使用自我管理的微软 AD 的先决条件 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自我管理的微软 AD 的先决条件

在创建加入到自我管理的 Microsoft AD 域的 Amazon FSX 文件系统之前,请确保您已创建并设置了以下要求:

  • Amazon FSX 文件系统要加入的本地或其他自我管理的 Microsoft AD,具有以下配置:

    • 您的 AD 域控制器的域功能级别为 Windows 服务器 2008 R2 或更高版本。

    • DNS 服务器 IP 地址和 AD 域控制器 IP 地址,具体取决于您的文件系统的创建时间:

      对于 2020 年 12 月 17 日之前创建的文件系统 适用于 2020 年 12 月 17 日之后创建的文件系统

      中的 IP 地址RFC 1918私有 IP 地址范围:

      • 10.0.0.0/8

      • 172.16.0.0/12

      • 192.168.0.0/16

      任何 IP 地址范围,但以下内容除外:

      • 与亚马逊 Web 服务拥有的 IP 地址冲突的 IP 地址Amazon区域。有关列表Amazon按区域拥有的 IP 地址,请参阅AmazonIP 地址范围

      • 以下 CIDR 块范围内的 IP 地址:198.19.0.0/16

      如果您需要使用非私有 IP 地址范围访问 2020 年 12 月 17 日之前创建的 Amazon FSX 适用于 Windows 文件服务器文件系统,您可以通过还原文件系统的备份来创建新的文件系统。有关更多信息,请参阅 使用备份

    • 不采用单标签域 (SLD) 格式的域名。亚马逊 FSX 不支持 SLD 域。

    • 对于单可用区 2 和所有多可用区文件系统,活动目录域名不能超过 47 个字符。

    • 如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中与 Amazon FSx File System 相关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。

  • 以下网络配置:

    • 在要创建文件系统的 Amazon VPC 和自我管理的活动目录之间配置了连接。您可以使用Amazon Direct Connect、Amazon VPN、VPC 对等连接或Amazon Transit Gateway。

    • 适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中您的文件系统。请确保您正在创建 FSX 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上的流量以及下图所示方向上的流量。

      Amazon FSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

      下表列出了每个端口的角色。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/建置密码

      TCP/UDP

      389

      轻量目录访问协议 (LDAP)
      UDP 123

      网络时间协议 (NTP)
      TCP 135

      分布式计算环境/端点映射器 (DCE/EPMAP)

      TCP

      445

      目录服务 SMB 文件共享

      TCP

      636

      基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

      TCP

      3268

      Microsoft 全球目录

      TCP

      3269

      微软全局编录通过 SSL

      TCP

      5985

      WinRM 2.0(微软视窗远程管理)

      TCP

      9389

      微软广告 DS 网络服务

      TCP

      49152 - 65535

      RPC 的临时端口
      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

      注意

      如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSX 文件系统的动态端口 (49152-65535) 上的出站流量。

    • 确保这些流量规则也在应用于每个 AD 域控制器、DNS 服务器、FSX 客户端和 FSX 管理员的防火墙上进行镜像。

    重要

    虽然 Amazon VPC 安全组要求端口仅在启动网络流量的方向打开,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。

    使用亚马逊 FSX 活动目录验证工具以测试这些网络设置,然后再尝试将文件系统加入自我管理的 AD。

  • 自管理的 Microsoft AD 中具有将计算机加入域的委派权限的服务账户。A服务帐户是您自我管理的 Microsoft AD 中的用户帐户,已委派某些任务。

    服务帐户还需要至少授予要加入文件系统的 OU 中的以下权限:

    • 重置密码的功能

    • 能够限制账户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证的写入服务主体名称的能力

    • 委派控制权来创建和删除计算机对象

    • 经验证的读取和写入账户限制的能力

    这些代表将计算机对象加入到活动目录所需的最低权限集。有关更多信息,请参阅 Microsoft Windows Server 文档主题Error: 已委派控制的非管理员用户尝试将计算机加入到域控制器时,访问被拒绝

要了解有关创建具有正确权限的服务账户的更多信息,请参阅 向您的亚马逊 FSX 服务账户委派权限

注意

Amazon FSX 要求在您的 Amazon FSX 文件系统的整个生命周期内拥有有效的服务账户。Amazon FSX 必须能够完全管理文件系统,并执行需要使用取消加入和重新加入 AD 域的任务,例如更换出现故障的文件服务器或修补 Windows Server 软件。请使用 Amazon FSX 保持您的活动目录配置(包括服务账户凭据)更新。要了解如何操作,请参阅使用亚马逊 FSX 保持您的活动目录配置更新

如果这是您首次使用Amazon和 Amazon FSx for Windows File Server,请确保在开始之前进行设置。有关更多信息,请参阅 设置

重要

创建文件系统后,请勿移动 Amazon FSX 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。