使用 Amazon FSxAmazon Directory Service for Microsoft Active Directory - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon FSxAmazon Directory Service for Microsoft Active Directory

Amazon Directory Service for Microsoft Active Directory(Amazon Managed Microsoft AD)在云中提供完全托管的高可用性实际活动目录 (AD) 目录。您可以在工作负载部署中使用这些 AD 目录。

如果您的组织使用Amazon Managed Microsoft AD管理身份和设备,我们建议您将 Amazon FSX 文件系统与Amazon Managed Microsoft AD。通过这样做,您将获得一个交钥匙解决方案,使用 Amazon FSXAmazon Managed Microsoft AD。Amazon处理这两种服务的部署、操作、高可用性、可靠性、安全性和无缝集成,使您能够专注于有效运行自己的工作负载。

要将亚马逊 FSX 与您的Amazon Managed Microsoft AD设置,您可以使用亚马逊 FSX 控制台。在控制台中创建 Amazon FSx to Windows File Server 文件系统时,请选择Amazon托管 ADWindows 身份验证部分。您还可以选择要使用的特定目录。有关更多信息,请参阅 第 1 步:创建您的文件系统

您的组织可能会在自我管理的 Active Directory 域(本地或云中)上管理身份和设备。如果是这样,您可以将 Amazon FSX 文件系统直接加入到现有的自我管理的 AD 域。有关更多信息,请参阅 结合使用 Amazon FSx 与自行管理的 Microsoft Active Directory

此外,您还可以设置系统,以便从资源林隔离模型中受益。在此模型中,您可以将资源(包括 Amazon FSX 文件系统)隔离到与用户所在的单独的 AD 林中。

重要

对于单可用区 2 和所有多可用区文件系统,活动目录域名不能超过 47 个字符。

网络先决条件

创建 Amazon FSx for Windows File Server 系统之前,它加入AmazonMicrosoft 托管 AD 域中,请确保您已创建并设置以下网络配置:

  • 适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中您的文件系统。请确保您正在创建 FSX 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上的流量以及下图所示方向上的流量。

    
       Amazon FSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

    下表列出了每个端口的角色。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/建置密码

    TCP/UDP

    389

    轻量目录访问协议 (LDAP)

    UDP 123

    网络时间协议 (NTP)

    TCP 135

    分布式计算环境/端点映射器 (DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

    TCP

    3268

    Microsoft 全球目录

    TCP

    3269

    微软全局编录通过 SSL

    TCP

    5985

    WinRM 2.0(微软视窗远程管理)

    TCP

    9389

    微软广告 DS 网络服务

    TCP

    49152 - 65535

    RPC 的临时端口

    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    注意

    如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSX 文件系统的动态端口 (49152-65535) 上的出站流量。

  • 如果您要将 Amazon FSX 文件系统连接到Amazon在不同的 VPC 或账户中管理 Microsoft AD,然后确保该 VPC 与要创建文件系统的 Amazon VPC 之间的连接。有关更多信息,请参阅 使用 Amazon FSxAmazon Managed Microsoft AD在不同 VPC 或账户中

    重要

    虽然 Amazon VPC 安全组要求端口仅在启动网络流量的方向打开,但 VPC 网络 ACL 要求端口在两个方向上打开。

使用亚马逊 FSX 网络验证工具验证与 Active Directory 域控制器的连接。

使用资源林隔离模型

将您的文件系统加入到Amazon Managed Microsoft AD设置。然后,建立一个单向林信任关系,Amazon Managed Microsoft AD域和现有的自我管理 AD 域。对于 Amazon FSX 中的 Windows 身份验证,您只需要单向定向林信任,其中Amazon托管林信任公司域林。

您的公司域担任受信任域的角色,Amazon Directory Service托管域担任信任域的角色。验证的身份验证请求只能以一个方向在域之间传输 — 允许公司域中的帐户根据受管域中共享的资源进行身份验证。在这种情况下,Amazon FSx 仅与托管域进行交互。然后,受管域将身份验证请求传递到您的公司域。

测试 Active Directory 配置

在创建 Amazon FSX 文件系统之前,我们建议您使用 Amazon FSX 网络验证工具验证到 Active Directory 域控制器的连接。有关更多信息,请参阅 验证 Active Directory 域控制器的连接

下列相关资源在您使用Amazon Directory Service for Microsoft Active Directory与 Amazon FSx for Windows File Server: