本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于 FSx Windows 文件服务器的最佳实践
<a name="windows-best-practices"></a>

 我们建议您在使用亚马逊 FSx Windows 文件服务器时遵循这些最佳实践。

**Topics**
+ [一般最佳实践](#general-best-practices)
+ [安全最佳实践](#security-best-practices)
+ [Active Directory](#ad-best-practices)
+ [配置文件系统并调整其大小](#configuring-and-right-sizing)

## 一般最佳实践
<a name="general-best-practices"></a>

### 创建监控计划
<a name="creating-monitoring-plan"></a>

您可以使用文件系统指标来[监控](monitoring_overview.md)存储使用情况和性能，了解您的使用模式，并在使用量接近文件系统的存储或性能限制时触发通知。通过监控您 FSx 的 Amazon 文件系统以及应用程序环境的其余部分，您可以快速调试任何可能影响性能的问题。

### 确保您的文件系统有足够的资源
<a name="ensuring-sufficient-resources"></a>

资源不足会导致延迟增加和 I/O 请求排队，这可能显示为文件系统完全或部分不可用。有关监控性能以及访问性能警告和建议的更多信息，请参阅[性能警告和建议](monitoring-cloudwatch.md#performance-insights-FSxW)。

## 安全最佳实践
<a name="security-best-practices"></a>

在管理文件系统安全性和访问控制方面，我们建议您遵循以下最佳实践。有关配置 Amazon FSx 以满足您的安全与合规目标的更多详细信息，请参阅[Amazon 的安全 FSx](security.md)。

### 网络安全
<a name="network-security"></a>

#### 请勿修改或删除与您的文件系统关联的 ENI
<a name="dont-modify-or-delete-ENI"></a>

您的 Amazon FSx 文件系统可通过弹性网络接口 (ENI) 进行访问，该接口位于与您的文件系统关联的虚拟私有云 (VPC) 中。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

#### 使用安全组和网络 ACLs
<a name="using-security-groups"></a>

您可以使用安全组和网络访问控制列表 (ACLs) 来限制对文件系统的访问。对于 [VPC 安全组](limit-access-security-groups.md#fsx-vpc-security-groups)，默认安全组已添加到控制台中的文件系统。确保您创建文件系统的子网的安全组和网络 ACLs 允许端口上的流量。

## Active Directory
<a name="ad-best-practices"></a>

创建亚马逊 FSx 文件系统时，您可以将其加入您的 [Microsoft Active Directory 域](aws-ad-integration-fsxW.md)，以提供用户身份验证以及共享、文件和文件夹级别的访问控制授权。您的用户可以使用其现有的 Active Directory 账户连接到文件共享并访问其中的文件和文件夹。此外，您 FSx 无需进行任何修改即可将现有安全 ACL 配置迁移到 Amazon。亚马逊为您 FSx提供了两个活动目录选项：**Amazon 托管的微软活动目录**或**自我管理的微软活动目录**。

如果您使用的是 **Amazon 托管的 Microsoft Active Directory**，我们建议您保留 Active Directory 安全组的默认设置。如果要修改这些设置，请确保使用满足网络要求的网络配置。有关更多信息，请参阅 [联网先决条件](fsx-aws-managed-ad.md#rfim-networking-requirements)。

如果您使用的是**自行管理的 Microsoft Active Directory**，则还可以通过其他选项配置文件系统。在将亚马逊 FSx 与自行管理的 Microsoft Active Directory 配合使用时，我们建议采用以下最佳做法进行初始配置：
+ **将子网分配给单个 Active Directory 站点**：如果您的 Active Directory 环境有大量域控制器，请使用 A **ctive Directory 网站和服务**将您的亚马逊 FSx 文件系统使用的子网分配给可用性和可靠性最高的单个 Active Directory 站点。确保 VPC 安全组、VPC 网络 ACL、您 DCs的 Windows 防火墙规则以及您的 Active Directory 基础设施中的任何其他网络路由控制允许亚马逊 FSx 通过所需端口进行通信。这允许 Windows 在无法使用分配的 Active Directory 站点时恢复到其他 DCs 站点。有关更多信息，请参阅 [使用 Amazon VPC 进行文件系统访问控制](limit-access-security-groups.md)。
+ **使用单独的组织单位 (OU)**：对您的 Amazon FSx 文件系统使用与您可能拥有的任何其他组织单位分开的 OU。
+ 使用所需@@ **的最低权限配置您的服务账户：使用所需**的最低权限配置或委托您提供给 Amazon FSx 的服务账户。有关更多信息，请参阅 [使用自行管理的 Microsoft Active Directory](self-managed-AD.md)。
+ **持续验证您的 Active Directory 配置** [**：在创建您的亚马逊 FSx FSx 文件系统之前，针对您的活动目录配置运行 Amazon Active Directory 验证工具**](validate-ad-config.md) FSx，以验证您的配置是否适用于亚马逊，并发现该工具可能暴露的任何警告和错误。
+ **使用 Amazon Secrets Manager以下方式存储 Active Directory 凭据**：您可以使用 Amazon Secrets Manager 安全地存储和管理您的 Microsoft 活动目录域加入服务帐户凭据。此方法无需在应用程序代码或配置文件中以明文形式存储敏感凭证，从而增强您的安全状况。有关更多信息，请参阅 [使用存储活动目录凭证 Amazon Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。

### 避免因 Active Directory 配置错误而失去可用性
<a name="avoid-losing-availability"></a>

将亚马逊 FSx 与自行管理的 Microsoft Active Directory 配合使用时，重要的是不仅要在创建文件系统时拥有有效的活动目录配置，还要确保持续的操作和可用性。在故障恢复事件、例行维护事件和吞吐量容量更新操作期间，Amazon 会将文件服务器资源 FSx重新加入您的 Active Directory。如果 Active Directory 配置在事件期间无效，则您的文件系统状态将更改为**错误配置**，且存在不可用的风险。以下是一些可避免失去可用性的方法：
+ 使用 **Amazon 更新您的 Active Directory 配置 FSx**：如果您进行更改，例如重置服务账户的密码，请务必使用此服务账户更新所有文件系统的配置。
+ **监控 Active Directory 配置错误**：为自己设置“错误配置”状态通知，以便在必要时重置文件系统的 Active Directory 配置。有关使用基于 Lambda 的解决方案实现这一目标的示例，请参阅使用 Amazon [监控亚马逊 FSx 文件系统的运行状况和](https://www.amazonaws.cn/blogs/storage/monitoring-the-health-of-amazon-fsx-file-systems-using-amazon-eventbridge-and-aws-lambda/)。 EventBridge Amazon Lambda
+ **定期验证您的 Active Directory 配置**：如果您想主动检测 Active Directory 配置错误，我们建议您针对您的 Active Directory 配置持续运行 [Active Directory 验证工具](validate-ad-config.md)。如果您在运行验证工具时收到警告或错误，则表示您的文件系统存在错误配置的风险。
+ **请勿移动或修改由 FSx以下用户创建的计算机对象**：Amazon 使用您提供的服务账户和权限在您的 Active Directory 中 FSx 创建和管理计算机对象。移动或修改这些计算机对象可能会导致文件系统错误配置。

### 窗户 ACLs
<a name="windows-acls"></a>

在 Amazon 中 FSx，您可以使用标准的 Windows 访问控制列表 (ACLs) 进行精细的共享、文件和文件夹级别的访问控制。亚马逊 FSx 文件系统会自动验证访问文件系统数据的用户的证书，以强制执行这些 Windows ACLs。
+ **请勿更改系统用户的 NTFS ACL 权限**：Amazon FSx 要求系统用户拥有对文件系统内所有文件夹的 NTFS ACL 完全控制权限。更改 SYSTEM 用户的 NTFS ACL 权限可能会导致您的文件系统无法访问，并且将来的文件系统备份可能无法使用。

## 配置文件系统并调整其大小
<a name="configuring-and-right-sizing"></a>

### 选择部署类型
<a name="selecting-deployment-type"></a>

Amazon FSx 提供两种部署选项：单可用区和多可用区。对于大多数要求共享 Windows 文件数据具有高可用性的生产工作负载，我们建议使用**多可用区文件系统**。有关更多信息，请参阅 [可用性与持久性：单可用区和多可用区文件系统](high-availability-multiAZ.md)。

### 选择吞吐能力
<a name="selecting-throughput-capacity"></a>

为文件系统配置足够的吞吐能力，不仅要满足工作负载的预期流量，还要满足支持要在文件系统上启用的功能所需的额外性能资源。例如，如果您正在运行重复数据删除，则您选择的吞吐能力必须提供足够的内存，以便根据您拥有的存储空间运行重复数据删除。如果您使用的是影子副本，请将吞吐能力增加到至少为工作负载预期驱动值的三倍，以避免 Windows Server 删除影子副本。有关更多信息，请参阅 [吞吐能力对性能的影响](performance.md#impact-throughput-cap-performance)。

### 增加存储容量和吞吐能力
<a name="increasing-storage-capacity"></a>

当文件系统的可用存储空间不足，或者您预计存储需求将超过当前存储限制时，请增加其存储容量。我们建议您的文件系统始终保持至少 20% 的可用存储容量。我们还建议在增加存储容量之前，至少将吞吐能力增加 20%，以抵消增加存储空间期间可能产生的性能影响。您可以使用该*FreeStorageCapacity* CloudWatch 指标来监控可用存储量并了解其趋势。有关更多信息，请参阅 [管理存储容量](managing-storage-configuration.md#managing-storage-capacity)。

如果您的工作负载受当前性能限制，则还应提高文件系统的吞吐能力。您可以使用 FSx 控制台上的 “**监控和性能**” 页面查看工作负载需求何时接近或超过性能限制，以确定您的文件系统是否为工作负载配置不足。

为了最大限度地缩短存储扩展的持续时间并避免写入性能降低，我们建议先提高文件系统的吞吐能力，再增加存储容量，存储容量增加完成后再降低吞吐能力。在存储扩展期间，对大多数工作负载的性能影响微乎其微。但是，使用 HDD 存储类型的文件系统，以及涉及大量终端用户、高 I/O 级别或拥有大量小文件的数据集的工作负载，可能会暂时出现性能下降的情况。有关更多信息，请参阅 [增加存储容量并提升文件系统性能](managing-storage-configuration.md#storage-capacity-increase-and-performance)。

### 在空闲期间修改吞吐能力
<a name="modifying-throughput-capacity"></a>

更新吞吐能力会导致单可用区文件系统的可用性中断几分钟，并导致多可用区文件系统的失效转移和失效自动恢复。对于多可用区文件系统，如果在失效转移和失效自动恢复期间有持续的流量，则在此期间所做的任何数据更改都需要在文件服务器之间同步。对于写入量大和 IOPS 量大的工作负载，数据同步进程可能需要长达数小时。尽管在此期间您的文件系统将继续可用，但我们建议您在文件系统负载最小的空闲时段安排维护时段，并更新吞吐能力，以缩短数据同步的持续时间。要了解更多信息，请参阅[管理吞吐能力](managing-throughput-capacity.md)。