使用自我管理的前提条件 Microsoft AD - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

使用自我管理的前提条件 Microsoft AD

在创建 Amazon FSx 文件系统已加入您的自我管理 Microsoft AD 域,请确保您已创建并设置以下要求:

  • 内部或其他自我管理的 Microsoft AD 即 Amazon FSx 文件系统是联接,具有以下配置:

    • AD域控制器的域功能级别为WindowsServer2008R2或更高版本。

    • DNS服务器IP地址和AD域控制器IP地址位于以下其中之一:

      • 与所在的子网相同 Amazon FSx 正在创建文件系统

      • 您的VPC的主要VPCCIDR范围 Amazon FSx 正在创建文件系统

      • 以下专用IP地址范围,如 RFC1918(RFC1918):

        • 10.0.0.0的–10.255.255.255(10/8前缀)

        • 172.16.0.0间–172.31.255.255(172.16/12前缀)

        • 192.168.0.0间–192.168.255.255(192.168/16前缀)

    • 不是单一标签域(SLD)格式的域名。 Amazon FSx 不支持SLD域。

    • 对于Single-AZ2和所有Multi-AZ文件系统,ActiveDirectory域名不能超过47个字符。

    • 如果已定义ActiveDirectory站点,则必须确保VPC中的子网与您的 Amazon FSx 文件系统在ActiveDirectory站点中定义,并且VPC中的子网与其他站点中的子网之间不存在冲突。

  • 以下网络配置:

    • 在 Amazon VPC 创建文件系统和自动管理的ActiveDirectory的地方。您可以使用 AWS Direct Connect, AWS VPN、VPC对等,或 AWS Transit Gateway.

    • 对于 VPC安全组,默认授权组 Amazon VPC 已添加到控制台中的文件系统。请确保在创建FSx文件系统的子网的安全组和VPC网络ACL允许端口上的流量以及下图所示的方向。

      
       Amazon FSx for Windows File Server 正在创建文件系统的子网的VPC安全组和网络ACL的端口配置要求。

      下表列出了每个端口的作用。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议(LDAP)

      UDP 123

      网络时间协议(NTP)

      TCP 135

      分布式计算环境/端点映射器(DCE/EPMAP)

      TCP

      445

      目录服务SMB文件共享

      TCP

      636

      目录服务SMB文件共享

      TCP

      3268

      Microsoft全球目录

      TCP

      3269

      通过SSL的MicrosoftGlobalCatalog

      TCP

      5985年

      WinRM2.0(MicrosoftWindows远程管理)

      TCP

      9389

      MicrosoftADDSWeb服务,PowerShell

      TCP

      49152 - 65535

      用于RPC的临时端口

      重要

      对于单AZ2和所有多AZ文件系统部署,需要在TCP端口9389上允许出站流量。

      注意

      如果您正在使用VPC网络ACL,则还必须允许来自FSx文件系统的动态端口(49152-65535)上的出站流量。

    • 确保这些流量规则也镜像在适用于每个AD域控制器、DNS服务器、FSx客户端和FSx管理员的防火墙上。

    重要

    而 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,大多数Windows防火墙和VPC网络ACL要求端口在两个方向上打开。

    使用 Amazon FSx ActiveDirectory验证工具 在尝试将文件系统加入您的自我管理AD之前,测试这些网络设置。

  • 自我管理的服务帐户 Microsoft AD 具有将计算机加入域的委派权限。甲 服务帐户 是您的自我管理中的用户帐户 Microsoft AD 已委派特定任务的。

    服务帐户至少还需要在OU中委派以下权限,以便您将文件系统加入:

    • 能够重置密码

    • 能够限制账户读取和写入数据

    • 验证写入DNS主机名的能力

    • 已验证写入服务主体名称的能力

    • 被委派控制以创建和删除计算机对象

    • 已验证读写帐户限制的能力

要了解有关创建具有正确权限的服务帐户的更多信息,请参阅 将特权授予您的 Amazon FSx 服务帐户 .

注意

Amazon FSx 需要一个有效的服务帐户 Amazon FSx 文件系统。 Amazon FSx 必须能够完全管理文件系统并执行需要使用来取消连接和重新连接AD域的任务,例如替换失败的文件服务器或修补WindowsServer软件。请保持您的ActiveDirectory配置,包括服务帐户凭据,更新方式为 Amazon FSx. 要了解如何操作,请参阅保持您的ActiveDirectory配置更新为 Amazon FSx

如果这是您第一次使用 AWS 和 Amazon FSx for Windows File Server,请确保在启动之前设置。有关更多信息,请参阅设置

重要

请勿移动计算机对象 Amazon FSx 在创建文件系统后在OU中创建。否则会导致您的文件系统配置错误。