Prasyarat untuk bergabung dengan SVM ke Microsoft AD yang dikelola sendiri - fsX untuk ONTAP
Persyaratan Direktori Aktif yang dikelola sendiriPersyaratan konfigurasi jaringanPersyaratan akun layanan Direktori Aktif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk bergabung dengan SVM ke Microsoft AD yang dikelola sendiri

Sebelum Anda bergabung dengan FSx untuk ONTAP SVM ke domain Microsoft AD yang dikelola sendiri, pastikan Direktori Aktif dan jaringan Anda memenuhi persyaratan yang dijelaskan di bagian berikut.

Persyaratan Direktori Aktif lokal

Pastikan Anda sudah memiliki iklan Microsoft lokal atau yang dikelola sendiri lainnya yang dapat Anda gunakan untuk bergabung dengan SVM. Direktori Aktif ini harus memiliki konfigurasi berikut:

  • Tingkat fungsional domain pengontrol domain Active Directory berada di Windows Server 2000 atau lebih tinggi.

  • Active Directory menggunakan nama domain yang tidak dalam format Single Label Domain (SLD). Amazon FSx tidak mendukung domain SLD.

  • Jika Anda memiliki situs Active Directory yang ditentukan, pastikan subnet di VPC yang terkait dengan fsX Anda untuk sistem file ONTAP didefinisikan di situs Active Directory yang sama, dan tidak ada konflik antara subnet VPC Anda dan subnet di situs Active Directory Anda.

catatan

Jika Anda menggunakan AWS Directory Service, FSx untuk ONTAP tidak mendukung penggabungan SVM ke Simple Active Directory.

Persyaratan konfigurasi jaringan

Pastikan Anda memiliki konfigurasi jaringan berikut dan informasi terkait yang tersedia untuk Anda.

penting

Agar SVM dapat bergabung dengan Active Directory, Anda perlu memastikan bahwa port yang didokumentasikan dalam topik ini memungkinkan lalu lintas antara semua Pengontrol Domain Direktori Aktif dan kedua alamat IP iSCSI (antarmuka logis iscsi_1 dan iscsi_2 (LIFS)) di SVM.

  • Server DNS dan alamat IP pengontrol domain Direktori Aktif.

  • Konektivitas antara VPC Amazon tempat Anda membuat sistem file dan Direktori Aktif yang dikelola sendiri menggunakan AWS Direct Connect,, AWS VPNatau. AWS Transit Gateway

  • Grup keamanan dan ACL Jaringan VPC untuk subnet tempat Anda membuat sistem file harus mengizinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.

    Diagram yang menunjukkan fsX untuk persyaratan konfigurasi port ONTAP untuk grup keamanan VPC dan ACL jaringan untuk subnet tempat Anda membuat fsX untuk sistem file ONTAP.

    Peran setiap port dijelaskan dalam tabel berikut.

    Protokol

    Port

    Peran

    TCP/UDP

    53

    Sistem Nama Domain (DNS)

    TCP/UDP

    88

    Autentikasi Kerberos

    TCP/UDP

    389

    Protokol Akses Direktori Ringan (LDAP)

    TCP

    445

    Pembagian file SMB Layanan Direktori

    TCP/UDP

    464

    Ubah/Atur kata sandi

    TCP

    636

    Protokol Akses Direktori Ringan melalui TLS/SSL (LDAPS)

  • Aturan lalu lintas ini juga harus dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, server DNS, klien FSx, dan administrator FSx.

    penting

    Sementara grup keamanan Amazon VPC memerlukan port untuk dibuka hanya dalam arah ketika lalu lintas jaringan dimulai, sebagian besar Windows firewall dan VPC ACL jaringan memerlukan port untuk terbuka di kedua arah.

Persyaratan akun layanan Direktori Aktif

Pastikan Anda memiliki akun layanan di Microsoft AD yang dikelola sendiri yang telah mendelegasikan izin untuk bergabung dengan komputer ke domain. Akun layanan adalah akun pengguna di Direktori Aktif yang dikelola sendiri yang telah didelegasikan tugas-tugas tertentu.

Minimal, akun layanan harus didelegasikan izin berikut di OU tempat Anda bergabung dengan SVM:

  • Kemampuan untuk mengatur ulang kata sandi

  • Kemampuan untuk membatasi akun dari membaca dan menulis data

  • Kemampuan untuk mengatur msDS-SupportedEncryptionTypes properti pada objek komputer

  • Kemampuan tervalidasi untuk menulis ke nama host DNS

  • Kemampuan tervalidasi untuk menulis ke nama utama layanan

  • Kemampuan untuk membuat dan menghapus objek komputer

  • Kemampuan tervalidasi untuk membaca dan menulis Pembatasan Akun

Ini mewakili serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Direktori Aktif Anda. Untuk informasi selengkapnya, lihat topik dokumentasi Windows Server Kesalahan: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba menggabungkan komputer ke pengontrol domain.

Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan izin ke akun layanan Amazon FSx Anda.

penting

Amazon FSx memerlukan akun layanan yang valid di seluruh bagian sistem file Amazon FSx Anda. Amazon FSx harus dapat sepenuhnya mengelola sistem file dan melakukan tugas yang mengharuskannya untuk berhenti bergabung dan bergabung kembali dengan sumber daya ke domain Direktori Aktif Anda. Tugas-tugas ini termasuk mengganti sistem file yang gagal atau SVM, atau menambal perangkat lunak NetApp ONTAP. Perbarui informasi konfigurasi Direktori Aktif Anda dengan Amazon FSx, termasuk kredensyal akun layanan. Untuk mempelajari selengkapnya, lihat Terus memperbarui konfigurasi Direktori Aktif dengan Amazon FSx.

Jika ini adalah pertama kalinya Anda menggunakan AWS dan FSx untuk ONTAP, pastikan Anda menyelesaikan langkah penyiapan awal sebelum memulai integrasi Direktori Aktif Anda. Untuk informasi selengkapnya, lihat Menyiapkan fsX untuk ONTAP.

penting

Jangan pindahkan objek komputer yang dibuat Amazon FSx di OU setelah SVM Anda dibuat, atau hapus Direktori Aktif Anda saat SVM Anda bergabung dengannya. Melakukannya akan menyebabkan SVM Anda salah dikonfigurasi.