Pré-requisitos para usar um Microsoft AD autogerenciado - FSx for ONTAP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos para usar um Microsoft AD autogerenciado

Antes de criar um FSx para ONTAP SVM associado ao seu domínio autogerenciado do Microsoft AD, certifique-se de ter criado e configurado os seguintes requisitos:

  • Um Microsoft AD local ou outro Microsoft autogerenciado ao qual o SVM deve se juntar, com a seguinte configuração:

    • O nível funcional do domínio do seu controlador de domínio Active Directory está no Windows Server 2000 ou superior.

    • Os endereços IP do servidor DNS e os endereços IP do controlador de domínio do Active Directory.

    • Nome de domínio que não está no formato Single Label Domain (SLD). O Amazon FSx não oferece suporte a domínios SLD.

    • Se você tiver sites do Active Directory definidos, certifique-se de que as sub-redes na VPC associadas ao seu sistema de arquivos Amazon FSx estejam definidas no mesmo site do Active Directory e que não existam conflitos entre as sub-redes em sua VPC e as sub-redes em seus outros sites.

  • As seguintes configurações de rede:

    • Conectividade configurada entre o Amazon VPC em que você deseja criar o sistema de arquivos e seu Active Directory autogerenciado. Você pode configurar a conectividade usandoAWS Direct ConnectAWS VPN, ouAWS Transit Gateway.

    • Certifique-se de que o grupo de segurança e as ACLs de rede VPC das sub-redes em que você está criando seu sistema de arquivos FSx permitam o tráfego nas portas e nas direções mostradas no diagrama a seguir.

      Requisitos de configuração de portas do FSx for ONTAP para grupos de segurança VPC e ACLs de rede para as sub-redes em que o SVM está sendo criado.

      A tabela a seguir identifica a função de cada porta.

      Protocolo

      Portas

      Função

      TCP/UDP

      53

      Domain Name System (DNS)

      TCP/UDP

      88

      Autenticação de Kerberos

      TCP/UDP

      389

      Protocolo Lightweight Directory Access Protocol (LDAP)

      TCP

      445

      Compartilhamento de arquivos SMB do Directory Services

      TCP/UDP

      464

      Alterar/definir senha

      TCP

      636

      Protocolo leve de acesso ao diretório sobre TLS/SSL (LDAPS)

    • Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio do Active Directory, servidores DNS, clientes FSx e administradores FSx.

    Importante

    Embora os grupos de segurança do Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs de rede VPC exigem que as portas sejam abertas em ambas as direções.

  • Uma conta de serviço em seu Microsoft AD autogerenciado com permissões delegadas para unir computadores ao domínio. Uma conta de serviço é uma conta de usuário em seu Microsoft AD autogerenciado que recebeu determinadas tarefas.

    A conta de serviço também precisa, no mínimo, receber as seguintes permissões na OU à qual você está ingressando no sistema de arquivos:

    • Capacidade de redefinir senhas

    • Capacidade de restringir contas de ler e gravar dados

    • Capacidade validada de gravar no nome do host DNS

    • Capacidade validada de escrever no nome principal do serviço

    • Tenha controle delegado para criar e excluir objetos de computador

    • Capacidade validada de ler e gravar restrições de conta

    Eles representam o conjunto mínimo de permissões necessárias para unir objetos de computador ao seu Active Directory. Para obter mais informações, consulte o tópico Erro na documentação do Microsoft Windows Server: O acesso é negado quando usuários não administradores que receberam o controle delegado tentam unir computadores a um controlador de domínio.

Para saber mais sobre como criar uma conta de serviço com credenciais de serviço com credenciais de permissões corretas, consulteDelegando privilégios à sua conta de serviço Amazon FSx.

nota

O Amazon FSx exige uma conta de serviço válida durante toda a vida útil do sistema de arquivos do Amazon FSx. O Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e realizar tarefas que exijam a desassociação e a reintegração de seu domínio do Active Directory usando, como substituir um arquivo SVM com defeito ou corrigir o software NetApp ONTAP. Mantenha sua configuração do Active Directory, incluindo as credenciais da conta de serviço, atualizada com o Amazon FSx. Para saber como, consulte Mantendo sua configuração do Active Directory atualizada com o Amazon FSx.

Se esta for a primeira vez que você está utilizando oAWS FSx for ONTAP, certifique-se de configurar antes de começar. Para obter mais informações, consulteConfigurando o FSx para ONTAP

Importante

Não mova objetos de computador que o Amazon FSx cria na OU após a criação de suas SVMs nem exclua seu Active Directory enquanto seu SVM estiver unido a ele. Isso fará com que seus SVMs fiquem mal configurados.