Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation d'alias DNS pour accéder à votre système de fichiers
FSx for Windows File Server fournit un nom de système de noms de domaine (DNS) par défaut pour chaque système de fichiers que vous pouvez utiliser pour accéder aux données de votre système de fichiers. Vous pouvez également accéder à vos systèmes de fichiers à l'aide d'un alias DNS de votre choix. Avec les alias DNS, vous pouvez continuer à utiliser les noms DNS existants pour accéder aux données stockées sur Amazon FSx lors de la migration du stockage du système de fichiers sur site vers Amazon FSx, sans avoir à mettre à jour d'outils ou d'applications. Vous pouvez associer jusqu'à 50 alias DNS à un système de fichiers à la fois.
Pour accéder à vos systèmes de fichiers Amazon FSx à l'aide d'alias DNS, vous devez effectuer les trois étapes suivantes :
Associez des alias DNS à votre système de fichiers Amazon FSx.
Configurez les noms principaux de service (SPN) pour l'objet informatique de votre système de fichiers. (Cela est nécessaire pour obtenir l'authentification Kerberos lorsque vous accédez à votre système de fichiers à l'aide d'alias DNS.)
Mettez à jour ou créez un enregistrement DNS CNAME pour le système de fichiers et l'alias DNS.
Rubriques
Associez des alias DNS à votre système de fichiers Amazon FSx
Vous pouvez associer des alias DNS aux systèmes de fichiers FSx for Windows File Server existants, lorsque vous créez de nouveaux systèmes de fichiers ou lorsque vous créez un nouveau système de fichiers à partir d'une sauvegarde à l'aide de la console, de la CLI et de l'API Amazon FSx. Si vous créez un alias avec un autre nom de domaine, entrez le nom complet, y compris le domaine parent, pour associer un alias.
Cette procédure décrit comment associer des alias DNS lors de la création d'un nouveau système de fichiers à l'aide de la console Amazon FSx. Pour plus d'informations sur l'association d'alias DNS aux systèmes de fichiers existants, et pour plus de détails sur l'utilisation de la CLI et de l'API, consultezGestion des alias DNS.
-
Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.
Suivez la procédure de création d'un nouveau système de fichiers décrite dans Étape 1. Créez votre système de fichiers la section Mise en route.
Dans la section Accès - facultatif de l'assistant de création de système de fichiers, entrez les alias DNS que vous souhaitez associer à votre système de fichiers.
Respectez les consignes suivantes lorsque vous spécifiez des alias DNS :
Doit être formaté en tant que nom de domaine complet (FQDN)
hostname.domainaccounting.example.comPeut contenir des caractères alphanumériques et des tirets (‐).
Il ne peut pas commencer ni se terminer par un trait d'union.
Il peut commencer par un caractère numérique.
Pour les noms d'alias DNS, Amazon FSx stocke les caractères alphabétiques sous forme de lettres minuscules (a-z), quelle que soit la manière dont vous les spécifiez : lettres majuscules, lettres minuscules ou lettres correspondantes sous forme de codes d'échappement.
Pour les préférences de maintenance, apportez les modifications souhaitées.
-
Dans la section Balises - facultatif, ajoutez les balises dont vous avez besoin, puis choisissez Next.
-
Vérifiez la configuration du système de fichiers qui s'affiche sur la page Create file system (Créer un système de fichiers). Choisissez Créer un système de fichiers pour créer le système de fichiers.
Lorsque votre nouveau système de fichiers sera disponible, passez à l'étape 2.
Configuration des noms principaux de service (SPN) pour Kerberos
Nous vous recommandons d'utiliser l'authentification et le chiffrement basés sur Kerberos lors du transit avec Amazon FSx. Kerberos fournit l'authentification la plus sécurisée pour les clients qui accèdent à votre système de fichiers.
Pour activer l'authentification Kerberos pour les clients qui accèdent à Amazon FSx à l'aide d'un alias DNS, vous devez ajouter des noms principaux de service (SPN) correspondant à l'alias DNS sur l'objet informatique Active Directory de votre système de fichiers Amazon FSx. Un SPN ne peut être associé qu'à un seul objet informatique Active Directory à la fois. Si vous avez déjà configuré des SPN pour le nom DNS pour l'objet informatique Active Directory de votre système de fichiers d'origine, vous devez d'abord les supprimer.
Deux SPN sont requis pour l'authentification Kerberos :
HOST/aliasHOST/alias.domain
Si l'alias est le casfinance.domain.com, les deux SPN requis sont les suivants :
HOST/finance HOST/finance.domain.com
Note
Vous devez supprimer tous les SPN HOST existants correspondant à l'alias DNS sur l'objet informatique Active Directory avant de créer de nouveaux SPN HOST pour l'objet informatique Active Directory (AD) de votre système de fichiers Amazon FSx. Les tentatives de définition de SPN pour votre système de fichiers Amazon FSx échoueront si un SPN pour l'alias DNS existe dans l'AD.
Les procédures suivantes décrivent comment effectuer les opérations suivantes :
Recherchez tous les noms SPN d'alias DNS existants sur l'objet informatique Active Directory du système de fichiers d'origine.
Supprimez les SPN existants trouvés, le cas échéant.
Créez de nouveaux alias DNS SPN pour l'objet informatique Active Directory de votre système de fichiers Amazon FSx.
Pour installer le module PowerShell Active Directory requis
-
Connectez-vous à une instance Windows jointe à l'Active Directory auquel votre système de fichiers Amazon FSx est joint.
Ouvrez PowerShell en tant qu'administrateur.
Installez le module PowerShell Active Directory à l'aide de la commande suivante.
Install-WindowsFeature RSAT-AD-PowerShell
Pour rechercher et supprimer des alias DNS SPN existants sur l'objet informatique Active Directory du système de fichiers d'origine
Trouvez tous les SPN existants à l'aide des commandes suivantes.
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Supprimez les SPN HOST existants renvoyés à l'étape précédente à l'aide de l'exemple de script suivant.
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Répétez les étapes précédentes pour chaque alias DNS que vous avez associé au système de fichiers à l'étape 1.
Pour définir des SPN sur l'objet informatique Active Directory de votre système de fichiers Amazon FSx
Définissez de nouveaux SPN pour votre système de fichiers Amazon FSx en exécutant les commandes suivantes.
file_system_DNS_namePour trouver le nom DNS de votre système de fichiers sur la console Amazon FSx, choisissez Systèmes de fichiers, choisissez votre système de fichiers, puis choisissez le volet Réseau et sécurité sur la page de détails du système de fichiers.
Vous pouvez également obtenir le nom DNS dans la réponse de l'opération d'DescribeFileSystemsAPI.
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.NameNote
La définition d'un SPN pour votre système de fichiers Amazon FSx échouera si un SPN pour l'alias DNS existe dans l'AD pour l'objet informatique du système de fichiers d'origine. Pour plus d'informations sur la recherche et la suppression de SPN existants, consultezPour rechercher et supprimer des alias DNS SPN existants sur l'objet informatique Active Directory du système de fichiers d'origine.
-
Vérifiez que les nouveaux SPN sont configurés pour l'alias DNS à l'aide de l'exemple de script suivant. Assurez-vous que la réponse inclut deux SPN HOST
HOST/etaliasHOST/, comme décrit précédemment dans cette procédure.alias_fqdnfile_system_DNS_nameVous pouvez également obtenir le nom DNS dans la réponse de l'opération d'DescribeFileSystemsAPI.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Répétez les étapes précédentes pour chaque alias DNS que vous avez associé au système de fichiers à l'étape 1.
Pour plus d'informations sur la manière d'obliger les clients à utiliser l'authentification et le chiffrement Kerberos lors de la connexion à votre système de fichiers Amazon FSx, consultez. Appliquer l'authentification Kerberos à l'aide de GPO
Mettre à jour ou créer un enregistrement DNS CNAME
Après avoir correctement configuré les SPN pour votre système de fichiers, vous pouvez passer à Amazon FSx en remplaçant chaque enregistrement DNS résolu dans le système de fichiers d'origine par un enregistrement DNS correspondant au nom DNS par défaut du système de fichiers Amazon FSx.
Les modules dnsserver et activedirectory Windows sont nécessaires pour exécuter les commandes présentées dans cette section.
Pour installer les applets de commande requis PowerShell
-
Connectez-vous à une instance Windows jointe à l'Active Directory à laquelle votre système de fichiers Amazon FSx est joint en tant qu'utilisateur membre d'un groupe disposant d'autorisations d'administration DNS (administrateurs de systèmes de noms de domaine AWSAWS délégués dans AWS Managed Active Directory, administrateurs de domaine ou autre groupe auquel vous avez délégué des autorisations d'administration DNS dans votre Active Directory autogéré).
Pour plus d'informations, consultez la section Connexion à votre instance Windows dans le guide de l'utilisateur Amazon EC2.
Ouvrez PowerShell en tant qu'administrateur.
Le module PowerShell DNS Server est nécessaire pour exécuter les instructions de cette procédure. Installez-le à l'aide de la commande suivante.
Install-WindowsFeature RSAT-DNS-Server
Pour mettre à jour ou créer un nom DNS personnalisé pour votre système de fichiers Amazon FSx
-
Connectez-vous à votre instance Amazon EC2 en tant qu'utilisateur membre d'un groupe disposant d'autorisations d'administration DNS (administrateurs de systèmes de noms de domaine AWS délégués dans AWS Managed Active Directory, administrateurs de domaines ou autre groupe auquel vous avez délégué des autorisations d'administration DNS dans votre Active Directory autogéré).
Pour plus d'informations, consultez la section Connexion à votre instance Windows dans le guide de l'utilisateur Amazon EC2.
-
À l'invite de commande, exécutez le script suivant. Ce script migre tous les enregistrements DNS CNAME existants vers votre système de fichiers Amazon FSx. Si aucun n'est trouvé, il crée un nouvel enregistrement DNS CNAME pour l'alias DNS
alias_fqdnPour exécuter le script :
alias_fqdnRemplacez
file_system_DNS_name
$Alias="alias_fqdn" $FSxDnsName="file_system_dns_name" $AliasHost=$Alias.Split('.')[0] $ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain) $DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name) | Select -First 1 foreach ($computer in $DnsServerComputerName) { Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $computer -HostNameAlias $FSxDnsName -ZoneName $ZoneName } -
Répétez l'étape précédente pour chaque alias DNS que vous avez associé au système de fichiers à l'étape 1.
Vous avez maintenant ajouté une valeur DNS CNAME pour votre système de fichiers Amazon FSx avec l'alias DNS. Vous pouvez désormais utiliser l'alias DNS pour accéder à vos données.
Note
Lors de la mise à jour d'un enregistrement DNS CNAME pour qu'il pointe vers un système de fichiers Amazon FSx précédemment pointé vers un autre système de fichiers, les clients peuvent ne pas être en mesure de se connecter au système de fichiers pendant une courte période. Lorsque le cache DNS du client est actualisé, il doit pouvoir se connecter à l'aide de l'alias DNS. Pour plus d’informations, consultez Impossible d'accéder au système de fichiers à l'aide d'un alias DNS.
Appliquer l'authentification Kerberos à l'aide de GPO
Vous pouvez appliquer l'authentification Kerberos lors de l'accès au système de fichiers en définissant les objets de stratégie de groupe (GPO) suivants dans votre Active Directory :
Restreindre le NTLM : trafic NTLM sortant vers des serveurs distants - Utilisez ce paramètre de stratégie pour refuser ou auditer le trafic NTLM sortant d'un ordinateur vers un serveur distant exécutant le système d'exploitation Windows.
Restreindre le protocole NTLM : ajoutez des exceptions de serveur distant pour l'authentification NTLM - Utilisez ce paramètre de stratégie pour créer une liste d'exceptions des serveurs distants sur lesquels les appareils clients sont autorisés à utiliser l'authentification NTLM si le paramètre de stratégie Sécurité du réseau : restreindre le trafic NTLM : trafic NTLM sortant vers les serveurs distants est configuré.
Connectez-vous à une instance Windows jointe à l'Active Directory à laquelle votre système de fichiers Amazon FSx est joint en tant qu'administrateur. Si vous configurez un Active Directory autogéré, appliquez ces étapes directement à votre Active Directory.
Choisissez Démarrer, Outils d'administration, puis Gestion des politiques de groupe.
Choisissez Group Policy Objects.
Si votre objet de stratégie de groupe n'existe pas déjà, créez-le.
Localisez la sécurité réseau existante : Restreindre le protocole NTLM : politique relative au trafic NTLM sortant vers les serveurs distants. (S'il n'existe aucune stratégie, créez-en une nouvelle.) Dans l'onglet Paramètres de sécurité locaux, ouvrez le menu contextuel (clic droit) et choisissez Propriétés.
Choisissez Tout refuser.
Choisissez Appliquer pour enregistrer le paramètre de sécurité.
Pour définir des exceptions pour les connexions NTLM à des serveurs distants spécifiques pour le client, recherchez le lien Sécurité du réseau : Restreindre le protocole NTLM : ajouter des exceptions de serveur distant.
Ouvrez le menu contextuel (clic droit), puis sélectionnez Propriétés dans l'onglet Paramètres de sécurité locaux.
Entrez le nom des serveurs à ajouter à la liste d'exceptions.
Choisissez Appliquer pour enregistrer le paramètre de sécurité.
