Asocie los alias de DNS a su sistema de archivos Amazon FSx Configure los nombres principales de servicio (SPN) para Kerberos Actualiza o crea un registro CNAME de DNS Aplicar la autenticación de Kerberos con GPO

Uso de alias DNS para acceder al sistema de archivos

FSx para Windows File Server brinda un nombre de sistema de nombres de dominio (DNS) predeterminado para cada sistema de archivos que puede usar para acceder a los datos del sistema de archivos. También, puede acceder a los sistemas de archivos con el alias del DNS que elija. Al migrar el almacenamiento del sistema de archivos en las instalaciones a Amazon FSx, puede seguir utilizando los nombres de DNS existentes para acceder a los datos almacenados en Amazon FSx con los alias del DNS, sin necesidad de actualizar ninguna herramienta o aplicación. Puede asociar hasta 50 alias del DNS con un sistema de archivos en cualquier momento.

Para acceder a los sistemas de archivos de Amazon FSx con alias del DNS, debe realizar los tres pasos siguientes:

Asocie los alias del DNS al sistema de archivos de Amazon FSx.
Configure los nombres las entidades principales de servicio (SPN) del objeto informático del sistema de archivos. (Es necesario para obtener la autenticación de Kerberos al acceder al sistema de archivos con los alias del DNS).
Actualice o cree un registro CNAME de DNS para el sistema de archivos y el alias del DNS.

Temas

Asocie los alias de DNS a su sistema de archivos Amazon FSx
Configure los nombres principales de servicio (SPN) para Kerberos
Actualiza o crea un registro CNAME de DNS
Aplicar la autenticación de Kerberos con GPO

Asocie los alias de DNS a su sistema de archivos Amazon FSx

Puede asociar los alias del DNS a los sistemas de archivos de FSx para Windows File Server existentes al crear sistemas de archivos nuevos, y al crear un sistema de archivos nuevo a partir de una copia de seguridad con la consola, la CLI y la API de Amazon FSx. Si va a crear un alias con un nombre de dominio diferente, ingrese el nombre completo, incluido el dominio principal, para asociar un alias.

En este procedimiento se describe cómo asociar los alias del DNS al crear un nuevo sistema de archivos con la consola Amazon FSx. Para obtener información sobre la asociación de los alias del DNS a los sistemas de archivos existentes, y sobre el uso de la CLI y la API, consulte La administración de los alias del DNS.

Abra la consola de Amazon FSx en https://console.aws.amazon.com/fsx/.
Siga el procedimiento para crear un nuevo sistema de archivos, tal y como se describe en Paso 1. Cree su sistema de archivos de la sección Introducción.
En la sección Acceso (opcional) del asistente para Crear un sistema de archivos, escriba los alias del DNS que desee asociar al sistema de archivos.

Siga las siguientes pautas cuando especifique los alias del DNS:
- Formato de nombre de dominio completo (FQDN) hostname.domain, por ejemplo, accounting.example.com.
- Puede contener caracteres alfanuméricos o guiones (‐).
- No puede empezar ni terminar con un guion.
- Puede comenzar con un número.
Para los nombres de alias del DNS, Amazon FSx almacena los caracteres alfabéticos como letras minúsculas (a-z), independientemente de la forma en que se especifiquen: como letras mayúsculas, letras minúsculas o las letras correspondientes en códigos de escape.
En las Preferencias de mantenimiento, realice los cambios que desee.
En la sección Etiquetas (opcional), añada las etiquetas que necesite y, luego, seleccione Siguiente.
Revise la configuración del sistema de archivos que se muestra en la página Crear sistema de archivos. Seleccione Crear sistema de archivos para abrir el asistente de creación de sistemas de archivos.

Cuando el nuevo sistema de archivos esté disponible, continúe con el paso 2.

Configure los nombres principales de servicio (SPN) para Kerberos

Le recomendamos que utilice la autenticación y el cifrado basados en Kerberos en tránsito con Amazon FSx. Kerberos brinda la autenticación más segura para los clientes que acceden a su sistema de archivos.

Para activar la autenticación de Kerberos para los clientes que acceden a Amazon FSx con un alias del DNS, debe añadir los nombres de las entidades principales de servicio (SPN) que correspondan al alias del DNS del objeto informático de Active Directory del sistema de archivos de Amazon FSx. Un SPN sólo puede asociarse a un único objeto informático de Active Directory a la vez. Si ya tiene SPN existentes para el nombre del DNS configurado para el objeto informático del Active Directory del sistema de archivos original, debe eliminarlos primero.

Se requiere dos SPN para la autenticación de Kerberos:


HOST/alias
HOST/alias.domain

Si el alias es finance.domain.com, los dos SPN necesarios son los siguientes:


HOST/finance
HOST/finance.domain.com

nota

Deberá eliminar todos los SPN del HOST existentes que correspondan al alias del DNS del objeto informático del Active Directory antes de crear nuevos SPN del HOST para el objeto informático del Active Directory (AD) del sistema de archivos Amazon FSx. Los intentos de configurar los SPN para el sistema de archivos Amazon FSx fallarán si existe un SPN para el alias del DNS en el AD.

En los procedimiento a continuación, se describe cómo instalar lo siguiente:

Busque cualquier SPN de los alias del DNS existentes en el objeto informático del Active Directory del sistema de archivos original.
Elimine los SPN existentes encontrados, si los hubiera.
Cree nuevos SPN de los alias del DNS para el objeto informático del Active Directory del sistema de archivos Amazon FSx.

Para instalar el módulo de PowerShell Active Directory necesario

Inicie sesión en una instancia de Windows unida al Active Directory al que está unido el sistema de archivos Amazon FSx.
Abrir PowerShell como administrador.
Instale el módulo PowerShell Active Directory mediante el siguiente comando.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Para buscar y eliminar los alias SPN de DNS existentes en el objeto informático de Active Directory del sistema de archivos original

Busque cualquier SPN existente con los siguientes comandos. Sustituya alias_fqdn por el alias del DNS que asoció al sistema de archivos en el Paso 1.


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

Elimine los SPN de HOST existentes devueltos en el paso anterior con el siguiente script de ejemplo.

Sustituya alias_fqdn por el alias del DNS completo que asoció al sistema de archivos en el Paso 1.
Sustituya file_system_DNS_name por el nombre del DNS del sistema de archivos original.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Repita los pasos anteriores con cada alias del DNS que haya asociado al sistema de archivos en el Paso 1.

Para establecer los SPN en el objeto informático de Active Directory del sistema de archivos Amazon FSx

Establezca nuevos SPN para el sistema de archivos Amazon FSx con los siguientes comandos.
- Sustituya file_system_DNS_name por el nombre del DNS que Amazon FSx asignó al sistema de archivos.
  
  Para buscar el nombre del DNS del sistema de archivos en la consola de Amazon FSx, elija Sistemas de archivos, seleccione su sistema de archivos y, a continuación, elija el panel Red y seguridad en la página de información del sistema de archivos.
  
  También puede obtener el nombre DNS en la respuesta a la operación de la DescribeFileSystemsAPI.
- Sustituya alias_fqdn por el alias del DNS completo que asoció al sistema de archivos en el Paso 1.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use one of the following commands, not both:
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
##Or
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
nota
Se producirá un error al establecer un SPN para el sistema de archivos Amazon FSx si existe un SPN del alias del DNS en el AD del objeto informático del sistema de archivos original. Para obtener información sobre cómo buscar y eliminar los SPN existentes, consulte Para buscar y eliminar los alias SPN de DNS existentes en el objeto informático de Active Directory del sistema de archivos original.
Compruebe si los nuevos SPN estén establecidos para el alias del DNS con el siguiente script de ejemplo. Asegúrese de que la respuesta incluya dos SPN del HOST, HOST/alias yHOST/alias_fqdn, tal como se describió anteriormente en este procedimiento.

Sustituya file_system_DNS_name por el nombre del DNS que Amazon FSx asignó a su sistema de archivos. Para encontrar el nombre del DNS del sistema de archivos en la consola de Amazon FSx, elija Sistemas de archivos, seleccione el suyo. Luego, elija el panel Red y seguridad en la página de información del sistema de archivos.

También puedes obtener el nombre DNS en la respuesta a la operación de la DescribeFileSystemsAPI.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Repita los pasos anteriores con cada alias del DNS que haya asociado al sistema de archivos en el Paso 1.

Para obtener información sobre cómo requerir que los clientes utilicen la autenticación y el cifrado de Kerberos al conectarse al sistema de archivos Amazon FSx, consulte Aplicar la autenticación de Kerberos con GPO.

Actualiza o crea un registro CNAME de DNS

Tras configurar de forma correcta los SPN del sistema de archivos, puede pasar a Amazon FSx sustituyendo cada registro de DNS que se resolvió en el sistema de archivos original por un registro de DNS que se resuelve en el nombre del DNS predeterminado del sistema de archivos de Amazon FSx.

Los módulos dnsserver y activedirectory de Windows son necesarios para ejecutar los comandos que se presentan en esta sección.

Para instalar los cmdlets necesarios PowerShell

Inicie sesión en una instancia de Windows unida al Active Directory al que esté unido su sistema de archivos Amazon FSx como usuario que sea miembro de un grupo que tenga permisos de administración de DNS (administradores del sistema de nombres de dominio AWSAWS delegados en Active Directory AWS gestionado y administradores de dominio u otro grupo al que haya delegado permisos de administración de DNS en su Active Directory autogestionado).

Para obtener más información, consulte Connecting to Your Windows Instance en la Guía del usuario de Amazon EC2.
Abre como administrador. PowerShell
El módulo del servidor PowerShell DNS es necesario para realizar las instrucciones de este procedimiento. Instálelo con el siguiente comando.
```
Install-WindowsFeature RSAT-DNS-Server
```

Para actualizar o crear un nombre del DNS personalizado para el sistema de archivos Amazon FSx

Conéctese a su instancia de Amazon EC2 como un usuario que sea miembro de un grupo que tenga permisos de administración de DNS (administradores del sistema de nombres de dominio AWS delegados en Active Directory AWS gestionado y administradores de dominio u otro grupo al que haya delegado permisos de administración de DNS en su Active Directory autogestionado).

Para obtener más información, consulte Connecting to Your Windows Instance en la Guía del usuario de Amazon EC2.
En el símbolo del sistema, ejecute lo siguiente. Este script migra todos los registros CNAME del DNS existentes al sistema de archivos Amazon FSx. Si no se encuentra ninguno, se crea uno nuevo para el alias del DNS alias_fqdn que se convierte en el nombre del DNS predeterminado del sistema de archivos Amazon FSx.

Para ejecutar el script:
- Sustituya alias_fqdn por el alias del DNS que asoció al sistema de archivos.
- Sustituya file_system_DNS_name por el nombre del DNS que Amazon FSx asignó al sistema de archivos.
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name) | Select -First 1
foreach ($computer in $DnsServerComputerName)
{
Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $computer -HostNameAlias $FSxDnsName -ZoneName $ZoneName
}
```
Repita el paso anterior para cada alias del DNS que haya asociado al sistema de archivos en el Paso 1.

Acaba de añadir un valor CNAME del DNS para el sistema de archivos Amazon FSx con el alias del DNS. Ya puede usar el alias del DNS para acceder a sus datos.

nota

Al actualizar un registro CNAME del DNS para que apunte a un sistema de archivos Amazon FSx que anteriormente apuntaba a otro sistema de archivos, es posible que los clientes no puedan conectarse al sistema de archivos durante un breve período de tiempo. Cuando la caché del DNS del cliente se actualice, deberían poder conectarse mediante el alias del DNS. Para obtener más información, consulte No se puede acceder al sistema de archivos con un alias del DNS.

Aplicar la autenticación de Kerberos con GPO

Puede aplicar la autenticación de Kerberos cuando accede al sistema de archivos mediante la configuración de los siguientes objetos de política de grupo (GPO) en el Active Directory:

Restringir el NTLM: tráfico de NTLM saliente a servidores remotos: utilice esta configuración de política para denegar o auditar el tráfico de NTLM saliente de un equipo a cualquier servidor remoto que ejecute el sistema operativo Windows.
Restringir el NTLM: agregar excepciones del servidor remoto para la autenticación de NTLM: utilice esta configuración de política para crear una lista de excepciones de los servidores remotos en los que los dispositivos cliente puedan usar la autenticación de NTLM, si está establecida la configuración de política Seguridad de red: restringir NTLM: tráfico de NTLM saliente a servidores remotos.

Inicie sesión como administrador en una instancia de Windows unida al Active Directory al que esté unido el sistema de archivos Amazon FSx. Si va a configurar un Active Directory autoadministrado, aplique estos pasos directamente al Active Directory.
Elija Inicio, Herramientas administrativas y, a continuación, Administración de políticas de grupo.
Elija Objetos de política de grupo.
Si el objeto de política de grupo aún no existe, créelo.
Localice la política existente de Seguridad de red: restringir el tráfico NTLM: tráfico NTLM saliente a servidores remotos. (Si no existe tal política, cree una nueva). En la pestaña Configuración de seguridad local, abra el menú contextual (botón derecho) y elija Propiedades.
Seleccione Denegar todo.
Elija Aplicar para guardar la configuración de seguridad.
Para establecer excepciones para las conexiones NTLM a servidores remotos específicos del cliente, busque la sección Seguridad de red: restringir NTLM: agregar excepciones de servidor remoto.

Abra el menú contextual (botón derecho) y elija Propiedades en la pestaña Configuración de seguridad local.
Ingrese los nombres de los servidores que desee añadir a la lista de excepciones.
Elija Aplicar para guardar la configuración de seguridad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

La administración de los alias del DNS en los sistemas de archivos existentes

Administrar los recursos compartidos de archivos