将 Amazon FSx for Windows File Server 系统加入自行管理的 Microsoft Active Directory 域的最佳实践 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSx for Windows File Server 系统加入自行管理的 Microsoft Active Directory 域的最佳实践

将 Amazon FSx to Windows File Server 文件系统加入自行管理的 Microsoft Active Directory 时应该考虑以下建议和准则。请注意,这些建议作为最佳实践,但不是必需的。

向您的亚马逊 FSX 服务账户委派权限

请确保配置您提供给 Amazon FSX 的服务账户以所需的最低权限。此外,将组织单位 (OU) 与其他域控制器问题隔离。

要将 Amazon FSX 文件系统加入到您的域中,请确保该服务帐户具有委派权限。委托人Domain Admins组具有足够的权限来执行此任务。但是,作为最佳实践,请使用仅具有执行此操作所需的最小权限的服务账户。以下过程演示如何仅将加入 Amazon FSX 文件系统所需的权限委托给您的域。

在已加入到目录且已安装 Active Directory User to Computers MMC 管理单元的计算机上执行此过程。

为活动目录域创建服务帐户

  1. 请确保您以活动目录域管理员身份登录。

  2. 打开Active Directory 用户和计算机MMC 管理单元。

  3. 在任务窗格中,展开域节点。

  4. 找到并打开要修改的 OU 的上下文 (右键单击) 菜单,然后选择委派控制

  5. 在存储库的控制委派向导页面上,选择下一步

  6. 选择Add添加特定用户或特定组选定的用户和组,然后选择下一步

  7. Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。

  8. 选择文件夹中的以下对象,然后选择Computer

  9. 选择在这个文件夹中创建所选对象删除此文件夹中的所选对象。然后选择 Next

  10. 适用于Permissions (权限),请选择以下内容:

    • 重置密码

    • 读取和写入账户限制s

    • 已验证写入 DNS 主机名

    • 已验证的写入服务委托方名称

  11. 选择下一步,然后选择完成

  12. 关闭 Active Directory 用户和计算机 MMC 管理单元。

重要

创建文件系统后,请勿移动 Amazon FSX 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。

使用亚马逊 FSX 保持您的活动目录配置更新

为帮助确保 Amazon FSX 文件系统持续不间断的可用性,请在您对自我管理的 AD 设置进行更改时更新文件系统的自我管理 Active Directory (AD) 配置。

例如,假设您的 AD 使用基于时间的密码重置策略。在这种情况下,一旦重置密码,请确保使用 Amazon FSX 更新服务帐户密码。为此,请使用亚马逊 FSX 控制台、亚马逊 FSX API 或Amazon CLI。同样,如果您的活动目录域的 DNS 服务器 IP 地址发生变化,则只要更改发生,就会更新 DNS 服务器 IP 地址与 Amazon FSX。再次,请使用 Amazon FSx 控制台、API 或 CLI 执行此操作。

当您更新 Amazon FSX 文件系统的自我管理 AD 配置时,文件系统的状态从Available正在更新同时应用更新。验证状态是否切换回Available应用更新后-请注意,更新可能需要几分钟才能完成。有关更多信息,请参阅 更新自行管理的 Active Directory 配置

如果更新的自我管理 AD 配置存在问题,则文件系统状态切换到错误配置。此状态在控制台、API 和 CLI 中的文件系统描述旁边显示错误消息和建议的操作。如果出现问题,请采取建议的纠正措施以提供正确的配置属性。如果问题已解决,请验证您的文件系统的状态是否更改为正在更新并最终Available。要了解有关排除可能的自我管理 AD 错误配置的详细信息,请参阅文件系统处于错误配置状态

使用安全组限制 VPC 内的流量

要限制 Virtual Private Cloud (VPC) 中的网络流量,请在 VPC 内实施最小权限原则。换而言之,您可以将权限限限制为所需的最小权限。若要执行此操作,请使用安全组规则。要了解更多信息,请参阅“Amazon VPC 安全组”。

为文件系统的网络接口创建出站安全组规则

为了提高安全性,请考虑使用出站流量规则配置安全组。这些规则应仅允许出站流量到您的自我管理的 Microsoft AD 域控制器或子网或安全组内。将此安全组应用于与 Amazon FSX 文件系统的 elastic network interface 关联的 VPC。要了解更多信息,请参阅“ 使用 Amazon VPC 进行文件系统访问控制 ”。