将 FSx for Windows File Server 系统加入自管理的 Microsoft Active Directory 域的最佳实践 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 FSx for Windows File Server 系统加入自管理的 Microsoft Active Directory 域的最佳实践

在将 FSx for Windows File Server 系统加入自管理的 Microsoft Active Directory 中,您应该考虑以下建议和准则。请注意,推荐使用这些做法作为最佳实践,但不是必需的。

将权限委派给您的 Amazon FSx 服务账户

确保使用所需的最低权限配置您向 Amazon FSx 提供的服务账户。此外,将组织单位 (OU) 与其他域控制器问题分开。

要将 Amazon FSx 文件系统加入您的域,请确保服务帐户具有委派的权限。的成员Domain Admins组有足够的权限来执行此任务。但是根据最佳实践,使用仅具有执行此操作所需的最小权限的服务账户。以下过程演示了如何仅将加入 Amazon FSx 文件系统所需的权限委派给您的域。

在已加入到目录且已安装 Active Directory User and Computers MMC 管理单元的计算机上执行此过程。

为 Active Directory 域创建服务帐户

  1. 确保您以 Active Directory 域的域管理员身份登录。

  2. 打开Active Directory 用户和计算机MMC 管理单元。

  3. 在任务窗格中,展开域节点。

  4. 找到并打开要修改的 OU 的上下文 (右键单击) 菜单,然后选择委托控制.

  5. 在存储库的控制委派向导选择页面,选择下一步.

  6. 选择Add添加特定用户或特定组选定的用户和组,然后选择下一步.

  7. Tasks to Delegate (要委派的任务) 页面上,选择 Create a custom task to delegate (创建要委派的自定义任务),然后选择 Next (下一步)。

  8. 选择仅在文件夹中的以下对象,然后选择计算机对象.

  9. 选择在这个文件夹中创建所选对象删除此文件夹中的所选对象. 然后选择下一步

  10. 适用于Permissions (权限)选择以下选项:

    • 重置密码

    • 读取和写入账户限制s

    • 已验证写入 DNS 主机名

    • 已验证写入服务委托方名称

  11. 选择下一步,然后选择完成

  12. 关闭 Active Directory 用户和计算机 MMC 管理单元。

重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做将导致文件系统配置错误。

使用 Amazon FSx 保持您的 Active Directory 配置更新

为了帮助确保 Amazon FSx 文件系统的持续、不间断的可用性,请在更改自我管理的 AD 设置时随时更新文件系统的自管 Active Directory (AD) 配置。

例如,假设您的 AD 使用基于时间的密码重置策略。在这种情况下,一旦重置密码,请务必使用 Amazon FSx 更新服务账户密码。为此,请使用亚马逊 FSx 控制台、亚马逊 FSx API 或Amazon CLI. 同样,如果 Active Directory 域的 DNS 服务器 IP 地址发生更改,一旦发生更改,就立即使用 Amazon FSx 更新 DNS 服务器 IP 地址。同样,使用 Amazon FSx 控制台、API 或 CLI 执行此操作。

当您更新 Amazon FSx 文件系统的自我管理 AD 配置时,文件系统的状态将从Available正在更新同时应用更新。验证状态是否切换回到Available应用更新后 — 请注意,更新可能需要几分钟才能完成。有关更多信息,请参阅 更新自行管理的 Active Directory 配置

如果更新的自我管理 AD 配置存在问题,则文件系统状态将切换为配置错误. 此状态在控制台、API 和 CLI 中的文件系统描述旁边显示错误消息和建议的纠正措施。在采取建议的纠正措施后,验证文件系统的状态最终更改为Available— 请注意,此更改可能需要几分钟的时间才能完成。

要详细了解如何排查可能的自我管理 AD 配置错误,请参阅文件系统处于错误配置状态.

使用安全组限制 VPC 内的流量

要限制虚拟私有云 (VPC) 中的网络流量,您可以在 VPC 中实施最小权限的原则。换而言之,您可以将权限限限制为所需的最小权限。为此,请使用安全组规则。要了解更多信息,请参阅 Amazon VPC 安全组

为文件系统的网络接口创建出站安全组规则

为了提高安全性,请考虑使用出站流量规则配置安全组。这些规则应只允许出站流量发送到自我管理的 Microsoft AD 域控制器或子网或安全组内。将此安全组应用于与 Amazon FSx 文件系统的 elastic network interface 关联的 VPC。要了解更多信息,请参阅“ 使用 Amazon VPC 进行文件系统访问控制 ”。