Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen für den Beitritt SVM zu einem selbstverwalteten Microsoft AD
Bevor Sie einer FSx selbstverwalteten Microsoft AD-Domäne beitreten, stellen Sie sicher, dass Ihr Active Directory und Ihr Netzwerk die in den folgenden Abschnitten beschriebenen Anforderungen erfüllen. ONTAP SVM
Themen
Lokale Active Directory-Anforderungen
Stellen Sie sicher, dass Sie bereits über ein lokales oder ein anderes selbstverwaltetes Microsoft AD verfügen, dem SVM Sie beitreten können. Dieses Active Directory sollte die folgende Konfiguration haben:
-
Die Domänenfunktionsebene des Active Directory-Domänencontrollers entspricht Windows Server 2000 oder höher.
-
Das Active Directory verwendet einen Domänennamen, der nicht im Format Single Label Domain (SLD) vorliegt. Amazon unterstützt FSx keine SLD Domains.
-
Wenn Sie Active Directory-Standorte definiert haben, stellen Sie sicher, dass die Subnetze in demVPC, das Ihrem FSx ONTAP Dateisystem zugeordnet ist, an denselben Active Directory-Standorten definiert sind und dass keine Konflikte zwischen Ihren VPC Subnetzen und den Subnetzen an Ihren Active Directory-Standorten bestehen.
Anmerkung
Wenn Sie verwenden AWS Directory Service, unterstützt FSx for den Beitritt SVMs zum Simple Active Directory ONTAP nicht.
Anforderungen an die Netzwerkkonfiguration
Stellen Sie sicher, dass Sie über die folgenden Netzwerkkonfigurationen verfügen und dass Ihnen die entsprechenden Informationen zur Verfügung stehen.
Wichtig
Damit Sie Active Directory beitreten können, müssen Sie sicherstellen, dass die in diesem Thema dokumentierten Ports den Verkehr zwischen allen Active Directory-Domänencontrollern und beiden SCSI IP-Adressen (iscsi_1 und iscsi_2 logische Schnittstellen ()) auf dem zulassen. SVM LIFs SVM
-
Die IP-Adressen des DNS Servers und des Active Directory-Domänencontrollers.
-
Konnektivität zwischen dem AmazonVPC, auf dem Sie das Dateisystem erstellen, und Ihrem selbstverwalteten Active Directory mithilfe von AWS Direct Connect
, AWS VPN , oder AWS Transit Gateway . -
Die Sicherheitsgruppe und das VPC Netzwerk ACLs für die Subnetze, in denen Sie das Dateisystem erstellen, müssen Datenverkehr an den Ports und in den Anweisungen zulassen, die in der folgenden Abbildung dargestellt sind.
Die Rolle der einzelnen Ports wird in der folgenden Tabelle beschrieben.
Protokoll
Ports
Rolle
TCP/UDP
53
Domainnamensystem (DNS)
TCP/UDP
88
Kerberos-Authentifizierung
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
TCP
445
SMBDateifreigabe durch Verzeichnisdienste
TCP/UDP
464
Passwort ändern/festlegen
TCP
636
Lightweight Directory Access Protocol überTLS/SSL(LDAPS)
-
Diese Verkehrsregeln sollten sich auch in den Firewalls widerspiegeln, die für jeden Active Directory-Domänencontroller, DNS -Server, FSx -Clients und -Administrator gelten. FSx
Wichtig
Während VPC Amazon-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC Netzwerke, dass Ports in beide Richtungen geöffnet sind.
Anforderungen an das Active Directory-Dienstkonto
Stellen Sie sicher, dass Sie in Ihrem selbstverwalteten Microsoft AD über ein Dienstkonto verfügen, das über delegierte Berechtigungen zum Hinzufügen von Computern zur Domäne verfügt. Ein Dienstkonto ist ein Benutzerkonto in Ihrem selbstverwalteten Active Directory, dem bestimmte Aufgaben delegiert wurden.
Dem Dienstkonto müssen mindestens die folgenden Berechtigungen in der Organisationseinheit, der Sie beitreten, delegiert werden: SVM
-
Fähigkeit, Passwörter zurückzusetzen
-
Möglichkeit, Konten daran zu hindern, Daten zu lesen und zu schreiben
-
Fähigkeit, die
msDS-SupportedEncryptionTypesEigenschaft für Computerobjekte festzulegen -
Bestätigte Fähigkeit, in den DNS Hostnamen zu schreiben
-
Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service
-
Fähigkeit, Computerobjekte zu erstellen und zu löschen
-
Bestätigte Fähigkeit, Kontoeinschränkungen zu lesen und zu schreiben
Dabei handelt es sich um die Mindestanzahl an Berechtigungen, die erforderlich sind, um Computerobjekte mit Ihrem Active Directory zu verknüpfen. Weitere Informationen finden Sie in der Windows Server-Dokumentation zum Thema Fehler: Zugriff wird verweigert, wenn Benutzer ohne Administratorrechte, denen die Steuerung übertragen wurde, versuchen, Computer mit einem Domänencontroller zu verbinden
Weitere Informationen zum Erstellen eines Dienstkontos mit den richtigen Berechtigungen finden Sie unter. Delegieren von Berechtigungen an Ihr FSx Amazon-Servicekonto
Wichtig
Amazon FSx benötigt während der gesamten Lebensdauer Ihres FSx Amazon-Dateisystems ein gültiges Servicekonto. Amazon FSx muss in der Lage sein, das Dateisystem vollständig zu verwalten und Aufgaben auszuführen, bei denen Ressourcen Ihrer Active Directory-Domain getrennt und wieder hinzugefügt werden müssen. Zu diesen Aufgaben gehören das Ersetzen eines ausgefallenen Dateisystems oder SVM das Patchen NetApp ONTAP von Software. Halten Sie Ihre Active Directory-Konfigurationsinformationen bei Amazon auf dem neuesten StandFSx, einschließlich der Anmeldeinformationen für das Dienstkonto. Weitere Informationen hierzu finden Sie unter Halten Sie Ihre Active Directory-Konfiguration mit Amazon auf dem neuesten Stand FSx.
Wenn Sie AWS und FSx für zum ersten Mal verwenden, stellen Sie sicherONTAP, dass Sie die ersten Einrichtungsschritte abgeschlossen haben, bevor Sie mit der Active Directory-Integration beginnen. Weitere Informationen finden Sie unter Einrichtung FSx für ONTAP.
Wichtig
Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem SVMs Sie erstellt wurden, und löschen Sie Ihr Active Directory nicht, während Ihr Konto damit verknüpft SVM ist. Wenn Sie das tunSVMs, werden Sie falsch konfiguriert.
