加入的最佳实践 Amazon FSx for Windows File Server 文件系统到自我管理 Microsoft Active Directory 域 - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

加入的最佳实践 Amazon FSx for Windows File Server 文件系统到自我管理 Microsoft Active Directory 域

以下是您在加入酒店时应考虑的一些建议和指南 Amazon FSx 用于将Windows文件服务器文件系统添加到您自行管理的MicrosoftActiveDirectory中。请注意,这些是推荐的最佳实践,但不是必需的。

将特权授予您的 Amazon FSx 服务帐户

请确保配置您向其提供服务的服务帐户 Amazon FSx 具有所需的最低权限。此外,将组织单位(OU)与其他域控制器问题隔离。

加入 Amazon FSx 文件系统到您的域,请确保服务帐户具有委派的权限。成员 域管理员 组有足够的权限执行此任务。但是,作为最佳实践,使用只具有执行此操作所需的最低权限的服务帐户。以下步骤演示了如何仅委派加入所需的权限 Amazon FSx 文件系统到您的域。

在已加入目录且已安装ActiveDirectoryUser和ComputersMMC管理单元的计算机上执行此步骤。

为ActiveDirectory域创建服务帐户

  1. 请确保您以ActiveDirectory域的域管理员身份登录。

  2. 打开 ActiveDirectory用户和计算机 MMC嵌入式设计。

  3. 在任务窗格中,展开域节点。

  4. 找到并打开要修改的OU的上下文菜单(右键单击),然后选择 授权控制.

  5. 委托控制向导 页面,选择 下一步.

  6. 选择 添加 以添加特定用户或特定组 选定的用户和组,然后选择 下一步.

  7. Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。

  8. 选择 文件夹中只有以下对象,然后选择 计算机对象.

  9. 选择 在此文件夹中创建选定对象删除此文件夹中的选定对象. 然后选择 Next (下一步)

  10. 对于 权限,请选择以下选项:

    • 重置密码

    • 读写帐户限制s

    • 已验证写入DNS主机名

    • 已验证写入服务主体名称

  11. 选择下一步,然后选择完成

  12. 关闭ActiveDirectoryUser和ComputersMMCsnap-in。

重要

请勿移动计算机对象 Amazon FSx 在创建文件系统后在OU中创建。否则会导致您的文件系统配置错误。

保持您的ActiveDirectory配置更新为 Amazon FSx

帮助确保持续、不间断地提供您的 Amazon FSx 文件系统,请在更改自动管理AD设置时随时更新文件系统的自动管理ActiveDirectory(AD)配置。

例如,假设您的AD使用基于时间的密码重置策略。在这种情况下,一旦重置密码,请确保使用 Amazon FSx. 为此,请使用 Amazon FSx 控制台, Amazon FSx API,或 AWS CLI. 同样,如果活动目录域的DNS服务器IP地址发生变化,一旦发生变化,则使用更新DNS服务器IP地址 Amazon FSx. 同样,使用 Amazon FSx 控制台、API或CLI。

当您为 Amazon FSx 文件系统,您的文件系统的状态切换自 可用正在更新 应用更新时。验证状态是否切换回 可用 应用更新之后 – 请注意,更新可能需要几分钟才能完成。

如果更新的自我管理AD配置出现问题,文件系统状态将切换为 配置错误. 此状态在控制台、API和CLI中的文件系统说明旁显示错误消息和建议操作。如果出现问题,请采取建议的纠正措施以提供正确的配置属性。如果问题得到解决,请验证您的文件系统的状态是否更改为 正在更新 并最终 可用. 要了解有关排除可能自我管理AD错误配置故障的更多信息,请参阅 文件系统处于错误配置状态.

使用安全组限制VPC内的流量

为了限制虚拟私有云(VPC)中的网络流量,您可以在VPC中实施最低权限原则。换言之,您可以将权限限制为所需的最少权限。要执行此操作,请使用授权组规则。要了解更多信息,请参阅Amazon VPC 个安全组

为您的文件系统的网络接口创建出站安全组规则

为了提高安全性,请考虑使用出站流量规则配置安全组。这些规则应只允许出站流量发送到您的自我管理MicrosoftAD域控制器,或子网或安全组内。将此安全组应用于与您的 Amazon FSx 文件系统的弹性网络接口。要了解更多信息,请参阅 文件系统访问控制 Amazon VPC