结合使用 Amazon FSx 与自行管理的 Microsoft Active Directory - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

结合使用 Amazon FSx 与自行管理的 Microsoft Active Directory

您的组织可能会在自我管理的 Active Directory(本地或云中)上管理身份和设备。如果是这样,您可以将 Amazon FSX 文件系统直接加入到现有的自我管理 AD 域。要将亚马逊 FSX 与您的Amazon Managed Microsoft AD设置,您可以使用亚马逊 FSX 控制台。在控制台中创建 Amazon FSx to Windows File Server 文件系统时,请选择自主管理的 Microsoft Active DirectoryWindows 身份验证部分。为自我管理的 AD 提供以下详细信息:

  • 自行管理目录的完全限定域名

    注意

    域名不得采用单标签域 (SLD) 格式。Amazon FSx 目前不支持 SLD 域。

    注意

    对于单可用区 2 和所有多可用区文件系统,活动目录域名不能超过 47 个字符。

  • 域的 DNS 服务器的 IP 地址

    DNS 服务器 IP 地址和 AD 域控制器 IP 地址必须满足以下要求:

    对于 2020 年 12 月 17 日之前创建的文件系统 适用于 2020 年 12 月 17 日之后创建的文件系统

    中的 IP 地址RFC 1918私有 IP 地址范围:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    任何 IP 地址范围,但以下内容除外:

    • 与亚马逊 Web 服务拥有的 IP 地址冲突的 IP 地址Amazon区域。有关列表Amazon按区域拥有的 IP 地址,请参阅AmazonIP 地址范围

    • 以下 CIDR 块范围内的 IP 地址:198.19.0.0/16

  • AD 域中服务帐户的用户名和密码,Amazon FSX 可用于将文件系统加入您的 AD 域

  • (可选)要加入文件系统的域中的组织单位 (OU)

  • (可选)要向其委派权限以对文件系统执行管理操作的域组。例如,此域组可以管理 Windows 文件共享、管理文件系统根文件夹上的 ACL、取得文件和文件夹的所有权等。如果您未指定此组,默认情况下,Amazon FSX 将此权限委派给您 AD 域中的域管理员组。

    有关更多信息,请参阅 将 Amazon FSx 文件系统加入自行管理的 Microsoft Active Directory 域

重要

如果您使用 Microsoft DNS 作为默认 DNS 服务,Amazon FSX 仅注册文件系统的 DNS 记录。如果您使用的是第三方 DNS,则需要在创建 Amazon FSX 文件系统后手动设置 DNS 条目。

当您将文件系统直接加入到自我管理的 AD 时,您的 Amazon FSx for Windows File Server 将驻留在同一 AD 林(包含域、用户和计算机的 AD 配置中最顶层的逻辑容器)中,并且与用户和现有资源(包括现有文件服务器)。

注意

如果您希望从资源林隔离模型中获益,即将资源(包括 Amazon FSX 文件系统)隔离到与用户所在的单独的 AD 林中,则可以选择将文件系统加入Amazon管理 AD,并建立一个单向林信任关系Amazon您创建的托管 AD 和现有的自我管理 AD。