将 Amazon FSX 与自行管理的 Microsoft Active Directory 结合使用 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon FSX 与自行管理的 Microsoft Active Directory 结合使用

如果您的组织在本地或云端自行管理的 Active Directory 上管理身份和设备,则您可以将您的 Amazon FSx 文件系统直接加入现有的自我管理的 Active Directory 域。要将 Amazon FSx 与之搭配使用 Amazon Managed Microsoft AD,您可以使用亚马逊 FSx 控制台。在控制台中创建新的 FSx for Windows File Server 文件系统时,请选择 Windows 身份验证下的自行管理的 Microsoft Active Directory。为自行管理的 Active Directory 提供以下详细信息:

  • 自行管理的目录的完全限定域名

    注意

    域名不能采用单标签域(SLD)格式。Amazon FSx 目前不支持 SLD 域。

    注意

    对于单可用区 2 和多可用区文件系统,Active Directory 域名不得超过 47 个字符。

  • 域的 DNS 服务器的 IP 地址

    DNS 服务器 IP 地址、Active Directory 域控制器 IP 地址和客户端网络必须满足以下要求:

    对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统

    IP 地址必须在 RFC 1918 私有 IP 地址范围内:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP 地址可以位于任何范围内,但以下情况除外:

    • 与 Amazon Web Services 在该 Amazon 地区拥有的 IP 地址冲突的 IP 地址。有关按地区划分的 Amazon 拥有的 IP 地址列表,请参阅 Amazon IP 地址范围

    • 以下 CIDR 块范围内的 IP 地址:198.19.0.0/16

    注意

    您的 Active Directory 域控制器必须是可写的。

  • Active Directory 域中服务账户的用户名和密码,供 Amazon FSx 用于将文件系统加入您的 Active Directory 域中

  • (可选)您希望将文件系统加入其中的域中的组织单位(OU)

  • (可选)您要委派授权,使其对文件系统执行管理操作的域组。例如,此域组可以管理 Windows 文件共享、管理文件系统根文件夹上的访问控制列表(ACL)、获取文件和文件夹的所有权等。如果您未指定此组,Amazon FSx 会默认将此授权委派给 Active Directory 域中的域管理员组。

    注意

    您提供的域组名称在 Active Directory 中必须是唯一的。在以下情况下,适用于 Windows File Server 的 FSx 将不会创建域组:

    • 如果已经存在一个名为你指定的群组

    • 如果您未指定名称,并且您的 Active Directory 中已存在名为 “域管理员” 的群组。

    有关更多信息,请参阅将 Amazon FSx 文件系统加入到自行管理的 Microsoft Active Directory 域

重要

只有当您使用 Microsoft DNS 作为默认 DNS 服务时,Amazon FSx 才会注册文件系统的 DNS 记录。如果您使用的是第三方 DNS,则需要在创建文件系统后手动设置 Amazon FSx 文件系统的 DNS 条目。

当您将文件系统直接加入自行管理的 Active Directory 时,您的 FSx for Windows File Server 与您的用户和现有资源(包括现有文件服务器)位于同一个 Active Directory 林(包含域、用户和计算机的 Active Directory 配置中的顶层逻辑容器)和同一个 Active Directory 域中。

注意

您可以将您的资源(包括您的 Amazon FSx 文件系统)隔离到与用户所在林分开的 Active Directory 林中。为此,请将您的文件系统加入托管 Active Directory,并在您创建的 Amazon 托管 Active Directory 和您现有的自行 Amazon 管理的 Active Directory 之间建立单向林信任关系。