Verwenden eines selbstverwalteten Microsoft Active Directory

Wenn Ihre Organisation Identitäten und Geräte mit einem selbstverwalteten Active Directory vor Ort oder in der Cloud verwaltet, können Sie Ihrer Active Directory-Domäne bei der Erstellung ein Dateisystem FSx für Windows File Server hinzufügen.

Wenn Sie Ihr Dateisystem mit Ihrem selbstverwalteten Active Directory verbinden, befindet sich Ihr Dateisystem FSx für Windows File Server in derselben Active Directory-Gesamtstruktur (dem obersten logischen Container in einer Active Directory-Konfiguration, die Domänen, Benutzer und Computer enthält) und in derselben Active Directory-Domäne wie Ihre Benutzer und vorhandenen Ressourcen (einschließlich vorhandener Dateiserver).

Anmerkung

Sie können Ihre Ressourcen — einschließlich Ihrer FSx Amazon-Dateisysteme — in einer anderen Active Directory-Gesamtstruktur isolieren als die, in der sich Ihre Benutzer befinden. Fügen Sie dazu Ihr Dateisystem einem AWS verwalteten Microsoft Active Directory hinzu und richten Sie eine unidirektionale Gesamtstrukturvertrauensstellung zwischen einem von Ihnen erstellten AWS verwalteten Microsoft Active Directory und Ihrem vorhandenen selbstverwalteten Active Directory ein.

• Benutzername und Passwort für ein Dienstkonto in Ihrer Active Directory-Domain, das Amazon verwenden FSx kann, um das Dateisystem mit Ihrer Active Directory-Domain zu verbinden.

• (Optional) Die Organisationseinheit (OU) in Ihrer Domain, der Sie Ihr Dateisystem zuordnen möchten.

• (Optional) Die Domänengruppe, an die Sie die Befugnis zur Durchführung administrativer Aktionen in Ihrem Dateisystem delegieren möchten. Diese Domänengruppe kann beispielsweise Windows-Dateifreigaben verwalten, Zugriffssteuerungslisten (ACLs) im Stammordner des Dateisystems verwalten, den Besitz von Dateien und Ordnern übernehmen usw. Wenn Sie diese Gruppe nicht angeben, FSx delegiert Amazon diese Autorität standardmäßig an die Gruppe Domain-Admins in Ihrer Active Directory-Domain.

  Anmerkung

  Der von Ihnen angegebene Domänengruppenname muss in Ihrem Active Directory eindeutig sein. FSx für Windows File Server wird die Domänengruppe unter den folgenden Umständen nicht erstellt:

  • Wenn bereits eine Gruppe mit dem von Ihnen angegebenen Namen existiert

  • Wenn Sie keinen Namen angeben und eine Gruppe mit dem Namen „Domain-Admins“ bereits in Ihrem Active Directory existiert.

  Weitere Informationen finden Sie unter Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden.

Themen

• Voraussetzungen

• Bewährte Methoden bei der Verwendung eines selbstverwalteten Active Directorys

• FSx Amazon-Servicekonto

• Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe

• Überprüfen Sie Ihre Active Directory-Konfiguration

• Ein FSx Amazon-Dateisystem mit einer selbstverwalteten Microsoft Active Directory-Domäne verbinden

• Abrufen der richtigen Dateisystem-IP-Adressen zur Verwendung für manuelle DNS-Einträge

• Aktualisierung einer selbstverwalteten Active Directory-Konfiguration

• Das FSx Amazon-Servicekonto ändern

• Überwachung von selbstverwalteten Active Directory-Updates

Voraussetzungen

Bevor Sie ein Dateisystem FSx für Windows File Server zu Ihrer selbstverwalteten Microsoft Active Directory-Domäne hinzufügen, überprüfen Sie die folgenden Voraussetzungen, um sicherzustellen, dass Sie Ihr FSx Amazon-Dateisystem erfolgreich mit Ihrem selbstverwalteten Active Directory verbinden können.

Konfigurationen vor Ort

Dies sind die Voraussetzungen für Ihr selbstverwaltetes Microsoft Active Directory, entweder lokal oder cloudbasiert, mit dem Sie dem FSx Amazon-Dateisystem beitreten werden.

• Die Active Directory-Domänencontroller:

  • Muss über eine Domänenfunktionsebene auf Windows Server 2008 R2 oder höher verfügen.

  • Muss beschreibbar sein.

  • Bei mindestens einem der erreichbaren Domänencontroller muss es sich um einen globalen Katalog der Gesamtstruktur handeln.

• Der DNS-Server muss in der Lage sein, Namen wie folgt aufzulösen:

  • In der Domäne, der Sie dem Dateisystem beitreten

  • In der Stammdomäne der Gesamtstruktur

• Die IP-Adressen des DNS-Servers und des Active Directory-Domain-Controllers müssen die folgenden Anforderungen erfüllen, die je nachdem, wann Ihr FSx Amazon-Dateisystem erstellt wurde, variieren:

  Für Dateisysteme, die vor dem 17. Dezember 2020 erstellt wurden	Für Dateisysteme, die nach dem 17. Dezember 2020 erstellt wurden
  IP-Adressen müssen sich in einem privaten IP-Adressbereich nach RFC 1918 befinden: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16	IP-Adressen können in einem beliebigen Bereich liegen, mit Ausnahme von: IP-Adressen, die mit den IP-Adressen von Amazon Web Services in dem Konflikt stehen AWS-Region , in dem sich das Dateisystem befindet. Eine Liste der AWS eigenen IP-Adressen nach Regionen finden Sie unter AWS IP-Adressbereiche. IP-Adressen im CIDR-Blockbereich 198.19.0.0/16

  Wenn Sie auf ein Dateisystem FSx für Windows File Server zugreifen müssen, das vor dem 17. Dezember 2020 mit einem nicht privaten IP-Adressbereich erstellt wurde, können Sie ein neues Dateisystem erstellen, indem Sie eine Sicherungskopie des Dateisystems wiederherstellen. Weitere Informationen finden Sie unter Wiederherstellung eines Backups in einem neuen Dateisystem.

• Der Domänenname Ihres selbstverwalteten Active Directory muss die folgenden Anforderungen erfüllen:

  • Der Domänenname ist nicht im Format Single Label Domain (SLD). Amazon unterstützt FSx keine SLD-Domains.

  • Bei Single-AZ 2- und allen Multi-AZ-Dateisystemen darf der Domainname 47 Zeichen nicht überschreiten.

• Alle von Ihnen definierten Active Directory-Standorte müssen die folgenden Voraussetzungen erfüllen:

  • Die Subnetze in der VPC, die Ihrem Dateisystem zugeordnet ist, müssen an einem Active Directory-Standort definiert werden.

  • Es gibt keine Konflikte zwischen den VPC-Subnetzen und den Active Directory-Standortsubnetzen.

  Amazon FSx benötigt Konnektivität zu den Domain-Controllern oder Active Directory-Standorten, die Sie in Ihrer Active Directory-Umgebung definiert haben. Amazon ignoriert FSx alle Domain-Controller, bei denen TCP und UDP auf Port 389 blockiert sind. Stellen Sie für die verbleibenden Domain-Controller in Ihrem Active Directory sicher, dass sie die FSx Amazon-Konnektivitätsanforderungen erfüllen. Stellen Sie außerdem sicher, dass alle Änderungen an Ihrem Servicekonto auf alle diese Domänencontroller übertragen werden.

  Wichtig

  Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.

Mit dem Amazon FSx Active Directory Validation Tool können Sie Ihre Active Directory-Konfiguration validieren, einschließlich der Verbindungstests mehrerer Domain-Controller. Um die Anzahl der Domain-Controller zu begrenzen, die Konnektivität benötigen, können Sie auch eine Vertrauensbeziehung zwischen Ihren lokalen Domain-Controllern und AWS Managed Microsoft AD aufbauen. Weitere Informationen finden Sie unter Verwenden Sie ein Modell zur Isolierung von Ressourcengesamtstrukturen.

Wichtig

Amazon registriert die DNS-Einträge für ein Dateisystem FSx nur, wenn Sie Microsoft DNS als Standard-DNS-Service verwenden. Wenn Sie ein DNS eines Drittanbieters verwenden, müssen Sie nach der Erstellung manuell DNS-Eintragseinträge für Ihr Dateisystem einrichten.

Netzwerkkonfigurationen

In diesem Abschnitt werden die Netzwerkkonfigurationsanforderungen für den Beitritt eines Dateisystems zu Ihrem selbstverwalteten Active Directory beschrieben. Wir empfehlen Ihnen dringend, das Amazon FSx Active Directory-Validierungstool zu verwenden, um Ihre Netzwerkeinstellungen zu testen, bevor Sie versuchen, Ihr Dateisystem mit Ihrem selbstverwalteten Active Directory zu verbinden.

• Stellen Sie sicher, dass Ihre Firewall-Regeln ICMP-Traffic zwischen Ihren Active Directory-Domain-Controllern und Amazon FSx zulassen.

• Die Konnektivität zwischen der Amazon VPC, auf der Sie das Dateisystem erstellen möchten, und Ihrem selbstverwalteten Active Directory muss konfiguriert werden. Sie können diese Konnektivität mithilfe von AWS Direct Connect, AWS Virtual Private Network, VPC-Peering oder einrichten. AWS Transit Gateway

• Die Standard-VPC-Sicherheitsgruppe für Ihre Standard-Amazon-VPC muss über die FSx Amazon-Konsole zu Ihrem Dateisystem hinzugefügt werden. Stellen Sie sicher, dass die Sicherheitsgruppe und das VPC-Netzwerk ACLs für die Subnetze, in denen Sie Ihr Dateisystem erstellen, Datenverkehr auf den Ports und in der Richtung zulassen, die in der folgenden Abbildung dargestellt sind.

  

  In der folgenden Tabelle sind das Protokoll, die Ports und ihre Rolle aufgeführt.

  Protokoll	Ports	Rolle
  TCP/UDP	53	Domain Name System (DNS)
  TCP/UDP	88	Kerberos-Authentifizierung
  TCP/UDP	464	Passwort ändern/einrichten
  TCP/UDP	389	Lightweight Directory Access Protocol (LDAP)
  UDP	123	Network Time Protocol (NTP)
  TCP	135	Verteiltes RechnenEnvironment/End Point Mapper (DCE/EPMAP)
  TCP	445	Directory-Services-SMB-Dateifreigabe
  TCP	636	Lightweight Directory Access Protocol über TLS/SSL (LDAPS)
  TCP	3268	Globaler Microsoft-Katalog
  TCP	3269	Microsoft Global Catalog über SSL
  TCP	5985	WinRM 2.0 (Microsoft Windows-Fernverwaltung)
  TCP	9389	Microsoft Active Directory DS-Webdienste, PowerShell Wichtig Für Single-AZ 2- und Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP-Port 9389 zuzulassen.
  TCP	49152–65535	Flüchtige Ports für RPC

  Diese Verkehrsregeln müssen auch auf den Firewalls widergespiegelt werden, die für die einzelnen Active Directory-Domänencontroller, DNS-Server, Clients und Administratoren gelten. FSx FSx

Anmerkung

Wenn Sie ein VPC-Netzwerk verwenden ACLs, müssen Sie auch ausgehenden Datenverkehr auf dynamischen Ports (49152-65535) von Ihrem Dateisystem aus zulassen.

Wichtig

Während Amazon VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC-Netzwerke, dass Ports in beide Richtungen geöffnet sind.

Berechtigungen für Dienstkonten

Sie benötigen ein Dienstkonto in Ihrem selbstverwalteten Microsoft Active Directory mit delegierten Berechtigungen, um Computerobjekte mit Ihrer selbstverwalteten Active Directory-Domäne zu verbinden. Ein Dienstkonto ist ein Benutzerkonto in Ihrem selbstverwalteten Active Directory, dem bestimmte Aufgaben delegiert wurden.

Im Folgenden finden Sie die Mindestberechtigungen, die an das FSx Amazon-Servicekonto in der Organisationseinheit delegiert werden müssen, zu der Sie das Dateisystem hinzufügen.

• Wenn Sie Delegate Control in der MMC Active Directory-Benutzer und -Computer verwenden:

  • Zurücksetzen von Passwörtern

  • Kontoeinschränkungen beim Lesen und Schreiben

  • Validiertes Schreiben in den DNS-Hostnamen

  • Das Schreiben in den Dienstprinzipalnamen wurde validiert

• Wenn Sie die erweiterten Funktionen in der MMC Active Directory-Benutzer und -Computer verwenden:

  • Berechtigungen ändern

  • Erstellen von Computerobjekten

  • Computerobjekte löschen

Weitere Informationen finden Sie in der Microsoft Windows Server-Dokumentation zum Thema Fehler: Zugriff wird verweigert, wenn Benutzer ohne Administratorrechte, denen die Steuerung delegiert wurde, versuchen, Computer mit einem Domänencontroller zu verbinden.

Weitere Informationen zum Einstellen der erforderlichen Berechtigungen finden Sie unter. Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe

Bewährte Methoden bei der Verwendung eines selbstverwalteten Active Directorys

Wir empfehlen Ihnen, diese bewährten Methoden zu befolgen, wenn Sie ein Amazon FSx for Windows File Server-Dateisystem mit Ihrem selbstverwalteten Microsoft Active Directory verbinden. Diese bewährten Methoden helfen Ihnen dabei, die kontinuierliche, ununterbrochene Verfügbarkeit Ihres Dateisystems aufrechtzuerhalten.

Verwenden Sie ein separates Servicekonto für Amazon FSx

Verwenden Sie ein separates Servicekonto, um Amazon die erforderlichen Rechte zur vollständigen Verwaltung von Dateisystemen FSx zu delegieren, die mit Ihrem selbstverwalteten Active Directory verknüpft sind. Wir empfehlen nicht, die Domain-Admins für diesen Zweck zu verwenden.

Verwenden Sie eine Active Directory-Gruppe

Verwenden Sie eine Active Directory-Gruppe, um die mit dem FSx Amazon-Servicekonto verknüpften Active Directory-Berechtigungen und -Konfigurationen zu verwalten.

Trennen Sie die Organisationseinheit (OU)

Um das Auffinden und Verwalten Ihrer FSx Amazon-Computerobjekte zu erleichtern, empfehlen wir Ihnen, die Organisationseinheit (OU), die Sie für Ihre Dateisysteme FSx für Windows File Server verwenden, von anderen Domain-Controllern zu trennen.

Behalten Sie die Active Directory-Konfiguration bei up-to-date

Es ist unbedingt erforderlich, dass Sie die Active Directory-Konfiguration Ihres Dateisystems up-to-date bei allen Änderungen beibehalten. Wenn Ihr selbstverwaltetes Active Directory beispielsweise eine zeitbasierte Kennwortrücksetzrichtlinie verwendet, stellen Sie sicher, dass Sie das Kennwort für das Dienstkonto in Ihrem Dateisystem aktualisieren, sobald das Kennwort zurückgesetzt wurde. Weitere Informationen finden Sie unter Aktualisierung einer selbstverwalteten Active Directory-Konfiguration.

Das FSx Amazon-Servicekonto ändern

Wenn Sie Ihr Dateisystem mit einem neuen Dienstkonto aktualisieren, muss es über die erforderlichen Berechtigungen und Privilegien verfügen, um Ihrem Active Directory beizutreten, und es muss über Vollzugriff auf die vorhandenen Computerobjekte verfügen, die dem Dateisystem zugeordnet sind. Weitere Informationen finden Sie unter Das FSx Amazon-Servicekonto ändern.

Ordnen Sie Subnetze einem einzelnen Microsoft Active Directory-Standort zu

Wenn Ihre Active Directory-Umgebung über eine große Anzahl von Domain-Controllern verfügt, verwenden Sie Active Directory-Standorte und -Dienste, um die von Ihren FSx Amazon-Dateisystemen verwendeten Subnetze einem einzigen Active Directory-Standort mit höchster Verfügbarkeit und Zuverlässigkeit zuzuweisen. Stellen Sie sicher, dass die VPC-Sicherheitsgruppe, die VPC-Netzwerk-ACL, die Windows-Firewallregeln auf Ihrer und alle anderen Netzwerkrouting-Kontrollen DCs, die Sie in Ihrer Active Directory-Infrastruktur haben, die Kommunikation von Amazon FSx über die erforderlichen Ports zulassen. Auf diese Weise kann Windows zu anderen Domänencontrollern zurückkehren, wenn es den zugewiesenen Active Directory-Standort nicht verwenden kann. Weitere Informationen finden Sie unter Zugriffskontrolle für Dateisysteme mit Amazon VPC.

Verwenden Sie Sicherheitsgruppenregeln, um den Datenverkehr zu begrenzen

Verwenden Sie Sicherheitsgruppenregeln, um das Prinzip der geringsten Rechte in Ihrer Virtual Private Cloud (VPC) zu implementieren. Sie können die Art des eingehenden und ausgehenden Netzwerkverkehrs, der für Ihre Datei zulässig ist, mithilfe von VPC-Sicherheitsgruppenregeln einschränken. Wir empfehlen beispielsweise, nur ausgehenden Datenverkehr zu Ihren selbst verwalteten Active Directory-Domänencontrollern oder innerhalb des von Ihnen verwendeten Subnetzes oder der Sicherheitsgruppe zuzulassen. Weitere Informationen finden Sie unter Zugriffskontrolle für Dateisysteme mit Amazon VPC.

Verschieben Sie keine von Amazon erstellten Computerobjekte FSx

Wichtig

Verschieben Sie keine Computerobjekte, die Amazon in der Organisationseinheit FSx erstellt, nachdem Ihr Dateisystem erstellt wurde. Andernfalls wird Ihr Dateisystem falsch konfiguriert.

Überprüfen Sie Ihre Active Directory-Konfiguration

Bevor Sie versuchen, ein Dateisystem FSx für Windows File Server mit Ihrem Active Directory zu verbinden, empfehlen wir Ihnen dringend, Ihre Active Directory-Konfiguration mit dem Amazon FSx Active Directory Validation Tool zu überprüfen.

FSx Amazon-Servicekonto

FSx Amazon-Dateisysteme, die mit einem selbstverwalteten Active Directory verknüpft sind, benötigen während ihrer gesamten Lebensdauer ein gültiges Servicekonto. Amazon FSx verwendet das Servicekonto, um Ihre Dateisysteme vollständig zu verwalten und administrative Aufgaben auszuführen, die das Trennen und Wiederverbinden von Computerobjekten mit Ihrer Active Directory-Domain erfordern. Zu diesen Aufgaben gehören das Ersetzen eines ausgefallenen Dateiservers und das Patchen der Microsoft Windows Server-Software. FSx Damit Amazon diese Aufgaben ausführen kann, muss das FSx Amazon-Servicekonto mindestens über die Berechtigungen verfügen, die unter An Amazon Berechtigungen für Dienstkonten delegiert beschrieben sind.

Mitglieder der Gruppe Domain-Admins verfügen zwar über ausreichende Rechte, um diese Aufgaben auszuführen, wir empfehlen jedoch dringend, ein separates Servicekonto zu verwenden, um die erforderlichen Rechte an Amazon zu delegieren. FSx

Weitere Informationen zum Delegieren von Rechten mithilfe der Funktionen Delegate Control oder Advanced Features im MMC-Snap-In Active Directory-Benutzer und -Computer finden Sie unter. Delegieren von Berechtigungen an das FSx Amazon-Servicekonto oder die Amazon-Servicegruppe

Wenn Sie Ihr Dateisystem mit einem neuen Dienstkonto aktualisieren, muss das neue Dienstkonto über die erforderlichen Berechtigungen und Privilegien verfügen, um Ihrem Active Directory beizutreten, und es muss über Vollzugriff auf die vorhandenen Computerobjekte verfügen, die dem Dateisystem zugeordnet sind. Weitere Informationen finden Sie unter Das FSx Amazon-Servicekonto ändern.