使用自我管理的 Microsoft 活动目录 - FSx适用于 Windows 文件服务器的亚马逊
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自我管理的 Microsoft 活动目录

如果您的组织在本地或云端使用自行管理的 Active Directory 管理身份和设备,则可以在创建时将FSx适用于 Windows 文件服务器的文件系统加入到您的 Active Directory 域中。

当您将文件系统加入自我管理的 Active Directory 时,FSx适用于 Windows 的文件服务器的文件系统与您的用户和现有资源(包括现有文件服务器)位于同一 Active Directory 林(包含域、用户和计算机的 Active Directory 配置中的顶级逻辑容器)和同一 Active Directory 域中。

注意

您可以将您的资源(包括您的 Amazon FSx 文件系统)隔离到与用户所在林分开的 Active Directory 林中。为此,请将您的文件系统加入托管 Active Directory,并在您创建的 Amazon 托管 Active Directory 和您现有的自行 Amazon 管理的 Active Directory 之间建立单向林信任关系。

  • 您的 Active Directory 域上的服务账户的用户名和密码,供亚马逊用于FSx将文件系统加入到您的 Active Directory 域中。

  • (可选)您域中您希望将文件系统加入的组织单位 (OU)。

  • (可选)您要委派授权,使其对文件系统执行管理操作的域组。例如,此域组可以管理 Windows 文件共享、管理文件系统根文件夹上的访问控制列表 (ACLs)、获取文件和文件夹的所有权等。如果您未指定此组,则默认情况下,亚马逊FSx会将此权限委托给您的 Active Directory 域中的域管理员组。

    注意

    您提供的域组名称在 Active Directory 中必须是唯一的。FSxWindows 文件服务器在以下情况下不会创建域组:

    • 如果已经存在一个名为你指定的群组

    • 如果您未指定名称,并且您的 Active Directory 中已存在名为 “域管理员” 的群组。

    有关更多信息,请参阅 将亚马逊FSx文件系统加入自我管理的 Microsoft Active Directory 域

先决条件

在将FSx适用于 Windows 的文件服务器文件系统加入自我管理的 Microsoft Active Directory 域之前,请查看以下先决条件,以帮助确保您可以成功地将亚马逊FSx文件系统加入到自我管理的 Active Directory 中。

本地配置

这些是你要加入亚马逊FSx文件系统的自行管理的 Microsoft Active Directory(本地或云端)的先决条件。

  • 活动目录域控制器:

    • 必须具有 Windows Server 2008 R2 或更高版本的域功能级别。

    • 必须是可写的。

  • DNS服务器和 Active Directory 域控制器 IP 地址必须满足以下要求,这些要求因创建亚马逊FSx文件系统的时间而异:

    对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统

    IP 地址必须在 RFC1918 年的私有 IP 地址范围内:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP 地址可以位于任何范围内,但以下情况除外:

    • 与文件系统所在的 Amazon Web Services 拥有的 IP 地址冲突的 IP 地址。 Amazon Web Services 区域 有关按地区划分的 Amazon 拥有的 IP 地址列表,请参阅 Amazon IP 地址范围

    • IP 地址在 198.19.0. CIDR 0/16 的区块范围内

    如果您需要使用非私有 IP 地址范围访问 2020 年 12 月 17 日之前创建的 Windows 文件服务器文件系统,则可以通过恢复文件系统的备份来创建新的文件系统。FSx有关更多信息,请参阅 将备份恢复到新的文件系统

  • 您自行管理的 Active Directory 的域名必须满足以下要求:

    • 域名不是单一标签域 (SLD) 格式。Amazon FSx 不支持SLD域名。

    • 对于单可用区 2 和所有多可用区文件系统,域名不能超过 47 个字符。

  • 您定义的任何 Active Directory 网站都必须满足以下先决条件:

    • 中与您的文件系统关联VPC的子网必须在 Active Directory 站点中定义。

    • 子网与任何 Active Directory 站点VPC子网之间没有冲突。

    Amazon FSx 需要连接到您的活动目录环境中的所有域控制器。如果您有多个域控制器,请确保所有域控制器都满足上述要求,并确保对您的服务账户所做的任何更改都会传播到所有域控制器。

    重要

    FSx创建文件系统后,请勿移动 Amazon 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。

您可以使用亚马逊 Active Directory 验证工具验证您的FSx活动目录配置,包括测试多个域控制器的连接。要限制需要连接的域控制器的数量,您还可以在本地域控制器和 Amazon Managed Microsoft AD之间建立信任关系。有关更多信息,请参阅 使用资源林隔离模型

重要

FSx只有当你使用微软DNS作为默认DNS服务时,亚马逊才会注册文件系统的DNS记录。如果您使用的是第三方DNS,则需要在创建文件系统后手动为其设置DNS记录条目。

网络配置

本节介绍将文件系统加入您自行管理的 Active Directory 的网络配置要求。我们强烈建议您在尝试将文件系统加入自行管理的 A ct FSx ive Directory 之前,使用 Amazon Active Directory 验证工具测试您的网络设置。

  • 确保您的防火墙规则允许您的 Active Directory 域控制器与 Amazon 之间的ICMP流量FSx。

  • 必须在您要创建文件系统的 Amazon VPC 和您自行管理的 Active Directory 之间配置连接。您可以使用Amazon Direct ConnectAmazon Virtual Private Network、对VPC等Amazon Transit Gateway来设置此连接。

  • VPC必须使用亚马逊FSx控制台将默认 Amazon 的默认VPC安全组添加到您的文件系统中。确保您创建文件系统的子网的安全组和VPC网络ACLs允许下图所示的端口和方向上的流量。

    FSx适用于 Windows 文件服务器VPC的安全组和创建文件系统的子网的网络ACLs端口配置要求。

    下表列出了协议、端口及其作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统 (DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻量级目录访问协议 (LDAP)

    UDP 123

    网络时间协议 (NTP)

    TCP 135

    分布式计算环境/端点映射器 (/) DCE EPMAP

    TCP

    445

    目录服务SMB文件共享

    TCP

    636

    TLS/SSL(LDAPS) 上的轻量级目录访问协议

    TCP

    3268

    Microsoft 全局目录

    TCP

    3269

    微软全球目录结束 SSL

    TCP

    5985

    WinRM 2.0(Microsoft Windows 远程管理)

    TCP

    9389

    微软活动目录 DS Web 服务, PowerShell

    重要

    单可用区 2 和多可用区文件系统部署需要允许TCP端口 9389 上的出站流量。

    TCP

    49152 - 65535

    临时端口 RPC

    这些流量规则还需要镜像到适用于每个 Active Directory 域控制器、DNS服务器、FSx客户端和管理员的防火墙上。FSx

注意

如果您使用的是VPC网络ACLs,则还必须允许来自文件系统的动态端口 (49152-65535) 上的出站流量。

重要

虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口,但大多数 Windows 防火墙和VPC网络都ACLs要求双向打开端口。

服务账户权限

你需要在自我管理的 Microsoft Active Directory 中拥有一个具有委派权限的服务帐户,才能将计算机对象加入你自己管理的 Active Directory 域。服务帐户是您自行管理的 Active Directory 中的一个用户帐户,该帐户已被委派某些任务。

以下是必须向要加入文件系统的 OU 中的 Amazon FSx 服务账户委派的最低权限集。

  • 如果在 Active Directory 用户和计算机中使用委托控制MMC:

    • 重置密码

    • 读取和写入账户限制

    • 已验证写入DNS主机名

    • 已验证写入服务主体名称

  • 如果在 Active Directory 用户和计算机中使用高级功能MMC:

    • 修改权限

    • 创建计算机对象

    • 删除计算机对象

有关更多信息,请参阅主题为错误:当已委派控制的非管理员用户尝试将计算机加入域控制器时,访问被拒绝的 Microsoft Windows Server 文档。

有关设置所需权限的更多信息,请参阅向 Amazon FSx 服务账户或群组委派权限

自我管理活动目录的最佳实践

我们建议您在将亚马逊FSx版 Windows 文件服务器文件系统加入自行管理的 Microsoft Active Directory 时,遵循这些最佳实践。这些最佳实践将帮助您保持文件系统的持续、不间断的可用性。

为亚马逊使用单独的服务账户 FSx

使用单独的服务账户授予所需的权限,让 Amazon FSx 完全管理加入您自行管理的 Active Directory 的文件系统。我们不建议为此使用域管理员

使用活动目录组

使用活动目录组管理与亚马逊FSx服务账户关联的活动目录权限和配置。

隔离组织单位 (OU)

为了便于查找和管理您的 Amazon FSx 计算机对象,我们建议您将用于 Windows File Server 文件系统的组织单位 (OU) 与其他域控制器问题区分开来。FSx

保留活动目录配置 up-to-date

必须保留文件系统的 Active Directory 配置 up-to-date 而不作任何更改。例如,如果您自行管理的 Active Directory 使用基于时间的密码重置策略,则在密码重置后,请务必更新文件系统上的服务帐户密码。有关更多信息,请参阅 更新自我管理的活动目录配置

更改 Amazon FSx 服务账户

如果您使用新的服务帐户更新文件系统,则该帐户必须具有加入您的 Active Directory 所需的权限和权限,并且必须对与文件系统关联的现有计算机对象具有完全控制权限。有关更多信息,请参阅 更改 Amazon FSx 服务账户

使用安全组规则限制流量

使用安全组规则在您的虚拟私有云中实现最低权限原则 (VPC)。您可以使用VPC安全组规则限制文件允许的入站和出站网络流量的类型。例如,我们建议仅允许出站流量进入您自行管理的 Active Directory 域控制器或您正在使用的子网或安全组内的流量。有关更多信息,请参阅 Amazon VPC 安全组

请勿移动 Amazon 创建的计算机对象 FSx
重要

FSx创建文件系统后,请勿移动 Amazon 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。

验证您的活动目录配置

在尝试将FSx适用于 Windows 的文件服务器文件系统加入您的活动目录之前,我们强烈建议您使用亚马逊 Active Directory 验证工具验证您的FSx活动目录配置。

亚马逊FSx服务账户

加入自我管理的 Active Directory 的 Amazon FSx 文件系统在整个生命周期中都需要有效的服务账户。Amazon FSx 使用该服务账户来全面管理您的文件系统并执行管理任务,这些任务需要将计算机对象退出并重新加入到您的 Active Directory 域中。这些任务包括更换出现故障的文件服务器和修补微软 Windows Server 软件。FSx要让亚马逊执行这些任务,亚马逊FSx服务账户必须至少拥有服务账户权限委托给它的一组权限。

尽管域管理员组的成员拥有足够的权限来执行这些任务,但我们强烈建议您使用单独的服务账户将所需的权限委托给 Amazon FSx。

有关如何使用 A ctive Directory 用户和计算机管理MMC单元中的 “委托控制” 或 “高级功能” 功能委派权限的更多信息,请参阅向 Amazon FSx 服务账户或群组委派权限

如果您使用新的服务帐户更新文件系统,则新的服务帐户必须具有加入您的 Active Directory 所需的权限和权限,并且必须对与文件系统关联的现有计算机对象具有完全控制权限。有关更多信息,请参阅 更改 Amazon FSx 服务账户