将 Amazon FSx 与 Amazon Directory Service for Microsoft Active Directory - FSx 适用于 Windows 文件服务器的亚马逊
联网先决条件使用资源林隔离模型测试 Active Directory 配置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSx 与 Amazon Directory Service for Microsoft Active Directory

Amazon Directory Service for Microsoft Active Directory (Amazon Managed Microsoft AD) 在云中提供完全托管、高度可用的实际 Active Directory 目录。您可以在工作负载部署中使用这些 Active Directory 目录。

如果您的组织使用 Amazon Managed Microsoft AD 管理身份和设备,我们建议您将您的 Amazon FSx 文件系统与集成 Amazon Managed Microsoft AD。通过这样做,您将获得使用Amazon FSx 的交钥匙解决方案 Amazon Managed Microsoft AD。 Amazon 处理这两项服务的部署、操作、高可用性、可靠性、安全性和无缝集成,使您能够专注于有效地操作自己的工作负载。

要在您的 Amazon Managed Microsoft AD 设置中 FSx 使用亚马逊,您可以使用亚马逊 FSx 控制台。在控制台中 FSx 为 Windows 文件服务器创建新的文件系统时,请在 “Windows 身份验证” 部分下选择 “Amazon 托管活动目录”。您还可以选择要使用的特定目录。有关更多信息,请参阅 第 5 步。创建文件系统

您的组织可能会在自行管理的 Active Directory 域(本地或云端)上管理身份和设备。如果是,您可以将您的 Amazon FSx 文件系统直接加入到现有的自行管理的 Active Directory 域中。有关更多信息,请参阅 使用自行管理的 Microsoft Active Directory

此外,您还可以将系统设置为从资源林隔离模型获益。在此模型中,您将资源(包括您的 Amazon FSx 文件系统)隔离到与用户所在林分开的 Active Directory 林中。

重要

对于单可用区 2 和所有多可用区文件系统,Active Directory 完全限定域名 (FQDN) 不能超过 47 个字符。

联网先决条件

在创建加入 Amazon Microsoft 托管 Active Directory 域的 Windows 文件服务器文件系统之前,请确保已创建并设置了以下网络配置: FSx

  • 对于 VPC 安全组,用于您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保您创建 FSx 文件系统的子网的安全组和 VPC 网络 ACLs 允许以下图所示的端口和方向上的流量。

    FSx 适用于 Windows 文件服务器对 VPC 安全组和创建文件系统的子网的网络 ACLs 的端口配置要求。

    下表确定了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统(DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻型目录访问协议(LDAP)
    UDP 123

    网络时间协议(NTP)
    TCP 135

    分布式计算环境/端点映射器(DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻型目录访问协议(LDAPS)

    TCP

    3268

    Microsoft 全局目录

    TCP

    3269

    基于 SSL 的 Microsoft 全局目录

    TCP

    5985

    WinRM 2.0(Microsoft Windows 远程管理)

    TCP

    9389

    微软 AD DS 网络服务, PowerShell

    TCP

    49152 - 65535

    RPC 的临时端口
    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    注意

    如果您使用的是 VPC 网络 ACLs,则还必须允许来自文件系统的动态端口 (49152-65535) 上的出站流量。 FSx

  • 如果您要将您的亚马逊 FSx 文件系统连接到其他 VPC 或账户中的 Amazon 托管 Microsoft Active Directory,请确保该 VPC 与您要在其中创建文件系统的亚马逊 VPC 之间的连接。有关更多信息,请参阅 在不同的 VPC 或账户 Amazon Managed Microsoft AD 中使用亚马逊 FSx

    重要

    虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口,但 VPC 网络 ACLs 要求双向开放端口。

使用 Amazon FSx 网络验证工具验证与您的 Active Directory 域控制器的连接。

使用资源林隔离模型

将文件系统加入到 Amazon Managed Microsoft AD 设置。然后,您可以在您创建的 Amazon Managed Microsoft AD 域和现有的自行管理的 Active Directory 域之间建立单向林信任关系。对于 Amazon 中的 Windows 身份验证 FSx,您只需要单向林信任,即 Amazon 托管林信任公司域林。

您的公司域扮演可信域的角色,而 Amazon Directory Service 托管域则扮演信任域的角色。经过验证的身份验证请求只能在域之间单向传输,即允许企业域中的账户根据托管的域中共享的资源进行身份验证。在这种情况下,Amazon 仅与 Amazon 托管域进行 FSx 交互。在 Kerberos 身份验证场景中,来自公司客户端的身份验证请求由公司域进行验证,然后公司域将其引用到 Amazon Managed Microsoft AD,最终客户端会将其服务票证提交给您 FSx 的 Windows File Server 文件系统。有关信托的更多信息,请参阅 Sec Amazon urity Blog 上的 “你想知道的关于 Amazon Managed Microsoft AD信托的一切” 一文。

测试 Active Directory 配置

在创建您的亚马逊 FSx 文件系统之前,我们建议您使用亚马逊 FSx 网络验证工具验证与 Active Directory 域控制器的连接。有关更多信息,请参阅 验证与 Active Directory 域控制器的连接

在使用 Amazon Directory Service for Microsoft Active Directory Windows 文件服务器时,以下相关资源可以为您提供帮助: FSx