Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prasyarat untuk menggunakan Microsoft Active Directory yang dikelola sendiri
Sebelum Anda membuat sistem file Amazon FSx yang bergabung dengan domain Microsoft Active Directory yang dikelola sendiri, tinjau prasyarat berikut.
Konfigurasi lokal
Pastikan Anda memiliki Microsoft Active Directory lokal atau yang dikelola sendiri lainnya yang dapat Anda gunakan untuk bergabung dengan sistem file Amazon FSx. Active Directory lokal Anda harus memiliki konfigurasi berikut:
-
Pengontrol domain Active Directory Anda memiliki tingkat fungsional domain di Windows Server 2008 R2 atau lebih tinggi.
-
Alamat IP server DNS dan alamat IP pengontrol domain Direktori Aktif adalah sebagai berikut, tergantung pada kapan sistem file Anda dibuat:
Untuk sistem file yang dibuat sebelum 17 Desember 2020 Untuk sistem file yang dibuat setelah 17 Desember 2020 Alamat IP harus dalam kisaran alamat IP pribadi RFC 1918
: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Alamat IP dapat berada dalam kisaran apa pun, kecuali:
Alamat IP yang bertentangan dengan alamat IP milik Amazon Web Services di AWS Wilayah tersebut. Untuk daftar alamat IP yang AWS dimiliki menurut wilayah, lihat rentang alamat AWS IP.
Alamat IP dalam rentang blok CIDR berikut: 198.19.0.0/16
Jika Anda perlu mengakses sistem file FSx for Windows File Server yang dibuat sebelum 17 Desember 2020 menggunakan rentang alamat IP non-pribadi, Anda dapat membuat sistem file baru dengan memulihkan cadangan sistem file. Untuk informasi selengkapnya, lihat Menggunakan cadangan.
-
Nama domain yang tidak dalam format Single Label Domain (SLD). Amazon FSx tidak mendukung domain SLD.
-
Untuk Single-AZ 2 dan semua sistem file Multi-AZ, nama domain Direktori Aktif tidak boleh melebihi 47 karakter.
-
Jika Anda memiliki situs Direktori Aktif yang ditentukan, subnet di VPC yang terkait dengan sistem file Amazon FSx Anda harus ditentukan di situs Direktori Aktif, dan tidak ada konflik yang harus ada antara subnet di VPC Anda dan subnet di situs Anda yang lain.
Anda mungkin perlu menambahkan aturan ke firewall Anda untuk mengizinkan lalu lintas ICMP antara pengontrol domain Direktori Aktif dan Amazon FSx.
Konfigurasi jaringan
Bagian ini menjelaskan konfigurasi jaringan yang diperlukan untuk menggabungkan sistem file ke Active Directory yang dikelola sendiri.
Kami menyarankan Anda menggunakan alat validasi Direktori Aktif Amazon FSx untuk menguji pengaturan jaringan Anda sebelum mencoba menggabungkan sistem file Anda ke Direktori Aktif yang dikelola sendiri.
-
Konektivitas harus dikonfigurasi antara VPC Amazon tempat Anda ingin membuat sistem file dan Direktori Aktif yang dikelola sendiri. Anda dapat mengatur konektivitas ini menggunakan AWS Direct Connect, AWS Virtual Private Network, VPC peering, atau. AWS Transit Gateway
-
Untuk grup keamanan VPC, grup keamanan default untuk VPC Amazon default Anda harus ditambahkan ke sistem file Anda di konsol. Pastikan bahwa grup keamanan dan ACL Jaringan VPC untuk subnet tempat Anda membuat sistem file FSx memungkinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.
Tabel berikut mengidentifikasi peran masing-masing port.
Protokol
Port
Peran
TCP/UDP
53
Sistem Nama Domain (DNS)
TCP/UDP
88
Autentikasi Kerberos
TCP/UDP
464
Ubah/atur kata sandi
TCP/UDP
389
Protokol Akses Direktori Ringan (LDAP)
UDP 123 Protokol Waktu Jaringan (NTP)
TCP 135 Lingkungan Komputasi Terdistribusi/Pemetaan Titik Akhir (DCE/EPMAP)
TCP
445
Pembagian file SMB Layanan Direktori
TCP
636
Protokol Akses Direktori Ringan melalui TLS/SSL (LDAPS)
TCP
3268
Katalog Global Microsoft
TCP
3269
Katalog Global Microsoft melalui SSL
TCP
5985
WinRM 2.0 (Pengelolaan Jarak Jauh Microsoft Windows)
TCP
9389
Layanan Web Microsoft Active Directory DS, PowerShell
TCP
49152 - 65535
Port efemeral untuk RPC
Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, server DNS, klien FSx, dan administrator FSx.
penting
Mengizinkan lalu lintas keluar pada port TCP 9389 diperlukan untuk penyebaran sistem file Single-AZ 2 dan Multi-AZ.
catatan
Jika Anda menggunakan ACL jaringan VPC, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file FSx Anda.
penting
Sementara grup keamanan Amazon VPC memerlukan port untuk dibuka hanya dalam arah ketika lalu lintas jaringan dimulai, sebagian besar Windows firewall dan VPC ACL jaringan memerlukan port untuk terbuka di kedua arah.
Izin akun layanan
Pastikan Anda memiliki akun layanan di Microsoft Active Directory yang dikelola sendiri dengan izin yang didelegasikan untuk bergabung dengan komputer ke domain. Akun layanan adalah akun pengguna di Microsoft Active Directory yang dikelola sendiri yang telah didelegasikan tugas tertentu.
Akun layanan perlu — minimal — didelegasikan izin berikut di OU tempat Anda bergabung dengan sistem file:
-
Kemampuan untuk mengatur ulang kata sandi
-
Kemampuan untuk membatasi akun dari membaca dan menulis data
-
Kemampuan tervalidasi untuk menulis ke nama host DNS
-
Kemampuan tervalidasi untuk menulis ke nama prinsipal layanan
-
Kemampuan (dapat didelegasikan) untuk membuat dan menghapus objek komputer
-
Kemampuan tervalidasi untuk membaca dan menulis Pembatasan Akun
-
Kemampuan untuk memodifikasi izin
Ini mewakili serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Direktori Aktif Anda. Untuk informasi selengkapnya, lihat topik dokumentasi Microsoft Windows Server Galat: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba untuk menggabungkan komputer ke kontroler domain
Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda .
Amazon FSx memerlukan akun layanan yang valid di seluruh bagian sistem file Amazon FSx Anda. Amazon FSx harus dapat sepenuhnya mengelola sistem file dan melakukan tugas yang memerlukan pemutusan dan bergabung kembali dengan domain Direktori Aktif Anda menggunakan akun layanan. Tugas-tugas ini termasuk mengganti server file yang gagal atau menambal perangkat lunak Windows Server. Sangat penting bahwa Anda menjaga konfigurasi Direktori Aktif Anda, termasuk kredensyal akun layanan, diperbarui dengan Amazon FSx. Untuk informasi selengkapnya, lihat Menjaga konfigurasi Direktori Aktif Anda diperbarui.
Amazon FSx memerlukan konektivitas ke semua pengontrol domain di lingkungan Direktori Aktif Anda. Jika Anda memiliki beberapa pengontrol domain, pastikan semuanya memenuhi persyaratan di atas, dan pastikan bahwa setiap perubahan pada akun layanan Anda disebarkan ke semua pengontrol domain.
Anda dapat memvalidasi konfigurasi Direktori Aktif, termasuk menguji konektivitas beberapa pengontrol domain, menggunakan alat Validasi Direktori Aktif Amazon FSx. Untuk membatasi jumlah pengontrol domain yang memerlukan konektivitas, Anda juga dapat membangun hubungan kepercayaan antara pengontrol domain lokal dan. AWS Managed Microsoft AD Untuk informasi selengkapnya, lihat Menggunakan model isolasi forest sumber daya.
penting
Jangan memindahkan objek komputer yang dibuat Amazon FSx di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi.