Menggunakan Microsoft Active Directory yang dikelola sendiri - Amazon FSx untuk Server File Windows
PrasyaratPraktik terbaik untuk Direktori Aktif yang dikelola sendiriAkun FSx layanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Microsoft Active Directory yang dikelola sendiri

Jika organisasi Anda mengelola identitas dan perangkat menggunakan Active Directory yang dikelola sendiri di tempat atau di cloud, Anda dapat menggabungkan sistem file Windows File Server FSx untuk Windows ke domain Active Directory saat pembuatan.

Saat Anda menggabungkan sistem file ke Active Directory yang dikelola sendiri, sistem file Windows File Server Anda FSx berada di hutan Active Directory yang sama (wadah logis teratas dalam konfigurasi Active Directory yang berisi domain, pengguna, dan komputer) dan dalam domain Active Directory yang sama dengan pengguna dan sumber daya yang ada (termasuk server file yang ada).

catatan

Anda dapat mengisolasi sumber daya Anda—termasuk sistem file FSx Amazon Anda—ke dalam hutan Direktori Aktif terpisah dari hutan tempat pengguna Anda tinggal. Untuk melakukannya, gabungkan sistem file Anda ke Direktori Aktif AWS Terkelola dan buat hubungan kepercayaan hutan satu arah antara Direktori Aktif AWS Terkelola yang Anda buat dan Direktori Aktif yang dikelola sendiri yang ada.

  • Nama pengguna dan kata sandi untuk akun layanan di domain Active Directory Anda, yang FSx dapat digunakan Amazon untuk bergabung dengan sistem file ke domain Active Directory Anda.

  • (Opsional) Unit Organisasi (OU) di domain Anda di mana Anda ingin sistem file Anda bergabung.

  • (Opsional) Grup domain yang Anda ingin delegasikan otoritas untuk melakukan tindakan administratif pada sistem file Anda. Misalnya, grup domain ini mungkin mengelola berbagi file Windows, mengelola Daftar Kontrol Akses (ACLs) pada folder root sistem file, mengambil kepemilikan file dan folder, dan sebagainya. Jika Anda tidak menentukan grup ini, Amazon FSx mendelegasikan otoritas ini ke grup Admin Domain di domain Active Directory Anda secara default.

    catatan

    Nama grup domain yang Anda berikan harus unik di Direktori Aktif Anda. FSxuntuk Windows File Server tidak akan membuat grup domain dalam keadaan berikut:

    • Jika grup sudah ada dengan nama yang Anda tentukan

    • Jika Anda tidak menentukan nama, dan grup bernama “Domain Admin” sudah ada di Active Directory Anda.

    Untuk informasi selengkapnya, lihat Bergabung dengan sistem FSx file Amazon ke domain Microsoft Active Directory yang dikelola sendiri.

Topik

Prasyarat

Sebelum Anda bergabung dengan sistem file Windows File Server ke domain Microsoft Active Directory yang dikelola sendiri, tinjau prasyarat berikut untuk membantu memastikan bahwa Anda berhasil bergabung dengan sistem FSx file Amazon ke Active Directory yang dikelola sendiri. FSx

Konfigurasi lokal

Ini adalah prasyarat untuk Microsoft Active Directory yang dikelola sendiri, baik lokal maupun berbasis cloud, tempat Anda akan bergabung dengan sistem file Amazon. FSx

  • Pengontrol domain Direktori Aktif:

    • Harus memiliki tingkat fungsional domain pada Windows Server 2008 R2 atau lebih tinggi.

    • Harus bisa ditulis.

  • Alamat IP pengontrol domain DNS server dan Direktori Aktif harus memenuhi persyaratan berikut, yang bervariasi tergantung pada kapan sistem FSx file Amazon Anda dibuat:

    Untuk sistem file yang dibuat sebelum 17 Desember 2020 Untuk sistem file yang dibuat setelah 17 Desember 2020

    Alamat IP harus dalam kisaran alamat IP pribadi RFC1918:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Alamat IP dapat berada dalam kisaran apa pun, kecuali:

    • Alamat IP yang bertentangan dengan alamat IP milik Amazon Web Services di Wilayah AWS mana sistem file berada. Untuk daftar alamat IP yang AWS dimiliki menurut wilayah, lihat rentang alamat AWS IP.

    • Alamat IP dalam rentang CIDR blok 198.19.0.0/16

    Jika Anda perlu mengakses sistem file Windows File Server FSx untuk Windows yang dibuat sebelum 17 Desember 2020 menggunakan rentang alamat IP non-pribadi, Anda dapat membuat sistem file baru dengan memulihkan cadangan sistem file. Untuk informasi selengkapnya, lihat Memulihkan cadangan ke sistem file baru.

  • Nama domain Direktori Aktif yang dikelola sendiri harus memenuhi persyaratan berikut:

    • Nama domain tidak dalam format Single Label Domain (SLD). Amazon FSx tidak mendukung SLD domain.

    • Untuk Single-AZ 2 dan semua sistem file Multi-AZ, nama domain tidak boleh melebihi 47 karakter.

  • Setiap situs Active Directory yang telah Anda tetapkan harus memenuhi prasyarat berikut:

    • Subnet dalam VPC yang terkait dengan sistem file Anda harus didefinisikan di situs Active Directory.

    • Tidak ada konflik antara VPC subnet dan subnet situs Active Directory.

    Amazon FSx memerlukan konektivitas ke semua pengontrol domain di lingkungan Direktori Aktif Anda. Jika Anda memiliki beberapa pengontrol domain, pastikan semuanya memenuhi persyaratan di atas, dan pastikan bahwa setiap perubahan pada akun layanan Anda disebarkan ke semua pengontrol domain.

    penting

    Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi.

Anda dapat memvalidasi konfigurasi Direktori Aktif, termasuk menguji konektivitas beberapa pengontrol domain, menggunakan alat Validasi Direktori FSx Aktif Amazon. Untuk membatasi jumlah pengontrol domain yang memerlukan konektivitas, Anda juga dapat membangun hubungan kepercayaan antara pengontrol domain lokal Anda dan pengontrol domain. AWS Managed Microsoft AD Untuk informasi selengkapnya, lihat Menggunakan model isolasi forest sumber daya.

penting

Amazon FSx hanya mendaftarkan DNS catatan untuk sistem file jika Anda menggunakan Microsoft DNS sebagai DNS layanan default. Jika Anda menggunakan pihak ketigaDNS, Anda perlu mengatur entri DNS catatan secara manual untuk sistem file Anda setelah Anda membuatnya.

Konfigurasi jaringan

Bagian ini menjelaskan persyaratan konfigurasi jaringan untuk menggabungkan sistem file ke Active Directory yang dikelola sendiri. Kami sangat menyarankan agar Anda menggunakan alat validasi Amazon FSx Active Directory untuk menguji pengaturan jaringan Anda sebelum mencoba menggabungkan sistem file Anda ke Active Directory yang dikelola sendiri.

  • Pastikan bahwa aturan firewall Anda akan memungkinkan ICMP lalu lintas antara pengontrol domain Active Directory dan AmazonFSx.

  • Konektivitas harus dikonfigurasi antara Amazon VPC tempat Anda ingin membuat sistem file dan Active Directory yang dikelola sendiri. Anda dapat mengatur konektivitas ini menggunakan AWS Direct Connect, AWS Virtual Private Network, VPCmengintip, atau AWS Transit Gateway.

  • Grup VPC keamanan default untuk Amazon default Anda VPC harus ditambahkan ke sistem file Anda menggunakan FSx konsol Amazon. Pastikan bahwa grup keamanan dan VPC Jaringan ACLs untuk subnet tempat Anda membuat sistem file memungkinkan lalu lintas di port dan ke arah yang ditunjukkan pada diagram berikut.

    FSxuntuk persyaratan konfigurasi port Windows File Server untuk grup VPC keamanan dan jaringan ACLs untuk subnet tempat sistem file dibuat.

    Tabel berikut mengidentifikasi protokol, port, dan perannya.

    Protokol

    Port

    Peran

    TCP/UDP

    53

    Sistem Nama Domain (DNS)

    TCP/UDP

    88

    Autentikasi Kerberos

    TCP/UDP

    464

    Ubah/atur kata sandi

    TCP/UDP

    389

    Protokol Akses Direktori Ringan (LDAP)
    UDP 123

    Protokol Waktu Jaringan (NTP)
    TCP 135

    Lingkungan Komputasi Terdistribusi/End Point Mapper (/) DCE EPMAP

    TCP

    445

    Berbagi SMB file Directory Services

    TCP

    636

    Protokol Akses Direktori Ringan di atasTLS/SSL(LDAPS)

    TCP

    3268

    Katalog Global Microsoft

    TCP

    3269

    Katalog Global Microsoft berakhir SSL

    TCP

    5985

    WinRM 2.0 (Pengelolaan Jarak Jauh Microsoft Windows)

    TCP

    9389

    Layanan Web Microsoft Active Directory DS, PowerShell

    penting

    Memungkinkan lalu lintas keluar pada TCP port 9389 diperlukan untuk penyebaran sistem file Single-AZ 2 dan Multi-AZ.

    TCP

    49152 - 65535

    Port fana untuk RPC

    Aturan lalu lintas ini juga perlu dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, DNS server, FSx klien, dan administrator. FSx

catatan

Jika Anda menggunakan VPC jaringanACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file Anda.

penting

Meskipun grup VPC keamanan Amazon mengharuskan port dibuka hanya ke arah lalu lintas jaringan dimulai, sebagian besar firewall dan VPC jaringan Windows ACLs memerlukan port untuk dibuka di kedua arah.

Izin akun layanan

Anda harus memiliki akun layanan di Microsoft Active Directory yang dikelola sendiri dengan izin yang didelegasikan untuk menggabungkan objek komputer ke domain Active Directory yang dikelola sendiri. Akun layanan adalah akun pengguna di Direktori Aktif yang dikelola sendiri yang telah didelegasikan tugas-tugas tertentu.

Berikut ini adalah kumpulan izin minimum yang harus didelegasikan ke akun FSx layanan Amazon di OU tempat Anda bergabung dengan sistem file.

  • Jika menggunakan Delegate Control di Active Directory User dan ComputersMMC:

    • Atur ulang kata sandi

    • Baca dan tulis Pembatasan Akun

    • Menulis ke nama DNS host yang divalidasi

    • Penulisan tervalidasi ke nama utama layanan

  • Jika menggunakan Fitur Lanjutan di Pengguna dan Komputer Direktori AktifMMC:

    • Ubah izin

    • Buat objek komputer

    • Hapus objek komputer

Untuk informasi selengkapnya, lihat topik dokumentasi Microsoft Windows Server Galat: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba untuk menggabungkan komputer ke kontroler domain.

Untuk informasi selengkapnya tentang menyetel izin yang diperlukan, lihatMendelegasikan izin ke akun atau grup FSx layanan Amazon.

Praktik terbaik untuk Direktori Aktif yang dikelola sendiri

Kami menyarankan Anda mengikuti praktik terbaik ini saat bergabung dengan sistem file Amazon FSx untuk Windows File Server ke Microsoft Active Directory yang dikelola sendiri. Praktik terbaik ini akan membantu Anda dalam menjaga ketersediaan sistem file Anda yang berkelanjutan dan tidak terganggu.

Gunakan akun layanan terpisah untuk Amazon FSx

Gunakan akun layanan terpisah untuk mendelegasikan hak istimewa yang diperlukan FSx bagi Amazon agar sepenuhnya mengelola sistem file yang digabungkan ke Direktori Aktif yang dikelola sendiri. Kami tidak menyarankan menggunakan Admin Domain untuk tujuan ini.

Menggunakan grup Active Directory

Gunakan grup Active Directory untuk mengelola izin dan konfigurasi Direktori Aktif yang terkait dengan akun FSx layanan Amazon.

Memisahkan Unit Organisasi (OU)

Untuk mempermudah menemukan dan mengelola objek FSx komputer Amazon Anda, kami sarankan Anda memisahkan Unit Organisasi (OU) yang Anda gunakan untuk sistem file Windows File Server Anda FSx dari masalah pengontrol domain lainnya.

Pertahankan konfigurasi Active Directory up-to-date

Sangat penting bahwa Anda menyimpan konfigurasi Active Directory sistem file Anda up-to-date dengan perubahan apa pun. Misalnya, jika Active Directory yang dikelola sendiri menggunakan kebijakan pengaturan ulang kata sandi berbasis waktu, segera setelah kata sandi disetel ulang, pastikan untuk memperbarui kata sandi akun layanan pada sistem file Anda. Untuk informasi selengkapnya, lihat Memperbarui konfigurasi Direktori Aktif yang dikelola sendiri.

Mengubah akun FSx layanan Amazon

Jika Anda memperbarui sistem file Anda dengan akun layanan baru, itu harus memiliki izin dan hak istimewa yang diperlukan untuk bergabung dengan Direktori Aktif Anda dan memiliki izin kontrol penuh untuk objek komputer yang ada yang terkait dengan sistem file. Untuk informasi selengkapnya, lihat Mengubah akun FSx layanan Amazon.

Gunakan aturan grup keamanan untuk membatasi lalu lintas

Gunakan aturan grup keamanan untuk menerapkan prinsip hak istimewa terkecil di cloud pribadi virtual Anda (VPC). Anda dapat membatasi jenis lalu lintas jaringan masuk dan keluar yang diizinkan untuk file Anda menggunakan aturan grup VPC keamanan. Misalnya, kami sarankan hanya mengizinkan lalu lintas keluar ke pengontrol domain Active Directory yang dikelola sendiri atau ke dalam subnet atau grup keamanan yang Anda gunakan. Untuk informasi selengkapnya, lihat Grup Keamanan Amazon VPC.

Jangan pindahkan objek komputer yang dibuat Amazon FSx
penting

Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi.

Validasi konfigurasi Direktori Aktif Anda

Sebelum mencoba bergabung dengan sistem file Windows File Server ke Active Directory Anda, kami sangat menyarankan Anda memvalidasi konfigurasi Active Directory Anda menggunakan alat Validasi Direktori FSx Aktif Amazon. FSx

Akun FSx layanan Amazon

Sistem FSx file Amazon yang digabungkan ke Direktori Aktif yang dikelola sendiri memerlukan akun layanan yang valid sepanjang masa pakainya. Amazon FSx menggunakan akun layanan untuk mengelola sistem file Anda sepenuhnya dan melakukan tugas administratif yang memerlukan pemutusan dan penggabungan kembali objek komputer ke domain Direktori Aktif Anda. Tugas-tugas ini termasuk mengganti server file yang gagal dan menambal perangkat lunak Microsoft Windows Server. FSxAgar Amazon dapat melakukan tugas-tugas ini, akun FSx layanan Amazon harus memiliki, setidaknya, serangkaian izin yang dijelaskan dalam Izin akun layanan didelegasikan kepadanya.

Meskipun anggota grup Admin Domain memiliki hak istimewa yang cukup untuk melakukan tugas-tugas ini, kami sangat menyarankan Anda menggunakan akun layanan terpisah untuk mendelegasikan hak istimewa yang diperlukan ke Amazon. FSx

Untuk informasi selengkapnya tentang cara mendelegasikan hak istimewa menggunakan fitur Kontrol Delegasi atau Fitur Lanjutan di MMC snap-in Pengguna Direktori Aktif dan Komputer, lihat. Mendelegasikan izin ke akun atau grup FSx layanan Amazon

Jika Anda memperbarui sistem file Anda dengan akun layanan baru, akun layanan baru harus memiliki izin dan hak istimewa yang diperlukan untuk bergabung dengan Direktori Aktif Anda dan memiliki izin kontrol penuh untuk objek komputer yang ada yang terkait dengan sistem file. Untuk informasi selengkapnya, lihat Mengubah akun FSx layanan Amazon.