使用自行管理的 Microsoft AD 的先决条件 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自行管理的 Microsoft AD 的先决条件

在创建加入自我管理的 Microsoft AD 域的 Amazon FSx 文件系统之前,请确保您已创建并设置以下要求:

  • Amazon FSx 文件系统要加入的本地或其他自我管理的 Microsoft AD,具有以下配置:

    • AD 域控制器的域功能级别为 Windows Server 2008 R2 或更高版本。

    • DNS 服务器 IP 地址和 AD 域控制器 IP 地址如下,具体取决于文件系统的创建时间:

      对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统

      中的 IP 地址RFC 1918私有 IP 地址范围:

      • 10.0.0.0/8

      • 172.16.0.0/12

      • 192.168.0.0/16

      任何 IP 地址范围,但:

      • 与亚马逊 Web 服务拥有的 IP 地址冲突的 IP 地址Amazon区域。列表Amazon按地区拥有的 IP 地址,请参阅AmazonIP 地址范围.

      • 以下 CIDR 区块范围内的 IP 地址:198.19.0.0/16

      如果您需要访问 2020 年 12 月 17 日之前使用非私有 IP 地址范围创建的 FSx for Windows 文件服务器文件系统,则可以通过还原文件系统的备份来创建新的文件系统。有关更多信息,请参阅 使用备份

    • 不是单一标签域 (SLD) 格式的域名。亚马逊 FSx 不支持 SLD 域名。

    • 对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。

    • 如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。

  • 以下网络配置:

    • 在要创建文件系统的 Amazon VPC 与自我管理的 Active Directory 之间配置了连接。您可以使用设置连接Amazon Direct Connect、Amazon VPN、VPC 对等互连,或Amazon Transit Gateway.

    • 适用于VPC 安全组,您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。

      
       vFSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

      下表确定了每个端口的角色。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议 (LDAP)

      UDP 123

      网络时间协议 (NTP)

      TCP 135

      分布式计算环境/端点映射器(DCE/EPMAP)

      TCP

      445

      目录服务 SMB 文件共享

      TCP

      636

      基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

      TCP

      3268

      微软全球目录

      TCP

      3269

      SSL 上的微软全球目录

      TCP

      5985

      WinRM 2.0(微软视窗远程管理)

      TCP

      9389

      微软 AD DS Web 服务,PowerShell

      TCP

      49152 - 65535

      RPC 的临时端口

      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

      注意

      如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSx 文件系统的动态端口 (49152-65535) 上的出站流量。

    • 确保这些流量规则也镜像在适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

    重要

    尽管 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。

    使用亚马逊 FSx 活动目录验证工具在尝试将文件系统加入自我管理的 AD 之前测试这些网络设置。

  • 具有将计算机加入域的委派权限的自主管理 Microsoft AD 中的服务帐户。一个服务账户是自我管理的 Microsoft AD 中已委派某些任务的用户帐户。

    至少还需要在您加入文件系统的 OU 中向服务帐户授予以下权限:

    • 能够重置密码

    • 能够限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    • 授权创建和删除计算机对象的控制权

    • 验证读写账户限制的能力

    这些代表将计算机对象加入 Active Directory 所需的最低权限集。有关更多信息,请参阅 Microsoft Windows Server 文档主题。Error: 当被委派控制权的非管理员用户尝试将计算机加入域控制器时,访问将被拒绝.

要了解有关创建具有正确权限的服务帐户的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

注意

亚马逊 FSx 在您的亚马逊 FSx 文件系统的整个生命周期内都要求有效的服务账户。Amazon FSx 必须能够使用完全管理文件系统并执行需要取消加入和重新加入 AD 域的任务,例如更换出现故障的文件服务器或修补 Windows Server 软件。请使用 Amazon FSx 保持您的 Active Directory 配置(包括服务帐户凭证)更新。要了解如何操作,请参阅使用 Amazon FSx 保持您的 Active Directory 配置更新

注意

Amazon FSx 要求连接到 AD 环境中的所有域控制器。如果您有多个域控制器,请确保所有域控制器都满足上述要求,并确保对服务帐户的任何更改都传播到所有域控制器。您可以使用亚马逊 FSx 活动目录验证工具.

如果这是您首次使用Amazon和 FSx for Windows File Server,请务必在启动之前进行设置。有关更多信息,请参阅 设置

重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做将导致文件系统配置错误。