Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Quando crei un nuovo file system FSx per Windows File Server, puoi configurare l'integrazione con Microsoft Active Directory in modo che venga aggiunto al tuo dominio Microsoft Active Directory autogestito. A tale scopo, fornisci le seguenti informazioni per Microsoft Active Directory:
-
Il nome di dominio completo (FQDN) della directory Microsoft Active Directory locale.
Nota
Amazon FSx attualmente non supporta i domini Single Label Domain (SLD).
-
Gli indirizzi IP dei server DNS del tuo dominio.
-
Credenziali per un account di servizio nel dominio Microsoft Active Directory locale. Amazon FSx utilizza queste credenziali per accedere alla tua Active Directory autogestita.
È anche possibile specificare:
-
Un'unità organizzativa (OU) specifica all'interno del dominio a cui desideri che il tuo FSx file system Amazon si unisca.
-
Il nome del gruppo di dominio i cui membri dispongono dei privilegi amministrativi per il FSx file system Amazon. Il nome del gruppo di dominio fornito deve essere univoco in Active Directory.
Dopo aver specificato queste informazioni, Amazon FSx aggiunge il tuo nuovo file system al tuo dominio Active Directory autogestito utilizzando l'account di servizio che hai fornito.
Importante
Amazon registra i record DNS per un file system FSx solo se il dominio Active Directory a cui ti stai unendo utilizza Microsoft DNS come DNS predefinito. Se utilizzi un DNS di terze parti, dovrai configurare manualmente le voci DNS per i tuoi FSx file system Amazon dopo aver creato il file system. Per ulteriori informazioni sulla scelta degli indirizzi IP corretti da utilizzare per il file system, consulta. Ottenere gli indirizzi IP corretti del file system da utilizzare per le immissioni DNS manuali
Prima di iniziare
Assicurati di aver completato i Prerequisiti dettagli inUtilizzo di un Microsoft Active Directory autogestito.
-
Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/
. -
Nel pannello di controllo, scegli Crea file system per avviare la procedura guidata di creazione del file system.
Scegli FSx Windows File Server, quindi scegli Avanti. Viene visualizzata la pagina Crea file system.
-
Fornisci un nome per il tuo file system. È possibile utilizzare un massimo di 256 lettere Unicode, spazi bianchi e numeri, oltre ai caratteri speciali + - =. _:/
-
Per Capacità di archiviazione, immettere la capacità di archiviazione del file system, in GiB. Se utilizzi l'archiviazione SSD, inserisci un numero intero compreso tra 32 e 65.536. Se utilizzi l'archiviazione su HDD, inserisci un numero intero compreso tra 2.000 e 65.536. È possibile aumentare la capacità di archiviazione in base alle esigenze in qualsiasi momento dopo la creazione del file system. Per ulteriori informazioni, consulta Gestione della capacità di storage.
-
Mantieni Capacità di velocità effettiva sul valore di default. La capacità di throughput è la velocità sostenuta alla quale il file server che ospita il file system può fornire i dati. L'impostazione della capacità di throughput consigliata si basa sulla quantità di capacità di archiviazione scelta. Se hai bisogno di una capacità di throughput superiore a quella consigliata, scegli Specificare la capacità di throughput, quindi scegli un valore. Per ulteriori informazioni, consulta FSx per le prestazioni di Windows File Server.
È possibile modificare la capacità di throughput in base alle esigenze in qualsiasi momento dopo aver creato il file system. Per ulteriori informazioni, consulta Gestione della capacità di throughput.
-
Scegli il VPC che desideri associare al tuo file system. Ai fini di questo esercizio introduttivo, scegli lo stesso VPC utilizzato per la AWS Directory Service directory e l'istanza Amazon EC2.
-
Scegli un valore qualsiasi per le zone di disponibilità e la sottorete.
-
Per i gruppi di sicurezza VPC, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la rete VPC ACLs per le sottoreti in cui stai creando il FSx file system consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
Nella tabella seguente è indicato il ruolo di ciascuna porta.
Protocollo
Porte
Ruolo
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Autenticazione Kerberos
TCP/UDP
464
Modifica/reimpostazione della password
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 Distributed Computing Environment/End Point Mapper (DCE/EPMAP)
TCP
445
Condivisione di file SMB di Servizi directory
TCP
636
Lightweight Directory Access Protocol su TLS/SSL (LDAPS)
TCP
3268
Catalogo globale Microsoft
TCP
3269
Microsoft Global Catalog tramite SSL
TCP
5985
WinRM 2.0 (gestione remota di Microsoft Windows)
TCP
9389
Servizi Web Microsoft Active Directory DS, PowerShell
TCP
49152 - 65535
Porte effimere per RPC
Importante
L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.
Nota
Se utilizzi una rete VPC ACLs, devi anche consentire il traffico in uscita su porte dinamiche (49152-65535) dal tuo file system. FSx
-
Regole in uscita per consentire tutto il traffico verso gli indirizzi IP associati ai server DNS e ai controller di dominio per il dominio Microsoft Active Directory autogestito. Per ulteriori informazioni, consulta la documentazione Microsoft sulla configurazione del firewall per le comunicazioni con Active Directory
. -
Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio, server DNS, client e amministratori di Active Directory. FSx FSx
Nota
Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC associato al tuo file system FSx Amazon siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti nel tuo VPC e le sottoreti negli altri siti. È possibile visualizzare e modificare queste impostazioni utilizzando lo snap-in MMC di Active Directory Sites and Services.
Importante
Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e delle reti VPC richiedono che le porte siano aperte in ACLs entrambe le direzioni.
-
-
Per l'autenticazione Windows, scegli Microsoft Active Directory autogestito.
-
Immettere un valore per Nome di dominio completo per la directory Microsoft Active Directory autogestita.
Nota
Il nome di dominio non deve essere nel formato SLD (Single Label Domain). Amazon FSx attualmente non supporta i domini SLD.
Importante
Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio Active Directory non può superare i 47 caratteri.
-
Immettere un valore per Unità organizzativa per la directory Microsoft Active Directory autogestita.
Nota
Assicurati che l'account di servizio fornito disponga delle autorizzazioni delegate all'unità organizzativa specificata qui o all'unità organizzativa predefinita se non ne specifichi una.
-
Immettere almeno uno e non più di due valori per gli indirizzi IP del server DNS per la directory Microsoft Active Directory autogestita.
-
Inserisci un valore di stringa per il nome utente dell'account di servizio per l'account sul tuo dominio Active Directory autogestito, ad esempio.
ServiceAcctAmazon FSx utilizza questo nome utente per iscriversi al tuo dominio Microsoft Active Directory.Importante
NON includere un prefisso di dominio (
corp.com\ServiceAcct) o un suffisso di dominio (ServiceAcct@corp.com) quando inserisci il nome utente dell'account del Servizio.NON utilizzate il nome distinto (DN) quando inserite il nome utente dell'account di servizio (
CN=ServiceAcct,OU=example,DC=corp,DC=com). -
Inserisci un valore per la password dell'account di servizio per l'account nel tuo dominio Active Directory autogestito. Amazon FSx utilizza questa password per accedere al tuo dominio Microsoft Active Directory.
-
Inserisci nuovamente la password per confermarla in Conferma password.
-
Per il gruppo di amministratori di file system delegati, specifica il
Domain Adminsgruppo o un gruppo di amministratori di file system delegati personalizzato (se ne hai creato uno). Il gruppo specificato deve avere l'autorità delegata per eseguire attività amministrative sul file system. Se non fornisci un valore, Amazon FSx utilizza ilDomain Adminsgruppo Builtin. Tieni presente che Amazon FSx non supporta la presenza di un contenitoreDelegated file system administrators group(ilDomain Adminsgruppo o un gruppo personalizzato specificato) che si trova nel contenitore Builtin.Importante
Se non fornisci un gruppo di amministratori di file system delegati, per impostazione predefinita Amazon FSx tenta di utilizzare il
Domain Adminsgruppo Builtin nel tuo dominio Active Directory. Se il nome di questo gruppo Builtin è stato modificato o se utilizzi un gruppo diverso per l'amministrazione del dominio, devi fornire quel nome per il gruppo qui.Importante
NON includete un prefisso di dominio (corp.com\ FSx Admins) o un suffisso di dominio (FSxAdmins@corp.com) quando fornite il parametro del nome del gruppo.
NON utilizzate il nome distinto (DN) per il gruppo. Un esempio di nome distinto è CN= FSx Admins, OU=example, DC=corp, DC=com.
-
Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/
. -
Nel pannello di controllo, scegli Crea file system per avviare la procedura guidata di creazione del file system.
Scegli FSx Windows File Server, quindi scegli Avanti. Viene visualizzata la pagina Crea file system.
-
Fornisci un nome per il tuo file system. È possibile utilizzare un massimo di 256 lettere Unicode, spazi bianchi e numeri, oltre ai caratteri speciali + - =. _:/
-
Per Capacità di archiviazione, immettere la capacità di archiviazione del file system, in GiB. Se utilizzi l'archiviazione SSD, inserisci un numero intero compreso tra 32 e 65.536. Se utilizzi l'archiviazione su HDD, inserisci un numero intero compreso tra 2.000 e 65.536. È possibile aumentare la capacità di archiviazione in base alle esigenze in qualsiasi momento dopo la creazione del file system. Per ulteriori informazioni, consulta Gestione della capacità di storage.
-
Mantieni Capacità di velocità effettiva sul valore di default. La capacità di throughput è la velocità sostenuta alla quale il file server che ospita il file system può fornire i dati. L'impostazione della capacità di throughput consigliata si basa sulla quantità di capacità di archiviazione scelta. Se hai bisogno di una capacità di throughput superiore a quella consigliata, scegli Specificare la capacità di throughput, quindi scegli un valore. Per ulteriori informazioni, consulta FSx per le prestazioni di Windows File Server.
È possibile modificare la capacità di throughput in base alle esigenze in qualsiasi momento dopo aver creato il file system. Per ulteriori informazioni, consulta Gestione della capacità di throughput.
-
Scegli il VPC che desideri associare al tuo file system. Ai fini di questo esercizio introduttivo, scegli lo stesso VPC utilizzato per la AWS Directory Service directory e l'istanza Amazon EC2.
-
Scegli un valore qualsiasi per le zone di disponibilità e la sottorete.
-
Per i gruppi di sicurezza VPC, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la rete VPC ACLs per le sottoreti in cui stai creando il FSx file system consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
Nella tabella seguente è indicato il ruolo di ciascuna porta.
Protocollo
Porte
Ruolo
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Autenticazione Kerberos
TCP/UDP
464
Modifica/reimpostazione della password
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 Distributed Computing Environment/End Point Mapper (DCE/EPMAP)
TCP
445
Condivisione di file SMB di Servizi directory
TCP
636
Lightweight Directory Access Protocol su TLS/SSL (LDAPS)
TCP
3268
Catalogo globale Microsoft
TCP
3269
Microsoft Global Catalog tramite SSL
TCP
5985
WinRM 2.0 (gestione remota di Microsoft Windows)
TCP
9389
Servizi Web Microsoft Active Directory DS, PowerShell
TCP
49152 - 65535
Porte effimere per RPC
Importante
L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.
Nota
Se utilizzi una rete VPC ACLs, devi anche consentire il traffico in uscita su porte dinamiche (49152-65535) dal tuo file system. FSx
-
Regole in uscita per consentire tutto il traffico verso gli indirizzi IP associati ai server DNS e ai controller di dominio per il dominio Microsoft Active Directory autogestito. Per ulteriori informazioni, consulta la documentazione Microsoft sulla configurazione del firewall per le comunicazioni con Active Directory
. -
Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio, server DNS, client e amministratori di Active Directory. FSx FSx
Nota
Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC associato al tuo file system FSx Amazon siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti nel tuo VPC e le sottoreti negli altri siti. È possibile visualizzare e modificare queste impostazioni utilizzando lo snap-in MMC di Active Directory Sites and Services.
Importante
Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e delle reti VPC richiedono che le porte siano aperte in ACLs entrambe le direzioni.
-
-
Per l'autenticazione Windows, scegli Microsoft Active Directory autogestito.
-
Immettere un valore per Nome di dominio completo per la directory Microsoft Active Directory autogestita.
Nota
Il nome di dominio non deve essere nel formato SLD (Single Label Domain). Amazon FSx attualmente non supporta i domini SLD.
Importante
Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio Active Directory non può superare i 47 caratteri.
-
Immettere un valore per Unità organizzativa per la directory Microsoft Active Directory autogestita.
Nota
Assicurati che l'account di servizio fornito disponga delle autorizzazioni delegate all'unità organizzativa specificata qui o all'unità organizzativa predefinita se non ne specifichi una.
-
Immettere almeno uno e non più di due valori per gli indirizzi IP del server DNS per la directory Microsoft Active Directory autogestita.
-
Inserisci un valore di stringa per il nome utente dell'account di servizio per l'account sul tuo dominio Active Directory autogestito, ad esempio.
ServiceAcctAmazon FSx utilizza questo nome utente per iscriversi al tuo dominio Microsoft Active Directory.Importante
NON includere un prefisso di dominio (
corp.com\ServiceAcct) o un suffisso di dominio (ServiceAcct@corp.com) quando inserisci il nome utente dell'account del Servizio.NON utilizzate il nome distinto (DN) quando inserite il nome utente dell'account di servizio (
CN=ServiceAcct,OU=example,DC=corp,DC=com). -
Inserisci un valore per la password dell'account di servizio per l'account nel tuo dominio Active Directory autogestito. Amazon FSx utilizza questa password per accedere al tuo dominio Microsoft Active Directory.
-
Inserisci nuovamente la password per confermarla in Conferma password.
-
Per il gruppo di amministratori di file system delegati, specifica il
Domain Adminsgruppo o un gruppo di amministratori di file system delegati personalizzato (se ne hai creato uno). Il gruppo specificato deve avere l'autorità delegata per eseguire attività amministrative sul file system. Se non fornisci un valore, Amazon FSx utilizza ilDomain Adminsgruppo Builtin. Tieni presente che Amazon FSx non supporta la presenza di un contenitoreDelegated file system administrators group(ilDomain Adminsgruppo o un gruppo personalizzato specificato) che si trova nel contenitore Builtin.Importante
Se non fornisci un gruppo di amministratori di file system delegati, per impostazione predefinita Amazon FSx tenta di utilizzare il
Domain Adminsgruppo Builtin nel tuo dominio Active Directory. Se il nome di questo gruppo Builtin è stato modificato o se utilizzi un gruppo diverso per l'amministrazione del dominio, devi fornire quel nome per il gruppo qui.Importante
NON includete un prefisso di dominio (corp.com\ FSx Admins) o un suffisso di dominio (FSxAdmins@corp.com) quando fornite il parametro del nome del gruppo.
NON utilizzate il nome distinto (DN) per il gruppo. Un esempio di nome distinto è CN= FSx Admins, OU=example, DC=corp, DC=com.
L'esempio seguente crea un file system FSx per Windows File Server con una SelfManagedActiveDirectoryConfiguration nella zona di us-east-2 disponibilità.
aws fsx --region us-east-2 \ create-file-system \ --file-system-type WINDOWS \ --storage-capacity 300 \ --security-group-idssecurity-group-id\ --subnet-idssubnet-id\ --windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \ OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \ UserName="FSxService",Password="password", \ DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Importante
Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.
