Menggunakan alias DNS untuk mengakses sistem file Anda - Amazon FSx for Windows File Server
Kaitkan alias DNS dengan sistem file Amazon FSx AndaKonfigurasikan nama utama layanan (SPN) untuk KerberosMemperbarui atau membuat catatan DNS CNAMEMelakukan autentikasi Kerberos menggunakan GPO

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan alias DNS untuk mengakses sistem file Anda

FSx for Windows File Server menyediakan nama Domain Name System (DNS) default untuk setiap sistem file yang dapat Anda gunakan untuk mengakses data pada sistem file Anda. Anda juga dapat mengakses sistem file Anda menggunakan alias DNS yang dapat Anda pilih. Dengan alias DNS, Anda dapat terus menggunakan nama DNS yang ada untuk mengakses data yang tersimpan di Amazon FSx saat memigrasi penyimpanan sistem file dari on-premise ke Amazon FSx, tanpa perlu memperbarui alat atau aplikasi apa pun. Anda dapat mengasosiasikan hingga 50 alias DNS dengan sistem file pada satu waktu.

Untuk mengakses sistem file Amazon FSx Anda menggunakan alias DNS, Anda harus melakukan tiga langkah berikut:

  1. Kaitkan alias DNS dengan sistem file Amazon FSx Anda.

  2. Konfigurasikan nama utama layanan (SPN) untuk objek komputer sistem file Anda. (Hal ini diperlukan untuk mendapatkan autentikasi Kerberos ketika mengakses sistem file Anda menggunakan alias DNS.)

  3. Memperbarui atau membuat catatan CNAME DNS untuk sistem file dan alias DNS.

Kaitkan alias DNS dengan sistem file Amazon FSx Anda

Anda dapat mengaitkan alias DNS dengan sistem file FSx for Windows File Server yang ada, saat Anda membuat sistem file baru, dan saat Anda membuat sistem file baru dari cadangan menggunakan konsol Amazon FSx, CLI, dan API. Jika Anda membuat alias dengan nama domain yang berbeda, masukkan nama lengkap, termasuk domain induk, untuk mengaitkan alias.

Prosedur ini menjelaskan cara mengaitkan alias DNS saat membuat sistem file baru menggunakan konsol Amazon FSx. Untuk informasi tentang cara mengaitkan alias DNS dengan sistem file yang ada, dan detail tentang cara menggunakan CLI dan API, lihat Mengelola alias DNS.

  1. Buka konsol Amazon FSx di https://console.aws.amazon.com/fsx/.

  2. Ikuti prosedur untuk membuat sistem file baru seperti yang dijelaskan di Langkah 1. Buat sistem file Anda dari bagian Memulai.

  3. Di bagian Akses - opsional dari penuntun Buat sistem file, masukkan alias DNS yang ingin Anda kaitkan dengan sistem file Anda.

    Bagian Akses dari penuntun Buat sistem file digunakan untuk memasukkan alias DNS untuk mengaitkan dengan sistem file baru.

    Gunakan pedoman berikut saat menentukan alias DNS:

    • Harus diformat sebagai fully qualified domain name (FQDN) hostname.domain, misalnya, accounting.example.com.

    • Dapat berisi karakter alfanumerik dan tanda hubung ().

    • Tidak dapat meluncurkan atau mengakhiri dengan tanda hubung.

    • Dapat memulai dengan angka.

    Untuk nama alias DNS, Amazon FSx menyimpan karakter abjad sebagai huruf kecil (a-z), terlepas dari cara Anda menentukannya: sebagai huruf besar, huruf kecil, atau huruf yang sesuai dalam kode escape.

  4. Untuk Preferensi pemeliharaan, buat perubahan apa pun yang Anda inginkan.

  5. Di bagian Tag - opsional, tambahkan tag yang Anda butuhkan, dan kemudian pilih Selanjutnya.

  6. Tinjau konfigurasi sistem file yang ditampilkan pada halaman Buat sistem file. Pilih Buat sistem file untuk membuat sistem file.

    Ketika sistem file baru Anda telah tersedia, lanjutkan dengan langkah 2.

Konfigurasikan nama utama layanan (SPN) untuk Kerberos

Kami merekomendasikan Anda menggunakan autentikasi berbasis Kerberos dan enkripsi in transit dengan Amazon FSx. Kerberos menyediakan autentikasi paling aman untuk klien yang mengakses sistem file Anda.

Untuk mengaktifkan autentikasi Kerberos untuk para klien yang mengakses Amazon FSx dengan menggunakan alias DNS, Anda harus menambahkan nama utama layanan (SPN) yang sesuai dengan alias DNS pada objek komputer Direktori Aktif sistem file Amazon FSx Anda. SPN hanya dapat dikaitkan dengan objek komputer direktori aktif tunggal pada satu waktu. Jika Anda memiliki SPN yang ada untuk nama DNS yang dikonfigurasi untuk objek komputer Direktori Aktif sistem file asli Anda, maka Anda harus menghapusnya terlebih dahulu.

Ada dua SPN yang diperlukan untuk autentikasi Kerberos:

HOST/alias
HOST/alias.domain

Jika aliasnya adalah finance.domain.com, berikut ini adalah dua SPN yang diperlukan:

HOST/finance
HOST/finance.domain.com
catatan

Anda akan perlu menghapus SPN HOST yang ada yang bersesuaian dengan alias DNS pada objek komputer Direktori Aktif sebelum Anda membuat SPN HOST baru untuk objek komputer Direktori Aktif (AD) sistem file Amazon FSx Anda. Upaya untuk mengatur SPN untuk sistem file Amazon FSx Anda akan gagal jika SPN untuk alias DNS ada di AD.

Prosedur berikut menjelaskan cara melakukan hal berikut:

  • Menemukan setiap SPN dari alias DNS yang ada pada objek komputer Direktori Aktif sistem file asli.

  • Menghapus SPN yang ada yang ditemukan, jika ada.

  • Membuat SPN alias DNS baru untuk objek komputer Direktori Aktif sistem file Amazon FSx Anda.

Untuk menginstal modul PowerShell Active Directory yang diperlukan

  1. Log on ke instans Windows yang digabungkan dengan Direktori Aktif yang padanyan sistem file Amazon FSx Anda bergabung.

  2. Buka PowerShell sebagai administrator.

  3. Instal modul PowerShell Active Directory menggunakan perintah berikut.

    Install-WindowsFeature RSAT-AD-PowerShell
Untuk menemukan dan menghapus SPN alias DNS yang ada pada objek komputer Direktori Aktif dari sistem file asli

  1. Temukan SPN yang ada dengan menggunakan perintah berikut. Ganti alias_fqdn dengan alias DNS yang Anda kaitkan dengan sistem file di Langkah 1:.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Hapus SPN HOST yang ada yang dikembalikan pada langkah sebelumnya dengan menggunakan skrip contoh berikut.

    • Ganti alias_fqdn dengan alias DNS penuh yang Anda kaitkan dengan sistem file di Langkah 1:.

    • Ganti file_system_DNS_name dengan nama DNS sistem file yang semula.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Ulangi langkah-langkah sebelumnya untuk setiap alias DNS yang telah dikaitkan dengan sistem file di Langkah 1:.

Untuk mengatur SPN pada objek komputer Direktori Aktif sistem file Amazon FSx Anda

  1. Atur SPN baru untuk sistem file Amazon FSx Anda dengan menjalankan perintah berikut.

    • Ganti file_system_DNS_name dengan nama DNS yang ditetapkan Amazon FSx ke sistem file.

      Untuk mencari nama DNS sistem file Anda pada konsol Amazon FSx, pilih Sistem file, pilih sistem file Anda, dan kemudian pilih panel Jaringan & keamanan pada halaman detail sistem file.

      Anda juga bisa mendapatkan nama DNS sebagai respons operasi DescribeFileSystemsAPI.

    • Ganti alias_fqdn dengan alias DNS penuh yang Anda kaitkan dengan sistem file di Langkah 1:.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use one of the following commands, not both:
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
##Or
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    catatan

    Pengaturan SPN untuk sistem file Amazon FSx Anda akan gagal jika SPN untuk alias DNS ada di AD untuk objek komputer sistem file asli. Untuk informasi tentang menemukan dan menghapus SPN yang ada, lihat Untuk menemukan dan menghapus SPN alias DNS yang ada pada objek komputer Direktori Aktif dari sistem file asli.

  2. Verifikasi bahwa SPN baru telah dikonfigurasi untuk alias DNS dengan menggunakan skrip contoh berikut. Pastikan bahwa respon menyertakan dua SPN HOST, HOST/alias dan HOST/alias_fqdn, seperti yang dijelaskan sebelumnya dalam prosedur ini.

    Ganti file_system_DNS_name dengan nama DNS yang ditetapkan Amazon FSx ke sistem file Anda. Untuk mencari nama DNS sistem file Anda pada konsol Amazon FSx, pilih Sistem file, pilih sistem file Anda, dan kemudian pilih panel Jaringan & keamanan pada halaman detail sistem file.

    Anda juga bisa mendapatkan nama DNS sebagai respons operasi DescribeFileSystemsAPI.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Ulangi langkah-langkah sebelumnya untuk setiap alias DNS yang telah dikaitkan dengan sistem file di Langkah 1:.

Untuk informasi tentang cara mengharuskan klien untuk menggunakan autentikasi Kerberos dan enkripsi saat terhubung ke sistem file Amazon FSx Anda, lihat Melakukan autentikasi Kerberos menggunakan GPO.

Memperbarui atau membuat catatan DNS CNAME

Setelah Anda mengkonfigurasi SPN untuk sistem file Anda dengan benar, Anda dapat memotong ke Amazon FSx dengan mengganti setiap data DNS yang diubah ke sistem file asli dengan catatan DNS yang mengubah ke nama DNS default sistem file Amazon FSx.

Modul dnsserver dan modul Windows activedirectory diperlukan untuk menjalankan perintah yang disajikan di bagian ini.

Untuk menginstal PowerShell cmdlet yang diperlukan

  1. Masuk ke instans Windows yang bergabung dengan Direktori Aktif tempat sistem file Amazon FSx Anda bergabung sebagai pengguna yang merupakan anggota grup yang memiliki izin administrasi DNS (Administrator Sistem Nama Domain AWSAWS Delegasi di Direktori Aktif AWS Terkelola, dan Admin Domain atau grup lain tempat Anda telah mendelegasikan izin administrasi DNS di Direktori Aktif yang dikelola sendiri).

    Untuk informasi selengkapnya, lihat Menyambungkan ke Instans Windows Anda di Panduan Pengguna Amazon EC2.

  2. Buka PowerShell sebagai administrator.

  3. Modul PowerShell DNS Server diperlukan untuk melakukan instruksi dalam prosedur ini. Instal modul tersebut perintah berikut.

    Install-WindowsFeature RSAT-DNS-Server
Untuk memperbarui atau membuat nama DNS kustom ke sistem file Amazon FSx Anda

  1. Connect ke instans Amazon EC2 Anda sebagai pengguna yang merupakan anggota grup yang memiliki izin administrasi DNS (Administrator Sistem Nama Domain AWS Delegasi di Direktori Aktif AWS Terkelola, dan Admin Domain atau grup lain tempat Anda telah mendelegasikan izin administrasi DNS di Direktori Aktif yang dikelola sendiri).

    Untuk informasi selengkapnya, lihat Menyambungkan ke Instans Windows Anda di Panduan Pengguna Amazon EC2.

  2. Pada command prompt, jalankan skrip berikut. Skrip ini memigrasi catatan CNAME DNS yang ada ke sistem file Amazon FSx Anda. Jika tidak ditemukan, maka ia akan menciptakan catatan DNS CNAME baru untuk alias DNS alias_fqdn yang berubah ke nama DNS default untuk sistem file Amazon FSx Anda.

    Untuk menjalankan skrip tersebut:

    • Ganti alias_fqdn dengan alias DNS yang Anda kaitkan dengan sistem file.

    • Ganti file_system_DNS_name dengan nama DNS yang telah Amazon FSx tetapkan ke sistem file.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name) | Select -First 1
foreach ($computer in $DnsServerComputerName)
{
Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $computer -HostNameAlias $FSxDnsName -ZoneName $ZoneName
}

  3. Ulangi langkah-langkah sebelumnya untuk setiap alias DNS yang Anda kaitkan dengan sistem file di Langkah 1:.

Anda sekarang telah menambahkan nilai CNAME DNS untuk sistem file Amazon FSx Anda dengan alias DNS. Sekarang Anda dapat menggunakan alias DNS untuk mengakses data Anda.

catatan

Ketika memperbarui catatan CNAME DNS untuk mengarahkan ke sistem file Amazon FSx yang sebelumnya mengarahkan ke sistem file lain, klien mungkin tidak dapat terhubung dengan sistem file untuk jangka waktu singkat. Ketika cache DNS klien menyegarkan kembali, mereka harus dapat terhubung menggunakan alias DNS. Untuk informasi selengkapnya, lihat Tidak dapat mengakses sistem file menggunakan alias DNS.

Melakukan autentikasi Kerberos menggunakan GPO

Anda dapat melakukan autentikasi Kerberos ketika mengakses sistem file dengan menetapkan Objek Kebijakan Grup (GPO) berikut di Direktori Aktif Anda:

  • Membatasi NTLM: Lalu lintas NTLM keluar menuju server jarak jauh - Gunakan pengaturan kebijakan ini untuk menolak atau meng-audit lalu lintas NTLM keluar dari sebuah komputer ke server jarak jauh yang menjalankan sistem operasi Windows.

  • Membatasi NTLM: Menambahkan pengecualian server jarak jauh untuk autentikasi NTLM - Gunakan pengaturan kebijakan ini untuk membuat daftar pengecualian server jarak jauh yang padanya perangkat klien diperbolehkan untuk menggunakan autentikasi NTLM jika pengaturan kebijakan Keamanan jaringan: Membatasi NTLM: Lalu lintas NTLM keluar menuju server jarak jauh dikonfigurasi.

  1. Log on ke instans Windows yang digabungkan dengan Direktori Aktif yang padanyan sistem file Amazon FSx Anda bergabung sebagai administrator. Jika Anda mengonfigurasi Active Directory yang dikelola sendiri, terapkan langkah-langkah ini langsung ke Active Directory Anda.

  2. Pilih Mulai, pilih Alat Administrasi, lalu pilih Manajemen Kebijakan Grup.

  3. Pilih Objek Kebijakan Grup.

  4. Jika Objek Kebijakan Grup Anda belum ada, buat itu.

  5. Temukan Keamanan Jaringan yang ada: Batasi NTLM: Lalu lintas NTLM keluar ke kebijakan server jarak jauh. (Jika tidak ada kebijakan yang ada, buat kebijakan baru.) Di tab Pengaturan keamanan lokal, buka menu konteks (klik kanan), dan pilih Properti.

  6. Pilih Tolak semua.

  7. Pilih Terapkan untuk menyimpan pengaturan keamanan.

  8. Untuk mengatur pengecualian untuk koneksi NTLM ke server jarak jauh tertentu untuk klien, cari Keamanan jaringan: Membatasi NTLM: Tambahkan pengecualian server jarak jauh.

    Buka menu konteks (klik kanan), dan pilih Properti di tab Pengaturan keamanan lokal.

  9. Masukkan nama server yang akan ditambahkan ke daftar pengecualian.

  10. Pilih Terapkan untuk menyimpan pengaturan keamanan.