Passage à Amazon FSx - Amazon FSx for Windows File Server
Préparation du passage à Amazon FSxConfigurer les SPN pour l'authentification KerberosMettre à jour les enregistrements DNS CNAME pour le système de fichiers Amazon FSx

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Passage à Amazon FSx

Pour accéder à votre système de fichiers FSx for Windows File Server, vous devez effectuer les étapes suivantes :

  • Préparez-vous à la découpe.

    • Déconnectez temporairement les clients SMB du système de fichiers d'origine.

    • Effectuez une synchronisation finale de la configuration des fichiers et du partage de fichiers.

  • Configurez les noms principaux de service (SPN) pour votre système de fichiers Amazon FSx.

  • Mettez à jour les enregistrements DNS CNAME pour qu'ils pointent vers votre système de fichiers Amazon FSx.

Les procédures permettant d'effectuer chacune de ces étapes sont décrites dans les sections suivantes.

Préparation du passage à Amazon FSx

Pour préparer le transfert vers votre système de fichiers Amazon FSx, vous devez effectuer les opérations suivantes :

Configurer les SPN pour l'authentification Kerberos

Nous vous recommandons d'utiliser l'authentification et le chiffrement basés sur Kerberos lors du transit avec Amazon FSx. Kerberos fournit l'authentification la plus sécurisée pour les clients qui accèdent à votre système de fichiers. Pour activer l'authentification Kerberos pour les clients accédant à Amazon FSx à l'aide d'un alias DNS, vous devez ajouter des noms principaux de service (SPN) correspondant à l'alias DNS sur l'objet informatique Active Directory de votre système de fichiers Amazon FSx.

Deux SPN sont requis pour l'authentification Kerberos.

HOST/alias
HOST/alias.domain

Par exemple, si l'alias est le casfinance.domain.com, les deux SPN requis sont les suivants.

HOST/finance
HOST/finance.domain.com

Un SPN ne peut être associé qu'à un seul objet informatique Active Directory à la fois. S'il existe des SPN existants pour le nom DNS configuré pour l'objet informatique Active Directory de votre système de fichiers d'origine, vous devez les supprimer avant de créer des SPN pour votre système de fichiers Amazon FSx.

Les procédures suivantes décrivent comment rechercher les SPN existants, les supprimer et créer de nouveaux SPN pour l'objet informatique Active Directory de votre système de fichiers Amazon FSx.

Pour installer le module PowerShell Active Directory requis

  1. Connectez-vous à une instance Windows jointe à l'Active Directory auquel votre système de fichiers Amazon FSx est joint.

  2. Ouvrez PowerShell en tant qu'administrateur.

  3. Installez le module PowerShell Active Directory à l'aide de la commande suivante.

    Install-WindowsFeature RSAT-AD-PowerShell
Pour rechercher et supprimer des alias DNS SPN existants sur l'objet informatique Active Directory du système de fichiers d'origine

  1. Trouvez tous les SPN existants à l'aide des commandes suivantes. alias_fqdnRemplacez-le par l'alias DNS que vous avez associé au système de fichiers dansMigration de la configuration DNS pour utiliser Amazon FSx.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Supprimez les SPN HOST existants renvoyés à l'étape précédente à l'aide de l'exemple de script suivant.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Répétez ces étapes pour chaque alias DNS que vous avez associé au système de fichiersMigration de la configuration DNS pour utiliser Amazon FSx.

Pour définir des SPN sur l'objet informatique Active Directory de votre système de fichiers Amazon FSx

  1. Définissez de nouveaux SPN pour votre système de fichiers Amazon FSx en exécutant les commandes suivantes.

    • file_system_DNS_nameRemplacez-le par le nom DNS attribué par Amazon FSx au système de fichiers.

      Pour trouver le nom DNS de votre système de fichiers sur la console Amazon FSx, sélectionnez Systèmes de fichiers, puis choisissez votre système de fichiers. Choisissez le volet Réseau et sécurité de la page de détails du système de fichiers. Vous pouvez également obtenir le nom DNS en réponse à l'opération de l'API DescribeFileSystems.

    • alias_fqdnRemplacez-le par l'alias DNS complet que vous avez associé au système de fichiers dansMigration de la configuration DNS pour utiliser Amazon FSx.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    Note

    La définition d'un SPN pour votre système de fichiers Amazon FSx échouera si un SPN pour l'alias DNS existe dans l'AD pour l'objet informatique du système de fichiers d'origine. Pour plus d'informations sur la recherche et la suppression de SPN existants, consultezPour rechercher et supprimer des alias DNS SPN existants sur l'objet informatique Active Directory du système de fichiers d'origine.

  2. Vérifiez que les nouveaux SPN sont configurés pour l'alias DNS à l'aide de l'exemple de script suivant. Assurez-vous que la réponse inclut deux SPN HOST, HOST/alias etHOST/alias_fqdn.

    file_system_DNS_nameRemplacez-le par le nom DNS attribué par Amazon FSx à votre système de fichiers. Pour trouver le nom DNS de votre système de fichiers sur la console Amazon FSx, choisissez Systèmes de fichiers, choisissez votre système de fichiers, puis choisissez le volet Réseau et sécurité sur la page de détails du système de fichiers.

    Vous pouvez également obtenir le nom DNS en réponse à l'opération de l'API DescribeFileSystems.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Répétez les étapes précédentes pour chaque alias DNS que vous avez associé au système de fichiers dansMigration de la configuration DNS pour utiliser Amazon FSx.

Note

Vous pouvez appliquer l'authentification et le chiffrement Kerberos en transit avec les clients qui se connectent à votre système de fichiers à l'aide d'alias DNS en définissant les objets de stratégie de groupe (GPO) suivants dans votre Active Directory :

  • Restreindre le protocole NTLM : trafic NTLM sortant vers des serveurs distants

  • Restreindre NTLM : ajouter des exceptions de serveur distant pour l'authentification NTLM

Pour plus d'informations, consultez la section Procédure pas Appliquer l'authentification Kerberos à l'aide de GPO à pas 5 : Utilisation d'alias DNS pour accéder à votre système de fichiers.

Mettre à jour les enregistrements DNS CNAME pour le système de fichiers Amazon FSx

Après avoir correctement configuré les SPN pour votre système de fichiers, vous pouvez passer à Amazon FSx en remplaçant chaque enregistrement DNS résolu dans le système de fichiers d'origine par un enregistrement DNS correspondant au nom DNS par défaut du système de fichiers Amazon FSx.

Pour installer les applets de commande requis PowerShell

  1. Connectez-vous à une instance Windows jointe à l'Active Directory à laquelle votre système de fichiers Amazon FSx est joint en tant qu'utilisateur membre d'un groupe disposant d'autorisations d'administration DNS (administrateurs de systèmes de noms de domaine AWS délégués dans AWS Microsoft Active Directory géré, administrateurs de domaine ou autre groupe auquel vous avez délégué des autorisations d'administration DNS dans votre Active Directory autogéré)

    Pour plus d'informations, consultez la section Connexion à votre instance Windows dans le guide de l'utilisateur Amazon EC2.

  2. Ouvrez PowerShell en tant qu'administrateur.

  3. Le module de serveur PowerShell DNS est nécessaire pour exécuter les instructions de cette procédure. Installez-le à l'aide de la commande suivante.

    Install-WindowsFeature RSAT-DNS-Server
Pour mettre à jour un enregistrement DNS CNAME existant

  1. Le script suivant met à jour tous les enregistrements DNS CNAME existants alias_fqdn pour l'objet informatique de votre système de fichiers Amazon FSx. Si aucun n'est trouvé, il crée un nouvel enregistrement DNS CNAME pour l'alias DNS alias_fqdn qui correspond au nom DNS par défaut de votre système de fichiers Amazon FSx.

    Pour exécuter le script :

    • alias_fqdnRemplacez-le par l'alias DNS que vous avez associé au système de fichiers.

    • Remplacez file_system_DNS_name par le nom DNS par défaut qu'Amazon FSx a attribué au système de fichiers.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. Répétez l'étape précédente pour chaque alias DNS que vous avez associé au système de fichiersMigration de la configuration DNS pour utiliser Amazon FSx.