为 Kerberos 配置服务主体名称 (SPNs)

我们建议您在通过 Amazon 传输时使用基于 Kerberos 的身份验证和加密。 FSxKerberos 能够为访问文件系统的客户端提供最安全的身份验证。

要为 FSx 使用 DNS 别名访问亚马逊的客户端启用 Kerberos 身份验证，您必须添加与亚马逊 FSx 文件系统的 Active Directory 计算机对象上的 DNS 别名相对应的服务主体名称 (SPNs)。一个 SPN 一次只能与一个 Active Directory 计算机对象关联。如果您已 SPNs 为原始文件系统的 Active Directory 计算机对象配置了 DNS 名称，则必须先将其删除。

Kerberos SPNs 身份验证需要两个：


HOST/alias
HOST/alias.domain

如果别名是finance.domain.com，则需要以下两个 SPNs：


HOST/finance
HOST/finance.domain.com

注意

在为亚马逊 FSx 文件系统的 Active Directory (AD) 计算机对象创建新主机之前，您需要删除与 Active Directory 计算机对象上的 DNS 别名 SPNs 对应的所有现有主机。 SPNs 如果 AD 中存在 DNS 别名的 SPN，则尝试为您的 Amazon FSx 文件系统设置 SPNs 将失败。

以下过程将介绍如何进行操作：

在原始文件系统的 Active Directory 计算机对象 SPNs 上查找任何现有的 DNS 别名。
删除已 SPNs 找到的现有内容（如果有）。
SPNs 为您的亚马逊 FSx 文件系统的 Active Directory 计算机对象创建新的 DNS 别名。

安装所需的 PowerShell 活动目录模块

登录已加入活动目录的 Windows 实例，您的亚马逊 FSx 文件系统已加入该目录。
PowerShell 以管理员身份打开。
使用以下命令安装 Act PowerShell ive Directory 模块。
```
Install-WindowsFeature RSAT-AD-PowerShell
```

在原始文件系统的 Active Directory 计算机对象 SPNs 上查找和删除现有 DNS 别名

如果您已在 A SPNs ctive Directory 中的计算机对象上配置了分配给另一个文件系统的 DNS 别名，则必须先将其删除， SPNs 然后才能将其 SPNs 添加到文件系统的计算机对象中。

使用以下命令查找任何现有 SPNs 命令。将 alias_fqdn 替换为在步骤 1 中与文件系统关联的 DNS 别名。


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

使用以下示例脚本删除上一步中 SPNs 返回的现有主机。

将 alias_fqdn 替换为在步骤 1 中与文件系统关联的完整 DNS 别名。
将 file_system_DNS_name 替换为原始文件系统的 DNS 名称。


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

对在步骤 1 中与文件系统关联的每个 DNS 别名重复上述步骤。

要 SPNs 在您的亚马逊 FSx 文件系统的 Active Directory 计算机对象上设置

运行以下命令 SPNs ，为您的 Amazon FSx 文件系统设置新内容。
- file_system_DNS_name替换为 Amazon FSx 分配给文件系统的 DNS 名称。
  
  要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，选择您的文件系统，然后在文件系统详情页面上选择 “网络和安全” 窗格。
  
  您还可以在 DescribeFileSystemsAPI 操作的响应中获取 DNS 名称。
- 将 alias_fqdn 替换为在步骤 1 中与文件系统关联的完整 DNS 别名。
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use the following command to set both the full FQDN and Alias SPNs
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}
```
注意
如果原始 FSx 文件系统的计算机对象的 AD 中存在 DNS 别名的 SPN，则为您的 Amazon 文件系统设置 SPN 将失败。有关查找和删除现有内容的信息 SPNs，请参见在原始文件系统的 Active Directory 计算机对象 SPNs 上查找和删除现有 DNS 别名。
使用以下示例脚本验证是否已为 DNS 别名配置了新 SPNs 的 DNS 别名。确保响应包括两个 HOS SPNs T HOST/alias 和HOST/alias_fqdn，如本过程前面所述。

file_system_DNS_name替换为 Amazon FSx 分配给您的文件系统的 DNS 名称。要在 Amazon FSx 控制台上查找文件系统的 DNS 名称，请选择文件系统，选择您的文件系统，然后在文件系统详情页面上选择 “网络和安全” 窗格。

您还可以在 DescribeFileSystemsAPI 操作的响应中获取 DNS 名称。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
对在步骤 1 中与文件系统关联的每个 DNS 别名重复上述步骤。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

将 DNS 别名关联到文件系统

更新或创建 DNS CNAME 记录