As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para unir uma SVM a um Microsoft AD autogerenciado
Antes de associar um FSx for ONTAP SVM a um domínio autogerenciado do Microsoft AD, verifique se o Active Directory e a rede atendem aos requisitos descritos nas seções a seguir.
Tópicos
Requisitos locais do Active Directory
Verifique se você já tem um Microsoft AD local ou outro Microsoft AD autogerenciado ao qual possa ingressar no SVM. Esse AD deve ter a seguinte configuração:
-
O nível funcional do domínio do controlador de domínio AD está no Windows Server 2000 ou superior.
-
O AD usa um nome de domínio que não está no formato Single Label Domain (SLD). O Amazon FSx não oferece suporte a domínios SLD.
-
Se você tiver sites do Active Directory definidos, certifique-se de que as sub-redes na VPC associadas ao seu sistema de arquivos FSx for ONTAP estejam definidas nos mesmos sites do AD e que não existam conflitos entre as sub-redes da VPC e as sub-redes nos sites do AD.
nota
Se você estiver usandoAWS Directory Service, o FSx for ONTAP não suporta a junção de SVMs ao Simple Active Directory.
Requisitos de configuração de rede
Verifique se você tem as seguintes configurações de rede e as informações associadas disponíveis para você.
Importante
Para que uma SVM ingresse no Active Directory, você precisa garantir que as portas documentadas neste tópico permitam tráfego entre todos os controladores de domínio do Active Directory e os dois endereços IP iSCSI (interfaces lógicas iscsi_1 e iscsi_2 (LIFs)) na SVM.
-
Os endereços IP do servidor DNS e do controlador de domínio AD.
-
Conectividade entre a Amazon VPC em que você está criando o sistema de arquivos e seu Active Directory autogerenciado usando AWS Direct Connect
, AWS VPN ou. AWS Transit Gateway -
O grupo de segurança e as ACLs da rede VPC das sub-redes nas quais você está criando o sistema de arquivos devem permitir o tráfego nas portas e nas direções mostradas no diagrama a seguir.
A função de cada porta é descrita na tabela a seguir.
Protocolo
Portas
Função
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Autenticação de Kerberos
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
TCP
445
Compartilhamento de arquivos de SMB para serviços de diretório
TCP/UDP
464
Alterar/definir senha
TCP
636
Lightweight Directory Access Protocol over TLS/SSL (LDAPS)
-
Essas regras de tráfego também devem ser espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio AD, servidores DNS, clientes FSx e administradores FSx.
Importante
Embora os grupos de segurança do Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs de rede VPC exigem que as portas sejam abertas em ambas as direções.
Requisitos da conta de serviço do Active Directory
Verifique se você tem uma conta de serviço em seu Microsoft AD autogerenciado que tenha permissões delegadas para unir computadores ao domínio. Uma conta de serviço é uma conta de usuário em seu AD autogerenciado à qual foram delegadas determinadas tarefas.
No mínimo, as seguintes permissões devem ser delegadas à conta de serviço na OU à qual você está ingressando na SVM:
-
Capacidade de redefinir senhas
-
Capacidade de restringir contas de ler e gravar dados
-
Capacidade validada de gravar no nome do host DNS
-
Capacidade validada para gravar no nome da entidade principal de serviço
-
Capacidade de criar e excluir objetos de computador
-
Capacidade validada de ler e gravar restrições de conta
Elas representam o conjunto mínimo de permissões necessárias para unir objetos de computador ao seu AD. Para obter mais informações, consulte o tópico da documentação do Windows Server Erro: o acesso é negado quando usuários não administradores que receberam controle delegado tentam unir computadores a um controlador de domínio
Para saber mais sobre como criar uma conta de serviço com as permissões corretas, consulteDelegar permissões à sua conta de serviço Amazon FSx.
Importante
O Amazon FSx exige uma conta de serviço válida durante toda a vida útil do seu sistema de arquivos Amazon FSx. O Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e executar tarefas que exijam que ele desassocie e reuna recursos ao seu domínio do AD. Essas tarefas incluem a substituição de um sistema de arquivos ou SVM com falha ou a correção do software NetApp ONTAP. Mantenha suas informações de configuração do AD atualizadas com o Amazon FSx, incluindo as credenciais da conta de serviço. Para saber mais, consulte Manter sua configuração do Active Directory atualizada com o Amazon FSx.
Se esta é a primeira vez que você usa AWS um FSx for ONTAP, certifique-se de concluir as etapas iniciais de configuração antes de iniciar sua integração com o AD. Para obter mais informações, consulte Configurando o FSx para ONTAP.
Importante
Não mova objetos de computador que o Amazon FSx cria na OU após a criação de suas SVMs, nem exclua seu AD enquanto sua SVM está associada a ela. Isso fará com que suas SVMs sejam configuradas incorretamente.