Praktik terbaik untuk bergabung dengan FSx untuk SVM ONTAP ke domain Active Directory - FSx for ONTAP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk bergabung dengan FSx untuk SVM ONTAP ke domain Active Directory

Berikut adalah beberapa saran dan panduan yang harus Anda pertimbangkan saat menggabungkan Amazon FSx NetApp SVM ONTAP ke Direktori Aktif Microsoft yang dikelola sendiri. Perhatikan bahwa ini direkomendasikan sebagai praktik terbaik, tetapi tidak diwajibkan.

Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda

Pastikan untuk mengkonfigurasi akun layanan yang Anda sediakan untuk Amazon FSx dengan hak minimum yang diperlukan. Selain itu, pisahkan Unit Organisasi (OU) dari masalah kontroler domain lainnya.

Untuk menggabungkan Amazon FSx ke domain Anda, pastikan akun layanan telah mendelegasikan hak istimewa. Anggota Admin Domain memiliki hak istimewa yang cukup untuk melakukan tugas ini. Namun, sebagai praktik terbaik, gunakan akun layanan yang hanya memiliki hak istimewa minimum yang diperlukan untuk melakukannya. Prosedur berikut menunjukkan cara mendelegasikan hanya hak istimewa yang diperlukan untuk menggabungkan FSx untuk SVM ONTAP ke domain Anda.

Melakukan prosedur ini pada mesin yang digabungkan ke direktori Anda dan dengan snap-in Pengguna Direktori Aktif dan komputer MMC terpasang.

Untuk membuat akun layanan untuk domain Direktori Aktif aktif

  1. Pastikan bahwa Anda masuk sebagai administrator domain untuk domain Direktori Aktif Anda.

  2. Buka MMC snap-in Pengguna Direktori Aktif dan Komputer.

  3. Dalam panel tugas, perluas simpul domain.

  4. Temukan dan buka menu konteks (klik kanan) untuk OU yang ingin Anda ubah, lalu pilih Delegasikan Kontrol.

  5. Pada halaman Delegasi Control Wizard, pilih Selanjutnya.

  6. Pilih Tambahkan untuk menambahkan pengguna tertentu atau grup tertentu untuk Pengguna dan grup yang dipilih, lalu pilih Selanjutnya.

  7. Pada halaman Tugas untuk Didelegasikan, pilih Buat tugas kustom untuk didelegasikan, lalu pilih Selanjutnya.

  8. Pilih Hanya objek berikut dalam folder, lalu pilih Objek komputer.

  9. Pilih Buat objek yang dipilih dalam folder ini dan Hapus objek yang dipilih dalam folder ini. Kemudian pilih Selanjutnya.

  10. Untuk Izin, pilih:

    • Atur ulang kata sandi

    • Baca dan tulis Pembatasan Akun

    • Penulisan tervalidasi ke nama host DNS

    • Penulisan tervalidasi ke nama utama layanan

  11. Pilih Selanjutnya, dan kemudian pilih Selesai.

  12. Tutup snap-in Pengguna Direktori Aktif dan Komputer MMC.

penting

Jangan memindahkan objek komputer yang dibuat Amazon FSx di OU setelah SVM Anda dibuat. Dengan melakukannya, SVM Anda akan mengalami kesalahan konfigurasi.

Terus memperbarui konfigurasi Direktori Aktif dengan Amazon FSx

Untuk membantu memastikan ketersediaan SVM Amazon FSx secara berkesinambungan dan tanpa gangguan, perbarui konfigurasi Direktori Aktif (AD) yang dikelola sendiri setiap saat Anda membuat perubahan pada pengaturan AD yang dikelola sendiri.

Misalnya, ketika AD Anda menggunakan kebijakan pengaturan ulang kata sandi berbasis waktu. Dalam kasus ini, segera setelah kata sandi diatur ulang, pastikan untuk memperbarui kata sandi akun layanan dengan Amazon FSx. Untuk melakukannya, gunakan konsol Amazon FSx, Amazon FSx API, atau AWS CLI. Demikian pula, jika alamat IP server DNS berubah untuk domain Direktori Aktif Anda, segera setelah perubahan terjadi perbarui alamat IP server DNS dengan Amazon FSx. Untuk informasi selengkapnya, lihat Terus memperbarui konfigurasi Direktori Aktif di Amazon FSx.

Jika ada masalah dengan konfigurasi AD yang dikelola sendiri yang diperbarui, status SVM akan beralih keSalah Konfigurasi. Keadaan ini menunjukkan pesan kesalahan dan tindakan yang disarankan selain deskripsi SVM di konsol, API, dan CLI. Jika terjadi masalah, lakukan tindakan perbaikan yang disarankan untuk menyediakan properti konfigurasi yang benar. Jika masalah teratasi, pastikan status SVM Anda berubahDibuat.

Menggunakan grup keamanan untuk membatasi lalu lintas dalam VPC

Untuk membatasi lalu lintas jaringan di virtual private cloud (VPC) Anda, Anda dapat menerapkan prinsip pengurangan hak istimewa dalam VPC Anda. Dengan kata lain, Anda dapat membatasi hak istimewa hingga ke tingkat paling minimum yang diperlukan. Untuk melakukannya, gunakan aturan grup keamanan. Untuk mempelajari selengkapnya, lihat Grup keamanan Amazon VPC.

Membuat aturan grup keamanan keluar untuk antarmuka jaringan sistem file Anda

Untuk keamanan yang lebih besar, pertimbangkan untuk mengkonfigurasi grup keamanan dengan aturan lalu lintas keluar. Aturan ini harus mengizinkan lalu lintas keluar hanya untuk pengontrol domain Microsoft AD yang dikelola sendiri atau dalam subnet atau grup keamanan. Terapkan grup keamanan ini ke VPC yang terkait dengan antarmuka jaringan elastis sistem file Amazon FSx Anda. Untuk mempelajari informasi lebih lanjut, lihat Kontrol Akses Sistem File dengan Amazon VPC .