使用 Amazon FSxAmazon Directory Service for Microsoft Active Directory - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon FSxAmazon Directory Service for Microsoft Active Directory

Amazon Directory Service for Microsoft Active Directory(Amazon Managed Microsoft AD) 在云中提供完全托管、高度可用的实际 Active Directory (AD) 目录。您可以在工作负载部署中使用这些 AD 目录。

如果你的组织正在使用Amazon Managed Microsoft AD要管理身份和设备,我们建议您将 Amazon FSx 文件系统与Amazon Managed Microsoft AD. 通过这样做,你可以获得一个使用 Amazon FSx 的交钥匙解决方案Amazon Managed Microsoft AD.Amazon处理两项服务的部署、运营、高可用性、可靠性、安全性和无缝集成,使您能够专注于有效地运营自己的工作负载。

要将亚马逊 FSx 与您的Amazon Managed Microsoft AD设置后,您可以使用 Amazon FSx 控制台。在控制台中创建新 FSx for Windows File Server 文件系统时,选择Amazon托管广告Windows 身份验证部分。您还要选择要使用的特定目录。有关更多信息,请参阅 第 1 步:创建文件系统

您的组织可能会在自我管理的 Active Directory 域(本地或云中)上管理身份和设备。如果是这样,您可以将 Amazon FSx 文件系统直接加入到现有的自我管理的 AD 域。有关更多信息,请参阅 将 Amazon FSx 与您自主管理的 Microsoft Active Directory 结合使用

此外,您还可以将系统设置为从资源林隔离模型中受益。在此模型中,您可以将包括 Amazon FSx 文件系统在内的资源隔离到与用户所在的单独的 AD 林中。

重要

对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。

网络先决条

在创建 FSx for Windows File Server 文件系统之前,已加入AmazonMicrosoft 托管 AD 域,请确保您已创建并设置以下网络配置:

  • 适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统中。请确保在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。

    
       vFSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

    下表确定了每个端口的角色。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻型目录访问协议 (LDAP)

    UDP 123

    网络时间协议 (NTP)

    TCP 135

    分布式计算环境/端点映射器(DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

    TCP

    3268

    微软全球目录

    TCP

    3269

    SSL 上的微软全球目录

    TCP

    5985

    WinRM 2.0(微软视窗远程管理)

    TCP

    9389

    微软 AD DS Web 服务,PowerShell

    TCP

    49152 - 65535

    RPC 的临时端口

    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    注意

    如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSx 文件系统的动态端口 (49152-65535) 上的出站流量。

  • 如果您要将亚马逊 FSx 文件系统连接到Amazon在其他 VPC 或账户中管理 Microsoft AD,然后确保该 VPC 和要在其中创建文件系统的 Amazon VPC 之间的连接。有关更多信息,请参阅 使用 Amazon FSxAmazon Managed Microsoft AD在不同 VPC 或账户中

    重要

    虽然 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但 VPC 网络 ACL 要求端口在两个方向上打开。

使用亚马逊 FSx 网络验证工具以验证与 Active Directory 域控制器的连接。

使用资源林隔离模型

你将文件系统加入到Amazon Managed Microsoft AD设置。然后你建立单向森林信任关系Amazon Managed Microsoft AD您创建的域以及现有的自我管理 AD 域。对于 Amazon FSx 中的 Windows 身份验证,您只需要单向定向林信任,其中Amazon托管林信任公司域林。

您的公司域名扮演受信任域的角色,Amazon Directory Service托管域承担信任域的角色。经过验证的身份验证请求只能沿一个方向在域之间传输,允许公司域中的帐户根据托管域中共享的资源进行身份验证。在这种情况下,Amazon FSx 仅与托管域进行交互。然后,托管域将身份验证请求传递到您的公司域。

测试 Active Directory 配置

在创建 Amazon FSx 文件系统之前,我们建议您使用 Amazon FSx 网络验证工具验证与 Active Directory 域控制器的连接。有关更多信息,请参阅 验证与 Active Directory 域控制器的连接

以下相关资源在您使用的过程中会有所帮助:Amazon Directory Service for Microsoft Active Directory对于 Windows File Server,请执行以下操作: