Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie die Dienstprinzipalnamen (SPNs) für Kerberos
Wir empfehlen Ihnen, bei der Übertragung mit Amazon die Kerberos-basierte Authentifizierung und Verschlüsselung zu verwenden. FSx Kerberos bietet die sicherste Authentifizierung für Clients, die auf Ihr Dateisystem zugreifen.
Um die Kerberos-Authentifizierung für Clients zu aktivieren, die FSx über einen DNS Alias auf Amazon zugreifen, müssen Sie Service Principal Names (SPNs) hinzufügen, die dem DNS Alias auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems entsprechen. Ein SPN kann jeweils nur einem einzigen Active Directory-Computerobjekt zugeordnet werden. Wenn Sie SPNs für den DNS Namen, der für das Active Directory-Computerobjekt Ihres ursprünglichen Dateisystems konfiguriert wurde, bereits vorhanden sind, müssen Sie diese zuerst löschen.
Für die SPNs Kerberos-Authentifizierung sind zwei erforderlich:
HOST/aliasHOST/alias.domain
Wenn der Alias lautetfinance.domain.com, sind die folgenden beiden erforderlich: SPNs
HOST/finance HOST/finance.domain.com
Anmerkung
Sie müssen alle vorhandenen Objekte löschen HOSTSPNs, die dem DNS Alias auf dem Active Directory-Computerobjekt entsprechen, bevor Sie ein neues HOST SPNs für das Active Directory (AD) -Computerobjekt Ihres FSx Amazon-Dateisystems erstellen. Versuche, Einstellungen SPNs für Ihr FSx Amazon-Dateisystem vorzunehmen, schlagen fehl, wenn im AD ein DNS Alias SPN für den Alias vorhanden ist.
In den folgenden Verfahren wird beschrieben, wie Sie Folgendes tun können:
Suchen Sie nach einem vorhandenen DNS Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems.
Löschen Sie das vorhandene SPNs gefundene Objekt, falls vorhanden.
Erstellen Sie einen neuen DNS Alias SPNs für das Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems.
Um das erforderliche PowerShell Active Directory-Modul zu installieren
-
Melden Sie sich bei einer Windows-Instance an, die mit dem Active Directory verbunden ist, mit dem Ihr FSx Amazon-Dateisystem verknüpft ist.
PowerShell Als Administrator öffnen.
Installieren Sie das PowerShell Active Directory-Modul mit dem folgenden Befehl.
Install-WindowsFeature RSAT-AD-PowerShell
So suchen und löschen Sie DNS einen vorhandenen Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems
Wenn Sie für den DNS Alias, den Sie einem anderen Dateisystem zugewiesen haben, auf einem Computerobjekt in Ihrem Active Directory konfiguriert haben, müssen Sie diese zuerst entfernen, SPNs bevor Sie sie dem Computerobjekt Ihres Dateisystems SPNs hinzufügen können. SPNs
Suchen Sie mit den folgenden Befehlen nach vorhandenen Befehlen. SPNs
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Löschen Sie das im vorherigen Schritt HOST SPNs zurückgegebene Objekt mithilfe des folgenden Beispielskripts.
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Wiederholen Sie die vorherigen Schritte für jeden DNS Alias, den Sie dem Dateisystem in Schritt 1 zugeordnet haben.
Zur Einstellung SPNs auf dem Active Directory-Computerobjekt Ihres FSx Amazon-Dateisystems
Stellen Sie SPNs das neue für Ihr FSx Amazon-Dateisystem ein, indem Sie die folgenden Befehle ausführen.
file_system_DNS_nameUm den DNS Namen Ihres Dateisystems auf der FSx Amazon-Konsole zu finden, wählen Sie Dateisysteme, wählen Sie Ihr Dateisystem und dann auf der Seite mit den Dateisystemdetails den Bereich Netzwerk und Sicherheit.
Sie können den DNS Namen auch in der Antwort auf den DescribeFileSystemsAPIVorgang abrufen.
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.NameAnmerkung
Die Einstellung eines SPN für Ihr FSx Amazon-Dateisystem schlägt fehl, wenn im AD ein SPN für den DNS Alias für das Computerobjekt des ursprünglichen Dateisystems vorhanden ist. Informationen zum Suchen und Löschen vorhandener Objekte SPNs finden Sie unterSo suchen und löschen Sie DNS einen vorhandenen Alias SPNs auf dem Active Directory-Computerobjekt des ursprünglichen Dateisystems.
-
Stellen Sie mithilfe des folgenden Beispielskripts sicher, dass die neuen für den DNS Alias konfiguriert SPNs sind. Stellen Sie sicher HOSTSPNs, dass die Antwort zwei
HOST/und enthältaliasHOST/, wie zuvor in diesem Verfahren beschrieben.alias_fqdnfile_system_DNS_nameSie können den DNS Namen auch in der Antwort auf den DescribeFileSystemsAPIVorgang abrufen.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Wiederholen Sie die vorherigen Schritte für jeden DNS Alias, den Sie dem Dateisystem in Schritt 1 zugeordnet haben.
