Voraussetzungen für die Verwendung eines selbstverwalteten Microsoft Active Directory - Amazon FSx für Windows File Server
Lokale KonfigurationenNetzwerkkonfigurationenBerechtigungen für das Dienstkonto

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für die Verwendung eines selbstverwalteten Microsoft Active Directory

Bevor Sie ein Amazon FSx-Dateisystem erstellen, das mit Ihrer selbstverwalteten Microsoft Active Directory-Domain verknüpft ist, überprüfen Sie die folgenden Voraussetzungen.

Lokale Konfigurationen

Stellen Sie sicher, dass Sie über ein lokales oder ein anderes selbstverwaltetes Microsoft Active Directory verfügen, mit dem Sie das Amazon FSx-Dateisystem verbinden können. Ihr lokales Active Directory sollte die folgende Konfiguration haben:

  • Ihr Active Directory-Domänencontroller hat eine Domänenfunktionsebene auf Windows Server 2008 R2 oder höher.

  • Je nachdem, wann Ihr Dateisystem erstellt wurde, lauten die IP-Adressen des DNS-Servers und des Active Directory-Domänencontrollers wie folgt:

    Für Dateisysteme, die vor dem 17. Dezember 2020 erstellt wurden Für Dateisysteme, die nach dem 17. Dezember 2020 erstellt wurden

    IP-Adressen müssen sich in einem privaten IP-Adressbereich nach RFC 1918 befinden:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP-Adressen können in einem beliebigen Bereich liegen, mit Ausnahme von:

    • IP-Adressen, die mit den IP-Adressen von Amazon Web Services in dieser AWS Region in Konflikt stehen. Eine Liste der AWS eigenen IP-Adressen nach Regionen finden Sie unter AWS IP-Adressbereiche.

    • IP-Adressen im folgenden CIDR-Blockbereich: 198.19.0.0/16

    Wenn Sie auf ein Dateisystem FSx for Windows File Server zugreifen müssen, das vor dem 17. Dezember 2020 mit einem nicht privaten IP-Adressbereich erstellt wurde, können Sie ein neues Dateisystem erstellen, indem Sie eine Sicherungskopie des Dateisystems wiederherstellen. Weitere Informationen finden Sie unter Arbeiten mit Backups.

  • Ein Domainname, der nicht im Single Label Domain (SLD) -Format vorliegt. Amazon FSx unterstützt keine SLD-Domains.

  • Für Single-AZ 2- und alle Multi-AZ-Dateisysteme darf der Active Directory-Domänenname 47 Zeichen nicht überschreiten.

  • Wenn Sie Active Directory-Standorte definiert haben, müssen die Subnetze in der VPC, die Ihrem Amazon FSx-Dateisystem zugeordnet ist, an einem Active Directory-Standort definiert werden, und es dürfen keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen an Ihren anderen Standorten bestehen.

  • Möglicherweise müssen Sie Ihrer Firewall Regeln hinzufügen, um ICMP-Traffic zwischen Ihren Active Directory-Domain-Controllern und Amazon FSx zuzulassen.

Netzwerkkonfigurationen

In diesem Abschnitt werden die Netzwerkkonfigurationen beschrieben, die für den Beitritt eines Dateisystems zu Ihrem selbstverwalteten Active Directory erforderlich sind.

Wir empfehlen Ihnen, das Amazon FSx Active Directory-Validierungstool zu verwenden, um Ihre Netzwerkeinstellungen zu testen, bevor Sie versuchen, Ihr Dateisystem mit Ihrem selbstverwalteten Active Directory zu verbinden.

  • Die Konnektivität zwischen der Amazon VPC, auf der Sie das Dateisystem erstellen möchten, und Ihrem selbstverwalteten Active Directory muss konfiguriert werden. Sie können diese Konnektivität mithilfe von AWS Direct Connect, AWS Virtual Private Network, VPC-Peering oder einrichten. AWS Transit Gateway

  • Für VPC-Sicherheitsgruppen muss die Standardsicherheitsgruppe für Ihre standardmäßige Amazon-VPC Ihrem Dateisystem in der Konsole hinzugefügt werden. Stellen Sie sicher, dass die Sicherheitsgruppe und die VPC-Netzwerk-ACLs für die Subnetze, in denen Sie Ihr FSx-Dateisystem erstellen, Datenverkehr auf den Ports und in den in der folgenden Abbildung gezeigten Anweisungen zulassen.

    FSx for Windows File Server-Portkonfigurationsanforderungen für VPC-Sicherheitsgruppen und Netzwerk-ACLs für die Subnetze, in denen das Dateisystem erstellt wird.

    In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

    Protokoll

    Ports

    Rolle

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Kerberos-Authentifizierung

    TCP/UDP

    464

    Passwort ändern/einrichten

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Verteilte Computerumgebung/Endpunktmapper (DCE/EPMAP)

    TCP

    445

    Directory-Services-SMB-Dateifreigabe

    TCP

    636

    Lightweight Directory Access Protocol über TLS/SSL (LDAPS)

    TCP

    3268

    Globaler Microsoft-Katalog

    TCP

    3269

    Microsoft Global Catalog über SSL

    TCP

    5985

    WinRM 2.0 (Microsoft Windows-Fernverwaltung)

    TCP

    9389

    Microsoft Active Directory DS-Webdienste, PowerShell

    TCP

    49152–65535

    Flüchtige Ports für RPC

    Stellen Sie sicher, dass diese Verkehrsregeln auch auf den Firewalls widergespiegelt werden, die für jeden der Active Directory-Domänencontroller, DNS-Server, FSx-Clients und FSx-Administratoren gelten.

Wichtig

Für Single-AZ 2- und Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP-Port 9389 zuzulassen.

Anmerkung

Wenn Sie VPC-Netzwerk-ACLs verwenden, müssen Sie auch ausgehenden Datenverkehr auf dynamischen Ports (49152-65535) aus Ihrem FSx-Dateisystem zulassen.

Wichtig

Während Amazon VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, erfordern die meisten Windows-Firewalls und VPC-Netzwerk-ACLs, dass Ports in beide Richtungen geöffnet sind.

Berechtigungen für das Dienstkonto

Stellen Sie sicher, dass Sie in Ihrem selbstverwalteten Microsoft Active Directory über ein Dienstkonto mit delegierten Berechtigungen zum Hinzufügen von Computern zur Domäne verfügen. Ein Dienstkonto ist ein Benutzerkonto in Ihrem selbstverwalteten Microsoft Active Directory, dem bestimmte Aufgaben delegiert wurden.

Dem Dienstkonto müssen mindestens die folgenden Berechtigungen in der Organisationseinheit, der Sie dem Dateisystem beitreten, delegiert werden:

  • Fähigkeit, Passwörter zurückzusetzen

  • Möglichkeit, Konten am Lesen und Schreiben von Daten zu hindern

  • Überprüfte Fähigkeit zum Schreiben in den DNS-Hostnamen

  • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

  • Fähigkeit (kann delegiert werden), Computerobjekte zu erstellen und zu löschen

  • Bestätigte Fähigkeit zum Lesen und Schreiben von Kontoeinschränkungen

  • Fähigkeit, Berechtigungen zu ändern

Dies sind die Mindestberechtigungen, die erforderlich sind, um Computerobjekte mit Ihrem Active Directory zu verknüpfen. Weitere Informationen finden Sie in der Microsoft Windows Server-Dokumentation zum Thema Fehler: Zugriff wird verweigert, wenn Benutzer ohne Administratorrechte, denen die Steuerung delegiert wurde, versuchen, Computer mit einem Domänencontroller zu verbinden.

Weitere Informationen zum Erstellen eines Dienstkontos mit den richtigen Berechtigungen finden Sie unter. Delegieren von Berechtigungen an Ihr Amazon-FSx-Servicekonto

Amazon FSx benötigt während der gesamten Lebensdauer Ihres Amazon FSx-Dateisystems ein gültiges Servicekonto. Amazon FSx muss in der Lage sein, das Dateisystem vollständig zu verwalten und Aufgaben auszuführen, die das Trennen und Wiederverbinden mit Ihrer Active Directory-Domain über das Servicekonto erfordern. Zu diesen Aufgaben gehören das Ersetzen eines ausgefallenen Dateiservers oder das Patchen der Windows Server-Software. Es ist unbedingt erforderlich, dass Sie Ihre Active Directory-Konfiguration, einschließlich der Anmeldeinformationen für das Dienstkonto, mit Amazon FSx auf dem neuesten Stand halten. Weitere Informationen finden Sie unter Aktualisieren Ihrer Active-Directory-Konfiguration.

Amazon FSx erfordert Konnektivität zu allen Domain-Controllern in Ihrer Active Directory-Umgebung. Wenn Sie über mehrere Domain-Controller verfügen, stellen Sie sicher, dass alle die oben genannten Anforderungen erfüllen, und stellen Sie sicher, dass alle Änderungen an Ihrem Servicekonto auf alle Domain-Controller übertragen werden.

Mit dem Amazon FSx Active Directory Validation Tool können Sie Ihre Active Directory-Konfiguration validieren, einschließlich des Testens der Konnektivität mehrerer Domain-Controller. Um die Anzahl der Domain-Controller zu begrenzen, die Konnektivität benötigen, können Sie auch eine Vertrauensbeziehung zwischen Ihren lokalen Domain-Controllern und aufbauen. AWS Managed Microsoft AD Weitere Informationen finden Sie unter Verwenden Sie ein Modell zur Isolierung von Ressourcengesamtstrukturen.

Wichtig

Verschieben Sie keine Computerobjekte, die Amazon FSx in der Organisationseinheit erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.