本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自行管理的 Microsoft AD 的先决条件
在创建加入自我管理的 Microsoft AD 域的 Amazon FSx 文件系统之前,请确保您已创建并设置以下要求:
-
Amazon FSx 文件系统要加入的本地或其他自我管理的 Microsoft AD,具有以下配置:
-
AD 域控制器的域功能级别为 Windows Server 2008 R2 或更高版本。
-
DNS 服务器 IP 地址和 AD 域控制器 IP 地址如下,具体取决于文件系统的创建时间:
对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统 中的 IP 地址RFC 1918
私有 IP 地址范围: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
任何 IP 地址范围,但:
与亚马逊 Web 服务拥有的 IP 地址冲突的 IP 地址Amazon区域。列表Amazon按地区拥有的 IP 地址,请参阅AmazonIP 地址范围.
以下 CIDR 区块范围内的 IP 地址:198.19.0.0/16
如果您需要访问 2020 年 12 月 17 日之前使用非私有 IP 地址范围创建的 FSx for Windows 文件服务器文件系统,则可以通过还原文件系统的备份来创建新的文件系统。有关更多信息,请参阅 使用备份。
-
不是单一标签域 (SLD) 格式的域名。亚马逊 FSx 不支持 SLD 域名。
-
对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。
-
如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。
-
以下网络配置:
-
在要创建文件系统的 Amazon VPC 与自我管理的 Active Directory 之间配置了连接。您可以使用设置连接Amazon Direct Connect、Amazon VPN、VPC 对等互连,或Amazon Transit Gateway.
-
适用于VPC 安全组,您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。
下表确定了每个端口的角色。
协议
端口
角色
TCP/UDP
53
域名系统 (DNS)
TCP/UDP
88
Kerberos 身份验证
TCP/UDP
464
更改/设置密码
TCP/UDP
389
轻型目录访问协议 (LDAP)
UDP 123 网络时间协议 (NTP)
TCP 135 分布式计算环境/端点映射器(DCE/EPMAP)
TCP
445
目录服务 SMB 文件共享
TCP
636
基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)
TCP
3268
微软全球目录
TCP
3269
SSL 上的微软全球目录
TCP
5985
WinRM 2.0(微软视窗远程管理)
TCP
9389
微软 AD DS Web 服务,PowerShell
TCP
49152 - 65535
RPC 的临时端口
重要 单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。
注意 如果您使用的是 VPC 网络 ACL,则还必须允许来自 FSx 文件系统的动态端口 (49152-65535) 上的出站流量。
-
确保这些流量规则也镜像在适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。
重要 尽管 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。
使用亚马逊 FSx 活动目录验证工具在尝试将文件系统加入自我管理的 AD 之前测试这些网络设置。
-
-
具有将计算机加入域的委派权限的自主管理 Microsoft AD 中的服务帐户。一个服务账户是自我管理的 Microsoft AD 中已委派某些任务的用户帐户。
至少还需要在您加入文件系统的 OU 中向服务帐户授予以下权限:
-
能够重置密码
-
能够限制帐户读取和写入数据
-
已验证写入 DNS 主机名的能力
-
已验证写入服务主体名称的能力
-
授权创建和删除计算机对象的控制权
-
验证读写账户限制的能力
这些代表将计算机对象加入 Active Directory 所需的最低权限集。有关更多信息,请参阅 Microsoft Windows Server 文档主题。Error: 当被委派控制权的非管理员用户尝试将计算机加入域控制器时,访问将被拒绝
. -
要了解有关创建具有正确权限的服务帐户的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .
亚马逊 FSx 在您的亚马逊 FSx 文件系统的整个生命周期内都要求有效的服务账户。Amazon FSx 必须能够使用完全管理文件系统并执行需要取消加入和重新加入 AD 域的任务,例如更换出现故障的文件服务器或修补 Windows Server 软件。请使用 Amazon FSx 保持您的 Active Directory 配置(包括服务帐户凭证)更新。要了解如何操作,请参阅使用 Amazon FSx 保持您的 Active Directory 配置更新。
Amazon FSx 要求连接到 AD 环境中的所有域控制器。如果您有多个域控制器,请确保所有域控制器都满足上述要求,并确保对服务帐户的任何更改都传播到所有域控制器。您可以使用亚马逊 FSx 活动目录验证工具.
如果这是您首次使用Amazon和 FSx for Windows File Server,请务必在启动之前进行设置。有关更多信息,请参阅 设置。
创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做将导致文件系统配置错误。