Validar la configuración del Active Directory

Antes de crear un sistema de archivos de FSx para Windows File Server unido al Active Directory, le recomendamos que valide la configuración de Active Directory con la herramienta de validación de Active Directory de Amazon FSx. Tenga en cuenta que para lograr validar la configuración de Active Directory es necesario tener conectividad a Internet saliente.

Para validar la configuración de Active Directory

Inicie una instancia de Amazon EC2 para Windows en la misma subred y con los mismos grupos de seguridad de Amazon VPC que utiliza para el sistema de archivos de FSx para Windows File Server. Cerciórese de que la instancia EC2 tenga los permisos de AmazonEC2ReadOnlyAccess IAM necesarios. Puede validar los permisos del rol de la instancia EC2 con el simulador de política de IAM. Para obtener más información, consulte Probar las políticas de IAM con el simulador de política de IAM en la Guía del usuario de IAM.
Conecte la instancia EC2 de Windows al Active Directory. Para obtener más información, consulte Cómo vincular una instancia de Windows de forma manual en la Guía de administración de AWS Directory Service .
Conéctese a la instancia EC2. Para obtener más información, consulte Conexión a su instancia de Windows en la Guía del usuario de Amazon EC2.
Abra una PowerShell ventana de Windows (mediante la opción Ejecutar como administrador) en la instancia EC2.

Para comprobar si el módulo de Active Directory necesario para Windows PowerShell está instalado, utilice el siguiente comando de prueba.
```
PS C:\> Import-Module ActiveDirectory
```
Si lo anterior devuelve un error, instálelo con el siguiente comando.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```

Descargue la herramienta de validación de red con el siguiente comando.


PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

Descomprima el archivo zip con el siguiente comando.


PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"

Agregue el módulo AmazonFSxADValidation a la sesión actual.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
Para establecer los parámetros necesarios, en el siguiente comando, tiene que sustituir:
- El nombre del dominio del Active Directory (DOMAINNAME.COM)
- Prepare el objeto $Credential para la contraseña de la cuenta de servicio mediante una de las siguientes opciones.
  - Para generar el objeto de credenciales de forma interactiva, utilice el siguiente comando.
    
    $Credential = Get-Credential
  - Para generar el objeto de credenciales mediante un AWS Secrets Manager recurso, utilice el siguiente comando.
    
    $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString $Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
- Las direcciones IP del servidor de DNS (IP_ADDRESS_1, IP_ADDRESS_2)
- El ID de subred para las subredes en las que planea crear el sistema de archivos de Amazon FSx (SUBNET_1, SUBNET_2, por ejemplo subnet-04431191671ac0d19).
```
PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}
```
(Opcional) Defina la unidad organizativa, el grupo de administradores delegados y habilite la validación de los permisos de la cuenta de servicio siguiendo las instrucciones del README.md archivo incluido antes de ejecutar la herramienta de validación. DomainControllersMaxCount

nota
El grupo Domain Admins tiene un nombre diferente si el sistema operativo no está en inglés. Por ejemplo, el nombre del grupo es Administrateurs du domaine en la versión francesa del sistema operativo. Si no especifica un valor, se utiliza el nombre predeterminado del grupo Domain Admins, y se produce un error en la creación del sistema de archivos.

Ejecute la herramienta de validación con este comando.


PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

A continuación, hay un ejemplo de respuesta correcta de la prueba.


Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

A continuación, hay un ejemplo de respuesta con errores.


Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

Si recibe advertencias o errores al ejecutar la herramienta de validación, consulte la guía de solución de problemas que se incluye en el paquete de herramientas de validación (TROUBLESHOOTING.md) y Solución de problemas de Amazon FSx.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Las prácticas recomendadas del Active Directory autoadministrado

Unir FSx a un Active Directory autoadministrado

Validar la configuración del Active Directory

Para validar la configuración de Active Directory

nota