Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Procedura dettagliata 5: Utilizzo degli alias DNS per accedere al file system
FSx for Windows File Server fornisce un nome DNS (Domain Name System) predefinito per ogni file system che è possibile utilizzare per accedere ai dati sul file system. È inoltre possibile accedere ai file system utilizzando un alias DNS di propria scelta. Con gli alias DNS, puoi continuare a utilizzare i nomi DNS esistenti per accedere ai dati archiviati su Amazon FSx durante la migrazione dello storage del file system da locale ad Amazon FSx, senza dover aggiornare strumenti o applicazioni. Puoi associare fino a 50 alias DNS a un file system contemporaneamente.
Per accedere ai tuoi file system Amazon FSx utilizzando alias DNS, devi eseguire i tre passaggi seguenti:
Associa gli alias DNS al tuo file system Amazon FSx.
Configura i nomi principali dei servizi (SPN) per l'oggetto computer del tuo file system. (È necessario per ottenere l'autenticazione Kerberos quando si accede al file system utilizzando alias DNS).
Aggiorna o crea un record DNS CNAME per il file system e l'alias DNS.
Argomenti
Fase 1: Associare gli alias DNS al file system Amazon FSx
Puoi associare gli alias DNS ai file system FSx for Windows File Server esistenti, quando crei nuovi file system e quando crei un nuovo file system da un backup utilizzando la console, la CLI e l'API di Amazon FSx. Se stai creando un alias con un nome di dominio diverso, inserisci il nome completo, incluso il dominio principale, per associare un alias.
Questa procedura descrive come associare gli alias DNS durante la creazione di un nuovo file system utilizzando la console Amazon FSx. Per informazioni sull'associazione degli alias DNS ai file system esistenti e dettagli sull'utilizzo della CLI e dell'API, consulta. Gestione degli alias DNS
-
Apri la console Amazon FSx all'indirizzo https://console.aws.amazon.com/fsx/.
Segui la procedura per creare un nuovo file system come descritto nella Crea il tuo file system sezione Guida introduttiva.
Nella sezione Accesso - opzionale della procedura guidata per la creazione del file system, inserite gli alias DNS che desiderate associare al file system.
Utilizza le seguenti linee guida per specificare gli alias DNS:
Deve essere formattato come nome di dominio completo (FQDN), ad esempio.
hostname.domainaccounting.example.comPuò contenere caratteri alfanumerici e trattini (‐).
Non può iniziare o terminare con un trattino (-).
Può iniziare con un numerico.
Per i nomi alias DNS, Amazon FSx archivia i caratteri alfabetici come lettere minuscole (a-z), indipendentemente dal modo in cui li specifichi: come lettere maiuscole, minuscole o lettere corrispondenti in codici di escape.
Per le preferenze di manutenzione, apportate le modifiche desiderate.
-
Nella sezione Tag, facoltativa, aggiungi i tag di cui hai bisogno, quindi scegli Avanti.
-
Rivedi la configurazione del file system riportata nella pagina Crea file system. Scegli Crea file system per creare il file system.
Quando il nuovo file system diventa disponibile, continua con il passaggio 2.
Passaggio 2: Configurazione dei nomi principali di servizio (SPN) per Kerberos
Ti consigliamo di utilizzare l'autenticazione e la crittografia basate su Kerberos in transito con Amazon FSx. Kerberos fornisce l'autenticazione più sicura per i client che accedono al file system.
Per abilitare l'autenticazione Kerberos per i client che accedono ad Amazon FSx utilizzando un alias DNS, devi aggiungere nomi principali di servizio (SPN) che corrispondono all'alias DNS sull'oggetto computer Active Directory del tuo file system Amazon FSx. Un SPN può essere associato solo a un singolo oggetto informatico Active Directory alla volta. Se disponi di SPN esistenti per il nome DNS configurato per l'oggetto computer Active Directory del file system originale, devi prima eliminarli.
Sono necessari due SPN per l'autenticazione Kerberos:
HOST/aliasHOST/alias.domain
Se l'alias èfinance.domain.com, i due SPN richiesti sono i seguenti:
HOST/finance HOST/finance.domain.com
Nota
Dovrai eliminare tutti gli SPN HOST esistenti che corrispondono all'alias DNS sull'oggetto computer Active Directory prima di creare nuovi SPN HOST per l'oggetto computer Active Directory (AD) del tuo file system Amazon FSx. I tentativi di impostare gli SPN per il file system Amazon FSx falliranno se nell'AD esiste un SPN per l'alias DNS.
Le seguenti procedure descrivono come eseguire le seguenti operazioni:
Trova tutti gli alias DNS SPN esistenti nell'oggetto computer Active Directory del file system originale.
Elimina gli SPN esistenti trovati, se presenti.
Crea nuovi alias DNS SPN per l'oggetto computer Active Directory del tuo file system Amazon FSx.
Per installare il modulo Active Directory richiesto PowerShell
-
Accedi a un'istanza Windows aggiunta all'Active Directory a cui è unito il tuo file system Amazon FSx.
Apri PowerShell come amministratore.
Installa il modulo PowerShell Active Directory utilizzando il seguente comando.
Install-WindowsFeature RSAT-AD-PowerShell
Per trovare ed eliminare gli alias DNS esistenti, SPN sull'oggetto computer Active Directory del file system originale
Trova tutti gli SPN esistenti utilizzando i seguenti comandi. Sostituiscilo alias_fqdn con l'alias DNS associato al file system nel passaggio 1.
## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Eliminare gli SPN HOST esistenti restituiti nel passaggio precedente utilizzando lo script di esempio seguente.
Sostituiscilo alias_fqdn con l'alias DNS completo associato al file system nel passaggio 1.
Sostituire
file_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Ripeti i passaggi precedenti per ogni alias DNS associato al file system nel passaggio 1.
Per impostare gli SPN sull'oggetto computer Active Directory del tuo file system Amazon FSx
Imposta nuovi SPN per il tuo file system Amazon FSx eseguendo i seguenti comandi.
Sostituisci
file_system_DNS_namePer trovare il nome DNS del tuo file system sulla console Amazon FSx, scegli File system, scegli il tuo file system, quindi scegli il pannello Rete e sicurezza nella pagina dei dettagli del file system.
Puoi anche ottenere il nome DNS nella risposta dell'operazione DescribeFileSystems API.
Sostituiscilo alias_fqdn con l'alias DNS completo associato al file system nel passaggio 1.
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.NameNota
L'impostazione di un SPN per il file system Amazon FSx avrà esito negativo se nell'AD per l'oggetto computer del file system originale esiste un SPN per l'alias DNS. Per informazioni su come trovare ed eliminare gli SPN esistenti, consulta. Per trovare ed eliminare gli alias DNS esistenti, SPN sull'oggetto computer Active Directory del file system originale
-
Verifica che i nuovi SPN siano configurati per l'alias DNS utilizzando lo script di esempio seguente. Assicurati che la risposta includa due HOST SPN
HOST/ealiasHOST/, come descritto in precedenza in questa procedura.alias_fqdnSostituisci
file_system_DNS_namePuoi anche ottenere il nome DNS nella risposta dell'operazione DescribeFileSystems API.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Ripeti i passaggi precedenti per ogni alias DNS associato al file system nel passaggio 1.
Per informazioni su come imporre ai client di utilizzare l'autenticazione e la crittografia Kerberos durante la connessione al file system Amazon FSx, consulta. Applicazione dell'autenticazione Kerberos tramite GPO
Passaggio 3: Aggiornare o creare un record DNS CNAME per il file system
Dopo aver configurato correttamente gli SPN per il tuo file system, puoi passare ad Amazon FSx sostituendo ogni record DNS risolto nel file system originale con un record DNS che si risolve nel nome DNS predefinito del file system Amazon FSx.
I moduli dnsserver e activedirectory Windows sono necessari per eseguire i comandi presentati in questa sezione.
Per installare i PowerShell cmdlet richiesti
-
Accedi a un'istanza Windows aggiunta ad Active Directory a cui fa parte il tuo file system Amazon FSx come utente membro di un gruppo con autorizzazioni di amministrazione DNS (AWSAWS Delegated Domain Name System Administrators in AWS Managed Active Directory e Domain Admins o un altro gruppo a cui hai delegato le autorizzazioni di amministrazione DNS nella tua Active Directory autogestita).
Per ulteriori informazioni, consulta Connessione all'istanza Windows nella Guida per l'utente di Amazon EC2.
Apri PowerShell come amministratore.
Il modulo PowerShell DNS Server è necessario per eseguire le istruzioni di questa procedura. Installarlo utilizzando il seguente comando.
Install-WindowsFeature RSAT-DNS-Server
Per aggiornare o creare un nome DNS personalizzato per il file system Amazon FSx
-
Connect alla tua istanza Amazon EC2 come utente membro di un gruppo con autorizzazioni di amministrazione DNS (AWS Delegated Domain Name System Administrators in AWS Managed Active Directory e Domain Admins o un altro gruppo a cui hai delegato le autorizzazioni di amministrazione DNS nella tua Active Directory autogestita).
Per ulteriori informazioni, consulta Connessione all'istanza Windows nella Guida per l'utente di Amazon EC2.
-
Al prompt dei comandi, esegui lo script seguente. Questo script migra qualsiasi record DNS CNAME esistente sul file system Amazon FSx. Se non ne viene trovato nessuno, crea un nuovo record DNS CNAME per l'alias DNS
alias_fqdnPer eseguire lo script:
Sostituiscilo
alias_fqdnSostituisci
file_system_DNS_name
$Alias="alias_fqdn" $FSxDnsName="file_system_dns_name" $AliasHost=$Alias.Split('.')[0] $ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain) $DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name) | Select -First 1 foreach ($computer in $DnsServerComputerName) { Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $computer -HostNameAlias $FSxDnsName -ZoneName $ZoneName } -
Ripeti il passaggio precedente per ogni alias DNS associato al file system nel passaggio 1.
Ora hai aggiunto un valore DNS CNAME per il tuo file system Amazon FSx con l'alias DNS. Ora puoi usare l'alias DNS per accedere ai tuoi dati.
Nota
Quando si aggiorna un record DNS CNAME in modo che punti a un file system Amazon FSx precedentemente indirizzato a un altro file system, i client potrebbero non essere in grado di connettersi al file system per un breve periodo di tempo. Quando la cache DNS del client si aggiorna, dovrebbero essere in grado di connettersi utilizzando l'alias DNS. Per ulteriori informazioni, consulta Impossibile accedere al file system utilizzando un alias DNS.
Applicazione dell'autenticazione Kerberos tramite GPO
È possibile applicare l'autenticazione Kerberos quando si accede al file system impostando i seguenti Group Policy Object (GPO) in Active Directory:
Limita NTLM: traffico NTLM in uscita verso server remoti: utilizza questa impostazione dei criteri per negare o controllare il traffico NTLM in uscita da un computer a qualsiasi server remoto che esegue il sistema operativo Windows.
Limita NTLM: aggiungi eccezioni del server remoto per l'autenticazione NTLM: utilizza questa impostazione dei criteri per creare un elenco di eccezioni di server remoti su cui i dispositivi client possono utilizzare l'autenticazione NTLM se è configurata l'impostazione del criterio Sicurezza di rete: Limita il traffico NTLM: traffico NTLM in uscita ai server remoti.
Accedi a un'istanza Windows aggiunta ad Active Directory a cui è collegato il tuo file system Amazon FSx come amministratore. Se stai configurando un Active Directory autogestito, applica questi passaggi direttamente ad Active Directory.
Scegliete Start, scegliete Strumenti di amministrazione, quindi scegliete Gestione delle politiche di gruppo.
Scegliete Oggetti di policy di gruppo.
Se il tuo oggetto Group Policy non esiste già, crealo.
Individua la politica esistente Network Security: Limit NTLM: Outgoing NTLM traffic to remote servers. (Se non esiste alcuna politica esistente, crea una nuova politica.) Nella scheda Impostazioni di sicurezza locali, apri il menu contestuale (fai clic con il pulsante destro del mouse) e scegli Proprietà.
Scegli Nega tutto.
Scegli Applica per salvare l'impostazione di sicurezza.
Per impostare eccezioni per le connessioni NTLM a server remoti specifici per il client, individua l'opzione Sicurezza di rete: Limita NTLM: Aggiungi eccezioni al server remoto.
Apri il menu contestuale (fai clic con il pulsante destro del mouse) e scegli Proprietà nella scheda Impostazioni di sicurezza locale.
Immettete i nomi di tutti i server da aggiungere all'elenco delle eccezioni.
Scegli Applica per salvare l'impostazione di sicurezza.
