Prasyarat untuk menggunakan Microsoft Active Directory yang dikelola sendiri - Amazon FSx for Windows File Server
Konfigurasi lokalKonfigurasi jaringanIzin akun layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk menggunakan Microsoft Active Directory yang dikelola sendiri

Sebelum Anda membuat sistem file Amazon FSx yang bergabung dengan domain Microsoft Active Directory yang dikelola sendiri, tinjau prasyarat berikut.

Konfigurasi lokal

Pastikan Anda memiliki Microsoft Active Directory lokal atau yang dikelola sendiri lainnya yang dapat Anda gunakan untuk bergabung dengan sistem file Amazon FSx. Active Directory lokal Anda harus memiliki konfigurasi berikut:

  • Pengontrol domain Active Directory Anda memiliki tingkat fungsional domain di Windows Server 2008 R2 atau lebih tinggi.

  • Alamat IP server DNS dan alamat IP pengontrol domain Direktori Aktif adalah sebagai berikut, tergantung pada kapan sistem file Anda dibuat:

    Untuk sistem file yang dibuat sebelum 17 Desember 2020 Untuk sistem file yang dibuat setelah 17 Desember 2020

    Alamat IP harus dalam kisaran alamat IP pribadi RFC 1918:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Alamat IP dapat berada dalam kisaran apa pun, kecuali:

    • Alamat IP yang bertentangan dengan alamat IP milik Amazon Web Services di AWS Wilayah tersebut. Untuk daftar alamat IP yang AWS dimiliki menurut wilayah, lihat rentang alamat AWS IP.

    • Alamat IP dalam rentang blok CIDR berikut: 198.19.0.0/16

    Jika Anda perlu mengakses sistem file FSx for Windows File Server yang dibuat sebelum 17 Desember 2020 menggunakan rentang alamat IP non-pribadi, Anda dapat membuat sistem file baru dengan memulihkan cadangan sistem file. Untuk informasi selengkapnya, lihat Menggunakan cadangan.

  • Nama domain yang tidak dalam format Single Label Domain (SLD). Amazon FSx tidak mendukung domain SLD.

  • Untuk Single-AZ 2 dan semua sistem file Multi-AZ, nama domain Direktori Aktif tidak boleh melebihi 47 karakter.

  • Jika Anda memiliki situs Direktori Aktif yang ditentukan, subnet di VPC yang terkait dengan sistem file Amazon FSx Anda harus ditentukan di situs Direktori Aktif, dan tidak ada konflik yang harus ada antara subnet di VPC Anda dan subnet di situs Anda yang lain.

  • Anda mungkin perlu menambahkan aturan ke firewall Anda untuk mengizinkan lalu lintas ICMP antara pengontrol domain Direktori Aktif dan Amazon FSx.

Konfigurasi jaringan

Bagian ini menjelaskan konfigurasi jaringan yang diperlukan untuk menggabungkan sistem file ke Active Directory yang dikelola sendiri.

Kami menyarankan Anda menggunakan alat validasi Direktori Aktif Amazon FSx untuk menguji pengaturan jaringan Anda sebelum mencoba menggabungkan sistem file Anda ke Direktori Aktif yang dikelola sendiri.

  • Konektivitas harus dikonfigurasi antara VPC Amazon tempat Anda ingin membuat sistem file dan Direktori Aktif yang dikelola sendiri. Anda dapat mengatur konektivitas ini menggunakan AWS Direct Connect, AWS Virtual Private Network, VPC peering, atau. AWS Transit Gateway

  • Untuk grup keamanan VPC, grup keamanan default untuk VPC Amazon default Anda harus ditambahkan ke sistem file Anda di konsol. Pastikan bahwa grup keamanan dan ACL Jaringan VPC untuk subnet tempat Anda membuat sistem file FSx memungkinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.

    Persyaratan konfigurasi port FSx for Windows File Server untuk grup keamanan VPC dan ACL jaringan untuk subnet tempat sistem file dibuat.

    Tabel berikut mengidentifikasi peran masing-masing port.

    Protokol

    Port

    Peran

    TCP/UDP

    53

    Sistem Nama Domain (DNS)

    TCP/UDP

    88

    Autentikasi Kerberos

    TCP/UDP

    464

    Ubah/atur kata sandi

    TCP/UDP

    389

    Protokol Akses Direktori Ringan (LDAP)
    UDP 123

    Protokol Waktu Jaringan (NTP)
    TCP 135

    Lingkungan Komputasi Terdistribusi/Pemetaan Titik Akhir (DCE/EPMAP)

    TCP

    445

    Pembagian file SMB Layanan Direktori

    TCP

    636

    Protokol Akses Direktori Ringan melalui TLS/SSL (LDAPS)

    TCP

    3268

    Katalog Global Microsoft

    TCP

    3269

    Katalog Global Microsoft melalui SSL

    TCP

    5985

    WinRM 2.0 (Pengelolaan Jarak Jauh Microsoft Windows)

    TCP

    9389

    Layanan Web Microsoft Active Directory DS, PowerShell

    TCP

    49152 - 65535

    Port efemeral untuk RPC

    Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, server DNS, klien FSx, dan administrator FSx.

penting

Mengizinkan lalu lintas keluar pada port TCP 9389 diperlukan untuk penyebaran sistem file Single-AZ 2 dan Multi-AZ.

catatan

Jika Anda menggunakan ACL jaringan VPC, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file FSx Anda.

penting

Sementara grup keamanan Amazon VPC memerlukan port untuk dibuka hanya dalam arah ketika lalu lintas jaringan dimulai, sebagian besar Windows firewall dan VPC ACL jaringan memerlukan port untuk terbuka di kedua arah.

Izin akun layanan

Pastikan Anda memiliki akun layanan di Microsoft Active Directory yang dikelola sendiri dengan izin yang didelegasikan untuk bergabung dengan komputer ke domain. Akun layanan adalah akun pengguna di Microsoft Active Directory yang dikelola sendiri yang telah didelegasikan tugas tertentu.

Akun layanan perlu — minimal — didelegasikan izin berikut di OU tempat Anda bergabung dengan sistem file:

  • Kemampuan untuk mengatur ulang kata sandi

  • Kemampuan untuk membatasi akun dari membaca dan menulis data

  • Kemampuan tervalidasi untuk menulis ke nama host DNS

  • Kemampuan tervalidasi untuk menulis ke nama prinsipal layanan

  • Kemampuan (dapat didelegasikan) untuk membuat dan menghapus objek komputer

  • Kemampuan tervalidasi untuk membaca dan menulis Pembatasan Akun

  • Kemampuan untuk memodifikasi izin

Ini mewakili serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Direktori Aktif Anda. Untuk informasi selengkapnya, lihat topik dokumentasi Microsoft Windows Server Galat: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba untuk menggabungkan komputer ke kontroler domain.

Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda .

Amazon FSx memerlukan akun layanan yang valid di seluruh bagian sistem file Amazon FSx Anda. Amazon FSx harus dapat sepenuhnya mengelola sistem file dan melakukan tugas yang memerlukan pemutusan dan bergabung kembali dengan domain Direktori Aktif Anda menggunakan akun layanan. Tugas-tugas ini termasuk mengganti server file yang gagal atau menambal perangkat lunak Windows Server. Sangat penting bahwa Anda menjaga konfigurasi Direktori Aktif Anda, termasuk kredensyal akun layanan, diperbarui dengan Amazon FSx. Untuk informasi selengkapnya, lihat Menjaga konfigurasi Direktori Aktif Anda diperbarui.

Amazon FSx memerlukan konektivitas ke semua pengontrol domain di lingkungan Direktori Aktif Anda. Jika Anda memiliki beberapa pengontrol domain, pastikan semuanya memenuhi persyaratan di atas, dan pastikan bahwa setiap perubahan pada akun layanan Anda disebarkan ke semua pengontrol domain.

Anda dapat memvalidasi konfigurasi Direktori Aktif, termasuk menguji konektivitas beberapa pengontrol domain, menggunakan alat Validasi Direktori Aktif Amazon FSx. Untuk membatasi jumlah pengontrol domain yang memerlukan konektivitas, Anda juga dapat membangun hubungan kepercayaan antara pengontrol domain lokal dan. AWS Managed Microsoft AD Untuk informasi selengkapnya, lihat Menggunakan model isolasi forest sumber daya.

penting

Jangan memindahkan objek komputer yang dibuat Amazon FSx di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi.