如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
将 Amazon FSx 与 AWS Directory Service for Microsoft Active Directory(企业版) 结合使用
AWS Directory Service for Microsoft Active Directory(企业版) (人AWS Managed Microsoft AD)在云中提供完全管理的高可用性实际ActiveDirectory(AD)目录。您可以在工作负载部署中使用这些AD目录。
如果您的组织正在使用 AWS Managed Microsoft AD 以管理身份和设备,我们建议您将 Amazon FSx 文件系统 AWS Managed Microsoft AD. 这样做,您便可以使用 Amazon FSx 配 AWS Managed Microsoft AD. AWS处理两种服务的部署、操作、高可用性、可靠性、安全性和无缝集成,使您能够专注于有效运行自己的工作负载。
使用 Amazon FSx 您的 AWS Managed Microsoft AD 设定,您可以使用 Amazon FSx 控制台。当您创建新的 Amazon FSx for Windows File Server 控制台中的文件系统,请选择 AWS管理的AD 在 Windows身份验证 第节。您还可以选择要使用的特定目录。有关更多信息,请参阅第1步: 创建您的文件系统。
您的组织可能会在自管理的ActiveDirectory域(本地或云中)上管理身份和设备。如果是,您可以加入您的 Amazon FSx 文件系统直接连接到您现有的自我管理AD域。有关更多信息,请参阅使用 Amazon FSx 与您的自我管理 Microsoft Active Directory。
此外,您还可以设置您的系统,以从资源森林隔离模型受益。在此模型中,您可以隔离资源,包括您的 Amazon FSx 文件系统,将添加到与您的用户所在的AD林中。
对于Single-AZ2和所有Multi-AZ文件系统,ActiveDirectory域名不能超过47个字符。
联网前提条件
在创建 Amazon FSx for Windows File Server 文件系统已加入AWSMicrosoftManagedAD域,请确保您已创建并设置以下网络配置:
-
对于 VPC安全组,默认授权组 Amazon VPC 已添加到控制台中的文件系统。请确保在创建FSx文件系统的子网的安全组和VPC网络ACL允许端口上的流量以及下图所示的方向。
下表列出了每个端口的作用。
协议
端口
角色
TCP/UDP
53
域名系统 (DNS)
TCP/UDP
88
Kerberos 身份验证
TCP/UDP
464
更改/设置密码
TCP/UDP
389
轻型目录访问协议(LDAP)
UDP 123 网络时间协议(NTP)
TCP 135 分布式计算环境/端点映射器(DCE/EPMAP)
TCP
445
目录服务SMB文件共享
TCP
636
目录服务SMB文件共享
TCP
3268
Microsoft全球目录
TCP
3269
通过SSL的MicrosoftGlobalCatalog
TCP
5985年
WinRM2.0(MicrosoftWindows远程管理)
TCP
9389
MicrosoftADDSWeb服务,PowerShell
TCP
49152 - 65535
用于RPC的临时端口
重要 对于单AZ2和所有多AZ文件系统部署,需要在TCP端口9389上允许出站流量。
注意 如果您正在使用VPC网络ACL,则还必须允许来自FSx文件系统的动态端口(49152-65535)上的出站流量。
-
如果您连接了您的 Amazon FSx 文件系统到AWSManagedMicrosoftAD中的其他VPC或帐户,然后确保该VPC与要创建文件系统的AmazonVPC之间的连接。有关更多信息,请参阅使用 Amazon FSx 配 AWS Managed Microsoft AD 在不同的VPC或账户中。
重要 而 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,VPC网络ACL要求在双向打开端口。
使用 Amazon FSx 网络验证工具 验证与ActiveDirectory域控制器的连接。
使用资源森林隔离模型
将文件系统加入 AWS Managed Microsoft AD 设置。然后,您便在 AWS Managed Microsoft AD 和您现有的自我管理AD域。对于中的Windows身份验证 Amazon FSx,您只需要单向方向林信任,AWS管理的林信任公司域林。
您的公司域扮演着可信域的角色, AWS Directory Service 托管域扮演信任域的角色。验证的认证请求仅在一个方向上在域之间行进—允许企业域中的帐户对照托管域中共享的资源进行身份验证。在这种情况下 Amazon FSx 仅与托管域交互。然后,托管域会将身份验证请求传递给您的公司域。
测试您的ActiveDirectory配置
在创建 Amazon FSx 文件系统,我们建议您使用 Amazon FSx 网络验证工具。有关更多信息,请参阅验证与ActiveDirectory域控制器的连接。
以下相关资源可以帮助您使用 AWS Directory Service for Microsoft Active Directory(企业版) 配 Amazon FSx for Windows File Server:
-
什么是AWS目录服务 在 AWS Directory Service Administration Guide
-
创建AWSManagedAD目录 在 AWS Directory Service Administration Guide
-
何时创建信任关系 在 AWS Directory Service Administration Guide