Associar um sistema de arquivos do Amazon FSx a um domínio do Microsoft Active Directory autogerenciado - Amazon FSx para Windows File Server
Antes de começar

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Associar um sistema de arquivos do Amazon FSx a um domínio do Microsoft Active Directory autogerenciado

Ao criar um novo sistema de arquivos ao FSx para Windows File Server, você pode configurar a integração do Microsoft Active Directory para que ela se associe ao seu domínio do Microsoft Active Directory autogerenciado. Para fazer isso, forneça as seguintes informações para o Microsoft Active Directory:

  • O nome de domínio totalmente qualificado do diretório on-premises do Microsoft Active Directory.

    nota

    No momento, o Amazon FSx não oferece suporte a domínios de rótulo único (SLD).

  • Os endereços IP de servidores DNS para o seu domínio.

  • Credenciais para uma conta de serviço em seu domínio on-premises do Microsoft Active Directory. O Amazon FSx usa essas credenciais para associar a um Active Directory autogerenciado.

Opcionalmente, também é possível especificar as seguintes opções:

  • Uma Unidade Organizacional (UO) específica dentro do domínio ao qual você deseja que seu sistema de arquivos do Amazon FSx se associe.

  • (Opcional) O nome do grupo de domínios cujos membros têm privilégios administrativos para o sistemas de arquivos do Amazon FSx.

    nota

    O nome do grupo de domínio fornecido deve ser exclusivo no Active Directory. O FSx for Windows File Server não criará o grupo de domínio nas seguintes circunstâncias:

    • Se já existir um grupo com o nome que você especificar

    • Se você não especificar um nome e um grupo chamado “Administradores de domínio” já existir no seu Active Directory.

Depois de especificar essas informações, o Amazon FSx associa seu novo sistema de arquivos ao seu domínio do Active Directory autogerenciado usando a conta de serviço que você forneceu.

Importante

O Amazon FSx só marca registros DNS para um sistema de arquivos, se o domínio do Active Directory ao qual você está se associando estiver usando o Microsoft DNS como o DNS padrão. Se você estiver usando um DNS de terceiros, precisará configurar manualmente as entradas de DNS para seus sistemas de arquivos do Amazon FSx depois de criar seu sistema de arquivos. Para obter mais informações sobre como escolher os endereços IP corretos a serem usados no sistema de arquivos, consulte Como obter os endereços IP corretos do sistema de arquivos para usar no DNS.

Antes de começar

Garanta que concluiu o Pré-requisitos para usar um Microsoft Active Directory autogerenciado detalhado no Como usar o Amazon FSx com seu Microsoft Active Directory autogerenciado.

  1. Abra o console do Amazon FSx em https://console.aws.amazon.com/fsx/.

  2. No painel, escolha Create file system (Criar sistema de arquivos) para iniciar o assistente de criação de sistemas de arquivos.

  3. Escolha FSx para Windows File Server e, em seguida, escolha Próximo. A página Criar sistema de arquivos é exibida.

  4. Forneça um nome para o sistema de arquivos. Você pode usar no máximo 256 letras Unicode, espaços em branco e números, além dos caracteres especiais + - = . _ : /

  5. Em Capacidade de armazenamento, insira a capacidade de armazenamento do sistema de arquivos, em GiB. Se você estiver usando o armazenamento SSD, insira qualquer número inteiro no intervalo entre 32 e 65.536. Se você estiver usando o armazenamento em HDD, insira qualquer número inteiro no intervalo entre 2.000 e 65.536. Você pode aumentar a capacidade de armazenamento, conforme necessário, a qualquer momento após a criação do sistema de arquivos. Para ter mais informações, consulte Como gerenciar a capacidade de armazenamento.

  6. Mantenha a Capacidade de Throughput na configuração padrão. Capacidade de throughput: é a velocidade sustentada na qual o servidor de arquivos que hospeda o sistema de arquivos pode fornecer dados. A configuração da capacidade de throughput recomendada é baseada na quantidade de capacidade de armazenamento que você escolher. Se você precisar de mais do que a capacidade de throughput recomendada, escolha Especificar capacidade de throughput e, em seguida, escolha um valor. Para ter mais informações, consulte Performance do FSx para Windows File Server.

    Você pode modificar a capacidade de throughput, conforme necessário, a qualquer momento depois de criar o sistema de arquivos. Para ter mais informações, consulte Como gerenciar a capacidade de throughput.

  7. Escolha a VPC que você deseja associar a um sistema de arquivos. Para fins deste exercício de introdução, escolha a mesma VPC do seu AWS Directory Service diretório e da instância do Amazon EC2.

  8. Escolha qualquer valor para zonas de disponibilidade e sub-rede.

  9. Em Grupos de segurança da VPC, o grupo de segurança padrão para a Amazon VPC padrão já está adicionado ao sistema de arquivos no console. Certifique-se de que o grupo de segurança e as ACLs de rede da VPC para as sub-redes nas quais você vai criar seu sistema de arquivos do FSx permite tráfego nas portas e nas direções mostradas no diagrama a seguir.

    Requisitos de configuração de porta do FSx para Windows File Server para grupos de segurança de VPC e ACLs de rede para as sub-redes em que o sistema de arquivos está sendo criado.

    A tabela a seguir identifica o perfil de cada porta.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Domain Name System (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    464

    Alterar/definir senha

    TCP/UDP

    389

    Lightweight Directory Access Protocol (LDAP)
    UDP 123

    Network Time Protocol (NTP)
    TCP 135

    Distributed Computing Environment/End Point Mapper (DCE/EPMAP)

    TCP

    445

    Compartilhamento de arquivos de SMB para serviços de diretório

    TCP

    636

    Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

    TCP

    3268

    Catálogo global da Microsoft

    TCP

    3269

    Catálogo global da Microsoft sobre SSL

    TCP

    5985

    WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

    TCP

    9389

    Serviços Web do Microsoft Active Directory DS, PowerShell

    TCP

    49152 – 65535

    Portas efêmeras para RPC
    Importante

    É necessário permitir o tráfego de saída na porta TCP 9389 para implantações de sistemas de arquivos single-AZ 2 e todas as implantações de sistemas de arquivos multi-AZ.

    nota

    Se estiver usando ACLs de rede de VPC, você também deverá permitir tráfego de saída em portas dinâmicas (49152-65535) do sistema de arquivos do FSx.

    • Regras de saída para permitir todo o tráfego para os endereços IP associados aos servidores DNS e controladores de domínio do seu domínio do Microsoft Active Directory autogerenciado. Para obter mais informações, consulte a documentação da Microsoft sobre como configurar seu firewall para comunicação com o Active Directory.

    • Confira se essas regras de tráfego também são refletidas nos firewalls que se aplicam a cada um dos controladores do domínio do Active Directory, servidores DNS, clientes do FSx e administradores do FSx.

    nota

    Se tiver sites do Active Directory definidos, você deve verificar se as sub-redes na VPC associada ao sistema de arquivos do Amazon FSx estão definidas em um site do Active Directory e se não existem conflitos entre as sub-redes em sua VPC e as sub-redes em seus outros sites. Você pode exibir e alterar essas configurações usando o snap-in do MMC de Serviços e Sites do Active Directory.

    Importante

    Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas apenas na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs das redes VPC exige que as portas sejam abertas nas duas direções.

  10. Para Autenticação do Windows, escolha Microsoft Active Directory autogerenciado.

  11. Insira um valor para o Nome de domínio totalmente qualificado para o diretório do Microsoft Active Directory autogerenciado.

    nota

    Seu nome de domínio de AD não pode estar no formato de domínio de rótulo único (SLD). No momento, o Amazon FSx não oferece suporte a domínios do SLD.

    Importante

    Para sistemas de arquivos single-AZ 2 e todos os sistemas de arquivos multi-AZ, o nome de domínio do Active Directory não pode exceder 47 caracteres.

  12. Insira um valor de unidade organizacional para o diretório do Microsoft Active Directory autogerenciado.

    nota

    Certifique-se de que a conta de serviço que você forneceu tenha permissões delegadas à UO especificada aqui ou à UO padrão, se você não especificar uma.

  13. Insira pelo menos um, e não mais do que dois, valores para Endereços IP do servidor DNS para o diretório do Microsoft Active Directory autogerenciado.

  14. Insira um valor de string para o Nome de usuário da conta de serviço para a conta em seu domínio do Active Directory autogerenciado, como ServiceAcct. O Amazon FSx usa esse nome de usuário para se associar ao seu domínio do Microsoft Active Directory.

    Importante

    NÃO inclua um prefixo de domínio (corp.com\ServiceAcct) ou sufixo de domínio (ServiceAcct@corp.com) ao inserir o Nome de usuário da conta de serviço.

    NÃO use o Nome Distinto (DN) ao inserir o Nome de usuário da conta de serviço (CN=ServiceAcct,OU=example,DC=corp,DC=com).

  15. Insira um valor para a Senha da conta de serviço para a conta em seu domínio do Active Directory autogerenciado. O Amazon FSx usa essa senha para se associar ao seu domínio do Microsoft Active Directory.

  16. Digite novamente a senha para confirmá-la em Confirmar senha.

  17. Para o Grupo de administradores delegado do sistema de arquivos, especifique o grupo Domain Admins ou um grupo personalizado delegado de administradores do sistema de arquivos (se você tiver criado um). O grupo que você especificar deve ter a autoridade delegada para realizar tarefas administrativas em seu sistema de arquivos. Se você não fornecer um valor, o Amazon FSx usa o grupo de Domain Admins incorporado. Observe que o Amazon FSx não oferece suporte para ter um Delegated file system administrators group (o Domain Admins grupo ou um grupo personalizado que você especificar) localizado no contêiner embutido.

    Importante

    Se você não fornecer um Grupo de administradores delegado do sistema de arquivos, por padrão, o Amazon FSx tentará usar o grupo Domain Admins integrado em seu domínio do Active Directory. Se o nome desse grupo incorporado tiver sido alterado ou se você estiver usando um grupo diferente para administração de domínio, forneça esse nome para o grupo aqui.

    Importante

    NÃO inclua um prefixo de domínio (corp.com\ FSxAdmins) ou sufixo de domínio (F SxAdmins @corp .com) ao fornecer o parâmetro do nome do grupo.

    NÃO use o Nome distinto (DN) para o grupo. Um exemplo de nome distinto é CN=FSxAdmins, OU=example, DC=corp, DC=com.

O exemplo a seguir cria um sistema de arquivos do FSx para Windows File Server com um SelfManagedActiveDirectoryConfiguration na zona de disponibilidade us-east-2. 

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Importante

Não mova objetos de computador criados pelo Amazon FSx na UO depois da criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.