Requisitos previos para usar un Microsoft Active Directory autoadministrado - Amazon FSx para Windows File Server
Configuraciones en las instalacionesConfiguraciones de redPermisos de cuentas de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para usar un Microsoft Active Directory autoadministrado

Antes de crear un sistema de archivos Amazon FSx unido al dominio de Microsoft Active Directory autoadministrado, revise los siguientes requisitos previos.

Configuraciones en las instalaciones

Asegúrese de tener un Microsoft Active Directory en las instalaciones o autoadministrado al que pueda unir el sistema de archivos de Amazon FSx. El Active Directory en las instalaciones debe tener la siguiente configuración:

  • El controlador de dominio de Active Directory tiene un nivel funcional de dominio de Windows Server 2008 R2 o superior.

  • Según cuándo se creó el sistema de archivos, las direcciones IP del servidor de DNS y las del controlador de dominio del Active Directory son las siguientes:

    Para los sistemas de archivos creados antes del 17 de diciembre de 2020 Para sistemas de archivos creados después del 17 de diciembre de 2020

    Las direcciones IP deben estar en un rango de direcciones IP privadas según la norma RFC 1918:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Las direcciones IP pueden estar en cualquier rango, excepto:

    • Direcciones IP que entran en conflicto con las direcciones IP propiedad de Amazon Web Services en esa AWS región. Para obtener una lista de las direcciones IP AWS propias por región, consulte los rangos de direcciones AWS IP.

    • Direcciones IP en el siguiente rango de bloques de CIDR: 198.19.0.0/16

    Si necesita acceder a un sistema de archivos de FSx para Windows File Server creado antes del 17 de diciembre de 2020 con un intervalo de direcciones IP no privadas, puede restaurar una copia de seguridad del sistema de archivo y así crear uno nuevo. Para obtener más información, consulte Trabajo con copias de seguridad.

  • Un nombre de dominio de AD que no esté en formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.

  • En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio de Active Directory no puede superar los 47 caracteres.

  • Si tiene sitios definidos de Active Directory, las subredes de la VPC que están asociadas al sistema de archivos de Amazon FSx deben estar definidas en un sitio de Active Directory, y no deben existir conflictos entre las subredes de la VPC y las subredes de sus otros sitios.

  • Puede que tenga que añadir reglas al firewall para permitir el tráfico ICMP entre los controladores de dominio de Active Directory y Amazon FSx.

Configuraciones de red

En esta sección se describen las configuraciones de red necesarias para unir un sistema de archivos a su Active Directory autogestionado.

Le recomendamos que utilice la herramienta de validación Amazon FSx Active Directory para probar la configuración de la red antes de intentar unir el sistema de archivos a su Active Directory autogestionado.

  • La Conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autoadministrado. Puede configurar esta conectividad mediante el AWS Direct Connect emparejamiento AWS Virtual Private Networkde VPC o. AWS Transit Gateway

  • En el caso de los grupos de seguridad de VPC, el grupo de seguridad predeterminado de la Amazon VPC predeterminada debe añadirse al sistema de archivos en la consola. Asegúrese de que el grupo de seguridad y las ACL de la red de VPC de las subredes en las que crea el sistema de archivos de FSx permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.

    Requisitos de configuración de puertos de FSx para Windows File Server para los grupos de seguridad de VPC y las ACL de la red para las subredes en las que se crea el sistema de archivos.

    En la siguiente tabla se identifica la función de cada puerto.

    Protocolo

    Puertos

    Rol

    TCP/UDP

    53

    Sistema de nombres de dominio (DNS)

    TCP/UDP

    88

    Autenticación de Kerberos

    TCP/UDP

    464

    Cambiar/establecer contraseña

    TCP/UDP

    389

    Protocolo ligero de acceso a directorios (LDAP)
    UDP 123

    Protocolo de tiempo de red (NTP)
    TCP 135

    Entorno de computación distribuido/asignador de puntos de conexión (DCE/EPMAP)

    TCP

    445

    Uso compartido de archivos SMB de Directory Services

    TCP

    636

    Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)

    TCP

    3268

    Catálogo global de Microsoft

    TCP

    3269

    Catálogo global de Microsoft mediante SSL

    TCP

    5985

    WinRM 2.0 (Administración remota de Microsoft Windows)

    TCP

    9389

    Servicios web Microsoft Active Directory DS, PowerShell

    TCP

    49152 - 65535

    Puertos efímeros para RPC

    Asegúrese de que estas reglas de tráfico también se reflejen en los firewalls que se aplican a cada uno de los controladores del dominio del Active Directory, los servidores del DNS, los clientes de FSx y los administradores de FSx.

importante

Es necesario permitir el tráfico saliente en el puerto TCP 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.

nota

Si utiliza la ACL de la red de VPC, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) desde el sistema de archivos de FSx.

importante

Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.

Permisos de cuentas de servicio

Asegúrese de tener una cuenta de servicio en su dominio del Microsoft Active Directory autoadministrado con permisos delegados para unir equipos al dominio. Una cuenta de servicio es una cuenta de usuario del Microsoft Active Directory autoadministrado a la que se le delegó permiso para realizar determinadas tareas.

Los siguientes permisos se deben delegar en la cuenta de servicio, como mínimo, en la OU a la que va a unir el sistema de archivos:

  • Posibilidad de restablecer las contraseñas

  • Posibilidad de restringir la lectura y escritura de datos en las cuentas

  • Capacidad validada para escribir en el nombre de host DNS

  • Capacidad validada para escribir en el nombre de entidad principal del servicio

  • La capacidad de crear y eliminar objetos informáticos (se puede delegar)

  • Capacidad validada para leer y escribir las restricciones de la cuenta

  • La capacidad de modificar los permisos

Estos representan el conjunto mínimo de permisos que se necesitan para unir objetos informáticos al Active Directory. Para obtener más información, consulte, en la documentación de Microsoft Windows Server, el tema Error: se deniega el acceso cuando los usuarios que no son administradores a los que se les delegó el control intentan unir los equipos a un controlador de dominio.

Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Delegación de privilegios a la cuenta de servicio Amazon FSx .

Amazon FSx requiere una cuenta de servicio válida durante toda la vida útil del sistema de archivos de Amazon FSx. Amazon FSx debe poder gestionar completamente el sistema de archivos y realizar tareas que requieran separar y volver a unir el dominio de Active Directory mediante la cuenta de servicio. Estas tareas incluyen la sustitución de un servidor de archivos averiado o la aplicación de parches al software de Windows Server. Es imprescindible que mantenga actualizada la configuración de Active Directory, incluidas las credenciales de la cuenta de servicio, con Amazon FSx. Para obtener más información, consulte Mantener actualizada la configuración de Active Directory.

Amazon FSx requiere la conectividad con todos los controladores de dominio del entorno de Active Directory. Si tiene varios controladores de dominio, asegúrese de que todos cumplan los requisitos anteriores, y garantice que los cambios que haga en la cuenta de servicio se propaguen a todos los controladores de dominio.

Puede validar la configuración de Active Directory, incluso las pruebas de conectividad de varios controladores de dominio, con la Herramienta de validación de Active Directory de Amazon FSx. Para restringir la cantidad de controladores de dominio que requieren conectividad, también puede establecer una relación de confianza entre los controladores de dominio en las instalaciones y el AWS Managed Microsoft AD. Para obtener más información, consulte Uso de un modelo de aislamiento de bosques de recursos.

importante

No mueva los objetos informáticos que Amazon FSx crea en la OU después de crear el sistema de archivos. Si lo hace, el sistema de archivos no se configurará de manera correcta.