使用 DNS 别名访问数据
FSx for Windows File Server 为每个文件系统提供了一个 DNS 名称,可以用于访问文件共享。您还可以通过为 FSx for Windows File Server 文件系统注册别名的方法,使用默认 DNS 名称之外的其他 DNS 名称访问文件共享。
使用 DNS 别名,您可以将 Windows 文件共享数据移至 FSx for Windows File Server,然后继续使用现有的 DNS 名称访问 Amazon FSx 上的数据。DNS 别名还允许您使用有意义的名称,从而更轻松地管理连接到 Amazon FSx 文件系统的工具和应用程序。每次最多可以将 50 个 DNS 别名与一个文件系统关联。有关将 DNS 别名与 FSx for Windows File Server 文件系统关联和取消关联的更多信息,请参阅 管理 DNS 别名。
要使用 DNS 别名配置对 FSx for Windows File Server 文件系统的访问权限,必须执行以下步骤:
为文件系统以及与其相关 DNS 别名创建 DNS CNAME 记录。
有关 FSx for Windows File Server 文件系统使用 DNS 别名的更多信息,请参阅 管理 DNS 别名。
Kerberos 身份验证和加密使用 DNS 别名
我们建议对 Amazon FSx 使用基于 Kerberos 的身份验证和传输中加密。Kerberos 能够为访问文件系统的客户端提供最安全的身份验证。要对使用 DNS 别名访问 Amazon FSx 的客户端启用 Kerberos 身份验证,必须在 Amazon FSx 文件系统的 Active Directory 计算机对象上添加与 DNS 别名对应的服务主体名称(SPN)。
要在使用 DNS 别名访问文件系统时设置 Kerberos 身份验证和加密,请参阅 为 Kerberos 配置服务主体名称 (SPN)。
您可以选择通过在 Active Directory 中设置以下组策略对象(GPO),强制使用 DNS 别名访问文件系统的客户端使用 Kerberos 身份验证和加密:
限制 NTLM:向远程服务器传出 NTLM 流量 – 使用此策略设置拒绝或审计从计算机到运行 Windows 操作系统的任何远程服务器的传出 NTLM 流量。
限制 NTLM:为 NTLM 身份验证添加远程服务器例外 – 如果配置了网络安全:限制 NTLM:向远程服务器传出 NTLM 流量策略设置,则使用此策略设置创建允许客户端设备使用 NTLM 身份验证的远程服务器例外列表。
要在使用 DNS 别名访问文件系统时强制执行 Kerberos 身份验证和加密,请参阅 使用组策略对象 (GPO) 强制执行 Kerberos 身份验证。