或 Robocopy 执行最终文件同步。有关更多信息，请参阅将现有文件存储迁移到 FSx for Windows File Server：
执行最终文件共享配置同步。有关更多信息，请参阅将文件共享配置迁移到 Amazon FSx：

配置 SPN for Kerberos 身份验证

我们建议您在 Amazon FSx 传输过程中使用基于 Kerberos 的身份验证和加密。Kerberos 为访问您的文件系统的客户端提供最安全的身份验证。要为使用 DNS 别名访问 Amazon FSx 的客户端启用 Kerberos 身份验证，您必须添加与亚马逊 FSx 文件系统的 Active Directory 计算机对象上的 DNS 别名相对应的服务主体名称 (SPN)。

Kerberos 身份验证需要两个 SPN。


HOST/alias
HOST/alias.domain

例如，如果别名为finance.domain.com，则两个必需的 SPN 如下所示。


HOST/finance
HOST/finance.domain.com

SPN 一次只能与一个 Active Directory 计算机对象关联。如果为原始文件系统的 Active Directory 计算机对象配置了 DNS 名称，则必须先将其删除，然后才能为 Amazon FSx 文件系统创建 SPN。

以下过程介绍如何查找任何现有 SPN、将其删除，以及如何为 Amazon FSx 文件系统的 Active Directory 计算机对象创建新的 SPN。

安装所需的 PowerShell 活动目录模块

登录加入你的 Amazon FSx 文件系统加入的 Active Directory 的 Windows 实例。
PowerShell 以管理员身份打开。
使用以下命令安装 Act PowerShell ive Directory 模块。
```
Install-WindowsFeature RSAT-AD-PowerShell
```

在原始文件系统的 Active Directory 计算机对象上查找和删除现有 DNS 别名 SPN

使用以下命令查找任何现有的 SPN。替换为您在中alias_fqdn与文件系统关联的 DNS 别名迁移 DNS 配置以使用 Amazon FSx。


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

使用以下示例脚本删除在上一步中返回的现有 HOST SPN。

替换为您在中alias_fqdn与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用 Amazon FSx。
file_system_DNS_name替换为原始文件系统的 DNS 名称。


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

对与中文件系统关联的每个 DNS 别名重复这些步骤迁移 DNS 配置以使用 Amazon FSx。

在亚马逊 FSx 文件系统的 Active Directory 计算机对象上设置 SPN

运行以下命令，为您的 Amazon FSx 文件系统设置新的 SPN。
- file_system_DNS_name替换为 Amazon FSx 分配给文件系统的 DNS 名称。
  
  要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，然后选择您的文件系统。选择文件系统详细信息页面的网络和安全窗格。您也可以在 DescribeFileSystemsAPI 操作的响应中获取 DNS 名称。
- 替换为您在中alias_fqdn与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用 Amazon FSx。
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
注意
如果原始文件系统的计算机对象的 AD 中存在 DNS 别名的 SPN，则为 Amazon FSx 文件系统设置 SPN 将失败。有关查找和删除现有 SPN 的信息，请参见在原始文件系统的 Active Directory 计算机对象上查找和删除现有 DNS 别名 SPN。
使用以下示例脚本验证是否已为 DNS 别名配置了新 SPN。确保响应包括两个 HOST SPNHOST/alias 和HOST/alias_fqdn。

file_system_DNS_name替换为 Amazon FSx 分配给您的文件系统的 DNS 名称。要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，选择您的文件系统，然后在文件系统详细信息页面上选择 “网络和安全” 窗格。

您也可以在 DescribeFileSystemsAPI 操作的响应中获取 DNS 名称。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
对与中文件系统关联的每个 DNS 别名重复上述步骤迁移 DNS 配置以使用 Amazon FSx。

注意

通过在 Active Directory 中设置以下组策略对象 (GPO)，可以使用 DNS 别名对连接到文件系统的客户端强制执行 Kerberos 身份验证和加密：

限制 NTLM：向远程服务器传出 NTLM 流量
限制 NTLM：为 NTLM 身份验证添加远程服务器例外情况

有关更多信息，请参阅演练 5：使用 DNS 别名访问文件系统使用 GPO 强制执行 Kerberos 身份验证中的内容。

更新 Amazon FSx 文件系统的 DNS 别名记录

为文件系统正确配置 SPN 后，您可以切换到 Amazon FSx，将解析为原始文件系统的每条 DNS 记录替换为解析为 Amazon FSx 文件系统默认 DNS 名称的 DNS 记录。

安装所需的 PowerShell cmdlet

以拥有 DNS 管理权限的群组（Managed Microsoft Active Directory 中的AmazonAmazon委托域名系统管理员）的用户身份登录到加入你的 Amazon FSx 文件系统的 Active Directory 的 Windows 实例，域管理员或您在自我管理的 Active Directory 中向其委托 DNS 管理权限的其他群组）

有关更多信息，请参阅适用于 Windows 实例的 Amazon EC2 用户指南中的连接您的 Windows 实例。
PowerShell 以管理员身份打开。
需要 PowerShell 使用 DNS 服务器模块来执行此过程中的指令。使用以下命令安装。
```
Install-WindowsFeature RSAT-DNS-Server
```

更新现有的 DNS 别名记录

以下脚本将任何现有 DNS CNAME 记录更新alias_fqdn到您的 Amazon FSx 文件系统的计算机对象。如果未找到，它将为 DNS 别名创建一个新的 DNS 别名记录alias_fqdn，该别名解析为 Amazon FSx 文件系统的默认 DNS 名称。

要运行脚本，请执行以下操作：
- 替换为alias_fqdn与文件系统关联的 DNS 别名。
- file_system_DNS_name替换为 Amazon FSx 分配给文件系统的默认 DNS 名称。
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
对与中文件系统关联的每个 DNS 别名重复上述步骤迁移 DNS 配置以使用 Amazon FSx。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

迁移 DNS 配置以使用 Amazon FSx

将 FSx for Windows File Server 与 Microsoft