本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon FSxAmazon Directory Service for Microsoft Active Directory
Amazon Directory Service for Microsoft Active Directory(Amazon Managed Microsoft AD) 在云中提供完全托管、高度可用的实际 Active Directory (AD) 目录。您可以在工作负载部署中使用这些 AD 目录。
如果你的组织正在使用Amazon Managed Microsoft AD要管理身份和设备,我们建议您将 Amazon FSx 文件系统与Amazon Managed Microsoft AD. 通过这样做,你可以获得一个使用 Amazon FSx 的交钥匙解决方案Amazon Managed Microsoft AD.Amazon处理两项服务的部署、运营、高可用性、可靠性、安全性和无缝集成,使您能够专注于有效地运营自己的工作负载。
要将亚马逊 FSx 与您的Amazon Managed Microsoft AD设置后,您可以使用 Amazon FSx 控制台。在控制台中创建新 FSx for Windows File Server 文件系统时,选择Amazon托管广告在Windows 身份验证部分。您还可以选择要使用的特定目录。有关更多信息,请参阅 第 1 步:创建文件系统。
您的组织可能会在自我管理的 Active Directory 域(本地或云中)上管理身份和设备。如果是这样,您可以将 Amazon FSx 文件系统直接加入到现有的自我管理的 AD 域。有关更多信息,请参阅 将 Amazon FSx 与自主管理的 Microsoft Active Directory 结合使用。
此外,您还可以将系统设置为从资源林隔离模型中受益。在此模型中,您可以将包括 Amazon FSx 文件系统在内的资源隔离到与用户所在的单独的 AD 林中。
对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。
先决条件
在创建 FSx for Windows File Server 文件系统之前,已加入Amazon请确保已创建并设置以下网络配置:
-
适用于VPC 安全组,您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。
下表确定了每个端口的角色。
协议
端口
角色
TCP/UDP
53
域名系统 (DNS)
TCP/UDP
88
Kerberos 身份验证
TCP/UDP
464
更改/设置密码
TCP/UDP
389
轻型目录访问协议 (LDAP)
UDP 123 网络时间协议 (NTP)
TCP 135 分布式计算环境/端点映射器(DCE/EPMAP)
TCP
445
目录服务 SMB 文件共享
TCP
636
基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)
TCP
3268
微软全球目录
TCP
3269
SSL 上的微软全球目录
TCP
5985
WinRM 2.0(微软视窗远程管理)
TCP
9389
微软 AD DS Web 服务,PowerShell
TCP
49152 - 65535
RPC 的临时端口
重要 单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。
注意 如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSx 文件系统的动态端口 (49152-65535) 上的出站流量。
-
如果您要将亚马逊 FSx 文件系统连接到Amazon在其他 VPC 或账户中管理 Microsoft AD,然后确保该 VPC 和要在其中创建文件系统的 Amazon VPC 之间的连接。有关更多信息,请参阅 使用 Amazon FSxAmazon Managed Microsoft AD在不同 VPC 或账户中。
重要 虽然 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但 VPC 网络 ACL 要求端口在两个方向上打开。
使用亚马逊 FSx 网络验证工具以验证与 Active Directory 域控制器的连接。
使用资源林隔离模型
你将文件系统加入到Amazon Managed Microsoft AD设置。然后你建立单向森林信任关系Amazon Managed Microsoft AD您创建的域以及现有的自我管理 AD 域。对于 Amazon FSx 中的 Windows 身份验证,您只需要单向定向林信任,其中Amazon托管林信任公司域林。
您的公司域名扮演受信任域的角色,Amazon Directory Service托管域承担信任域的角色。经过验证的身份验证请求只能沿一个方向在域之间传输,允许公司域中的帐户根据托管域中共享的资源进行身份验证。在这种情况下,Amazon FSx 仅与托管域进行交互。然后,托管域将身份验证请求传递到您的公司域。
测试 Active Directory 配置
在创建 Amazon FSx 文件系统之前,我们建议您使用 Amazon FSx 网络验证工具验证与 Active Directory 域控制器的连接。有关更多信息,请参阅 验证与 Active Directory 域控制器的连接。
下列相关资源在您使用的过程中会有所帮助:Amazon Directory Service for Microsoft Active Directory针对 Windows File Server 使用 FSx:
-
什么是AmazonDirectory Service中的Amazon Directory Service管理指南
-
创建您的Amazon托管 AD 目录中的Amazon Directory Service管理指南
-
何时创建信任关系中的Amazon Directory Service管理指南