Preparazione per il passaggio ad Amazon FSx Configura gli SPN per l'autenticazione Kerberos Aggiornamento dei record DNS CNAME per il file system Amazon FSx

Passaggio ad Amazon FSx

Per eseguire il trasferimento al file system FSx for Windows File Server, effettuate le seguenti operazioni:

Preparatevi per il taglio.
- Disconnettere temporaneamente i client SMB dal file system originale.
- Esegui una sincronizzazione finale della configurazione del file e della condivisione di file.
Configura i nomi principali di servizio (SPN) per il tuo file system Amazon FSx.
Aggiorna i record DNS CNAME in modo che puntino al tuo file system Amazon FSx.

Le procedure per eseguire ciascuno di questi passaggi sono fornite nelle sezioni seguenti.

Argomenti

Preparazione per il passaggio ad Amazon FSx
Configura gli SPN per l'autenticazione Kerberos
Aggiornamento dei record DNS CNAME per il file system Amazon FSx

Preparazione per il passaggio ad Amazon FSx

Per prepararti al cutover del tuo file system Amazon FSx, devi fare quanto segue:

Disconnetti tutti i client che scrivono sul file system originale.
Esegui una sincronizzazione finale dei file utilizzando AWS DataSync o Robocopy. Per ulteriori informazioni, consulta Migrazione dello storage di file esistente su FSx for Windows File Server.
Esegui una sincronizzazione finale della configurazione della condivisione di file. Per ulteriori informazioni, consulta Migrazione delle configurazioni di condivisione di file su Amazon FSx.

Configura gli SPN per l'autenticazione Kerberos

Ti consigliamo di utilizzare l'autenticazione e la crittografia basate su Kerberos in transito con Amazon FSx. Kerberos fornisce l'autenticazione più sicura per i client che accedono al file system. Per abilitare l'autenticazione Kerberos per i client che accedono ad Amazon FSx utilizzando un alias DNS, devi aggiungere nomi principali di servizio (SPN) che corrispondono all'alias DNS sull'oggetto computer Active Directory del tuo file system Amazon FSx.

Sono necessari due SPN per l'autenticazione Kerberos.


HOST/alias
HOST/alias.domain

Ad esempio, se l'alias èfinance.domain.com, i due SPN richiesti sono i seguenti.


HOST/finance
HOST/finance.domain.com

Un SPN può essere associato solo a un singolo oggetto computer Active Directory alla volta. Se esistono SPN esistenti per il nome DNS configurato per l'oggetto computer Active Directory del file system originale, è necessario eliminarli prima di creare SPN per il file system Amazon FSx.

Le seguenti procedure descrivono come trovare eventuali SPN esistenti, eliminarli e creare nuovi SPN per l'oggetto informatico Active Directory del tuo file system Amazon FSx.

Per installare il modulo Active Directory richiesto PowerShell

Accedi a un'istanza Windows aggiunta all'Active Directory a cui è collegato il tuo file system Amazon FSx.
Apri PowerShell come amministratore.
Installa il modulo PowerShell Active Directory utilizzando il seguente comando.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Per trovare ed eliminare gli alias DNS esistenti, SPN sull'oggetto computer Active Directory del file system originale

Trova tutti gli SPN esistenti utilizzando i seguenti comandi. Sostituiscilo alias_fqdn con l'alias DNS che hai associato al file system in. Migrazione della configurazione DNS per utilizzare Amazon FSx
```
## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])
```

Eliminare gli SPN HOST esistenti restituiti nel passaggio precedente utilizzando lo script di esempio seguente.

Sostituiscilo alias_fqdn con l'alias DNS completo in cui hai associato il file system. Migrazione della configurazione DNS per utilizzare Amazon FSx
Sostituisci file_system_DNS_name con il nome DNS del file system originale.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Ripeti questi passaggi per ogni alias DNS associato al file system in. Migrazione della configurazione DNS per utilizzare Amazon FSx

Per impostare gli SPN sull'oggetto computer Active Directory del tuo file system Amazon FSx

Imposta nuovi SPN per il tuo file system Amazon FSx eseguendo i seguenti comandi.
- Sostituisci file_system_DNS_name con il nome DNS assegnato da Amazon FSx al file system.
  
  Per trovare il nome DNS del tuo file system sulla console Amazon FSx, scegli File system e scegli il tuo file system. Scegli il pannello Rete e sicurezza della pagina dei dettagli del file system. Puoi anche ottenere il nome DNS nella risposta dell'operazione DescribeFileSystems API.
- Sostituiscilo alias_fqdn con l'alias DNS completo in cui hai associato il file system. Migrazione della configurazione DNS per utilizzare Amazon FSx
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
Nota
L'impostazione di un SPN per il file system Amazon FSx avrà esito negativo se nell'AD per l'oggetto computer del file system originale esiste un SPN per l'alias DNS. Per informazioni su come trovare ed eliminare gli SPN esistenti, consulta. Per trovare ed eliminare gli alias DNS esistenti, SPN sull'oggetto computer Active Directory del file system originale
Verifica che i nuovi SPN siano configurati per l'alias DNS utilizzando lo script di esempio seguente. Assicurati che la risposta includa due HOST SPN e. HOST/alias HOST/alias_fqdn

Sostituisci file_system_DNS_name con il nome DNS assegnato da Amazon FSx al tuo file system. Per trovare il nome DNS del tuo file system sulla console Amazon FSx, scegli File system, scegli il tuo file system, quindi scegli il pannello Rete e sicurezza nella pagina dei dettagli del file system.

Puoi anche ottenere il nome DNS nella risposta dell'operazione DescribeFileSystems API.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Ripeti i passaggi precedenti per ogni alias DNS associato al file system in. Migrazione della configurazione DNS per utilizzare Amazon FSx

Nota

Puoi applicare l'autenticazione e la crittografia Kerberos in transito con i client che si connettono al file system utilizzando alias DNS impostando i seguenti Group Policy Object (GPO) in Active Directory:

Limita NTLM: traffico NTLM in uscita verso server remoti
Limita NTLM: aggiungi eccezioni del server remoto per l'autenticazione NTLM

Per ulteriori informazioni, consulta Applicazione dell'autenticazione Kerberos tramite GPO la procedura dettagliata 5: Utilizzo degli alias DNS per accedere al file system.

Aggiornamento dei record DNS CNAME per il file system Amazon FSx

Dopo aver configurato correttamente gli SPN per il tuo file system, puoi passare ad Amazon FSx sostituendo ogni record DNS risolto nel file system originale con un record DNS che si risolve nel nome DNS predefinito del file system Amazon FSx.

PowerShell Per installare i cmdlet richiesti

Accedi a un'istanza Windows aggiunta ad Active Directory a cui fa parte il tuo file system Amazon FSx come utente membro di un gruppo con autorizzazioni di amministrazione DNS (AWS Delegated Domain Name System Administrators in Managed AWS Microsoft Active Directory e Domain Admins o un altro gruppo a cui hai delegato le autorizzazioni di amministrazione DNS nel tuo Active Directory autogestito)

Per ulteriori informazioni, consulta Connessione all'istanza Windows nella Guida per l'utente di Amazon EC2.
Apri PowerShell come amministratore.
Il modulo server PowerShell DNS è necessario per eseguire le istruzioni di questa procedura. Installarlo utilizzando il comando seguente.
```
Install-WindowsFeature RSAT-DNS-Server
```

Per aggiornare un record DNS CNAME esistente

Lo script seguente aggiorna tutti i record DNS CNAME esistenti alias_fqdn per l'oggetto computer del file system Amazon FSx. Se non ne viene trovato nessuno, crea un nuovo record DNS CNAME per l'alias DNS alias_fqdn che si risolve nel nome DNS predefinito per il file system Amazon FSx.

Per eseguire lo script:
- Sostituiscilo alias_fqdn con l'alias DNS associato al file system.
- Sostituisci file_system_DNS_name con il nome DNS predefinito che Amazon FSx ha assegnato al file system.
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
Ripeti il passaggio precedente per ogni alias DNS associato al file system. Migrazione della configurazione DNS per utilizzare Amazon FSx

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Migrazione della configurazione DNS per utilizzare Amazon FSx

Utilizzo di FSx for Windows File Server con Microsoft SQL Server