本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自行管理的 Microsoft AD 的先决条件
在创建加入自我管理的 Microsoft AD 域的 Amazon FSx 文件系统之前,请确保您已创建并设置以下要求:
-
Amazon FSx 文件系统要加入的本地或其他自我管理的 Microsoft AD,具有以下配置:
-
AD 域控制器的域功能级别为 Windows Server 2008 R2 或更高版本。
-
DNS 服务器 IP 地址和 AD 域控制器 IP 地址如下,具体取决于文件系统的创建时间:
对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统 中的 IP 地址RFC 1918
私有 IP 地址范围: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
任何 IP 地址范围,但:
与亚马逊 Web 服务拥有的 IP 地址冲突的 IP 地址Amazon区域。查看列表Amazon按区域分列的拥有 IP 地址,请参阅AmazonIP 地址范围.
以下 CIDR 块范围内的 IP 地址:198.19.0.0/16
如果您需要访问 2020 年 12 月 17 日之前使用非私有 IP 地址范围创建的 FSx for Windows 文件服务器文件系统,则可以通过还原文件系统的备份来创建新的文件系统。有关更多信息,请参阅 使用备份。
-
不是单一标签域 (SLD) 格式的域名。亚马逊 FSx 不支持 SLD 域名。
-
对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。
-
如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。
-
以下网络配置:
-
在要创建文件系统的 Amazon VPC 与自我管理的 Active Directory 之间配置了连接。您可以使用以下方式设置连接Amazon Direct Connect、Amazon VPN、VPC 对等互连,或Amazon Transit Gateway.
-
适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统中。请确保在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。
下表确定了每个端口的角色。
协议
端口
角色
TCP/UDP
53
域名系统 (DNS)
TCP/UDP
88
Kerberos 身份验证
TCP/UDP
464
更改/设置密码
TCP/UDP
389
轻型目录访问协议 (LDAP)
UDP 123 网络时间协议 (NTP)
TCP 135 分布式计算环境/端点映射器(DCE/EPMAP)
TCP
445
目录服务 SMB 文件共享
TCP
636
基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)
TCP
3268
微软全球目录
TCP
3269
SSL 上的微软全球目录
TCP
5985
WinRM 2.0(微软视窗远程管理)
TCP
9389
微软 AD DS Web 服务,PowerShell
TCP
49152 - 65535
RPC 的临时端口
重要 单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。
注意 如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSx 文件系统的动态端口 (49152-65535) 上的出站流量。
-
确保这些流量规则也镜像在适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。
重要 尽管 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。
使用亚马逊 FSx 活动目录验证工具在尝试将文件系统加入自我管理的 AD 之前测试这些网络设置。
-
-
您自主管理的 Microsoft AD 中具有将计算机加入域的委派权限的服务帐户。一个服务账户是自我管理的 Microsoft AD 中已委派某些任务的用户帐户。
至少还需要在您加入文件系统的 OU 中向服务帐户授予以下权限:
-
能够重置密码
-
能够限制帐户读取和写入数据
-
已验证写入 DNS 主机名的能力
-
已验证写入服务主体名称的能力
-
授权创建和删除计算机对象的控制权
-
验证读写账户限制的能力
这些代表将计算机对象加入 Active Directory 所需的最低权限集。有关更多信息,请参阅 Microsoft Windows Server 文档主题。Error: 当被委派控制权的非管理员用户尝试将计算机加入域控制器时,访问将被拒绝
. -
要了解有关创建具有正确权限的服务帐户的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .
亚马逊 FSx 在您的亚马逊 FSx 文件系统的整个生命周期内都要求有效的服务账户。Amazon FSx 必须能够使用完全管理文件系统并执行需要取消加入和重新加入 AD 域的任务,例如更换出现故障的文件服务器或修补 Windows Server 软件。请使用 Amazon FSx 保持您的 Active Directory 配置(包括服务帐户凭证)更新。要了解如何操作,请参阅使用 Amazon FSx 保持您的 Active Directory 配置更新。
如果这是您首次使用Amazon和 FSx for Windows File Server,请务必在启动之前进行设置。有关更多信息,请参阅 设置。
创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做将导致文件系统配置错误。