윈도우 파일 FSx 서버용 Amazon으로 운영 중단 - FSx윈도우용 Amazon 파일 서버
아마존으로의 컷오버 준비 FSxKerberos SPNs 인증을 사용하도록 구성합니다.Amazon FSx 파일 시스템의 DNS CNAME 레코드 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

윈도우 파일 FSx 서버용 Amazon으로 운영 중단

온프레미스 파일 스토리지, 파일 공유 구성 및 DNS 구성을 마이그레이션한 후 다음 단계는 Windows 파일 FSx 서버용 파일 시스템으로 작업을 축소하는 것입니다. Windows 파일 FSx 서버용 파일 시스템으로 전환하려면 다음 단계를 수행하십시오.

  • 전환을 준비합니다.

    • 원래 파일 시스템에서 SMB 클라이언트 연결을 일시적으로 끊습니다.

    • 최종 파일 및 파일 공유 구성 동기화를 수행합니다.

  • Amazon FSx 파일 시스템의 서비스 사용자 이름 (SPNs) 을 구성합니다.

  • Amazon FSx 파일 시스템을 가리키도록 DNS CNAME 레코드를 업데이트하십시오.

각 단계를 수행하는 절차는 다음 섹션에 나와 있습니다.

아마존으로의 컷오버 준비 FSx

Amazon FSx 파일 시스템으로의 전환을 준비하려면 다음 작업을 수행해야 합니다.

Kerberos SPNs 인증을 사용하도록 구성합니다.

Amazon에서는 전송 중에 Kerberos 기반 인증 및 암호화를 사용하는 것이 좋습니다. FSx Kerberos는 파일 시스템에 액세스하는 클라이언트에게 가장 안전한 인증을 제공합니다. DNS별칭을 FSx 사용하여 Amazon에 액세스하는 클라이언트에 대해 Kerberos 인증을 활성화하려면 Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체에 있는 DNS 별칭에 해당하는 서비스 사용자 이름 (SPNs) 을 추가해야 합니다.

Kerberos 인증에는 두 가지가 필요합니다. SPNs 

HOST/alias
HOST/alias.domain

예를 들어 별칭이 인 경우 필요한 두 개는 SPNs 다음과 같습니다. finance.domain.com 

HOST/finance
HOST/finance.domain.com

An은 한 번에 하나의 Active Directory 컴퓨터 개체에만 연결할 SPN 수 있습니다. 원래 파일 시스템의 Active Directory 컴퓨터 객체에 대해 DNS 이름이 이미 SPNs 구성되어 있는 경우 Amazon FSx 파일 SPNs 시스템용으로 만들기 전에 해당 객체를 삭제해야 합니다.

다음 절차는 Amazon FSx 파일 시스템의 Active Directory 컴퓨터 객체를 찾아 삭제하고 새 SPNs 객체를 생성하는 방법을 설명합니다. SPNs

필수 PowerShell Active Directory 모듈을 설치하려면

  1. Amazon FSx 파일 시스템이 연결된 Active Directory에 연결된 Windows 인스턴스에 로그온합니다.

  2. 관리자 PowerShell 권한으로 엽니다.

  3. 다음 명령을 사용하여 PowerShell 액티브 디렉터리 모듈을 설치합니다.

    Install-WindowsFeature RSAT-AD-PowerShell
원본 파일 시스템의 Active Directory 컴퓨터 개체에서 기존 DNS 별칭을 SPNs 찾아 삭제하려면

  1. 다음 명령을 SPNs 사용하여 기존 항목을 찾을 수 있습니다. 에서 파일 시스템에 연결한 alias_fqdn DNS 별칭으로 바꾸십시오. 온프레미스 DNS 구성을 Windows 파일 FSx 서버용으로 마이그레이션하기 

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. 다음 예제 스크립트를 사용하여 이전 단계에서 HOST SPNs 반환된 기존 항목을 삭제합니다.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. 파일 시스템에 연결한 각 DNS 별칭에 대해 이 단계를 반복합니다. 온프레미스 DNS 구성을 Windows 파일 FSx 서버용으로 마이그레이션하기

Amazon FSx 파일 시스템의 액티브 디렉터리 컴퓨터 객체에서 SPNs 설정하려면

  1. 다음 명령을 실행하여 Amazon FSx 파일 시스템을 새로 SPNs 설정합니다.

    • Amazon에서 파일 시스템에 FSx 할당한 file_system_DNS_name DNS 이름으로 바꾸십시오.

      Amazon FSx 콘솔에서 파일 시스템 DNS 이름을 찾으려면 [File systems] 를 선택하고 파일 시스템을 선택합니다. 파일 시스템 세부 정보 페이지의 네트워크 및 보안 창을 선택합니다. DescribeFileSystemsAPI작업 응답에서 DNS 이름을 가져올 수도 있습니다.

    • 에서 파일 시스템에 연결한 전체 alias_fqdn DNS 별칭으로 바꾸십시오. 온프레미스 DNS 구성을 Windows 파일 FSx 서버용으로 마이그레이션하기 

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    참고

    원래 FSx 파일 시스템의 컴퓨터 객체에 SPN 대한 SPN AD에 DNS 별칭이 있는 경우 Amazon 파일 시스템에 대해 a를 설정하는 데 실패합니다. 기존 SPNs 항목 찾기 및 삭제에 대한 자세한 내용은 을 참조하십시오원본 파일 시스템의 Active Directory 컴퓨터 개체에서 기존 DNS 별칭을 SPNs 찾아 삭제하려면.

  2. 다음 예제 스크립트를 사용하여 DNS 별칭에 대해 새 SPNs 별칭이 구성되었는지 확인합니다. 응답에 HOST/aliasHOST/alias_fqdn 2개가 HOST SPNs 포함되는지 확인하십시오.

    Amazon이 파일 시스템에 FSx 할당한 file_system_DNS_name DNS 이름으로 바꾸십시오. Amazon FSx 콘솔에서 파일 시스템 DNS 이름을 찾으려면 파일 시스템을 선택하고 파일 시스템을 선택한 다음 파일 시스템 세부 정보 페이지에서 네트워크 및 보안 창을 선택합니다.

    DescribeFileSystemsAPI작업 응답에서 DNS 이름을 가져올 수도 있습니다.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. 파일 시스템에 연결한 각 DNS 별칭에 대해 이전 단계를 반복합니다. 온프레미스 DNS 구성을 Windows 파일 FSx 서버용으로 마이그레이션하기

참고

Active Directory에서 다음 그룹 정책 개체 (GPOs) 를 설정하여 DNS 별칭을 사용하여 파일 시스템에 연결하는 클라이언트와 전송 중에 Kerberos 인증 및 암호화를 적용할 수 있습니다.

  • 제한NTLM: 원격 서버로 나가는 트래픽 NTLM

  • 제한NTLM: 인증을 위한 NTLM 원격 서버 예외 추가

자세한 내용은 안내 5: DNS 별칭을 사용하여 파일 시스템 액세스를 참조하십시오그룹 정책 개체를 사용하여 Kerberos 인증 적용 () GPOs.

Amazon FSx 파일 시스템의 DNS CNAME 레코드 업데이트

파일 시스템을 적절하게 SPNs 구성한 후에는 원래 파일 시스템으로 전송된 각 DNS 레코드를 Amazon 파일 시스템의 기본 DNS 이름으로 확인되는 DNS 레코드로 FSx 교체하여 FSx Amazon으로 전환할 수 있습니다.

필수 PowerShell cmdlet을 설치하려면

  1. 관리 권한이 있는 그룹 ( AWS 관리형 Microsoft Active Directory의 위임 도메인 이름 시스템 관리자, 자체 관리형 Active Directory의 도메인 관리자 또는 DNS 관리 권한을AWS 위임한 다른 그룹) 의 구성원인 사용자로 Amazon FSx 파일 시스템이 가입된 DNS Active Directory에 가입된 Windows 인스턴스에 로그온합니다.

    자세한 내용은 Amazon EC2 사용 설명서의 Windows 인스턴스에 연결을 참조하십시오.

  2. 관리자 PowerShell 권한으로 엽니다.

  3. 이 절차의 지침을 수행하려면 PowerShell DNS 서버 모듈이 필요합니다. 다음 명령을 사용하여 모듈을 설치합니다.

    Install-WindowsFeature RSAT-DNS-Server
기존 a DNS CNAME 레코드를 업데이트하려면

  1. 다음 스크립트는 에 대한 기존 DNS CNAME 레코드를 Amazon FSx 파일 시스템의 컴퓨터 객체로 업데이트합니다. alias_fqdn 아무 것도 발견되지 않으면 Amazon FSx 파일 시스템의 기본 DNS 이름으로 alias_fqdn 확인되는 DNS 별칭에 대한 새 DNS CNAME 레코드가 생성됩니다.

    다음과 같이 스크립트를 실행합니다.

    • 파일 시스템에 DNS 연결한 alias_fqdn 별칭으로 바꾸십시오.

    • Amazon이 파일 시스템에 FSx 할당한 기본 DNS 이름으로 file_system_DNS_name 대체합니다.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. 파일 시스템에 연결한 각 DNS 별칭에 대해 이전 단계를 반복합니다. 온프레미스 DNS 구성을 Windows 파일 FSx 서버용으로 마이그레이션하기