Bewährte Methoden für die Arbeit mit Active Directory - FSx für ONTAP
Delegieren von Berechtigungen an Ihr FSx Amazon-ServicekontoHalten Sie eine AD-Konfiguration auf dem neuesten StandBeschränken Sie den Verkehr innerhalb einer VPC mit SicherheitsgruppenRegeln für Sicherheitsgruppen für ausgehenden Datenverkehr erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Arbeit mit Active Directory

Im Folgenden finden Sie einige Vorschläge und Richtlinien, die Sie berücksichtigen sollten, wenn Sie Amazon FSx für NetApp ONTAP SVMs Ihr selbstverwaltetes Microsoft Active Directory beitreten. Beachten Sie, dass diese als bewährte Methoden empfohlen werden, aber nicht erforderlich sind.

Delegieren von Berechtigungen an Ihr FSx Amazon-Servicekonto

Stellen Sie sicher, dass Sie das Servicekonto, das Sie Amazon zur Verfügung stellen, FSx mit den erforderlichen Mindestberechtigungen konfigurieren. Trennen Sie außerdem die Organisationseinheit (OU) von anderen Aspekten des Domain-Controllers.

Um Amazon Ihrer Domain FSx SVMs hinzuzufügen, stellen Sie sicher, dass das Servicekonto über delegierte Berechtigungen verfügt. Mitglieder der Gruppe Domain-Admins verfügen über ausreichende Berechtigungen, um diese Aufgabe auszuführen. Es hat sich jedoch bewährt, ein Dienstkonto zu verwenden, das nur über die dafür erforderlichen Mindestberechtigungen verfügt. Das folgende Verfahren zeigt, wie Sie nur die Berechtigungen delegieren, die FSx für den Beitritt ONTAP SVMs zu Ihrer Domäne erforderlich sind.

Führen Sie dieses Verfahren auf einem Computer aus, der zu Ihrem Verzeichnis hinzugefügt wurde und auf dem das MMC Snap-In „Active Directory-Benutzer und -Computer“ installiert ist.

So erstellen Sie ein Dienstkonto für Ihre Microsoft Active Directory-Domäne

  1. Stellen Sie sicher, dass Sie als Domänenadministrator für Ihre Microsoft Active Directory-Domäne angemeldet sind.

  2. Öffnen Sie das MMC Snap-In „Active Directory-Benutzer und -Computer“.

  3. Erweitern Sie im Aufgabenbereich den Domänenknoten.

  4. Suchen und öffnen Sie das Kontextmenü (mit der rechten Maustaste) für die Organisationseinheit, die Sie ändern möchten, und wählen Sie dann Delegate Control aus.

  5. Wählen Sie auf der Seite des Assistenten zum Delegieren der Steuerung die Option Weiter aus.

  6. Wählen Sie Hinzufügen, um einen bestimmten Benutzer oder eine bestimmte Gruppe für Ausgewählte Benutzer und Gruppen hinzuzufügen, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Zu delegierende Aufgabe die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.

  8. Wählen Sie Nur die folgenden Objekte im Ordner und anschließend Computerobjekte aus.

  9. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen und Ausgewählte Objekte in diesem Ordner löschen. Wählen Sie anschließend Weiter.

  10. Stellen Sie sicher, dass unter Diese Berechtigungen anzeigen die Optionen Allgemein und Eigenschaftsspezifisch ausgewählt sind.

  11. Wählen Sie für Berechtigungen Folgendes aus:

    • Passwort zurücksetzen

    • Kontoeinschränkungen beim Lesen und Schreiben

    • Das Schreiben in den DNS Hostnamen wurde validiert

    • Das Schreiben in den Dienstprinzipalnamen wurde validiert

    • Schreiben Sie MSDs- SupportedEncryptionTypes

  12. Wählen Sie Next (Weiter) und danach Finish (Beenden).

  13. Schließen Sie das MMC Snap-In „Active Directory-Benutzer und -Computer“.

Wichtig

Verschieben Sie keine Computerobjekte, die Amazon FSx nach Ihrer SVMs Erstellung in der Organisationseinheit erstellt. Wenn Sie das tunSVMs, werden Sie falsch konfiguriert.

Halten Sie Ihre Active Directory-Konfiguration mit Amazon auf dem neuesten Stand FSx

Um eine ununterbrochene Verfügbarkeit Ihres Amazon zu gewährleisten FSxSVMs, aktualisieren Sie die selbstverwaltete Active Directory-Konfiguration (AD) von anSVM, wenn Sie Ihr selbstverwaltetes AD-Setup ändern.

Nehmen wir zum Beispiel an, dass Ihr AD eine zeitbasierte Richtlinie zum Zurücksetzen von Passwörtern verwendet. Stellen Sie in diesem Fall sicher, dass Sie das Passwort für das Servicekonto bei Amazon aktualisieren, sobald das Passwort zurückgesetzt wurdeFSx. Verwenden Sie dazu die FSx Amazon-Konsole FSxAPI, Amazon oder AWS CLI. Wenn sich die DNS Server-IP-Adressen für Ihre Active Directory-Domain ändern, aktualisieren Sie die DNS Server-IP-Adressen ebenfalls bei Amazon, sobald die Änderung erfolgtFSx.

Wenn es ein Problem mit der aktualisierten selbstverwalteten AD-Konfiguration gibt, wechselt der SVM Status zu Fehlkonfiguriert. In diesem Status werden neben der SVM Beschreibung in der Konsole eine Fehlermeldung und eine empfohlene Maßnahme angezeigtAPI, und. CLI Wenn ein Problem mit Ihrer SVM AD-Konfiguration auftritt, stellen Sie sicher, dass Sie die empfohlenen Korrekturmaßnahmen für die Konfigurationseigenschaften ergreifen. Wenn das Problem behoben ist, überprüfen Sie, ob SVM sich Ihr Status auf Erstellt ändert.

Weitere Informationen erhalten Sie unter Aktualisierung vorhandener SVM Active Directory-Konfigurationen mithilfe von AWS Management ConsoleAWS CLI, und API und Ändern Sie eine Active Directory-Konfiguration mit dem ONTAP CLI.

Verwenden Sie Sicherheitsgruppen, um den Datenverkehr innerhalb Ihres VPC

Um den Netzwerkverkehr in Ihrer virtuellen privaten Cloud (VPC) zu begrenzen, können Sie das Prinzip der geringsten Rechte in Ihrer implementierenVPC. Mit anderen Worten, Sie können die Berechtigungen auf das erforderliche Minimum beschränken. Verwenden Sie dazu Sicherheitsgruppenregeln. Weitere Informationen hierzu finden Sie unter VPCAmazon-Sicherheitsgruppen.

Sicherheitsgruppenregeln für ausgehende Nachrichten für die Netzwerkschnittstelle Ihres Dateisystems erstellen

Für mehr Sicherheit sollten Sie erwägen, eine Sicherheitsgruppe mit Regeln für ausgehenden Datenverkehr zu konfigurieren. Diese Regeln sollten ausgehenden Datenverkehr nur zu Ihren selbstverwalteten AD-Domänencontrollern oder innerhalb des Subnetzes oder der Sicherheitsgruppe zulassen. Wenden Sie diese Sicherheitsgruppe auf VPC die elastic network interface Ihres FSx Amazon-Dateisystems an. Weitere Informationen hierzu finden Sie unter Dateisystem-Zugriffskontrolle mit Amazon VPC.