Prasyarat untuk menggunakan Microsoft AD yang dikelola sendiri - FSx for ONTAP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk menggunakan Microsoft AD yang dikelola sendiri

Sebelum Anda membuat FSx for ONTAP yang bergabung ke domain AD Microsoft yang dikelola sendiri, pastikan bahwa Anda telah membuat dan mengatur persyaratan berikut:

  • Microsoft AD lokal atau yang dikelola sendiri lainnya yang akan bergabung dengan SVM, dengan konfigurasi berikut:

    • Tingkat fungsional domain pengontrol direktori aktif Anda adalah Windows Server 2000 atau lebih tinggi.

    • Alamat IP server DNS dan alamat IP pengontrol domain Aktif.

    • Nama domain yang tidak dalam format Single Label Domain (SLD). Amazon FSx tidak support domain SLD.

    • Jika Anda memiliki situs Direktori Aktif yang dijabarkan, Anda harus memastikan bahwa subnet di VPC yang terkait dengan sistem file Amazon FSx Anda dijabarkan di situs Direktori Aktif yang sama, dan bahwa tidak ada konflik antara subnet di VPC Anda dan subnet di situs Anda lainnya.

  • Konfigurasi jaringan berikut:

    • Konektivitas yang dikonfigurasi antara Amazon VPC di mana Anda ingin membuat sistem file dan Direktori Aktif dikelola sendiri milik Anda. Anda dapat mengatur konektivitas menggunakanAWS Direct Connect,AWS VPN, atauAWS Transit Gateway.

    • Pastikan bahwa grup keamanan dan ACL Jaringan VPC untuk subnet tempat Anda membuat sistem file FSx Anda mengizinkan lalu lintas pada port dan dengan arah yang ditunjukkan dalam diagram berikut.

      
         FSx untuk persyaratan konfigurasi port ONTAP dan ACL jaringan untuk subnet tempat SVM sedang dibuat.

      Tabel berikut mengidentifikasi peran masing-masing port.

      Protokol

      Port

      Peran

      TCP/UDP

      53

      Sistem Nama Domain (DNS)

      TCP/UDP

      88

      Autentikasi Kerberos

      TCP/UDP

      389

      Protokol Akses Direktori Ringan (LDAP)

      TCP

      445

      Pembagian file SMB Layanan Direktori

      TCP/UDP

      464

      Ubah/Atur kata sandi

      TCP

      636

      Protokol Akses Direktori Ringan TLS/SSL (LDAPS)

    • Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengendali domain Direktori Aktif, server DNS, dan administrator FSx.

    penting

    Sementara grup keamanan Amazon VPC memerlukan port untuk dibuka hanya dalam arah yang jaringan lalu lintasnya dimulai, sebagian besar firewall Windows dan ACL jaringan VPC memerlukan port untuk terbuka di kedua arah.

  • Akun layanan di Microsoft AD yang dikelola sendiri dengan izin yang didelegasikan untuk menggabungkan komputer ke domain. Akun layanan adalah akun pengguna di Microsoft AD yang dikelola sendiri yang telah didelegasikan tugas tertentu.

    Akun layanan juga perlu, minimal, didelegasikan izin berikut di OU yang digabungkan dengan sistem file:

    • Kemampuan untuk mengatur ulang kata sandi

    • Kemampuan untuk membatasi akun dari membaca dan menulis data

    • Kemampuan tervalidasi untuk menulis ke nama host DNS

    • Kemampuan tervalidasi untuk menulis ke nama utama layanan

    • Didelegasikan kontrol untuk membuat dan menghapus objek komputer

    • Kemampuan tervalidasi untuk membaca dan menulis Pembatasan Akun

    Ini mewakili serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Direktori Aktif Anda. Untuk informasi selengkapnya, lihat topik dokumentasi Microsoft Windows ServerKesalahan: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba untuk menggabungkan komputer ke kontroler domain.

Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda.

catatan

Amazon FSx memerlukan akun layanan yang valid di seluruh bagian sistem file Amazon FSx Anda. Amazon FSx harus dapat sepenuhnya mengelola sistem file dan melakukan tugas-tugas yang memerlukan penghapusan dan penggabungan kembali domain Direktori Aktif Anda menggunakan, seperti mengganti file yang gagal atau menambal NetApp Perangkat lunak ONTAP. Terus perbarui konfigurasi Direktori Aktif, termasuk kredensia akun layanan, dengan Amazon FSx. Untuk mempelajari caranya, lihat Terus memperbarui konfigurasi Direktori Aktif dengan Amazon FSx.

Jika ini adalah pertama kalinya Anda menggunakanAWSdan FSx for ONTAP, pastikan untuk mengatur sebelum memulai. Untuk informasi selengkapnya, lihat Menyiapkan FSx untuk ONTAP.

penting

Jangan memindahkan objek komputer yang dibuat Amazon FSx setelah SVM Anda dibuat atau hapus Direktori Aktif Anda saat SVM Anda bergabung dengannya. Dengan melakukannya, SVM Anda mengalami kesalahan konfigurasi.