As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para usar um Microsoft AD autogerenciado
Antes de criar um FSx para ONTAP SVM associado ao seu domínio autogerenciado do Microsoft AD, certifique-se de ter criado e configurado os seguintes requisitos:
-
Um Microsoft AD local ou outro Microsoft autogerenciado ao qual o SVM deve se juntar, com a seguinte configuração:
-
O nível funcional do domínio do seu controlador de domínio Active Directory está no Windows Server 2000 ou superior.
-
Os endereços IP do servidor DNS e os endereços IP do controlador de domínio do Active Directory.
-
Nome de domínio que não está no formato Single Label Domain (SLD). O Amazon FSx não oferece suporte a domínios SLD.
-
Se você tiver sites do Active Directory definidos, certifique-se de que as sub-redes na VPC associadas ao seu sistema de arquivos Amazon FSx estejam definidas no mesmo site do Active Directory e que não existam conflitos entre as sub-redes em sua VPC e as sub-redes em seus outros sites.
-
As seguintes configurações de rede:
-
Conectividade configurada entre o Amazon VPC em que você deseja criar o sistema de arquivos e seu Active Directory autogerenciado. Você pode configurar a conectividade usandoAWS Direct ConnectAWS VPN, ouAWS Transit Gateway.
-
Certifique-se de que o grupo de segurança e as ACLs de rede VPC das sub-redes em que você está criando seu sistema de arquivos FSx permitam o tráfego nas portas e nas direções mostradas no diagrama a seguir.
A tabela a seguir identifica a função de cada porta.
Protocolo
Portas
Função
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Autenticação de Kerberos
TCP/UDP
389
Protocolo Lightweight Directory Access Protocol (LDAP)
TCP
445
Compartilhamento de arquivos SMB do Directory Services
TCP/UDP
464
Alterar/definir senha
TCP
636
Protocolo leve de acesso ao diretório sobre TLS/SSL (LDAPS)
-
Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio do Active Directory, servidores DNS, clientes FSx e administradores FSx.
Importante Embora os grupos de segurança do Amazon VPC exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs de rede VPC exigem que as portas sejam abertas em ambas as direções.
-
-
Uma conta de serviço em seu Microsoft AD autogerenciado com permissões delegadas para unir computadores ao domínio. Uma conta de serviço é uma conta de usuário em seu Microsoft AD autogerenciado que recebeu determinadas tarefas.
A conta de serviço também precisa, no mínimo, receber as seguintes permissões na OU à qual você está ingressando no sistema de arquivos:
-
Capacidade de redefinir senhas
-
Capacidade de restringir contas de ler e gravar dados
-
Capacidade validada de gravar no nome do host DNS
-
Capacidade validada de escrever no nome principal do serviço
-
Tenha controle delegado para criar e excluir objetos de computador
-
Capacidade validada de ler e gravar restrições de conta
Eles representam o conjunto mínimo de permissões necessárias para unir objetos de computador ao seu Active Directory. Para obter mais informações, consulte o tópico Erro na documentação do Microsoft Windows Server: O acesso é negado quando usuários não administradores que receberam o controle delegado tentam unir computadores a um controlador de domínio
. -
Para saber mais sobre como criar uma conta de serviço com credenciais de serviço com credenciais de permissões corretas, consulteDelegando privilégios à sua conta de serviço Amazon FSx.
O Amazon FSx exige uma conta de serviço válida durante toda a vida útil do sistema de arquivos do Amazon FSx. O Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e realizar tarefas que exijam a desassociação e a reintegração de seu domínio do Active Directory usando, como substituir um arquivo SVM com defeito ou corrigir o software NetApp ONTAP. Mantenha sua configuração do Active Directory, incluindo as credenciais da conta de serviço, atualizada com o Amazon FSx. Para saber como, consulte Mantendo sua configuração do Active Directory atualizada com o Amazon FSx.
Se esta for a primeira vez que você está utilizando oAWS FSx for ONTAP, certifique-se de configurar antes de começar. Para obter mais informações, consulteConfigurando o FSx para ONTAP
Não mova objetos de computador que o Amazon FSx cria na OU após a criação de suas SVMs nem exclua seu Active Directory enquanto seu SVM estiver unido a ele. Isso fará com que seus SVMs fiquem mal configurados.