割接到 Amazon FSx - Amazon FSx for Windows File Server
准备割接到 Amazon FSx为 Kerberos 身份验证配置 SPN更新 Amazon FSx 文件系统的 DNS CNAME 记录
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

割接到 Amazon FSx

要割接到 FSx for Windows File Server 文件系统,请执行以下步骤:

  • 准备割接。

    • 暂时断开 SMB 客户端与原始文件系统的连接。

    • 执行最终的文件和文件共享配置同步。

  • 为您的 Amazon FSx 文件系统配置服务主体名称(SPN)。

  • 更新 DNS CNAME 记录以指向您的 Amazon FSx 文件系统。

以下各部分介绍了执行每个步骤的过程。

准备割接到 Amazon FSx

要为割接到 Amazon FSx 文件系统做准备,必须执行以下操作:

为 Kerberos 身份验证配置 SPN

我们建议对 Amazon FSx 使用基于 Kerberos 的身份验证和传输中加密。Kerberos 能够为访问文件系统的客户端提供最安全的身份验证。要对使用 DNS 别名访问 Amazon FSx 的客户端启用 Kerberos 身份验证,必须在 Amazon FSx 文件系统的 Active Directory 计算机对象上添加与 DNS 别名对应的服务主体名称(SPN)。

Kerberos 身份验证需要两个 SPN。

HOST/alias
HOST/alias.domain

例如,如果别名是 finance.domain.com,则两个必需的 SPN 如下。

HOST/finance
HOST/finance.domain.com

一个 SPN 一次只能与一个 Active Directory 计算机对象关联。如果为原始文件系统的 Active Directory 计算机对象配置的 DNS 名称具有现有 SPN,则在为 Amazon FSx 文件系统创建 SPN 之前,必须先将其删除。

以下过程介绍了如何查找任何现有 SPN、将其删除以及为 Amazon FSx 文件系统的 Active Directory 计算机对象创建新的 SPN。

安装所需的 PowerShell 活动目录模块

  1. 登录已加入您的 Amazon FSx 文件系统所加入的 Active Directory 的 Windows 实例。

  2. PowerShell 以管理员身份打开。

  3. 使用以下命令安装 Act PowerShell ive Directory 模块。

    Install-WindowsFeature RSAT-AD-PowerShell
查找并删除原始文件系统 Active Directory 计算机对象上的现有 DNS 别名 SPN

  1. 使用以下命令查找所有现有 SPN。将 alias_fqdn 替换为在 迁移 DNS 配置以使用 Amazon FSx 中与文件系统关联的 DNS 别名。

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. 使用以下示例脚本,删除上一步中返回的现有 HOST SPN。

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. 对在 迁移 DNS 配置以使用 Amazon FSx 中与文件系统关联的每个 DNS 别名重复这些步骤。

为 Amazon FSx 文件系统的 Active Directory 计算机对象设置 SPN

  1. 运行以下命令,为 Amazon FSx 文件系统设置新的 SPN。

    • file_system_DNS_name 替换为 Amazon FSx 分配给文件系统的 DNS 名称。

      要在 Amazon FSx 控制台上查找文件系统的 DNS 名称,请选择文件系统,然后选择您的文件系统。选择文件系统详细信息页面中的网络与安全窗格。您还可以在DescribeFile系统 API 操作的响应中获取 DNS 名称。

    • alias_fqdn 替换为在 迁移 DNS 配置以使用 Amazon FSx 中与文件系统关联的完整 DNS 别名。

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    注意

    如果原始文件系统的 AD 计算机对象中存在 DNS 别名的 SPN,则为 Amazon FSx 文件系统设置 SPN 将失败。有关查找并删除现有 SPN 的信息,请参阅查找并删除原始文件系统 Active Directory 计算机对象上的现有 DNS 别名 SPN

  2. 使用以下示例脚本验证是否为 DNS 别名配置了新 SPN。确保响应包括两个 HOST SPN:HOST/aliasHOST/alias_fqdn

    file_system_DNS_name 替换为 Amazon FSx 分配给文件系统的 DNS 名称。要在 Amazon FSx 控制台上查找文件系统的 DNS 名称,请选择文件系统,选择您的文件系统,然后选择文件系统详细页面上的网络与安全窗格。

    您还可以在DescribeFile系统 API 操作的响应中获取 DNS 名称。

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. 对在 迁移 DNS 配置以使用 Amazon FSx 中与文件系统关联的每个 DNS 别名重复上述步骤。

注意

可以通过在 Active Directory 中设置以下组策略对象(GPO),强制对使用 DNS 别名连接到文件系统的客户端执行 Kerberos 身份验证和传输中加密:

  • 限制 NTLM:远程服务器的传出 NTLM 流量

  • 限制 NTLM:为 NTLM 身份验证添加远程服务器例外

有关更多信息,请参阅“演练 5:使用 DNS 别名访问文件系统”中的使用 GPO 强制执行 Kerberos 身份验证

更新 Amazon FSx 文件系统的 DNS CNAME 记录

为文件系统正确配置 SPN 后,可以通过以下方式割接到 Amazon FSx:将解析为原始文件系统的每个 DNS 记录替换为解析为 Amazon FSx 文件系统默认 DNS 名称的 DNS 记录。

安装所需的 PowerShell cmdlet

  1. 作为拥有 DNS 管理权限的群组(Amazon 托管Amazon Microsoft 活动目录中的委托域名系统管理员,以及您自行管理的 Active Directory 中已向其委派 DNS 管理权限的域管理员或其他群组)的用户登录加入您的 Amazon F S x 文件系统所加入的 Amazon FSx 文件系统的 Windows 实例

    有关更多信息,请参阅 Amazon EC2 用户指南中的连接到您的 Windows 实例

  2. PowerShell 以管理员身份打开。

  3. 需要 PowerShell 使用 DNS 服务器模块来执行此过程中的指令。使用以下命令安装该模块。

    Install-WindowsFeature RSAT-DNS-Server
更新现有的 DNS CNAME 记录

  1. 以下脚本将 alias_fqdn 的所有现有 DNS CNAME 记录更新到 Amazon FSx 文件系统的计算机对象。如果未找到任何记录,将为 DNS 别名 alias_fqdn 创建一个新的 DNS CNAME 记录,该记录将解析为 Amazon FSx 文件系统的默认 DNS 名称。

    要运行脚本,请执行以下操作:

    • alias_fqdn 替换为与文件系统关联的 DNS 别名。

    • file_system_DNS_name 替换为 Amazon FSx 分配给文件系统的默认 DNS 名称。

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. 对在 迁移 DNS 配置以使用 Amazon FSx 中与文件系统关联的每个 DNS 别名重复上述步骤。