Umstellung auf Amazon FSx - Amazon FSx für Windows File Server
Vorbereitung der Umstellung auf Amazon FSxKonfigurieren Sie SPNs für die Kerberos-AuthentifizierungAktualisieren Sie die DNS-CNAME-Einträge für das Amazon FSx-Dateisystem

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umstellung auf Amazon FSx

Um zu Ihrem Dateisystem FSx for Windows File Server zu wechseln, führen Sie die folgenden Schritte aus:

  • Bereiten Sie sich auf den Cut-Over vor.

    • Trennen Sie SMB-Clients vorübergehend vom ursprünglichen Dateisystem.

    • Führen Sie eine abschließende Synchronisierung der Datei- und Dateifreigabekonfiguration durch.

  • Konfigurieren Sie Service Principal Names (SPNs) für Ihr Amazon FSx-Dateisystem.

  • Aktualisieren Sie DNS-CNAME-Einträge so, dass sie auf Ihr Amazon FSx-Dateisystem verweisen.

Die Verfahren zur Durchführung der einzelnen Schritte werden in den folgenden Abschnitten beschrieben.

Vorbereitung der Umstellung auf Amazon FSx

Um die Umstellung auf Ihr Amazon FSx-Dateisystem vorzubereiten, müssen Sie wie folgt vorgehen:

Konfigurieren Sie SPNs für die Kerberos-Authentifizierung

Wir empfehlen Ihnen, bei der Übertragung mit Amazon FSx die Kerberos-basierte Authentifizierung und Verschlüsselung zu verwenden. Kerberos bietet die sicherste Authentifizierung für Clients, die auf Ihr Dateisystem zugreifen. Um die Kerberos-Authentifizierung für Clients zu aktivieren, die über einen DNS-Alias auf Amazon FSx zugreifen, müssen Sie Service Principal Names (SPNs) hinzufügen, die dem DNS-Alias auf dem Active Directory-Computerobjekt Ihres Amazon FSx-Dateisystems entsprechen.

Für die Kerberos-Authentifizierung sind zwei SPNs erforderlich.

HOST/alias
HOST/alias.domain

Wenn der Alias beispielsweise lautetfinance.domain.com, lauten die beiden erforderlichen SPNs wie folgt.

HOST/finance
HOST/finance.domain.com

Ein SPN kann jeweils nur einem einzigen Active Directory-Computerobjekt zugeordnet werden. Wenn SPNs für den DNS-Namen vorhanden sind, der für das Active Directory-Computerobjekt Ihres ursprünglichen Dateisystems konfiguriert ist, müssen Sie diese löschen, bevor Sie SPNs für Ihr Amazon FSx-Dateisystem erstellen.

Die folgenden Verfahren beschreiben, wie Sie alle vorhandenen SPNs finden, löschen und neue SPNs für das Active Directory-Computerobjekt Ihres Amazon FSx-Dateisystems erstellen.

Um das erforderliche PowerShell Active Directory-Modul zu installieren

  1. Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr Amazon FSx-Dateisystem verknüpft ist.

  2. PowerShell Als Administrator öffnen.

  3. Installieren Sie das PowerShell Active Directory-Modul mit dem folgenden Befehl.

    Install-WindowsFeature RSAT-AD-PowerShell
So suchen und löschen Sie vorhandene DNS-Alias-SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems

  1. Suchen Sie mithilfe der folgenden Befehle nach vorhandenen SPNs. alias_fqdnErsetzen Sie es durch den DNS-Alias, den Sie dem Dateisystem in Migration der DNS-Konfiguration zur Verwendung von Amazon FSx zugeordnet haben.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Löschen Sie die vorhandenen HOST-SPNs, die im vorherigen Schritt zurückgegeben wurden, mithilfe des folgenden Beispielskripts.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Wiederholen Sie diese Schritte für jeden DNS-Alias, den Sie dem Dateisystem in zugeordnet habenMigration der DNS-Konfiguration zur Verwendung von Amazon FSx.

So legen Sie SPNs für das Active Directory-Computerobjekt Ihres Amazon FSx-Dateisystems fest

  1. Legen Sie neue SPNs für Ihr Amazon FSx-Dateisystem fest, indem Sie die folgenden Befehle ausführen.

    • file_system_DNS_nameErsetzen Sie durch den DNS-Namen, den Amazon FSx dem Dateisystem zugewiesen hat.

      Um den DNS-Namen Ihres Dateisystems auf der Amazon FSx-Konsole zu finden, wählen Sie Dateisysteme und wählen Sie Ihr Dateisystem aus. Wählen Sie auf der Seite mit den Dateisystem-Details den Bereich Netzwerk und Sicherheit. Sie können den DNS-Namen auch als Antwort auf den DescribeFileSystems-API-Vorgang abrufen.

    • alias_fqdnErsetzen Sie ihn durch den vollständigen DNS-Alias, den Sie dem Dateisystem in zugeordnet habenMigration der DNS-Konfiguration zur Verwendung von Amazon FSx.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    Anmerkung

    Das Einrichten eines SPN für Ihr Amazon FSx-Dateisystem schlägt fehl, wenn ein SPN für den DNS-Alias im AD für das Computerobjekt des ursprünglichen Dateisystems vorhanden ist. Informationen zum Suchen und Löschen vorhandener SPNs finden Sie unter. So suchen und löschen Sie vorhandene DNS-Alias-SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems

  2. Stellen Sie mithilfe des folgenden Beispielskripts sicher, dass die neuen SPNs für den DNS-Alias konfiguriert sind. Stellen Sie sicher, dass die Antwort zwei HOST-SPNs enthält, undHOST/alias. HOST/alias_fqdn

    file_system_DNS_nameErsetzen Sie durch den DNS-Namen, den Amazon FSx Ihrem Dateisystem zugewiesen hat. Um den DNS-Namen Ihres Dateisystems auf der Amazon FSx-Konsole zu finden, wählen Sie Dateisysteme, wählen Sie Ihr Dateisystem und dann auf der Seite mit den Dateisystemdetails den Bereich Netzwerk und Sicherheit.

    Sie können den DNS-Namen auch in der Antwort auf den DescribeFileSystems-API-Vorgang abrufen.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Wiederholen Sie die vorherigen Schritte für jeden DNS-Alias, den Sie dem Dateisystem zugeordnet habenMigration der DNS-Konfiguration zur Verwendung von Amazon FSx.

Anmerkung

Sie können die Kerberos-Authentifizierung und Verschlüsselung bei der Übertragung von Clients erzwingen, die über DNS-Aliase eine Verbindung zu Ihrem Dateisystem herstellen, indem Sie die folgenden Gruppenrichtlinienobjekte (GPOs) in Ihrem Active Directory einrichten:

  • NTLM einschränken: Ausgehender NTLM-Verkehr zu Remoteservern

  • NTLM einschränken: Fügen Sie Remoteserver-Ausnahmen für die NTLM-Authentifizierung hinzu

Weitere Informationen finden Sie unter Erzwingen der Kerberos-Authentifizierung mithilfe von GPOs Exemplarische Vorgehensweise 5: Verwenden von DNS-Aliasen für den Zugriff auf Ihr Dateisystem.

Aktualisieren Sie die DNS-CNAME-Einträge für das Amazon FSx-Dateisystem

Nachdem Sie SPNs für Ihr Dateisystem ordnungsgemäß konfiguriert haben, können Sie zu Amazon FSx wechseln, indem Sie jeden DNS-Eintrag, der in das ursprüngliche Dateisystem aufgelöst wurde, durch einen DNS-Eintrag ersetzen, der in den Standard-DNS-Namen des Amazon FSx-Dateisystems aufgelöst wird.

Um die erforderlichen Cmdlets zu installieren PowerShell

  1. Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr Amazon FSx-Dateisystem verknüpft ist, als Benutzer, der Mitglied einer Gruppe ist, die über DNS-Verwaltungsberechtigungen verfügt (AWS Delegated Domain Name System Administrators in AWS Managed Microsoft Active Directory und Domain Admins oder eine andere Gruppe, an die Sie DNS-Verwaltungsberechtigungen in Ihrem selbstverwalteten Active Directory delegiert haben)

    Weitere Informationen finden Sie unter Connecting to Your Windows Instance im Amazon EC2 EC2-Benutzerhandbuch.

  2. PowerShell Als Administrator öffnen.

  3. Das PowerShell DNS-Servermodul ist erforderlich, um die Anweisungen in diesem Verfahren auszuführen. Installieren Sie es mit dem folgenden Befehl.

    Install-WindowsFeature RSAT-DNS-Server
Um einen vorhandenen DNS-CNAME-Eintrag zu aktualisieren

  1. Das folgende Skript aktualisiert alle vorhandenen DNS-CNAME-Einträge für alias_fqdn das Computerobjekt Ihres Amazon FSx-Dateisystems. Wenn keiner gefunden wird, wird ein neuer DNS-CNAME-Eintrag für den DNS-Alias erstelltalias_fqdn, der in den Standard-DNS-Namen für Ihr Amazon FSx-Dateisystem aufgelöst wird.

    So führen Sie das Skript aus:

    • alias_fqdnErsetzen Sie ihn durch den DNS-Alias, den Sie dem Dateisystem zugeordnet haben.

    • file_system_DNS_nameErsetzen Sie durch den Standard-DNS-Namen, den Amazon FSx dem Dateisystem zugewiesen hat.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. Wiederholen Sie den vorherigen Schritt für jeden DNS-Alias, den Sie dem Dateisystem in Migration der DNS-Konfiguration zur Verwendung von Amazon FSx zugeordnet haben.