Überprüfen Sie Ihre Active Directory-Konfiguration

Bevor Sie ein FSx for Windows File Server Server-Dateisystem erstellen, das mit Ihrem Active Directory verknüpft ist, empfehlen wir Ihnen, Ihre Active Directory-Konfiguration mit dem Amazon FSx Active Directory Validation Tool zu überprüfen. Beachten Sie, dass eine ausgehende Internetverbindung erforderlich ist, um die Active Directory-Konfiguration erfolgreich zu validieren.

Um Ihre Active Directory-Konfiguration zu überprüfen

Starten Sie eine Amazon EC2 Windows-Instance im selben Subnetz und mit denselben Amazon VPC-Sicherheitsgruppen, die Sie für Ihr FSx for Windows File Server Server-Dateisystem verwenden. Stellen Sie sicher, dass Ihre EC2-Instance über die erforderlichen IAM-Berechtigungen verfügt. AmazonEC2ReadOnlyAccess Sie können die Rollenberechtigungen für EC2-Instances mithilfe des IAM-Richtliniensimulators überprüfen. Weitere Informationen finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator im IAM-Benutzerhandbuch.
Verbinden Sie Ihre EC2-Windows-Instance mit Ihrem Active Directory. Weitere Informationen finden Sie unter Manuelles Beitreten zu einer Windows-Instance im AWS Directory Service Administratorhandbuch.
Stellen Sie eine Verbindung zu Ihrer EC2- Instance her. Weitere Informationen finden Sie unter Connecting to Your Windows Instance im Amazon EC2 EC2-Benutzerhandbuch.
Öffnen Sie ein PowerShell Windows-Fenster (mit „Als Administrator ausführen“) auf der EC2-Instance.

Verwenden Sie den folgenden Testbefehl, um zu testen, ob das erforderliche Active Directory-Modul für Windows installiert PowerShell ist.
```
PS C:\> Import-Module ActiveDirectory
```
Wenn oben ein Fehler zurückgegeben wird, installieren Sie es mit dem folgenden Befehl.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```

Laden Sie das Netzwerkvalidierungstool mit dem folgenden Befehl herunter.


PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

Erweitern Sie die ZIP-Datei mit dem folgenden Befehl.


PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"

Fügen Sie das AmazonFSxADValidation Modul zur aktuellen Sitzung hinzu.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
Stellen Sie die erforderlichen Parameter ein, indem Sie den folgenden Befehl durch Ihr ersetzen:
- Active Directory-Domänenname (DOMAINNAME.COM)
- Bereiten Sie das $Credential Objekt mit einer der folgenden Optionen für das Dienstkontokennwort vor.
  - Verwenden Sie den folgenden Befehl, um das Anmeldeinformationsobjekt interaktiv zu generieren.
    
    $Credential = Get-Credential
  - Verwenden Sie den folgenden Befehl, um das Anmeldeinformationsobjekt mithilfe einer AWS Secrets Manager Ressource zu generieren.
    
    $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString $Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
- IP-Adressen des DNS-Servers (IP_ADDRESS_1, IP_ADDRESS_2)
- Subnetz-ID (s) für Subnetze, in denen Sie Ihr Amazon FSx-Dateisystem erstellen möchten (z. B. SUBNET_1, SUBNET_2). subnet-04431191671ac0d19
```
PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}
```
(Optional) Legen Sie die Organisationseinheit und die Gruppe der delegierten Administratoren fest und aktivieren Sie die Überprüfung der Dienstkontoberechtigungen DomainControllersMaxCount, indem Sie die Anweisungen in der mitgelieferten Datei befolgen, bevor Sie das Validierungstool ausführen. README.md

Anmerkung
Die Domain Admins Gruppe hat einen anderen Namen, wenn das Betriebssystem nicht auf Englisch ist. Die Gruppe ist beispielsweise Administrateurs du domaine in der französischen Betriebssystemversion benannt. Wenn Sie keinen Wert angeben, wird der Domain Admins Standardgruppenname verwendet und die Erstellung des Dateisystems schlägt fehl.

Führen Sie das Überprüfungstool mit diesem Befehl aus.


PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

Im Folgenden finden Sie ein Beispiel für ein erfolgreiches Testergebnis.


Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

Das Folgende ist ein Beispiel für ein Testergebnis mit Fehlern.


Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

Wenn Sie beim Ausführen des Validierungstools Warnungen oder Fehler erhalten, finden Sie weitere Informationen in der Anleitung zur Fehlerbehebung, die im Validierungstoolpaket enthalten ist (TROUBLESHOOTING.md) undProblembehebung bei Amazon FSx.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Methoden für selbstverwaltetes Active Directory

Verbinden von FSx mit einem selbstverwalteten Active Directory

Überprüfen Sie Ihre Active Directory-Konfiguration

Um Ihre Active Directory-Konfiguration zu überprüfen

Anmerkung