Procedure consigliate per unire i file system FSx for Windows File Server a un dominio Microsoft Active Directory autogestito - Amazon FSx per Windows File Server
Delega dei privilegi al tuo account di servizio Amazon FSx Mantenere aggiornata la configurazione di Active DirectoryUtilizzo di gruppi di sicurezza per limitare il traffico all'interno del VPCCreazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate per unire i file system FSx for Windows File Server a un dominio Microsoft Active Directory autogestito

Consigliamo queste best practice per unire i sistemi file Amazon FSx for Windows File Server al tuo Microsoft Active Directory autogestito.

Delega dei privilegi al tuo account di servizio Amazon FSx

Assicurati di configurare l'account di servizio che fornisci ad Amazon FSx con i privilegi minimi richiesti. Inoltre, separa l'unità organizzativa (OU) dagli altri controller di dominio.

Per aggiungere i file system Amazon FSx al tuo dominio, assicurati che l'account di servizio disponga di privilegi delegati. I membri del gruppo Domain Admins dispongono di privilegi sufficienti per eseguire questa attività. Tuttavia, è consigliabile utilizzare un account di servizio che disponga solo dei privilegi minimi necessari per eseguire questa operazione. Le seguenti procedure mostrano come delegare solo i privilegi necessari per unire i file system Amazon FSx al tuo dominio.

È possibile utilizzare Delegate Control o Advanced Features nello snap-in MMC Active Directory User and Computers per assegnare queste autorizzazioni.

Eseguire una di queste procedure su un computer collegato ad Active Directory su cui è installato lo snap-in. Active Directory User and Computers MMC

Per assegnare le autorizzazioni a un account o a un gruppo di servizio utilizzando Delegate Control

  1. Accedi al tuo sistema come amministratore di dominio per il tuo dominio Active Directory.

  2. Aprire lo snap-in MMC Utenti e computer di Active Directory.

  3. Nel riquadro attività, espandere il nodo del dominio.

  4. Individua e apri il menu contestuale (fai clic con il pulsante destro del mouse) per l'unità organizzativa che desideri modificare, quindi scegli Controllo delegato.

  5. Nella pagina Delegation of Control Wizard, scegli Avanti.

  6. Scegli Aggiungi per aggiungere il nome del tuo account o gruppo di servizi Amazon FSx, quindi scegli Avanti.

  7. Nella pagina Tasks to Delegate (Operazioni da delegare), selezionare Create a custom task to delegate (Crea un'operazione personalizzata per eseguire la delega), quindi scegliere Next (Avanti).

  8. Scegli Solo i seguenti oggetti nella cartella, quindi scegli Oggetti computer.

  9. Scegliete Crea oggetti selezionati in questa cartella e Elimina gli oggetti selezionati in questa cartella. Quindi scegli Successivo.

  10. Per Autorizzazioni, scegli quanto segue:

    • Reimpostazione della password

    • Leggi e scrivi le restrizioni dell'account

    • Nome host DNS di scrittura convalidato

    • Nome principale del servizio di scrittura convalidato

  11. Scegli Next (Avanti), quindi scegli Finish (Fine).

  12. Chiudere lo snap-in MMC Utente e computer di Active Directory.

Per assegnare le autorizzazioni utilizzando le funzionalità avanzate

  1. Accedi al tuo sistema come amministratore di dominio per il tuo dominio Active Directory.

  2. Aprire lo snap-in MMC Utenti e computer di Active Directory.

  3. Seleziona Visualizza dalla barra dei menu e assicurati che Advanced Features sia abilitata (accanto all'opzione comparirà un segno di spunta se la funzionalità è abilitata).

  4. Nel riquadro attività, espandi il nodo del dominio.

  5. Individua e apri (fai clic con il pulsante destro del mouse) il menu di scelta rapida dell'unità organizzativa che desideri modificare, quindi scegli Proprietà.

  6. Nel riquadro Proprietà dell'unità organizzativa, selezionare la scheda Sicurezza.

  7. Nella scheda Sicurezza, selezionare Avanzate. Quindi seleziona Aggiungi.

  8. Nella pagina Immissione delle autorizzazioni, scegli Seleziona un principale e inserisci il nome del tuo account o gruppo di servizi Amazon FSx. Per Si applica a:, scegli gli oggetti Descendant Computer. Assicuratevi che siano selezionati i seguenti elementi:

    • Modifica le autorizzazioni

    • Crea oggetti informatici

    • Eliminare oggetti del computer

  9. Seleziona Applica, quindi seleziona OK.

  10. Chiudere lo snap-in MMC Utente e computer di Active Directory.

Importante

Non spostare oggetti informatici creati da Amazon FSx nell'unità organizzativa dopo la creazione del file system. In questo modo il file system verrà configurato in modo errato. Se aggiorni il file system con un nuovo account di servizio, assicurati che il nuovo account di servizio disponga delle autorizzazioni di controllo completo per gli oggetti informatici esistenti associati al file system.

Mantenere aggiornata la configurazione di Active Directory

Per garantire la disponibilità continua e ininterrotta del file system Amazon FSx, è necessario aggiornare la configurazione di Active Directory del file system ogni volta che si apportano modifiche alla configurazione di Active Directory autogestita.

Ad esempio, se Active Directory utilizza una politica di reimpostazione della password basata sul tempo, non appena la password viene reimpostata, assicurati di aggiornare la password dell'account del servizio con Amazon FSx. Allo stesso modo, se gli indirizzi IP del server DNS cambiano per il tuo dominio Active Directory, non appena si verifica la modifica, aggiorna gli indirizzi IP del server DNS con Amazon FSx. Per ulteriori informazioni, consulta Aggiornamento della configurazione di Active Directory autogestita.

Quando aggiorni la configurazione autogestita di Active Directory per il tuo file system Amazon FSx, lo stato del file system passa da Disponibile a Aggiornamento durante l'applicazione dell'aggiornamento. Verifica che lo stato torni a Disponibile dopo l'applicazione dell'aggiornamento: tieni presente che il completamento dell'aggiornamento può richiedere fino a diversi minuti. Per ulteriori informazioni, consulta Monitoraggio degli aggiornamenti di Active Directory gestiti autonomamente.

Se c'è un problema con la configurazione aggiornata di Active Directory autogestita, lo stato del file system passa a Configurato erroneamente. Questo stato mostra un messaggio di errore e l'azione correttiva consigliata accanto alla descrizione del file system nella console, nell'API e nella CLI. Dopo aver intrapreso l'azione correttiva consigliata, verifica che lo stato del file system passi infine a Disponibile.

Per ulteriori informazioni sulla risoluzione di possibili configurazioni errate di Active Directory autogestite, consulta. Il file system è in uno stato configurato in modo errato

Utilizzo di gruppi di sicurezza per limitare il traffico all'interno del VPC

Per limitare il traffico di rete nel tuo cloud privato virtuale (VPC), puoi implementare il principio del privilegio minimo nel tuo VPC. In altre parole, è possibile limitare i privilegi al minimo necessario. Per fare ciò, usa le regole del gruppo di sicurezza. Per ulteriori informazioni, vedi Gruppi di sicurezza Amazon VPC.

Creazione di regole per i gruppi di sicurezza in uscita per l'interfaccia di rete del file system

Per una maggiore sicurezza, prendi in considerazione la configurazione di un gruppo di sicurezza con regole del traffico in uscita. Queste regole dovrebbero consentire il traffico in uscita solo verso i controller di domini Microsoft Active Directory autogestiti o all'interno della sottorete o del gruppo di sicurezza. Applica questo gruppo di sicurezza al VPC associato all'interfaccia di rete elastica del tuo file system Amazon FSx. Per ulteriori informazioni, consulta Controllo degli accessi ai file system con Amazon VPC.