Migración total a Amazon FSx

Para migrar de forma total al sistema de archivos de FSx para Windows File Server, lleve a cabo los siguientes pasos:

• Prepararse para la migración total.

  • Desconecte temporalmente los clientes SMB del sistema de archivos original.

  • Realice una sincronización final de la configuración del archivo y del recurso compartido de archivos.

• Configure los nombres de las entidades principales de servicio (SPN) para el sistema de archivos Amazon FSx.

• Actualice los registros CNAME de DNS para que apunten al sistema de archivos Amazon FSx.

Los procedimientos para realizar cada uno de estos pasos se encuentran en las siguientes secciones.

Prepararse para la transición a Amazon FSx

Para preparar la transición al sistema de archivos Amazon FSx, debe hacer lo siguiente:

• Desconecte todos los clientes que escriban en el sistema de archivos original.

• Realice una sincronización final de archivos mediante Robocopy AWS DataSync . Para obtener más información, consulte Migración del almacenamiento de archivos existente a FSx para Windows File Server.

• Realice una sincronización final de la configuración del recurso compartido de archivos. Para obtener más información, consulte La migración de configuraciones de recursos compartido de archivos a Amazon FSx.

La configuración de SPN para la autenticación de Kerberos

Le recomendamos que utilice la autenticación y el cifrado basados en Kerberos en tránsito con Amazon FSx. Kerberos brinda la autenticación más segura para los clientes que acceden a su sistema de archivos. Para habilitar la autenticación de Kerberos para los clientes que acceden a Amazon FSx mediante un alias del DNS, debe añadir los nombres de las entidades principales de servicio (SPN) que correspondan al alias del DNS del objeto informático del Active Directory del sistema de archivos de Amazon FSx.

Hay dos SPN necesarios para la autenticación de Kerberos.

HOST/alias
HOST/alias.domain

Por ejemplo, si el alias es finance.domain.com, los dos SPN necesarios son los siguientes.

HOST/finance
HOST/finance.domain.com

Un SPN sólo puede asociarse a un único objeto informático de Active Directory a la vez. Si ya hay SPN para el nombre del DNS configurados para el objeto informático del Active Directory del sistema de archivos original, debe eliminarlos antes de crear los SPN para el sistema de archivos Amazon FSx.

Los siguientes procedimientos describen cómo encontrar los SPN existentes, eliminarlos y crear SPN nuevos para el objeto informático del Active Directory del sistema de archivos Amazon FSx.

Para instalar el módulo de PowerShell Active Directory necesario

1. Inicie sesión en una instancia de Windows unida al Active Directory al que está unido el sistema de archivos Amazon FSx.

2. Abrir PowerShell como administrador.

3. Instale el módulo de PowerShell Active Directory mediante el siguiente comando.

   Install-WindowsFeature RSAT-AD-PowerShell

Para buscar y eliminar los alias SPN de DNS existentes en el objeto informático de Active Directory del sistema de archivos original

1. Busque cualquier SPN existente con los siguientes comandos. Sustituya alias_fqdn por el alias del DNS que asoció al sistema de archivos en Migración de la configuración del DNS para usar Amazon FSx.

   ## Find SPNs for original file system's AD computer object
   $ALIAS = "alias_fqdn"
   SetSPN /Q ("HOST/" + $ALIAS)
   SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

2. Elimine los SPN de HOST existentes devueltos en el paso anterior con el siguiente script de ejemplo.

   • Sustituya alias_fqdn por el alias del DNS completo que asoció al sistema de archivos en Migración de la configuración del DNS para usar Amazon FSx.

   • Sustituya file_system_DNS_name por el nombre del DNS del sistema de archivos original.

   ## Delete SPNs for original file system's AD computer object
   $Alias = "alias_fqdn"
   $FileSystemDnsName = "file_system_dns_name"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   
   SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
   SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

3. Repita estos pasos para cada alias del DNS que haya asociado al sistema de archivos en Migración de la configuración del DNS para usar Amazon FSx.

Para establecer los SPN en el objeto informático de Active Directory del sistema de archivos Amazon FSx

1. Establezca nuevos SPN para el sistema de archivos Amazon FSx con los siguientes comandos.

   • Sustituya file_system_DNS_name por el nombre del DNS que Amazon FSx asignó al sistema de archivos.

     Para encontrar el nombre del DNS del sistema de archivos en la consola de Amazon FSx, elija Sistemas de archivos y seleccione el suyo. Seleccione el panel Red y seguridad de la página de información del sistema de archivos. También puede obtener el nombre DNS en la respuesta a la operación de la API de DescribeFilesistemas.

   • Sustituya alias_fqdn por el alias del DNS completo que asoció al sistema de archivos en Migración de la configuración del DNS para usar Amazon FSx.

   ## Set SPNs for FSx file system AD computer object
   $FSxDnsName = "file_system_DNS_name"
   $Alias = "alias_fqdn"
   $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)
   
   Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
   SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
   SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name

   nota

   Se producirá un error al establecer un SPN para el sistema de archivos Amazon FSx si existe un SPN del alias del DNS en el AD del objeto informático del sistema de archivos original. Para obtener información sobre cómo buscar y eliminar los SPN existentes, consulte Para buscar y eliminar los alias SPN de DNS existentes en el objeto informático de Active Directory del sistema de archivos original.

2. Compruebe si los nuevos SPN estén establecidos para el alias del DNS con el siguiente script de ejemplo. Asegúrese de que la respuesta incluya dos SPN de HOST, HOST/alias y HOST/alias_fqdn.

   Sustituya file_system_DNS_name por el nombre del DNS que Amazon FSx asignó a su sistema de archivos. Para encontrar el nombre del DNS del sistema de archivos en la consola de Amazon FSx, elija Sistemas de archivos, seleccione el suyo. Luego, elija el panel Red y seguridad en la página de información del sistema de archivos.

   También puede obtener el nombre DNS en la respuesta a la operación de la API de DescribeFilesistemas.

   ## Verify SPNs on FSx file system AD computer object
   $FileSystemDnsName = "file_system_dns_name"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   SetSpn /L ${FSxAdComputer}.Name

3. Repita los pasos anteriores para cada alias del DNS que tenga asociado al sistema de archivos Migración de la configuración del DNS para usar Amazon FSx.

nota

Para aplicar la autenticación y el cifrado de Kerberos en tránsito a los clientes que se conecten al sistema de archivos con los alias del DNS, configure los siguientes objetos de política de grupo (GPO) en el Active Directory:

• Restrinja el NTLM: el tráfico NTLM saliente a servidores remotos

• Restrinja el NTLM: agregue excepciones de servidor remoto para la autenticación del NTLM

Para obtener más información, consulte Aplicar la autenticación de Kerberos con GPO en la Explicación 5: eso de alias del DNS para acceder al sistema de archivos.

Actualice los registros CNAME de DNS para el sistema de archivos Amazon FSx

Tras configurar de forma correcta los SPN del sistema de archivos, puede pasar a Amazon FSx sustituyendo cada registro de DNS que se resolvió en el sistema de archivos original por un registro de DNS que se resuelve en el nombre del DNS predeterminado del sistema de archivos de Amazon FSx.

Para instalar los PowerShell cmdlets necesarios

1. Inicie sesión en una instancia de Windows unida al Active Directory al que esté unido su sistema de archivos Amazon FSx como usuario que sea miembro de un grupo que tenga permisos de administración de DNS (administradores del sistema de nombres de dominio AWS delegados en AWS Microsoft Active Directory administrado y administradores de dominio u otro grupo al que haya delegado permisos de administración de DNS en su Active Directory autogestionado)

   Para obtener más información, consulte Conexión a su instancia de Windows en la Guía del usuario de Amazon EC2.

2. Abrir PowerShell como administrador.

3. El módulo del servidor PowerShell DNS es necesario para realizar las instrucciones de este procedimiento. Instálelo con el siguiente comando.

   Install-WindowsFeature RSAT-DNS-Server

Para actualizar un registro CNAME del DNS existente

1. El siguiente script actualiza todos los registros CNAME del DNS existentes del alias_fqdn al objeto informático del sistema de archivos Amazon FSx. Si no se encuentra ninguno, se crea un nuevo registro CNAME de DNS para el alias del DNS alias_fqdn que se convierte en el nombre del DNS predeterminado del sistema de archivos Amazon FSx.

   Para ejecutar el script:

   • Sustituya alias_fqdn por el alias del DNS que asoció al sistema de archivos.

   • Sustituya file_system_DNS_name por el nombre del DNS predeterminado que Amazon FSx asignó al sistema de archivos.

   $Alias="alias_fqdn"
   $FSxDnsName="file_system_dns_name"
   $AliasHost=$Alias.Split('.')[0]
   $ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
   $DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]
   
   Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

2. Repita el paso anterior para cada alias del DNS que tenga asociado al sistema de archivos en Migración de la configuración del DNS para usar Amazon FSx.