将 Amazon FSx 与 Amazon Directory Service for Microsoft Active Directory - Amazon FSx for Windows File Server
联网先决条件使用资源林隔离模型测试 Active Directory 配置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSx 与 Amazon Directory Service for Microsoft Active Directory

Amazon Directory Service for Microsoft Active Directory (Amazon Managed Microsoft AD) 在云中提供完全托管、高度可用的实际 Active Directory 目录。您可以在工作负载部署中使用这些 Active Directory 目录。

如果您的组织使用 Amazon Managed Microsoft AD 管理身份和设备,我们建议您将您的 Amazon FSx 文件系统与集成。 Amazon Managed Microsoft AD通过这样做,您将获得使用Amazon FSx的交钥匙解决方案。 Amazon Managed Microsoft AD Amazon 处理这两项服务的部署、操作、高可用性、可靠性、安全性和无缝集成,使您能够专注于有效地操作自己的工作负载。

要在 Amazon Managed Microsoft AD 设置中使用亚马逊 FSx,您可以使用亚马逊 FSx 控制台。在控制台中为 Windows File Server 文件系统创建新的 FSx 时,请在 Windows 身份验证部分下Amazon 选择托管 Activ e D irectory。您还可以选择要使用的特定目录。有关更多信息,请参阅 步骤 1:创建文件系统

您的组织可能会在自行管理的 Active Directory 域(本地或云端)上管理身份和设备。如果是,您可以将您的 Amazon FSx 文件系统直接加入到现有的自行管理的 Active Directory 域中。有关更多信息,请参阅 将 Amazon FSX 与自行管理的 Microsoft Active Directory 结合使用

此外,您还可以将系统设置为从资源林隔离模型获益。在此模型中,您可以将您的资源(包括您的 Amazon FSx 文件系统)隔离到与您的用户所在的单独的 Active Directory 林中。

重要

对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不得超过 47 个字符。

联网先决条件

在创建加入 Amazon 微软托管 Active Directory 域的 Windows File Server 文件系统的 FSx 之前,请确保您已经创建并设置了以下网络配置:

  • 对于 VPC 安全组,用于您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保要在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 在端口上允许有下图所示方向的流量。

    用于 VPC 安全组的 FSx for Windows File Server 端口配置要求,以及用于要在其中创建文件系统的子网的网络 ACL。

    下表确定了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统(DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻型目录访问协议(LDAP)
    UDP 123

    网络时间协议(NTP)
    TCP 135

    分布式计算环境/端点映射器(DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻型目录访问协议(LDAPS)

    TCP

    3268

    Microsoft 全局目录

    TCP

    3269

    基于 SSL 的 Microsoft 全局目录

    TCP

    5985

    WinRM 2.0(Microsoft Windows 远程管理)

    TCP

    9389

    微软 AD DS 网络服务, PowerShell

    TCP

    49152 - 65535

    RPC 的临时端口
    重要

    单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    注意

    如果您使用的是 VPC 网络 ACL,则还必须允许动态端口(49152-65535)上的出站流量。

  • 如果您要将您的 Amazon FSx 文件系统连接到其他 VPC 或账户中的托管 M Amazon icrosoft Active Directory,请确保该 VPC 与您要在其中创建文件系统的亚马逊 VPC 之间的连接。有关更多信息,请参阅 在不同的 VPC 或账户 Amazon Managed Microsoft AD 中使用 Amazon FSx

    重要

    虽然 Amazon VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 VPC 网络 ACL 要求双向打开端口。

使用 Amazon FSx 网络验证工具验证与 Active Directory 域控制器之间的连接。

使用资源林隔离模型

将文件系统加入到 Amazon Managed Microsoft AD 设置。然后,您可以在您创建的 Amazon Managed Microsoft AD 域和现有的自行管理的 Active Directory 域之间建立单向林信任关系。对于 Amazon FSx 中的 Windows 身份验证,您只需要单向林信任,即 Amazon 托管林信任公司域林。

您的公司域扮演可信域的角色,而 Amazon Directory Service 托管域则扮演信任域的角色。经过验证的身份验证请求只能在域之间单向传输,即允许企业域中的账户根据托管的域中共享的资源进行身份验证。在这种情况下,Amazon FSx 仅与托管的域进行交互。然后,托管的域会将身份验证请求传递到您的企业域。

测试 Active Directory 配置

在创建 Amazon FSx 文件系统之前,我们建议您使用 Amazon FSx 网络验证工具验证与 Active Directory 域控制器之间的连接。有关更多信息,请参阅 验证与 Active Directory 域控制器的连接

当你使用适用于 Windows File Server 的 FSx 时 Amazon Directory Service for Microsoft Active Directory ,以下相关资源可以为你提供帮助: