Pré-requisitos para unir uma SVM a um Microsoft AD autogerenciado - FSx para ONTAP
Requisitos autogerenciados do Active DirectoryRequisitos de configuração de redeRequisitos de conta de serviço do Active Directory

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos para unir uma SVM a um Microsoft AD autogerenciado

Antes de associar uma SVM do FSx para ONTAP a um domínio do Microsoft AD autogerenciado, verifique se o Active Directory e a rede atendem aos requisitos descritos nas seções a seguir.

Requisitos do Active Directory on-premises

Verifique se você já tem um Microsoft AD on-premises ou autogerenciado ao qual possa unir a SVM. Esse Active Directory deve ter a seguinte configuração:

  • O nível funcional do domínio do controlador de domínio do Active Directory está no Windows Server 2000 ou superior.

  • O Active Directory usa um nome de domínio que não está no formato SLD (Single Label Domain). O Amazon FSx não é compatível com domínios de SLD.

  • Se você tiver sites do Active Directory definidos, certifique-se de que as sub-redes na VPC associadas ao seu sistema de arquivos FSx for ONTAP estejam definidas nos mesmos sites do Active Directory e que não existam conflitos entre as sub-redes da VPC e as sub-redes nos sites do Active Directory.

nota

Se você estiver usando AWS Directory Service, o FSx for ONTAP não suporta a junção de SVMs ao Simple Active Directory.

Requisitos de configuração de rede

Confira se você tem as configurações de rede a seguir e as informações associadas disponíveis para você.

Importante

Para a junção de uma SVM com o Active Directory, você precisa garantir que as portas documentadas neste tópico permitam tráfego entre todos os controladores de domínio do Active Directory e os dois endereços IP iSCSI (as interfaces lógicas iscsi_1 e iscsi_2) na SVM.

  • Os endereços IP do servidor DNS e do controlador de domínio do Active Directory.

  • Conectividade entre a Amazon VPC em que você está criando o sistema de arquivos e o Active Directory autogerenciado usando AWS Direct Connect, AWS VPN ou AWS Transit Gateway.

  • O grupo de segurança e as ACLs da rede VPC para as sub-redes em que você está criando o sistema de arquivos devem permitir tráfego nas portas e nas direções mostradas no diagrama a seguir.

    Diagrama mostrando os requisitos de configuração de porta do FSx para ONTAP para grupos de segurança de VPC e ACLs de rede para as sub-redes nas quais você está criando um sistema de arquivos do FSx para ONTAP.

    A função de cada porta é descrita na tabela a seguir.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)

    TCP

    445

    Compartilhamento de arquivos de SMB para serviços de diretório

    TCP/UDP

    464

    Alterar/definir senha

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

  • Essas regras de tráfego também devem ser espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio do Active Directory, servidores DNS, clientes FSx e administradores FSx.

    Importante

    Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas apenas na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs das redes VPC exige que as portas sejam abertas nas duas direções.

Requisitos de conta de serviço do Active Directory

Confira se você tem uma conta de serviço em seu Microsoft AD autogerenciado, com permissões delegadas para unir computadores ao domínio. Uma conta de serviço é uma conta de usuário em seu Active Directory autogerenciado à qual foram delegadas determinadas tarefas.

No mínimo, as seguintes permissões devem ser delegadas à conta de serviço na UO à qual você está unindo a SVM:

  • Capacidade de redefinir senhas

  • Capacidade de restringir contas de ler e gravar dados

  • Capacidade de definir a msDS-SupportedEncryptionTypes propriedade em objetos de computador

  • Capacidade validada para gravar no nome do host DNS

  • Capacidade validada para gravar no nome da entidade principal de serviço

  • Capacidade para criar e excluir objetos de computador

  • Capacidade validada para ler e gravar restrições de conta

Elas representam o conjunto mínimo de permissões necessárias para associar objetos de computador ao Active Directory. Para obter mais informações, consulte o tópico da documentação do Windows Server Erro: o acesso é negado quando usuários não administradores que receberam controle delegado tentam unir computadores a um controlador de domínio.

Para saber mais sobre como criar uma conta de serviço com as permissões corretas, consulte Delegar permissões à conta de serviço do Amazon FSx.

Importante

O Amazon FSx exige uma conta de serviço válida durante toda a vida útil do sistema de arquivos do Amazon FSx. O Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e executar tarefas que exijam que ele desassocie e reuna recursos ao seu domínio do Active Directory. Essas tarefas incluem a substituição de um sistema de arquivos ou SVM com falha ou a correção do software NetApp ONTAP. Mantenha suas informações de configuração do Active Directory atualizadas com o Amazon FSx, incluindo as credenciais da conta de serviço. Para saber mais, consulte Manter a configuração do Active Directory atualizada com o Amazon FSx.

Se esta é a primeira vez que você usa AWS um FSx for ONTAP, certifique-se de concluir as etapas iniciais de configuração antes de iniciar sua integração com o Active Directory. Para ter mais informações, consulte Configurar o FSx para ONTAP.

Importante

Não mova objetos de computador que o Amazon FSx cria na OU após a criação das SVMs, nem exclua o Active Directory enquanto a SVM estiver associada a ele. Isso fará com que as SVMs sejam configuradas incorretamente.