Praktik terbaik untuk bergabung dengan sistem file FSx for Windows File Server ke domain Microsoft Active Directory yang dikelola sendiri - Amazon FSx for Windows File Server
Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda Menjaga konfigurasi Direktori Aktif Anda diperbaruiMenggunakan grup keamanan untuk membatasi lalu lintas dalam VPCMembuat aturan grup keamanan keluar untuk antarmuka jaringan sistem file Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk bergabung dengan sistem file FSx for Windows File Server ke domain Microsoft Active Directory yang dikelola sendiri

Kami merekomendasikan praktik terbaik ini saat bergabung dengan sistem file Amazon FSx for Windows File Server ke Microsoft Active Directory yang dikelola sendiri.

Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda

Pastikan untuk mengkonfigurasi akun layanan yang Anda sediakan untuk Amazon FSx dengan hak minimum yang diperlukan. Selain itu, pisahkan Unit Organisasi (OU) dari masalah kontroler domain lainnya.

Untuk menggabungkan sistem file Amazon FSx ke domain Anda, pastikan akun layanan telah mendelegasikan hak istimewa. Anggota Admin Domain memiliki hak istimewa yang cukup untuk melakukan tugas ini. Namun, sebagai praktik terbaik, gunakan akun layanan yang hanya memiliki hak istimewa minimum yang diperlukan untuk melakukannya. Prosedur berikut menunjukkan cara mendelegasikan hanya hak istimewa yang diperlukan untuk bergabung dengan sistem file Amazon FSx ke domain Anda.

Anda menggunakan Kontrol Delegasi atau Fitur Lanjutan di snap-in Active Directory User dan Computers MMC untuk menetapkan izin ini.

Lakukan salah satu dari prosedur ini pada mesin yang bergabung ke direktori aktif Anda dan menginstal Active Directory User and Computers MMC snap-in.

Untuk menetapkan izin ke akun layanan atau grup menggunakan Kontrol Delegasi

  1. Masuk ke sistem Anda sebagai administrator domain untuk domain Active Directory Anda.

  2. Buka MMC snap-in Pengguna Direktori Aktif dan Komputer.

  3. Dalam panel tugas, perluas simpul domain.

  4. Temukan dan buka menu konteks (klik kanan) untuk OU yang ingin Anda ubah, lalu pilih Delegasikan Kontrol.

  5. Pada halaman Delegasi Control Wizard, pilih Selanjutnya.

  6. Pilih Tambah untuk menambahkan nama akun atau grup layanan Amazon FSx Anda, lalu pilih Berikutnya.

  7. Pada halaman Tugas untuk Didelegasikan, pilih Buat tugas kustom untuk didelegasikan, lalu pilih Selanjutnya.

  8. Pilih Hanya objek berikut dalam folder, lalu pilih Objek komputer.

  9. Pilih Buat objek yang dipilih dalam folder ini dan Hapus objek yang dipilih dalam folder ini. Lalu pilih Selanjutnya.

  10. Untuk Izin, pilih:

    • Setel Ulang Kata Sandi

    • Baca dan tulis Pembatasan Akun

    • Menulis tervalidasi ke nama host DNS

    • Menulis tervalidasi ke nama utama layanan

  11. Pilih Selanjutnya, dan kemudian pilih Selesai.

  12. Tutup snap-in Active Directory User and Computers MMC.

Untuk menetapkan izin menggunakan Fitur Lanjutan

  1. Masuk ke sistem Anda sebagai administrator domain untuk domain Active Directory Anda.

  2. Buka MMC snap-in Pengguna Direktori Aktif dan Komputer.

  3. Pilih Lihat dari bilah menu dan pastikan Fitur Lanjutan diaktifkan (tanda centang akan muncul di sebelahnya jika fitur diaktifkan).

  4. Dalam panel tugas, perluas simpul domain.

  5. Cari dan buka (klik kanan) menu konteks untuk OU yang ingin Anda ubah, lalu pilih Properties.

  6. Di panel OU Properties, pilih tab Security.

  7. Di tab Keamanan, pilih Advanced. Kemudian pilih Tambah.

  8. Pada halaman Entri Izin, pilih Pilih prinsipal dan masukkan nama akun atau grup layanan Amazon FSx Anda. Untuk Berlaku untuk:, pilih objek Descendant Computer. Pastikan bahwa yang berikut ini dipilih:

    • Ubah izin

    • Buat Objek Komputer

    • Hapus Objek Komputer

  9. Pilih Terapkan, lalu pilih OK.

  10. Tutup snap-in Active Directory User and Computers MMC.

penting

Jangan memindahkan objek komputer yang dibuat Amazon FSx di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi. Jika Anda memperbarui sistem file Anda dengan akun layanan baru, pastikan bahwa akun layanan baru memiliki izin kontrol penuh untuk objek komputer yang ada yang terkait dengan sistem file.

Menjaga konfigurasi Direktori Aktif Anda diperbarui

Untuk membantu memastikan ketersediaan sistem file Amazon FSx yang berkelanjutan dan tidak terganggu, Anda perlu memperbarui konfigurasi Active Directory sistem file setiap kali Anda membuat perubahan pada pengaturan Active Directory yang dikelola sendiri.

Misalnya, jika Direktori Aktif Anda menggunakan kebijakan pengaturan ulang kata sandi berbasis waktu, segera setelah kata sandi disetel ulang, pastikan untuk memperbarui kata sandi akun layanan dengan Amazon FSx. Demikian pula, jika alamat IP server DNS berubah untuk domain Direktori Aktif Anda, segera setelah perubahan terjadi, perbarui alamat IP server DNS dengan Amazon FSx. Untuk informasi selengkapnya, lihat Memperbarui konfigurasi Direktori Aktif yang dikelola sendiri.

Saat Anda memperbarui konfigurasi Direktori Aktif yang dikelola sendiri untuk sistem file Amazon FSx Anda, status sistem file Anda beralih dari Tersedia ke Pembaruan saat pembaruan diterapkan. Pastikan bahwa keadaan beralih kembali ke Tersedia setelah pembaruan diterapkan — perhatikan bahwa pembaruan dapat memakan waktu hingga beberapa menit untuk diselesaikan. Untuk informasi selengkapnya, lihat Pembaruan Direktori Aktif yang dikelola sendiri.

Jika ada masalah dengan konfigurasi Direktori Aktif yang dikelola sendiri yang diperbarui, status sistem file akan beralih ke Salah Konfigurasi. Status ini menampilkan pesan kesalahan dan tindakan korektif yang direkomendasikan di samping deskripsi sistem file di konsol, API, dan CLI. Setelah mengambil tindakan korektif yang disarankan, verifikasi bahwa status sistem file Anda akhirnya berubah menjadi Tersedia.

Untuk mempelajari selengkapnya tentang pemecahan masalah kemungkinan kesalahan konfigurasi Direktori Aktif yang dikelola sendiri, lihat. Sistem file dalam keadaan salah konfigurasi

Menggunakan grup keamanan untuk membatasi lalu lintas dalam VPC

Untuk membatasi lalu lintas jaringan di virtual private cloud (VPC) Anda, Anda dapat menerapkan prinsip pengurangan hak istimewa dalam VPC Anda. Dengan kata lain, Anda dapat membatasi hak istimewa hingga ke tingkat paling minimum yang diperlukan. Untuk melakukannya, gunakan aturan grup keamanan. Untuk mempelajari selengkapnya, lihat Grup Keamanan Amazon VPC.

Membuat aturan grup keamanan keluar untuk antarmuka jaringan sistem file Anda

Untuk keamanan yang lebih besar, pertimbangkan untuk mengkonfigurasi grup keamanan dengan aturan lalu lintas keluar. Aturan ini harus mengizinkan lalu lintas keluar hanya ke pengontrol domain Microsoft Active Directory yang dikelola sendiri atau dalam subnet atau grup keamanan. Terapkan grup keamanan ini ke VPC yang terkait dengan antarmuka jaringan elastis sistem file Amazon FSx Anda. Untuk mempelajari informasi lebih lanjut, lihat Kendali Akses Sistem File dengan Amazon VPC.