Pré-requisitos para unir uma SVM a um Microsoft AD autogerenciado - FSx para ONTAP
Requisitos autogerenciados do ADRequisitos de configuração de redeRequisitos da conta de serviço do Active Directory

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos para unir uma SVM a um Microsoft AD autogerenciado

Antes de associar um FSx for ONTAP SVM a um domínio autogerenciado do Microsoft AD, verifique se o Active Directory e a rede atendem aos requisitos descritos nas seções a seguir.

Requisitos locais do Active Directory

Verifique se você já tem um Microsoft AD local ou outro Microsoft AD autogerenciado ao qual possa ingressar no SVM. Esse AD deve ter a seguinte configuração:

  • O nível funcional do domínio do controlador de domínio AD está no Windows Server 2000 ou superior.

  • O AD usa um nome de domínio que não está no formato Single Label Domain (SLD). O Amazon FSx não oferece suporte a domínios SLD.

  • Se você tiver sites do Active Directory definidos, certifique-se de que as sub-redes na VPC associadas ao seu sistema de arquivos FSx for ONTAP estejam definidas nos mesmos sites do AD e que não existam conflitos entre as sub-redes da VPC e as sub-redes nos sites do AD.

nota

Se você estiver usandoAWS Directory Service, o FSx for ONTAP não suporta a junção de SVMs ao Simple Active Directory.

Requisitos de configuração de rede

Verifique se você tem as seguintes configurações de rede e as informações associadas disponíveis para você.

Importante

Para que uma SVM ingresse no Active Directory, você precisa garantir que as portas documentadas neste tópico permitam tráfego entre todos os controladores de domínio do Active Directory e os dois endereços IP iSCSI (interfaces lógicas iscsi_1 e iscsi_2 (LIFs)) na SVM.

  • Os endereços IP do servidor DNS e do controlador de domínio AD.

  • Conectividade entre a Amazon VPC em que você está criando o sistema de arquivos e seu Active Directory autogerenciado usando AWS Direct Connect, AWS VPNou. AWS Transit Gateway

  • O grupo de segurança e as ACLs da rede VPC das sub-redes nas quais você está criando o sistema de arquivos devem permitir o tráfego nas portas e nas direções mostradas no diagrama a seguir.

    Diagrama mostrando os requisitos de configuração da porta FSx for ONTAP para grupos de segurança VPC e ACLs de rede para as sub-redes nas quais você está criando um FSx para o sistema de arquivos ONTAP.

    A função de cada porta é descrita na tabela a seguir.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)

    TCP

    445

    Compartilhamento de arquivos de SMB para serviços de diretório

    TCP/UDP

    464

    Alterar/definir senha

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

  • Essas regras de tráfego também devem ser espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio AD, servidores DNS, clientes FSx e administradores FSx.

    Importante

    Embora os grupos de segurança do Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs de rede VPC exigem que as portas sejam abertas em ambas as direções.

Requisitos da conta de serviço do Active Directory

Verifique se você tem uma conta de serviço em seu Microsoft AD autogerenciado que tenha permissões delegadas para unir computadores ao domínio. Uma conta de serviço é uma conta de usuário em seu AD autogerenciado à qual foram delegadas determinadas tarefas.

No mínimo, as seguintes permissões devem ser delegadas à conta de serviço na OU à qual você está ingressando na SVM:

  • Capacidade de redefinir senhas

  • Capacidade de restringir contas de ler e gravar dados

  • Capacidade validada de gravar no nome do host DNS

  • Capacidade validada para gravar no nome da entidade principal de serviço

  • Capacidade de criar e excluir objetos de computador

  • Capacidade validada de ler e gravar restrições de conta

Elas representam o conjunto mínimo de permissões necessárias para unir objetos de computador ao seu AD. Para obter mais informações, consulte o tópico da documentação do Windows Server Erro: o acesso é negado quando usuários não administradores que receberam controle delegado tentam unir computadores a um controlador de domínio.

Para saber mais sobre como criar uma conta de serviço com as permissões corretas, consulteDelegar permissões à sua conta de serviço Amazon FSx.

Importante

O Amazon FSx exige uma conta de serviço válida durante toda a vida útil do seu sistema de arquivos Amazon FSx. O Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e executar tarefas que exijam que ele desassocie e reuna recursos ao seu domínio do AD. Essas tarefas incluem a substituição de um sistema de arquivos ou SVM com falha ou a correção do software NetApp ONTAP. Mantenha suas informações de configuração do AD atualizadas com o Amazon FSx, incluindo as credenciais da conta de serviço. Para saber mais, consulte Manter sua configuração do Active Directory atualizada com o Amazon FSx.

Se esta é a primeira vez que você usa AWS um FSx for ONTAP, certifique-se de concluir as etapas iniciais de configuração antes de iniciar sua integração com o AD. Para obter mais informações, consulte Configurando o FSx para ONTAP.

Importante

Não mova objetos de computador que o Amazon FSx cria na OU após a criação de suas SVMs, nem exclua seu AD enquanto sua SVM está associada a ela. Isso fará com que suas SVMs sejam configuradas incorretamente.