Utilizzo di un Microsoft Active Directory autogestito - File server Amazon FSx per Windows
PrerequisitiProcedure consigliate per la gestione automatica di Active DirectoryAccount FSx di servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di un Microsoft Active Directory autogestito

Se la tua organizzazione gestisce identità e dispositivi utilizzando un Active Directory autogestito in locale o nel cloud, puoi aggiungere un file system FSx per Windows File Server al tuo dominio Active Directory al momento della creazione.

Quando si aggiunge il file system all'Active Directory autogestito, il file system FSx per Windows File Server risiede nella stessa foresta di Active Directory (il contenitore logico principale in una configurazione di Active Directory che contiene domini, utenti e computer) e nello stesso dominio di Active Directory degli utenti e delle risorse esistenti (inclusi i file server esistenti).

Nota

Puoi isolare le tue risorse, compresi i tuoi file system FSx Amazon, in una foresta Active Directory separata da quella in cui risiedono gli utenti. A tale scopo, unisci il tuo file system a una Active Directory AWS gestita e stabilisci una relazione di trust forestale unidirezionale tra un'Active Directory AWS gestita da te e la tua Active Directory autogestita esistente.

  • Nome utente e password per un account di servizio sul tuo dominio Active Directory, che Amazon può utilizzare FSx per aggiungere il file system al tuo dominio Active Directory.

  • (Facoltativo) L'unità organizzativa (OU) del dominio a cui desideri aggiungere il file system.

  • (Facoltativo) Il gruppo di dominio a cui si desidera delegare l'autorità per eseguire azioni amministrative sul file system. Ad esempio, questo gruppo di domini potrebbe gestire le condivisioni di file Windows, gestire gli elenchi di controllo degli accessi (ACLs) nella cartella principale del file system, assumere la proprietà di file e cartelle e così via. Se non specifichi questo gruppo, Amazon FSx delega questa autorità al gruppo Domain Admins nel tuo dominio Active Directory per impostazione predefinita.

    Nota

    Il nome del gruppo di dominio che fornisci deve essere univoco nel tuo Active Directory. FSxper Windows File Server non creerà il gruppo di dominio nelle seguenti circostanze:

    • Se esiste già un gruppo con il nome specificato

    • Se non specifichi un nome e un gruppo denominato «Domain Admins» esiste già in Active Directory.

    Per ulteriori informazioni, consulta Unire un FSx file system Amazon a un dominio Microsoft Active Directory autogestito.

Argomenti

Prerequisiti

Prima di aggiungere un file system FSx per Windows File Server al tuo dominio Microsoft Active Directory autogestito, esamina i seguenti prerequisiti per assicurarti di poter aggiungere correttamente il tuo FSx file system Amazon al tuo Active Directory autogestito.

Configurazioni locali

Questi sono i prerequisiti per il tuo Microsoft Active Directory autogestito, locale o basato sul cloud, a cui unirai il file system Amazon. FSx

  • I controller di dominio Active Directory:

    • Deve avere un livello di funzionalità del dominio pari o superiore a Windows Server 2008 R2.

    • Deve essere scrivibile.

  • Gli indirizzi IP del DNS server e del controller di dominio Active Directory devono soddisfare i seguenti requisiti, che variano a seconda della data di creazione del FSx file system Amazon:

    Per i file system creati prima del 17 dicembre 2020 Per i file system creati dopo il 17 dicembre 2020

    Gli indirizzi IP devono essere compresi in un intervallo di indirizzi IP privati del RFC1918:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    Gli indirizzi IP possono rientrare in qualsiasi intervallo, ad eccezione di:

    • Indirizzi IP in conflitto con gli indirizzi IP di proprietà di Amazon Web Services presenti nel file system. Regione AWS Per un elenco di indirizzi IP di AWS proprietà per regione, consulta gli intervalli di indirizzi AWS IP.

    • Indirizzi IP nell'intervallo di CIDR blocchi 198.19.0.0/16

    Se è necessario accedere a un file system FSx per Windows File Server creato prima del 17 dicembre 2020 utilizzando un intervallo di indirizzi IP non privato, è possibile creare un nuovo file system ripristinando un backup del file system. Per ulteriori informazioni, consulta Ripristino di un backup su un nuovo file system.

  • Il nome di dominio dell'Active Directory autogestito deve soddisfare i seguenti requisiti:

    • Il nome di dominio non è in formato Single Label Domain (SLD). Amazon FSx non supporta i SLD domini.

    • Per Single-AZ 2 e tutti i file system Multi-AZ, il nome di dominio non può superare i 47 caratteri.

  • Tutti i siti di Active Directory che hai definito devono soddisfare i seguenti prerequisiti:

    • Le sottoreti associate al VPC file system devono essere definite in un sito di Active Directory.

    • Non vi sono conflitti tra le VPC sottoreti e le sottoreti del sito di Active Directory.

    Amazon FSx richiede la connettività a tutti i controller di dominio nel tuo ambiente Active Directory. Se disponi di più controller di dominio, assicurati che tutti soddisfino i requisiti di cui sopra e assicurati che tutte le modifiche al tuo account di servizio vengano propagate a tutti i controller di dominio.

    Importante

    Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.

Puoi convalidare la configurazione di Active Directory, incluso il test della connettività di più controller di dominio, utilizzando lo strumento di convalida di Amazon FSx Active Directory. Per limitare il numero di controller di dominio che richiedono connettività, puoi anche creare una relazione di fiducia tra i controller di dominio locali e. AWS Managed Microsoft AD Per ulteriori informazioni, consulta Utilizzo di un modello di isolamento delle foreste di risorse.

Importante

Amazon registra i DNS record per un file system FSx solo se utilizzi Microsoft DNS come DNS servizio predefinito. Se utilizzi un servizio di terze partiDNS, dovrai impostare manualmente le voci dei DNS record per il tuo file system dopo averlo creato.

Configurazioni di rete

Questa sezione descrive i requisiti di configurazione di rete per aggiungere un file system all'Active Directory autogestito. Ti consigliamo vivamente di utilizzare lo strumento di convalida di Amazon FSx Active Directory per testare le impostazioni di rete prima di tentare di aggiungere il tuo file system all'Active Directory autogestito.

  • Assicurati che le regole del firewall consentano il ICMP traffico tra i controller di dominio Active Directory e AmazonFSx.

  • La connettività deve essere configurata tra l'Amazon VPC in cui desideri creare il file system e il tuo Active Directory autogestito. Puoi configurare questa connettività utilizzando AWS Direct Connect, AWS Virtual Private Network, VPCpeering o. AWS Transit Gateway

  • Il gruppo VPC di sicurezza predefinito per il tuo Amazon predefinito VPC deve essere aggiunto al tuo file system utilizzando la FSx console Amazon. Assicurati che il gruppo di sicurezza e la VPC rete ACLs per le sottoreti in cui crei il file system consentano il traffico sulle porte e nella direzione mostrate nel diagramma seguente.

    FSxper i requisiti di configurazione delle porte di Windows File Server per i gruppi VPC di sicurezza e la rete ACLs per le sottoreti in cui viene creato il file system.

    La tabella seguente identifica il protocollo, le porte e il relativo ruolo.

    Protocollo

    Porte

    Ruolo

    TCP/UDP

    53

    Sistema dei nomi di dominio () DNS

    TCP/UDP

    88

    Autenticazione Kerberos

    TCP/UDP

    464

    Modifica/imposta la password

    TCP/UDP

    389

    Lightweight Directory Access Protocol () LDAP
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Ambiente di calcolo distribuito/End Point Mapper (/) DCE EPMAP

    TCP

    445

    Condivisione di file con Directory Services SMB

    TCP

    636

    Lightweight Directory Access Protocol suTLS/SSL(LDAPS)

    TCP

    3268

    Catalogo globale Microsoft

    TCP

    3269

    Microsoft Global Catalog oltre SSL

    TCP

    5985

    WinRM 2.0 (gestione remota di Microsoft Windows)

    TCP

    9389

    Servizi Web Microsoft Active Directory DS, PowerShell

    Importante

    L'autorizzazione del traffico in uscita sulla TCP porta 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.

    TCP

    49152 - 65535

    Porte temporanee per RPC

    Queste regole del traffico devono essere rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio, DNS server, client e amministratori di Active Directory. FSx FSx

Nota

Se utilizzi la VPC reteACLs, devi anche consentire il traffico in uscita sulle porte dinamiche (49152-65535) dal tuo file system.

Importante

Sebbene i gruppi VPC di sicurezza di Amazon richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall e della VPC rete Windows ACLs richiede che le porte siano aperte in entrambe le direzioni.

Autorizzazioni dell'account di servizio

È necessario disporre di un account di servizio nel proprio dominio Microsoft Active Directory autogestito con autorizzazioni delegate per aggiungere oggetti computer al dominio Active Directory autogestito. Un account di servizio è un account utente di Active Directory autogestito a cui sono state delegate determinate attività.

Di seguito è riportato il set minimo di autorizzazioni che devono essere delegate all'account di FSx servizio Amazon nell'unità organizzativa a cui ti stai unendo al file system.

  • Se utilizzi Delegate Control negli utenti e nei computer di Active Directory: MMC

    • Reimpostare le password

    • Leggi e scrivi le restrizioni relative all'account

    • Nome DNS host di scrittura convalidato

    • Nome principale del servizio di scrittura convalidato

  • Se si utilizzano le funzionalità avanzate negli utenti e nei computer MMC di Active Directory:

    • Modifica le autorizzazioni

    • Creazione di oggetti computer

    • Eliminare gli oggetti del computer

Per ulteriori informazioni, vedere l'argomento della documentazione di Microsoft Windows Server Errore: accesso negato quando utenti non amministratori a cui è stato delegato il controllo tentano di aggiungere computer a un controller di dominio.

Per ulteriori informazioni sull'impostazione delle autorizzazioni richieste, vedere. Delegare le autorizzazioni all'account o al gruppo FSx di servizio Amazon

Procedure consigliate per la gestione automatica di Active Directory

Ti consigliamo di seguire queste best practice quando unisci un file system Amazon FSx for Windows File Server al tuo Microsoft Active Directory autogestito. Queste best practice ti aiuteranno a mantenere la disponibilità continua e ininterrotta del tuo file system.

Usa un account di servizio separato per Amazon FSx

Utilizza un account di servizio separato per delegare i privilegi richiesti FSx ad Amazon per gestire completamente i file system aggiunti al tuo Active Directory autogestito. Non è consigliabile utilizzare Domain Admins per questo scopo.

Utilizzare un gruppo Active Directory

Utilizza un gruppo Active Directory per gestire le autorizzazioni e le configurazioni di Active Directory associate all'account del FSx servizio Amazon.

Separare l'unità organizzativa (OU)

Per semplificare la ricerca e la gestione degli oggetti FSx informatici Amazon, ti consigliamo di separare l'unità organizzativa (OU) che usi per i tuoi file system FSx per Windows File Server dagli altri controller di dominio.

Mantieni la configurazione di Active Directory up-to-date

È fondamentale mantenere la configurazione di Active Directory del file system up-to-date con eventuali modifiche. Ad esempio, se il tuo Active Directory autogestito utilizza una politica di reimpostazione della password basata sul tempo, non appena la password viene reimpostata, assicurati di aggiornare la password dell'account di servizio sul tuo file system. Per ulteriori informazioni, consulta Aggiornamento di una configurazione di Active Directory autogestita.

Modifica dell'account del FSx servizio Amazon

Se aggiorni il file system con un nuovo account di servizio, quest'ultimo deve disporre delle autorizzazioni e dei privilegi necessari per accedere ad Active Directory e disporre delle autorizzazioni di controllo completo per gli oggetti informatici esistenti associati al file system. Per ulteriori informazioni, consulta Modifica dell'account del FSx servizio Amazon.

Utilizza le regole dei gruppi di sicurezza per limitare il traffico

Utilizza le regole dei gruppi di sicurezza per implementare il principio del privilegio minimo nel tuo cloud privato virtuale (VPC). È possibile limitare il tipo di traffico di rete in entrata e in uscita consentito per il file utilizzando VPC le regole del gruppo di sicurezza. Ad esempio, consigliamo di consentire il traffico in uscita solo verso i controller di dominio Active Directory autogestiti o all'interno della sottorete o del gruppo di sicurezza che state utilizzando. Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon VPC.

Non spostare oggetti informatici creati da Amazon FSx
Importante

Non spostare oggetti informatici FSx creati da Amazon nell'unità organizzativa dopo la creazione del file system. In questo modo il file system potrebbe essere configurato in modo errato.

Convalida la configurazione di Active Directory

Prima di tentare di aggiungere un file system FSx per Windows File Server ad Active Directory, ti consigliamo vivamente di convalidare la configurazione di Active Directory utilizzando lo strumento di convalida di Amazon FSx Active Directory.

Account FSx di servizio Amazon

I FSx file system Amazon uniti a un Active Directory autogestito richiedono un account di servizio valido per tutta la loro durata. Amazon FSx utilizza l'account di servizio per gestire completamente i tuoi file system ed eseguire attività amministrative che richiedono l'unione e il ricongiungimento degli oggetti del computer al tuo dominio Active Directory. Queste attività includono la sostituzione di un file server guasto e l'applicazione di patch al software Microsoft Windows Server. FSxAffinché Amazon possa eseguire queste attività, l'account di FSx servizio Amazon deve disporre almeno del set di autorizzazioni descritto in Autorizzazioni dell'account di servizio Delegato ad esso.

Sebbene i membri del gruppo Domain Admins abbiano privilegi sufficienti per eseguire queste attività, ti consigliamo vivamente di utilizzare un account di servizio separato per delegare i privilegi richiesti ad Amazon. FSx

Per ulteriori informazioni su come delegare i privilegi utilizzando le funzionalità Delegate Control o Advanced Features nello snap-in Utenti e computer di Active Directory, consulta. MMC Delegare le autorizzazioni all'account o al gruppo FSx di servizio Amazon

Se si aggiorna il file system con un nuovo account di servizio, il nuovo account di servizio deve disporre delle autorizzazioni e dei privilegi necessari per accedere ad Active Directory e disporre delle autorizzazioni di controllo completo per gli oggetti informatici esistenti associati al file system. Per ulteriori informazioni, consulta Modifica dell'account del FSx servizio Amazon.