Convalida della configurazione di Active Directory - File server Amazon FSx per Windows

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Convalida della configurazione di Active Directory

Prima di creare un file system FSx per Windows File Server unito ad Active Directory, ti consigliamo di convalidare la configurazione di Active Directory utilizzando lo strumento di convalida di Amazon FSx Active Directory. Tieni presente che la connettività Internet in uscita è necessaria per convalidare correttamente la configurazione di Active Directory.

Per convalidare la configurazione di Active Directory

  1. Avvia un'istanza Amazon EC2 Windows nella stessa sottorete e con gli stessi gruppi VPC di sicurezza Amazon che utilizzi per il file system FSx per Windows File Server. Assicurati che la tua EC2 istanza disponga delle AmazonEC2ReadOnlyAccess IAM autorizzazioni necessarie. Puoi convalidare le autorizzazioni del ruolo dell'EC2istanza utilizzando il IAM simulatore di policy. Per ulteriori informazioni, consulta Testing IAM Policies with the IAM Policy Simulator nella Guida per l'utente. IAM

  2. Unisci la tua istanza di EC2 Windows ad Active Directory. Per ulteriori informazioni, consulta Aggiungere manualmente un'istanza di Windows nella Guida all'AWS Directory Service amministrazione.

  3. Connect alla tua EC2 istanza. Per ulteriori informazioni, consulta Connecting to Your Windows Instance nella Amazon EC2 User Guide.

  4. Apri una PowerShell finestra Windows (usando Esegui come amministratore) sull'EC2istanza.

    Per verificare se il modulo Active Directory richiesto per Windows PowerShell è installato, usa il seguente comando test.

    PS C:\> Import-Module ActiveDirectory

    Se quanto sopra restituisce un errore, installalo utilizzando il seguente comando.

    PS C:\> Install-WindowsFeature RSAT-AD-PowerShell

  5. Scaricate lo strumento di convalida della rete utilizzando il seguente comando. 

    PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"

  6. Espandi il file zip utilizzando il seguente comando.

    PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"

  7. Aggiunge il AmazonFSxADValidation modulo alla sessione corrente.

    PS C:\> Import-Module .\AmazonFSxADValidation

  8. Imposta i parametri richiesti sostituendo nel seguente comando il tuo:

    • Nome di dominio Active Directory (DOMAINNAME.COM)

    • Preparare l'$Credentialoggetto per la password dell'account del servizio utilizzando una delle seguenti opzioni.

      • Per generare l'oggetto credenziale in modo interattivo, utilizzate il comando seguente.

        $Credential = Get-Credential

      • Per generare l'oggetto credenziale utilizzando una AWS Secrets Manager risorsa, utilizzate il comando seguente.

        $Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))

    • DNSindirizzi IP del server (IP_ADDRESS_1, IP_ADDRESS_2)

    • ID di sottorete per le sottoreti in cui intendi creare il file system Amazon FSx (SUBNET_1, SUBNET_2, ad esempio,). subnet-04431191671ac0d19

    PS C:\> 
$FSxADValidationArgs = @{
    # DNS root of ActiveDirectory domain
    DomainDNSRoot = 'DOMAINNAME.COM'

    # IP v4 addresses of DNS servers
    DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')

    # Subnet IDs for Amazon FSx file server(s)
    SubnetIds = @('SUBNET_1', 'SUBNET_2')

    Credential = $Credential
}

  9. (Facoltativo) Imposta l'unità organizzativa, il gruppo di amministratori delegati e abilita la convalida delle autorizzazioni dell'account di servizio seguendo le istruzioni nel README.md file incluso prima di eseguire lo strumento di convalida. DomainControllersMaxCount

    Nota

    Il Domain Admins gruppo ha un nome diverso se il sistema operativo non è in inglese. Ad esempio, il gruppo è denominato Administrateurs du domaine nella versione francese del sistema operativo. Se non si specifica un valore, viene utilizzato il nome di Domain Admins gruppo predefinito e la creazione del file system ha esito negativo.

  10. Eseguite lo strumento di convalida utilizzando questo comando.

    PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs

  11. Di seguito è riportato un esempio di esito positivo del test.

    Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...

Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    Di seguito è riportato un esempio di risultato di un test con errori.

    Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...

Name          DistinguishedName                                                         Site
----          -----------------                                                         ----
10.0.0.0/19   CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local   CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19  CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local  CN=SiteB,CN=Sites,CN=Configu...



Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}



Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures

Name                           Value
----                           -----
SubnetsInSeparateAdSites       {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}


PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0

    Se ricevi avvisi o errori quando esegui lo strumento di convalida, consulta la guida alla risoluzione dei problemi inclusa nel pacchetto dello strumento di convalida () TROUBLESHOOTING.md e. Risoluzione dei problemi Amazon FSx