Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos para unir una SVM a un Microsoft AD autogestionado
Antes de unir una SVM de FSx para ONTAP a un dominio de Microsoft AD autogestionado, asegúrese de que Active Directory y su red cumplen los requisitos descritos en las siguientes secciones.
Temas
Requisitos de Active Directory en las instalaciones
Asegúrese de que ya dispone de un Microsoft AD en las instalaciones u otro AD autogestionado al que pueda unirse la SVM. Este Active Directory debe tener la siguiente configuración:
-
El nivel funcional del dominio del controlador de dominio de Active Directory está en Windows Server 2000 o superior.
-
Active Directory usa un nombre de dominio que no está en el formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.
-
Si tiene sitios de Active Directory definidos, asegúrese de que las subredes de la VPC asociadas al sistema de archivos FSx for ONTAP estén definidas en los mismos sitios de Active Directory y de que no existan conflictos entre las subredes de la VPC y las subredes de los sitios de Active Directory.
nota
Si lo utiliza AWS Directory Service, FSx para ONTAP no admite la unión de SVM al Active Directory simple.
Requisitos de configuración de la red
Asegúrese de tener las siguientes configuraciones de red y de disponer de la información asociada.
importante
Para que una SVM se una a Active Directory, debe asegurarse de que los puertos documentados en este tema permitan el tráfico entre todos los controladores de dominio de Active Directory y las dos direcciones IP iSCSI (interfaces lógicas (LIF) iscsi_1 e iscsi_2) en la SVM.
-
Las direcciones IP del servidor DNS y del controlador de dominio de Active Directory.
-
La conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autogestionado utilizando AWS Direct Connect
, AWS VPN o AWS Transit Gateway . -
El grupo de seguridad y las ACL de red de la VPC para las subredes en las que está creando el sistema de archivos deben permitir el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.
El rol de cada puerto se describe en la tabla siguiente.
Protocolo
Puertos
Rol
TCP/UDP
53
Sistema de nombres de dominio (DNS)
TCP/UDP
88
Autenticación de Kerberos
TCP/UDP
389
Protocolo ligero de acceso a directorios (LDAP)
TCP
445
Uso compartido de archivos SMB de Directory Services
TCP/UDP
464
Cambiar/establecer contraseña
TCP
636
Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)
-
Estas reglas de tráfico también deben reflejarse en los firewalls que se aplican a cada uno de los controladores de dominio, servidores DNS, clientes de FSx y administradores de FSx de Active Directory.
importante
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.
Requisitos de la cuenta de servicio de Active Directory
Asegúrese de que dispone de una cuenta de servicio en su Microsoft AD autogestionado que tenga permisos delegados para unir equipos al dominio. Una cuenta de servicio es una cuenta de usuario de su Active Directory autogestionado en la que se han delegado determinadas tareas.
Como mínimo, se deben delegar en la cuenta de servicio los siguientes permisos en la OU a la que se va a unir a la SVM:
-
Capacidad de restablecer las contraseñas
-
Capacidad de restringir la lectura y escritura de datos en las cuentas
-
Posibilidad de establecer la
msDS-SupportedEncryptionTypespropiedad en objetos de la computadora -
Capacidad validada para escribir en el nombre de host del DNS
-
Capacidad validada para escribir en el nombre de entidad principal del servicio
-
Capacidad para crear y eliminar objetos del equipo
-
Capacidad validada para leer y escribir las restricciones de la cuenta
Estos representan el conjunto mínimo de permisos que se necesitan para unir objetos informáticos al Active Directory. Para obtener más información, consulte el tema Error de la documentación de Windows Server: se deniega el acceso cuando usuarios no administradores a los que se les ha delegado el control intentan unir equipos a un controlador de dominio
Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Delegación de privilegios a la cuenta de servicio Amazon FSx.
importante
Amazon FSx requiere una cuenta de servicio válida durante toda la vida útil del sistema de archivos de Amazon FSx. Amazon FSx debe poder administrar completamente el sistema de archivos y realizar tareas que requieran que separe y vuelva a unir los recursos a su dominio de Active Directory. Estas tareas incluyen la sustitución de un sistema de archivos o SVM defectuoso o la aplicación de parches al software de ONTAP. NetApp Mantenga actualizada la información de configuración de Active Directory con Amazon FSx, incluidas las credenciales de la cuenta de servicio. Para obtener más información, consulte Mantener la configuración del Active Directory actualizada con Amazon FSx.
Si es la primera vez que utiliza AWS FSx para ONTAP, asegúrese de completar los pasos de configuración iniciales antes de iniciar la integración con Active Directory. Para obtener más información, consulte Configuración de FSx para ONTAP.
importante
No mueva los objetos informáticos que Amazon FSx crea en la unidad organizativa después de crear las SVM, ni elimine Active Directory mientras la SVM esté unida a ella. Si lo hace, las SVM se desconfigurarán.
