使用自行管理的 Microsoft AD 的先决条件 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自行管理的 Microsoft AD 的先决条件

在创建加入自我管理的 Microsoft AD 域的 Amazon FSx 文件系统之前,请确保您已创建并设置以下要求:

  • Amazon FSx 文件系统要加入的本地或其他自我管理的 Microsoft AD,具有以下配置:

    • AD 域控制器的域功能级别为 Windows Server 2008 R2 或更高版本。

    • DNS 服务器 IP 地址和 AD 域控制器 IP 地址如下,具体取决于文件系统的创建时间:

      对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统

      中的 IP 地址RFC 1918私有 IP 地址范围:

      • 10.0.0.0/8

      • 172.16.0.0/12

      • 192.168.0.0/16

      任何 IP 地址范围,但:

      • 与亚马逊 Web 服务拥有的 IP 地址冲突的 IP 地址Amazon区域。查看列表Amazon按区域分列的拥有 IP 地址,请参阅AmazonIP 地址范围.

      • 以下 CIDR 块范围内的 IP 地址:198.19.0.0/16

      如果您需要访问 2020 年 12 月 17 日之前使用非私有 IP 地址范围创建的 FSx for Windows 文件服务器文件系统,则可以通过还原文件系统的备份来创建新的文件系统。有关更多信息,请参阅 使用备份

    • 不是单一标签域 (SLD) 格式的域名。亚马逊 FSx 不支持 SLD 域名。

    • 对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。

    • 如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。

  • 以下网络配置:

    • 在要创建文件系统的 Amazon VPC 与自我管理的 Active Directory 之间配置了连接。您可以使用以下方式设置连接Amazon Direct Connect、Amazon VPN、VPC 对等互连,或Amazon Transit Gateway.

    • 适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统中。请确保在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。

      
       vFSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

      下表确定了每个端口的角色。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议 (LDAP)

      UDP 123

      网络时间协议 (NTP)

      TCP 135

      分布式计算环境/端点映射器(DCE/EPMAP)

      TCP

      445

      目录服务 SMB 文件共享

      TCP

      636

      基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

      TCP

      3268

      微软全球目录

      TCP

      3269

      SSL 上的微软全球目录

      TCP

      5985

      WinRM 2.0(微软视窗远程管理)

      TCP

      9389

      微软 AD DS Web 服务,PowerShell

      TCP

      49152 - 65535

      RPC 的临时端口

      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

      注意

      如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSx 文件系统的动态端口 (49152-65535) 上的出站流量。

    • 确保这些流量规则也镜像在适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

    重要

    尽管 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。

    使用亚马逊 FSx 活动目录验证工具在尝试将文件系统加入自我管理的 AD 之前测试这些网络设置。

  • 您自主管理的 Microsoft AD 中具有将计算机加入域的委派权限的服务帐户。一个服务账户是自我管理的 Microsoft AD 中已委派某些任务的用户帐户。

    至少还需要在您加入文件系统的 OU 中向服务帐户授予以下权限:

    • 能够重置密码

    • 能够限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    • 授权创建和删除计算机对象的控制权

    • 验证读写账户限制的能力

    这些代表将计算机对象加入 Active Directory 所需的最低权限集。有关更多信息,请参阅 Microsoft Windows Server 文档主题。Error: 当被委派控制权的非管理员用户尝试将计算机加入域控制器时,访问将被拒绝.

要了解有关创建具有正确权限的服务帐户的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

注意

亚马逊 FSx 在您的亚马逊 FSx 文件系统的整个生命周期内都要求有效的服务账户。Amazon FSx 必须能够使用完全管理文件系统并执行需要取消加入和重新加入 AD 域的任务,例如更换出现故障的文件服务器或修补 Windows Server 软件。请使用 Amazon FSx 保持您的 Active Directory 配置(包括服务帐户凭证)更新。要了解如何操作,请参阅使用 Amazon FSx 保持您的 Active Directory 配置更新

如果这是您首次使用Amazon和 FSx for Windows File Server,请务必在启动之前进行设置。有关更多信息,请参阅 设置

重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做将导致文件系统配置错误。