验证 Active Directory 配置 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证 Active Directory 配置

在创建已加入 Active Directory 的 FSx for Windows File Server 文件系统之前,我们建议您使用 Amazon FSx Active Directory 验证工具来验证 Active Directory 配置。请注意,成功验证 Active Directory 配置需要出站互联网连接。

验证 Active Directory 配置

  1. 在同一个子网中,启动一个具有相同 Amazon VPC 安全组且您要将其用于 FSx for Windows File Server 文件系统的 Amazon EC2 Windows 实例。确保您的 EC2 实例具有所需的 AmazonEC2ReadOnlyAccess IAM 权限。您可以使用 IAM policy simulator 验证 EC2 实例角色权限。有关更多信息,请参阅《IAM 用户指南》中的使用 IAM policy simulator 测试 IAM policy

  2. 将 EC2 Windows 实例加入 Active Directory 有关更多信息,请参阅《Amazon Directory Service 管理指南》中的手动加入 Windows 实例

  3. 连接到您的 EC2 实例。有关更多信息,请参阅 Amazon EC2 用户指南中的连接到您的 Windows 实例

  4. 在 EC2 实例上打开 Windows PowerShell 窗口(使用以管理员身份运行)。

    要测试是否安装了 Windows 所需 PowerShell 的 Active Directory 模块,请使用以下测试命令。

    PS C:\> Import-Module ActiveDirectory

    如果上一操作返回错误,请使用以下命令进行安装。

    PS C:\> Install-WindowsFeature RSAT-AD-PowerShell

  5. 使用以下命令下载网络验证工具。

    PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

  6. 使用以下命令下载 zip 文件。

    PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"

  7. AmazonFSxADValidation 模块添加到当前会话。

    PS C:\> Import-Module .\AmazonFSxADValidation

  8. 通过替换为以下命令来设置必需的参数:

    • Active Directory 域名(DOMAINNAME.COM

    • 使用以下选项之一为服务账户密码准备 $Credential 对象。

      • 要以交互方式生成凭证对象,请使用以下命令。

        $Credential = Get-Credential

      • 要使用 Amazon Secrets Manager 资源生成凭证对象,请使用以下命令。

        $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))

    • DNS 服务器 IP 地址(IP_ADDRESS_1IP_ADDRESS_2

    • 您计划在其中创建 Amazon FSx 文件系统的子网的子网 ID(SUBNET_1SUBNET_2,例如 subnet-04431191671ac0d19)。

    PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}

  9. (可选)在运行验证工具之前 DomainControllersMaxCount,按照随附README.md文件中的说明设置组织单位、委派管理员组并启用服务帐户权限验证。

    注意

    如果操作系统非英语,则 Domain Admins 组的名称会有所不同。例如,该组在法语 OS 版本中被命名为 Administrateurs du domaine。如果未指定值,则将使用默认 Domain Admins 组名,且文件系统创建失败。

  10. 使用此命令运行验证工具。

    PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

  11. 以下是成功测试结果的示例。

    Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    以下是测试结果有误的示例。

    Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    如果您在运行验证工具时收到警告或错误,请参阅验证工具包(TROUBLESHOOTING.md)和 Amazon FSx 问题排查 中包含的《问题排查指南》。