验证您的ActiveDirectory配置 - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

验证您的ActiveDirectory配置

在创建 Amazon FSx for Windows File Server 文件系统已加入您的ActiveDirectory,我们建议您使用AmazonFSxActiveDirectory验证工具验证您的ActiveDirectory配置。

验证您的ActiveDirectory配置

  1. 启动 Amazon EC2 同一子网中具有相同子网的Windows实例 Amazon VPC 将用于您的 Amazon FSx for Windows File Server 文件系统。请确保EC2实例具有所需的 AmazonEC2ReadOnlyAccess IAM权限。您可以使用IAM策略模拟器验证EC2实例角色权限。有关更多信息,请参阅 使用IAM政策模拟器测试IAM政策IAM 用户指南.

  2. 将EC2Windows实例加入ActiveDirectory。有关更多信息,请参阅 手动联接Windows实例AWS Directory Service Administration Guide.

  3. 连接到您的 EC2 实例。有关更多信息,请参阅 https://docs.amazonaws.cn/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html 中的Amazon EC2 用户指南(适用于 Windows 实例)连接到您的 Windows 实例

  4. 打开WindowsPowerShell窗口(使用 以管理员身份运行)在EC2实例上。

    要测试是否已安装WindowsPowerShell所需的ActiveDirectory模块,请使用以下测试命令。

    PS C:\> Import-Module ActiveDirectory

    如果以上返回错误,请使用以下命令安装。

    PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
  5. 使用以下命令下载网络验证工具。

    PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
  6. 使用以下命令展开zip文件。

    PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
  7. 将AmazonFSxADValidation模块添加到当前会话。

    PS C:\> Import-Module .\AmazonFSxADValidation
  8. 通过将替换为以下命令来设置所需参数,您的:

    • ActiveDirectory域名(DOMAINNAME.COM)

    • 服务帐户用户名(SERVICE_ACCOUNT_USER)

    • 服务帐户密码(SERVICE_ACCOUNT_PASSWORD)

    • DNS服务器IP地址(IP_ADDRESS_1, IP_ADDRESS_2)

    • 您计划创建AmazonFSx文件系统的子网的子网ID(SUBNET_1, SUBNET_2例如, subnet-04431191671ac0d19)。

    PS C:\> # Credential for Amazon FSx service account $Password = ConvertTo-SecureString 'SERVICE_ACCOUNT_PASSWORD' -AsPlainText -Force $Credential = New-Object System.Management.Automation.PSCredential ('SERVICE_ACCOUNT_USER', $Password) $FSxADValidationArgs = @{ # DNS root of ActiveDirectory domain DomainDNSRoot = 'DOMAINNAME.COM' # IP v4 addresses of DNS servers DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2') # Subnet IDs for Amazon FSx file server(s) SubnetIds = @('SUBNET_1', 'SUBNET_2') Credential = $Credential }
  9. (可选)设置组织单位、委派管理员组,并按照中包含的说明启用服务帐户权限验证 README.md 文件。

  10. 使用此命令运行验证工具。

    PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
  11. 以下是成功测试结果的示例。

    Test 1 - Validate EC2 Subnets ... ... Test 16 - Validate 'Delete Computer Objects' permission ... Test computer object amznfsxtestd53f deleted! ... SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem PS C:\AmazonFSxADValidation> $Result.Failures.Count 0 PS C:\AmazonFSxADValidation> $Result.Warnings.Count 0

    以下是测试结果错误的示例。

    Test 1 - Validate EC2 Subnets ... ... Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ... Name DistinguishedName Site ---- ----------------- ---- 10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu... 10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C... 10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu... Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st-ad,DC=local Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they are in a single AD site. ... 9 of 16 tests skipped. FAILURE - Tests failed. Please see error details below: Name Value ---- ----- SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7} Please address all errors and warnings above prior to re-running validation to confirm fix. PS C:\AmazonFSxADValidation> $Result.Failures.Count 1 PS C:\AmazonFSxADValidation> $Result.Failures Name Value ---- ----- SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7} PS C:\AmazonFSxADValidation> $Result.Warnings.Count 0

    如果在运行验证工具时收到警告或错误,请参阅验证工具包中包含的故障排除指南(TROUBLESHOOTING.md)和 故障排除问题 Amazon FSx.