将 Amazon FSx 与 AWS Directory Service for Microsoft Active Directory(企业版) 结合使用 - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

将 Amazon FSx 与 AWS Directory Service for Microsoft Active Directory(企业版) 结合使用

AWS Directory Service for Microsoft Active Directory(企业版) (人AWS Managed Microsoft AD)在云中提供完全管理的高可用性实际ActiveDirectory(AD)目录。您可以在工作负载部署中使用这些AD目录。

如果您的组织正在使用 AWS Managed Microsoft AD 以管理身份和设备,我们建议您将 Amazon FSx 文件系统 AWS Managed Microsoft AD. 这样做,您便可以使用 Amazon FSx 配 AWS Managed Microsoft AD. AWS处理两种服务的部署、操作、高可用性、可靠性、安全性和无缝集成,使您能够专注于有效运行自己的工作负载。

使用 Amazon FSx 您的 AWS Managed Microsoft AD 设定,您可以使用 Amazon FSx 控制台。当您创建新的 Amazon FSx for Windows File Server 控制台中的文件系统,请选择 AWS管理的ADWindows身份验证 第节。您还可以选择要使用的特定目录。有关更多信息,请参阅第1步: 创建您的文件系统

您的组织可能会在自管理的ActiveDirectory域(本地或云中)上管理身份和设备。如果是,您可以加入您的 Amazon FSx 文件系统直接连接到您现有的自我管理AD域。有关更多信息,请参阅使用 Amazon FSx 与您的自我管理 Microsoft Active Directory

此外,您还可以设置您的系统,以从资源森林隔离模型受益。在此模型中,您可以隔离资源,包括您的 Amazon FSx 文件系统,将添加到与您的用户所在的AD林中。

重要

对于Single-AZ2和所有Multi-AZ文件系统,ActiveDirectory域名不能超过47个字符。

联网前提条件

在创建 Amazon FSx for Windows File Server 文件系统已加入AWSMicrosoftManagedAD域,请确保您已创建并设置以下网络配置:

  • 对于 VPC安全组,默认授权组 Amazon VPC 已添加到控制台中的文件系统。请确保在创建FSx文件系统的子网的安全组和VPC网络ACL允许端口上的流量以及下图所示的方向。

    
       Amazon FSx for Windows File Server 正在创建文件系统的子网的VPC安全组和网络ACL的端口配置要求。

    下表列出了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻型目录访问协议(LDAP)

    UDP 123

    网络时间协议(NTP)

    TCP 135

    分布式计算环境/端点映射器(DCE/EPMAP)

    TCP

    445

    目录服务SMB文件共享

    TCP

    636

    目录服务SMB文件共享

    TCP

    3268

    Microsoft全球目录

    TCP

    3269

    通过SSL的MicrosoftGlobalCatalog

    TCP

    5985年

    WinRM2.0(MicrosoftWindows远程管理)

    TCP

    9389

    MicrosoftADDSWeb服务,PowerShell

    TCP

    49152 - 65535

    用于RPC的临时端口

    重要

    对于单AZ2和所有多AZ文件系统部署,需要在TCP端口9389上允许出站流量。

    注意

    如果您正在使用VPC网络ACL,则还必须允许来自FSx文件系统的动态端口(49152-65535)上的出站流量。

  • 如果您连接了您的 Amazon FSx 文件系统到AWSManagedMicrosoftAD中的其他VPC或帐户,然后确保该VPC与要创建文件系统的AmazonVPC之间的连接。有关更多信息,请参阅使用 Amazon FSx 配 AWS Managed Microsoft AD 在不同的VPC或账户中

    重要

    而 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,VPC网络ACL要求在双向打开端口。

使用 Amazon FSx 网络验证工具 验证与ActiveDirectory域控制器的连接。

使用资源森林隔离模型

将文件系统加入 AWS Managed Microsoft AD 设置。然后,您便在 AWS Managed Microsoft AD 和您现有的自我管理AD域。对于中的Windows身份验证 Amazon FSx,您只需要单向方向林信任,AWS管理的林信任公司域林。

您的公司域扮演着可信域的角色, AWS Directory Service 托管域扮演信任域的角色。验证的认证请求仅在一个方向上在域之间行进—允许企业域中的帐户对照托管域中共享的资源进行身份验证。在这种情况下 Amazon FSx 仅与托管域交互。然后,托管域会将身份验证请求传递给您的公司域。

测试您的ActiveDirectory配置

在创建 Amazon FSx 文件系统,我们建议您使用 Amazon FSx 网络验证工具。有关更多信息,请参阅验证与ActiveDirectory域控制器的连接

以下相关资源可以帮助您使用 AWS Directory Service for Microsoft Active Directory(企业版) 配 Amazon FSx for Windows File Server: