Verwenden eines selbstverwalteten Microsoft Active Directory - Amazon FSx für Windows-Dateiserver
VoraussetzungenBewährte Methoden für selbstverwaltetes Active DirectoryFSxAmazon-Servicekonto

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden eines selbstverwalteten Microsoft Active Directory

Wenn Ihr Unternehmen Identitäten und Geräte mit einem selbstverwalteten Active Directory vor Ort oder in der Cloud verwaltet, können Sie bei der Erstellung ein Dateisystem FSx für Windows-Dateiserver zu Ihrer Active Directory-Domäne hinzufügen.

Wenn Sie Ihr Dateisystem mit Ihrem selbstverwalteten Active Directory verbinden, befindet sich Ihr Dateisystem FSx für Windows File Server in derselben Active Directory-Gesamtstruktur (dem obersten logischen Container in einer Active Directory-Konfiguration, die Domänen, Benutzer und Computer enthält) und in derselben Active Directory-Domäne wie Ihre Benutzer und vorhandenen Ressourcen (einschließlich vorhandener Dateiserver).

Anmerkung

Sie können Ihre Ressourcen — einschließlich Ihrer FSx Amazon-Dateisysteme — in einer anderen Active Directory-Gesamtstruktur isolieren als die, in der sich Ihre Benutzer befinden. Fügen Sie dazu Ihr Dateisystem einem AWS verwalteten Active Directory hinzu und richten Sie eine unidirektionale Gesamtvertrauensstellung zwischen einem von Ihnen erstellten verwalteten Active Directory und Ihrem vorhandenen AWS selbstverwalteten Active Directory ein.

  • Benutzername und Passwort für ein Dienstkonto in Ihrer Active Directory-Domain, das Amazon verwenden FSx kann, um das Dateisystem mit Ihrer Active Directory-Domain zu verbinden.

  • (Optional) Die Organisationseinheit (OU) in Ihrer Domain, der Sie Ihr Dateisystem zuordnen möchten.

  • (Optional) Die Domänengruppe, an die Sie die Befugnis zur Durchführung administrativer Aktionen in Ihrem Dateisystem delegieren möchten. Diese Domänengruppe kann beispielsweise Windows-Dateifreigaben verwalten, Zugriffssteuerungslisten (ACLs) im Stammordner des Dateisystems verwalten, den Besitz von Dateien und Ordnern übernehmen usw. Wenn Sie diese Gruppe nicht angeben, FSx delegiert Amazon diese Autorität standardmäßig an die Gruppe Domain-Admins in Ihrer Active Directory-Domain.

    Anmerkung

    Der von Ihnen angegebene Domänengruppenname muss in Ihrem Active Directory eindeutig sein. FSxfür Windows File Server wird die Domänengruppe unter den folgenden Umständen nicht erstellt:

    • Wenn bereits eine Gruppe mit dem von Ihnen angegebenen Namen existiert

    • Wenn Sie keinen Namen angeben und eine Gruppe mit dem Namen „Domain-Admins“ bereits in Ihrem Active Directory existiert.

    Weitere Informationen finden Sie unter Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden.

Themen

Voraussetzungen

Bevor Sie ein Dateisystem FSx für Windows File Server zu Ihrer selbstverwalteten Microsoft Active Directory-Domäne hinzufügen, überprüfen Sie die folgenden Voraussetzungen, um sicherzustellen, dass Sie Ihr FSx Amazon-Dateisystem erfolgreich mit Ihrem selbstverwalteten Active Directory verbinden können.

Konfigurationen vor Ort

Dies sind die Voraussetzungen für Ihr selbstverwaltetes Microsoft Active Directory, entweder lokal oder cloudbasiert, mit dem Sie dem FSx Amazon-Dateisystem beitreten werden.

  • Die Active Directory-Domänencontroller:

    • Muss über eine Domänenfunktionsebene auf Windows Server 2008 R2 oder höher verfügen.

    • Muss beschreibbar sein.

  • Die IP-Adressen des DNS Servers und des Active Directory-Domain-Controllers müssen die folgenden Anforderungen erfüllen, die je nachdem, wann Ihr FSx Amazon-Dateisystem erstellt wurde, variieren:

    Für Dateisysteme, die vor dem 17. Dezember 2020 erstellt wurden Für Dateisysteme, die nach dem 17. Dezember 2020 erstellt wurden

    IP-Adressen müssen sich in einem privaten IP-Adressbereich von RFC1918 befinden:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP-Adressen können in einem beliebigen Bereich liegen, mit folgenden Ausnahmen:

    • IP-Adressen, die mit den IP-Adressen von Amazon Web Services in dem Konflikt stehen AWS-Region , in dem sich das Dateisystem befindet. Eine Liste der AWS eigenen IP-Adressen nach Regionen finden Sie unter AWS IP-Adressbereiche.

    • IP-Adressen im CIDR Blockbereich 198.19.0.0/16

    Wenn Sie auf ein Dateisystem FSx für Windows File Server zugreifen müssen, das vor dem 17. Dezember 2020 mit einem nicht privaten IP-Adressbereich erstellt wurde, können Sie ein neues Dateisystem erstellen, indem Sie eine Sicherungskopie des Dateisystems wiederherstellen. Weitere Informationen finden Sie unter Wiederherstellung eines Backups in einem neuen Dateisystem.

  • Der Domänenname Ihres selbstverwalteten Active Directory muss die folgenden Anforderungen erfüllen:

    • Der Domänenname ist nicht im Format Single Label Domain (SLD). Amazon unterstützt FSx keine SLD Domains.

    • Bei Single-AZ 2- und allen Multi-AZ-Dateisystemen darf der Domainname 47 Zeichen nicht überschreiten.

  • Alle von Ihnen definierten Active Directory-Standorte müssen die folgenden Voraussetzungen erfüllen:

    • Die Subnetze in demVPC, das Ihrem Dateisystem zugeordnet ist, müssen an einem Active Directory-Standort definiert werden.

    • Es bestehen keine Konflikte zwischen den VPC Subnetzen und den Subnetzen der Active Directory-Standorte.

    Amazon FSx benötigt Konnektivität zu allen Domain-Controllern in Ihrer Active Directory-Umgebung. Wenn Sie über mehrere Domain-Controller verfügen, stellen Sie sicher, dass alle die oben genannten Anforderungen erfüllen, und stellen Sie sicher, dass alle Änderungen an Ihrem Servicekonto auf alle Domain-Controller übertragen werden.

    Wichtig

    Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.

Mit dem Amazon FSx Active Directory Validation Tool können Sie Ihre Active Directory-Konfiguration validieren, einschließlich der Verbindungstests mehrerer Domain-Controller. Um die Anzahl der Domain-Controller zu begrenzen, die Konnektivität benötigen, können Sie auch eine Vertrauensbeziehung zwischen Ihren lokalen Domain-Controllern und AWS Managed Microsoft AD aufbauen. Weitere Informationen finden Sie unter Verwenden Sie ein Modell zur Isolierung von Ressourcengesamtstrukturen.

Wichtig

Amazon registriert die DNS Datensätze für ein Dateisystem FSx nur, wenn Sie Microsoft DNS als DNS Standarddienst verwenden. Wenn Sie einen Drittanbieter verwendenDNS, müssen Sie die DNS Datensatzeinträge für Ihr Dateisystem manuell einrichten, nachdem Sie es erstellt haben.

Netzwerkkonfigurationen

In diesem Abschnitt werden die Netzwerkkonfigurationsanforderungen für den Beitritt eines Dateisystems zu Ihrem selbstverwalteten Active Directory beschrieben. Wir empfehlen Ihnen dringend, das Amazon FSx Active Directory-Validierungstool zu verwenden, um Ihre Netzwerkeinstellungen zu testen, bevor Sie versuchen, Ihr Dateisystem mit Ihrem selbstverwalteten Active Directory zu verbinden.

  • Stellen Sie sicher, dass Ihre Firewall-Regeln den ICMP Verkehr zwischen Ihren Active Directory-Domänencontrollern und Amazon zulassenFSx.

  • Die Konnektivität zwischen dem Amazon, VPC in dem Sie das Dateisystem erstellen möchten, und Ihrem selbstverwalteten Active Directory muss konfiguriert werden. Sie können diese Konnektivität mithilfe von AWS Direct Connect, AWS Virtual Private Network, VPCPeering oder einrichten. AWS Transit Gateway

  • Die VPC Standardsicherheitsgruppe für Ihr Standard-Amazon VPC muss über die FSx Amazon-Konsole zu Ihrem Dateisystem hinzugefügt werden. Stellen Sie sicher, dass die Sicherheitsgruppe und das VPC Netzwerk ACLs für die Subnetze, in denen Sie Ihr Dateisystem erstellen, Datenverkehr auf den Ports und in der in der folgenden Abbildung gezeigten Richtung zulassen.

    FSxfür die Anforderungen an die Portkonfiguration des Windows-Dateiservers für VPC Sicherheitsgruppen und das Netzwerk ACLs für die Subnetze, in denen das Dateisystem erstellt wird.

    In der folgenden Tabelle sind das Protokoll, die Ports und die jeweilige Rolle aufgeführt.

    Protokoll

    Ports

    Rolle

    TCP/UDP

    53

    Domainnamensystem (DNS)

    TCP/UDP

    88

    Kerberos-Authentifizierung

    TCP/UDP

    464

    Passwort ändern/einrichten

    TCP/UDP

    389

    Lightweight Directory Access Protocol () LDAP
    UDP 123

    Netzwerkzeitprotokoll (NTP)
    TCP 135

    Verteilte Computerumgebung/Endpunktmapper (/) DCE EPMAP

    TCP

    445

    Dateifreigabe durch Verzeichnisdienste SMB

    TCP

    636

    Lightweight Directory Access Protocol überTLS/SSL(LDAPS)

    TCP

    3268

    Globaler Microsoft-Katalog

    TCP

    3269

    Microsoft Global Catalog vorbei SSL

    TCP

    5985

    WinRM 2.0 (Microsoft Windows-Fernverwaltung)

    TCP

    9389

    Microsoft Active Directory DS-Webdienste, PowerShell

    Wichtig

    Für Single-AZ 2- und Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP Port 9389 zuzulassen.

    TCP

    49152–65535

    Kurzlebige Ports für RPC

    Diese Verkehrsregeln müssen auch auf den Firewalls widergespiegelt werden, die für jeden Active Directory-Domänencontroller, DNS -Server, FSx -Clients und -Administrator gelten. FSx

Anmerkung

Wenn Sie ein VPC Netzwerk verwendenACLs, müssen Sie auch ausgehenden Datenverkehr über dynamische Ports (49152-65535) von Ihrem Dateisystem aus zulassen.

Wichtig

Während VPC Amazon-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC Netzwerke, dass Ports in beide Richtungen geöffnet sind.

Berechtigungen für das Dienstkonto

Sie benötigen ein Dienstkonto in Ihrem selbstverwalteten Microsoft Active Directory mit delegierten Berechtigungen, um Computerobjekte mit Ihrer selbstverwalteten Active Directory-Domäne zu verbinden. Ein Dienstkonto ist ein Benutzerkonto in Ihrem selbstverwalteten Active Directory, dem bestimmte Aufgaben delegiert wurden.

Im Folgenden finden Sie die Mindestberechtigungen, die an das FSx Amazon-Servicekonto in der Organisationseinheit delegiert werden müssen, zu der Sie das Dateisystem hinzufügen.

  • Wenn Sie Delegate Control für den Active Directory-Benutzer und die Active Directory-Computer verwenden: MMC

    • Zurücksetzen von Passwörtern

    • Kontoeinschränkungen beim Lesen und Schreiben

    • Das Schreiben in den DNS Hostnamen wurde validiert

    • Das Schreiben in den Dienstprinzipalnamen wurde validiert

  • Wenn Sie erweiterte Funktionen in Active Directory-Benutzer und -Computern verwendenMMC:

    • Berechtigungen ändern

    • Erstellen von Computerobjekten

    • Computerobjekte löschen

Weitere Informationen finden Sie in der Microsoft Windows Server-Dokumentation zum Thema Fehler: Zugriff wird verweigert, wenn Benutzer ohne Administratorrechte, denen die Steuerung delegiert wurde, versuchen, Computer mit einem Domänencontroller zu verbinden.

Weitere Informationen zum Einstellen der erforderlichen Berechtigungen finden Sie unter. Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe

Bewährte Methoden für selbstverwaltetes Active Directory

Wir empfehlen Ihnen, diese bewährten Methoden zu befolgen, wenn Sie ein Amazon FSx for Windows File Server-Dateisystem mit Ihrem selbstverwalteten Microsoft Active Directory verbinden. Diese bewährten Methoden helfen Ihnen dabei, die kontinuierliche, ununterbrochene Verfügbarkeit Ihres Dateisystems aufrechtzuerhalten.

Verwenden Sie ein separates Servicekonto für Amazon FSx

Verwenden Sie ein separates Servicekonto, um Amazon die erforderlichen Rechte zur vollständigen Verwaltung von Dateisystemen FSx zu delegieren, die mit Ihrem selbstverwalteten Active Directory verknüpft sind. Wir empfehlen nicht, die Domain-Admins für diesen Zweck zu verwenden.

Verwenden Sie eine Active Directory-Gruppe

Verwenden Sie eine Active Directory-Gruppe, um die mit dem FSx Amazon-Servicekonto verknüpften Active Directory-Berechtigungen und -Konfigurationen zu verwalten.

Trennen Sie die Organisationseinheit (OU)

Um das Auffinden und Verwalten Ihrer FSx Amazon-Computerobjekte zu erleichtern, empfehlen wir Ihnen, die Organisationseinheit (OU), die Sie für Ihre Dateisysteme FSx für Windows File Server verwenden, von anderen Domain-Controllern zu trennen.

Behalten Sie die Active Directory-Konfiguration bei up-to-date

Es ist unbedingt erforderlich, dass Sie die Active Directory-Konfiguration Ihres Dateisystems up-to-date bei allen Änderungen beibehalten. Wenn Ihr selbstverwaltetes Active Directory beispielsweise eine zeitbasierte Kennwortrücksetzrichtlinie verwendet, stellen Sie sicher, dass Sie das Kennwort für das Dienstkonto in Ihrem Dateisystem aktualisieren, sobald das Kennwort zurückgesetzt wurde. Weitere Informationen finden Sie unter Aktualisierung einer selbstverwalteten Active Directory-Konfiguration.

Das FSx Amazon-Servicekonto ändern

Wenn Sie Ihr Dateisystem mit einem neuen Dienstkonto aktualisieren, muss es über die erforderlichen Berechtigungen und Privilegien verfügen, um Ihrem Active Directory beizutreten, und es muss über Vollzugriff auf die vorhandenen Computerobjekte verfügen, die dem Dateisystem zugeordnet sind. Weitere Informationen finden Sie unter Das FSx Amazon-Servicekonto ändern.

Verwenden Sie Sicherheitsgruppenregeln, um den Datenverkehr zu begrenzen

Verwenden Sie Sicherheitsgruppenregeln, um das Prinzip der geringsten Rechte in Ihrer virtuellen privaten Cloud zu implementieren (VPC). Sie können die Art des eingehenden und ausgehenden Netzwerkverkehrs, der für Ihre Datei zulässig ist, mithilfe von VPC Sicherheitsgruppenregeln einschränken. Wir empfehlen beispielsweise, nur ausgehenden Datenverkehr zu Ihren selbst verwalteten Active Directory-Domänencontrollern oder innerhalb des von Ihnen verwendeten Subnetzes oder der Sicherheitsgruppe zuzulassen. Weitere Informationen finden Sie unter Amazon VPC-Sicherheitsgruppen.

Verschieben Sie keine von Amazon erstellten Computerobjekte FSx
Wichtig

Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.

Überprüfen Sie Ihre Active Directory-Konfiguration

Bevor Sie versuchen, ein Dateisystem FSx für Windows File Server mit Ihrem Active Directory zu verbinden, empfehlen wir Ihnen dringend, Ihre Active Directory-Konfiguration mit dem Amazon FSx Active Directory Validation Tool zu überprüfen.

FSxAmazon-Servicekonto

FSxAmazon-Dateisysteme, die mit einem selbstverwalteten Active Directory verknüpft sind, benötigen während ihrer gesamten Lebensdauer ein gültiges Servicekonto. Amazon FSx verwendet das Servicekonto, um Ihre Dateisysteme vollständig zu verwalten und administrative Aufgaben auszuführen, die das Trennen und Wiederverbinden von Computerobjekten mit Ihrer Active Directory-Domain erfordern. Zu diesen Aufgaben gehören das Ersetzen eines ausgefallenen Dateiservers und das Patchen der Microsoft Windows Server-Software. FSxDamit Amazon diese Aufgaben ausführen kann, muss das FSx Amazon-Servicekonto mindestens über die Berechtigungen verfügen, die unter An Amazon Berechtigungen für das Dienstkonto delegiert beschrieben sind.

Mitglieder der Gruppe Domain-Admins verfügen zwar über ausreichende Rechte, um diese Aufgaben auszuführen, wir empfehlen jedoch dringend, ein separates Servicekonto zu verwenden, um die erforderlichen Rechte an Amazon zu delegieren. FSx

Weitere Informationen zum Delegieren von Rechten mithilfe der Funktionen Delegate Control oder Advanced Features im Snap-In „Active Directory-Benutzer und -ComputerMMC“ finden Sie unter. Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe

Wenn Sie Ihr Dateisystem mit einem neuen Dienstkonto aktualisieren, muss das neue Dienstkonto über die erforderlichen Berechtigungen und Rechte verfügen, um Ihrem Active Directory beizutreten, und es muss über Vollzugriff auf die vorhandenen Computerobjekte verfügen, die dem Dateisystem zugeordnet sind. Weitere Informationen finden Sie unter Das FSx Amazon-Servicekonto ändern.