将 Amazon FSx 与您自主管理的 Microsoft Active Directory 结合使用 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSx 与您自主管理的 Microsoft Active Directory 结合使用

您的组织可能会在自我管理的 Active Directory(本地或云中)上管理身份和设备。如果是这样,您可以将 Amazon FSx 文件系统直接加入到现有的自我管理 AD 域。要将亚马逊 FSx 与您的Amazon Managed Microsoft AD设置后,您可以使用 Amazon FSx 控制台。在控制台中创建新 FSx for Windows File Server 文件系统时,选择自行管理的 Microsoft Active DirectoryWindows 身份验证部分。提供自行管理的 AD 的以下详细信息:

  • 自管理目录的完全限定域名

    注意

    域名不得采用单一标签域 (SLD) 格式。Amazon FSx 目前不支持 SLD 域。

    注意

    对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不能超过 47 个字符。

  • 域的 DNS 服务器的 IP 地址

    DNS 服务器 IP 地址、AD 域控制器 IP 地址和客户端网络必须满足以下要求:

    对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统

    中的 IP 地址RFC 1918私有 IP 地址范围:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    任何 IP 地址范围,但:

    • 与亚马逊 Web 服务拥有的 IP 地址冲突的 IP 地址Amazon区域。查看列表Amazon按区域分列的拥有 IP 地址,请参阅AmazonIP 地址范围.

    • 以下 CIDR 块范围内的 IP 地址:198.19.0.0/16

    注意

    您的 AD 域控制器必须可写。

  • AD 域中服务帐户的用户名和密码,供 Amazon FSx 将文件系统加入 AD 域

  • (可选)要加入文件系统的域中的组织单位 (OU)

  • (可选)要向其委派权限以在文件系统上执行管理操作的域组。例如,此域组可以管理 Windows 文件共享、管理文件系统根文件夹上的 ACL、获取文件和文件夹的所有权等。如果您没有指定此组,默认情况下,Amazon FSx 将此权限委派给 AD 域中的域管理员组。

    有关更多信息,请参阅 将 Amazon FSx File 系统加入自行管理的 Microsoft Active Directory 域

重要

如果您使用微软 DNS 作为默认 DNS 服务,则 Amazon FSx 仅为文件系统注册 DNS 记录。如果您使用的是第三方 DNS,则需要在创建 Amazon FSx 文件系统后手动设置 DNS 条目。

当您将文件系统直接加入到自我管理的 AD 时,您的 FSx for Windows File Server 位于同一 AD 林(包含域、用户和计算机的 AD 配置中最顶层的逻辑容器),并与用户和现有资源(包括现有资源)位于同一 AD 域中文件服务器)。

注意

如果您想从资源林隔离模型中受益,在此模型中,将资源(包括 Amazon FSx 文件系统)隔离到与用户所在的单独的 AD 林中,则可以选择将文件系统加入到Amazon管理 AD 并建立单向林信任关系Amazon您创建的托管广告和现有的自我管理的广告。