准备向亚马逊 FSX 转换为 Kerberos 身份验证配置 SPN 更新亚马逊 FSX 文件系统的 DNS 别名记录

切换到亚马逊 FSX

要切换到 Amazon FSx for Windows File Server 系统，您需要执行以下步骤：

准备削减了。
- 临时断开 SMB 客户端与原始文件系统的连接。
- 执行最终文件和文件共享配置同步。
为您的 Amazon FSX 文件系统配置服务主体名称 (SPN)。
更新 DNS 别名记录以指向您的 Amazon FSX 文件系统。

以下部分介绍了执行这些步骤的过程。

主题

准备向亚马逊 FSX 转换
为 Kerberos 身份验证配置 SPN
更新亚马逊 FSX 文件系统的 DNS 别名记录

准备向亚马逊 FSX 转换

要准备将过渡到 Amazon FSx 文件系统，您必须执行以下操作：

断开所有写入原始文件系统的客户端的连接。
执行最终文件同步使用Amazon DataSync或自动拷贝。有关更多信息，请参阅将现有文件存储迁移到 Amazon FSx for Windows File Server。
执行最终文件共享配置同步。有关更多信息，请参阅将文件共享配置迁移到 Amazon FSX。

为 Kerberos 身份验证配置 SPN

我们建议您在通过 Amazon FSX 传输过程中使用基于 Kerberos 的身份验证和加密。Kerberos 为访问您的文件系统的客户端提供最安全的身份验证。要为使用 DNS 别名访问 Amazon FSX 的客户端启用 Kerberos 身份验证，您必须在 Amazon FSX 文件系统的活动目录计算机对象上添加与 DNS 别名相对应的服务主体名称 (SPN)。

Kerberos 身份验证需要两个 SPN。


HOST/alias
HOST/alias.domain

作为一个例子，如果别名是finance.domain.com，所需的两个 SPN 如下所示。


HOST/finance
HOST/finance.domain.com

一个 SPN 一次只能与一个 Active Directory 计算机对象关联。如果存在为原始文件系统的 Active Directory 计算机对象配置的 DNS 名称的现有 SPN，则必须在为 Amazon FSX 文件系统创建 SPN 之前将其删除。

以下过程介绍如何查找任何现有的 SPN、删除它们以及如何为 Amazon FSX 文件系统的活动目录计算机对象创建新的 SPN。

安装所需的 PowerShell 活动目录模块

登录到加入到 Amazon FSX 文件系统所加入的活动目录的 Windows 实例。
以管理员身份打开 PowerShell。
使用以下命令安装 PowerShell Active Directory 模块。
```
Install-WindowsFeature RSAT-AD-PowerShell
```

查找和删除原始文件系统的活动目录计算机对象上的现有 DNS 别名 SPN

使用以下命令查找任何现有的 SPN。Replacealias_fqdn与文件系统关联的 DNS 别名迁移 DNS 配置以使用亚马逊 FSX。


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

使用以下示例脚本删除上一步中返回的现有主机 SPN。

Replacealias_fqdn与您与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用亚马逊 FSX。
Replacefile_system_DNS_name替换为原始文件系统的 DNS 名称。


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

对于与文件系统关联的每个 DNS 别名，重复这些步骤迁移 DNS 配置以使用亚马逊 FSX。

在亚马逊 FSX 文件系统的活动目录计算机对象上设置 SPN

通过运行以下命令为您的 Amazon FSX 文件系统设置新的 SPN。
- Replacefile_system_DNS_name替换为 Amazon FSX 分配给文件系统的 DNS 名称。
  
  要在 Amazon FSX 控制台上查找文件系统的 DNS 名称，请选择文件系统，然后选择您的文件系统。选择网络 & 安全窗格中的文件系统详细信息页面。您还可以在DescribeFileSystemsAPI 操作。
- Replacealias_fqdn与您与文件系统关联的完整 DNS 别名迁移 DNS 配置以使用亚马逊 FSX。
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
注意

如果原始文件系统计算机对象的 AD 中存在 DNS 别名的 SPN，则为 Amazon FSX 文件系统设置 SPN 将失败。有关查找和删除现有 SPN 的信息，请参阅查找和删除原始文件系统的活动目录计算机对象上的现有 DNS 别名 SPN。
使用以下示例脚本验证是否为 DNS 别名配置了新的 SPN。确保响应包括两个主机 SPN，HOST/alias和HOST/alias_fqdn。

Replacefile_system_DNS_name替换为 Amazon FSX 分配给您的文件系统的 DNS 名称。要在 Amazon FSX 控制台上查找文件系统的 DNS 名称，请选择文件系统，选择您的文件系统，然后选择网络 & 安全窗格中的文件系统详细信息页面。

您还可以在DescribeFileSystemsAPI 操作。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FSxDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
对与文件系统关联的每个 DNS 别名重复上述步骤迁移 DNS 配置以使用亚马逊 FSX。

注意

通过在活动目录中设置以下组策略对象 (GPO)，您可以通过使用 DNS 别名连接到文件系统的客户端在传输过程中强制执行 Kerberos 身份验证和加密：

限制 NTLM: 传出 NTLM 流量到远程服务器
限制 NTLM: 为 NTLM 身份验证添加远程服务器例外

有关更多信息，请参阅。使用 GPO 强制执行 Kerberos 身份验证在演练 5：使用 DNS 别名访问您的文件系统。

更新亚马逊 FSX 文件系统的 DNS 别名记录

为文件系统正确配置 SPN 后，您可以切换到 Amazon FSX，方法是将解析为 Amazon FSX 文件系统默认 DNS 名称的 DNS 记录替换为解析为原始文件系统的每个 DNS 记录。

安装所需的 PowerShell 命令管理器命令

登录到加入到活动目录的 Windows 实例，您的 Amazon FSX 文件系统作为具有 DNS 管理权限的组成员加入该活动目录（Amazon域名系统委托管理员在Amazon托管 Microsoft Active DirectoryDomain Admins或您在自我管理的活动目录中委派 DNS 管理权限的其他组）

有关更多信息，请参阅。连接到您的 Windows 实例中的适用于 Windows 实例的 Amazon EC2 用户指南。
以管理员身份打开 PowerShell。
要执行此过程中的说明，需要使用 PowerShell DNS 服务器模块。使用以下命令安装它。
```
Install-WindowsFeature RSAT-DNS-Server
```

更新现有 DNS 别名记录

以下脚本更新任何现有 DNS 别名记录alias_fqdn添加到您的 Amazon FSX 文件系统的计算机对象。如果没有找到，它会为 DNS 别名创建一个新的 DNS 别名记录alias_fqdn，它将解析为 Amazon FSX 文件系统的默认 DNS 名称。

要运行脚本，请执行以下操作：
- Replacealias_fqdn与您与文件系统关联的 DNS 别名一起。
- Replacefile_system_DNS_name使用 Amazon FSX 已分配给文件系统的默认 DNS 名称。
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
对与文件系统关联的每个 DNS 别名重复上一步骤迁移 DNS 配置以使用亚马逊 FSX。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

迁移 DNS 配置以使用亚马逊 FSX

Microsoft SQL Server 使用 Amazon FSx to Windows File Server