Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prasyarat untuk bergabung dengan SVM ke Microsoft AD yang dikelola sendiri
Sebelum Anda bergabung dengan FSx untuk ONTAP SVM ke domain Microsoft AD yang dikelola sendiri, pastikan Direktori Aktif dan jaringan Anda memenuhi persyaratan yang dijelaskan di bagian berikut.
Topik
Persyaratan Direktori Aktif lokal
Pastikan Anda sudah memiliki iklan Microsoft lokal atau yang dikelola sendiri lainnya yang dapat Anda gunakan untuk bergabung dengan SVM. Direktori Aktif ini harus memiliki konfigurasi berikut:
-
Tingkat fungsional domain pengontrol domain Active Directory berada di Windows Server 2000 atau lebih tinggi.
-
Active Directory menggunakan nama domain yang tidak dalam format Single Label Domain (SLD). Amazon FSx tidak mendukung domain SLD.
-
Jika Anda memiliki situs Active Directory yang ditentukan, pastikan subnet di VPC yang terkait dengan fsX Anda untuk sistem file ONTAP didefinisikan di situs Active Directory yang sama, dan tidak ada konflik antara subnet VPC Anda dan subnet di situs Active Directory Anda.
catatan
Jika Anda menggunakan AWS Directory Service, FSx untuk ONTAP tidak mendukung penggabungan SVM ke Simple Active Directory.
Persyaratan konfigurasi jaringan
Pastikan Anda memiliki konfigurasi jaringan berikut dan informasi terkait yang tersedia untuk Anda.
penting
Agar SVM dapat bergabung dengan Active Directory, Anda perlu memastikan bahwa port yang didokumentasikan dalam topik ini memungkinkan lalu lintas antara semua Pengontrol Domain Direktori Aktif dan kedua alamat IP iSCSI (antarmuka logis iscsi_1 dan iscsi_2 (LIFS)) di SVM.
-
Server DNS dan alamat IP pengontrol domain Direktori Aktif.
-
Konektivitas antara VPC Amazon tempat Anda membuat sistem file dan Direktori Aktif yang dikelola sendiri menggunakan AWS Direct Connect
,, AWS VPN atau. AWS Transit Gateway -
Grup keamanan dan ACL Jaringan VPC untuk subnet tempat Anda membuat sistem file harus mengizinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.
Peran setiap port dijelaskan dalam tabel berikut.
Protokol
Port
Peran
TCP/UDP
53
Sistem Nama Domain (DNS)
TCP/UDP
88
Autentikasi Kerberos
TCP/UDP
389
Protokol Akses Direktori Ringan (LDAP)
TCP
445
Pembagian file SMB Layanan Direktori
TCP/UDP
464
Ubah/Atur kata sandi
TCP
636
Protokol Akses Direktori Ringan melalui TLS/SSL (LDAPS)
-
Aturan lalu lintas ini juga harus dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, server DNS, klien FSx, dan administrator FSx.
penting
Sementara grup keamanan Amazon VPC memerlukan port untuk dibuka hanya dalam arah ketika lalu lintas jaringan dimulai, sebagian besar Windows firewall dan VPC ACL jaringan memerlukan port untuk terbuka di kedua arah.
Persyaratan akun layanan Direktori Aktif
Pastikan Anda memiliki akun layanan di Microsoft AD yang dikelola sendiri yang telah mendelegasikan izin untuk bergabung dengan komputer ke domain. Akun layanan adalah akun pengguna di Direktori Aktif yang dikelola sendiri yang telah didelegasikan tugas-tugas tertentu.
Minimal, akun layanan harus didelegasikan izin berikut di OU tempat Anda bergabung dengan SVM:
-
Kemampuan untuk mengatur ulang kata sandi
-
Kemampuan untuk membatasi akun dari membaca dan menulis data
-
Kemampuan untuk mengatur
msDS-SupportedEncryptionTypes
properti pada objek komputer -
Kemampuan tervalidasi untuk menulis ke nama host DNS
-
Kemampuan tervalidasi untuk menulis ke nama utama layanan
-
Kemampuan untuk membuat dan menghapus objek komputer
-
Kemampuan tervalidasi untuk membaca dan menulis Pembatasan Akun
Ini mewakili serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Direktori Aktif Anda. Untuk informasi selengkapnya, lihat topik dokumentasi Windows Server Kesalahan: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba menggabungkan komputer ke pengontrol domain
Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan izin ke akun layanan Amazon FSx Anda.
penting
Amazon FSx memerlukan akun layanan yang valid di seluruh bagian sistem file Amazon FSx Anda. Amazon FSx harus dapat sepenuhnya mengelola sistem file dan melakukan tugas yang mengharuskannya untuk berhenti bergabung dan bergabung kembali dengan sumber daya ke domain Direktori Aktif Anda. Tugas-tugas ini termasuk mengganti sistem file yang gagal atau SVM, atau menambal perangkat lunak NetApp ONTAP. Perbarui informasi konfigurasi Direktori Aktif Anda dengan Amazon FSx, termasuk kredensyal akun layanan. Untuk mempelajari selengkapnya, lihat Terus memperbarui konfigurasi Direktori Aktif dengan Amazon FSx.
Jika ini adalah pertama kalinya Anda menggunakan AWS dan FSx untuk ONTAP, pastikan Anda menyelesaikan langkah penyiapan awal sebelum memulai integrasi Direktori Aktif Anda. Untuk informasi selengkapnya, lihat Menyiapkan fsX untuk ONTAP.
penting
Jangan pindahkan objek komputer yang dibuat Amazon FSx di OU setelah SVM Anda dibuat, atau hapus Direktori Aktif Anda saat SVM Anda bergabung dengannya. Melakukannya akan menyebabkan SVM Anda salah dikonfigurasi.