Unindo um sistema de FSx arquivos da Amazon a um domínio autogerenciado do Microsoft Active Directory - Servidor FSx de arquivos Amazon para Windows
Antes de começar

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Unindo um sistema de FSx arquivos da Amazon a um domínio autogerenciado do Microsoft Active Directory

Ao criar um novo FSx sistema de arquivos do Windows File Server, você pode configurar a integração do Microsoft Active Directory para que ela se junte ao seu domínio autogerenciado do Microsoft Active Directory. Para fazer isso, forneça as seguintes informações para o Microsoft Active Directory:

  • O nome de domínio totalmente qualificado (FQDN) do seu diretório local do Microsoft Active Directory.

    nota

    FSxAtualmente, a Amazon não oferece suporte a domínios Single Label Domain (SLD).

  • Os endereços IP dos DNS servidores do seu domínio.

  • Credenciais para uma conta de serviço em seu domínio on-premises do Microsoft Active Directory. A Amazon FSx usa essas credenciais para se juntar ao seu Active Directory autogerenciado.

Opcionalmente, também é possível especificar as seguintes opções:

  • Uma Unidade Organizacional (OU) específica dentro do domínio ao qual você deseja que seu sistema de FSx arquivos da Amazon se junte.

  • O nome do grupo de domínio cujos membros recebem privilégios administrativos para o sistema de FSx arquivos da Amazon.

    nota

    O nome do grupo de domínio fornecido deve ser exclusivo no Active Directory. FSxpara Windows File Server não criará o grupo de domínio nas seguintes circunstâncias:

    • Se já existir um grupo com o nome que você especificar

    • Se você não especificar um nome e um grupo chamado “Administradores de domínio” já existir no seu Active Directory.

Depois de especificar essas informações, a Amazon FSx associa seu novo sistema de arquivos ao seu domínio autogerenciado do Active Directory usando a conta de serviço que você forneceu.

Importante

A Amazon FSx só registra DNS registros para um sistema de arquivos se o domínio do Active Directory ao qual você está se associando estiver usando a Microsoft DNS como padrãoDNS. Se você estiver usando um terceiroDNS, precisará configurar manualmente DNS as entradas para seus sistemas de FSx arquivos da Amazon depois de criar seu sistema de arquivos. Para obter mais informações sobre como escolher os endereços IP corretos a serem usados no sistema de arquivos, consulte Obter os endereços IP corretos do sistema de arquivos a serem usados nas DNS entradas manuais.

Antes de começar

Garanta que concluiu o Pré-requisitos detalhado no Usando um Microsoft Active Directory autogerenciado.

  1. Abra o FSx console da Amazon em https://console.aws.amazon.com/fsx/.

  2. No painel, escolha Create file system (Criar sistema de arquivos) para iniciar o assistente de criação de sistemas de arquivos.

  3. Escolha Windows FSx File Server e, em seguida, escolha Avançar. A página Criar sistema de arquivos é exibida.

  4. Forneça um nome para o sistema de arquivos. Você pode usar no máximo 256 letras Unicode, espaços em branco e números, além dos caracteres especiais + - = . _ : /

  5. Em Capacidade de armazenamento, insira a capacidade de armazenamento do sistema de arquivos, em GiB. Se você estiver usando SSD armazenamento, insira qualquer número inteiro no intervalo de 32—65.536. Se você estiver usando HDD armazenamento, insira qualquer número inteiro no intervalo de 2.000 a 65.536. Você pode aumentar a capacidade de armazenamento, conforme necessário, a qualquer momento após a criação do sistema de arquivos. Para obter mais informações, consulte Como gerenciar a capacidade de armazenamento.

  6. Mantenha a Capacidade de Throughput na configuração padrão. Capacidade de throughput: é a velocidade sustentada na qual o servidor de arquivos que hospeda o sistema de arquivos pode fornecer dados. A configuração da capacidade de throughput recomendada é baseada na quantidade de capacidade de armazenamento que você escolher. Se você precisar de mais do que a capacidade de throughput recomendada, escolha Especificar capacidade de throughput e, em seguida, escolha um valor. Para obter mais informações, consulte FSxpara desempenho do Windows File Server.

    Você pode modificar a capacidade de throughput, conforme necessário, a qualquer momento depois de criar o sistema de arquivos. Para obter mais informações, consulte Gerenciando a capacidade de taxa de transferência em sistemas FSx de arquivos do Windows File Server.

  7. Escolha o VPC que você deseja associar ao seu sistema de arquivos. Para fins deste exercício de introdução, escolha o mesmo VPC que para seu AWS Directory Service diretório e EC2 instância da Amazon.

  8. Escolha qualquer valor para zonas de disponibilidade e sub-rede.

  9. Para grupos VPC de segurança, o grupo de segurança padrão para sua Amazon padrão já VPC está adicionado ao seu sistema de arquivos no console. Certifique-se de que o grupo de segurança e a VPC rede ACLs da (s) sub-rede (s) em que você está criando seu sistema de FSx arquivos permitam tráfego nas portas e nas direções mostradas no diagrama a seguir.

    FSxpara requisitos de configuração de portas do Windows File Server para grupos de VPC segurança e rede ACLs para as sub-redes em que o sistema de arquivos está sendo criado.

    A tabela a seguir identifica o perfil de cada porta.

    Protocolo

    Portas

    Função

    TCP/UDP

    53

    Sistema de nomes de domínio (DNS)

    TCP/UDP

    88

    Autenticação de Kerberos

    TCP/UDP

    464

    Alterar/definir senha

    TCP/UDP

    389

    Protocolo leve de acesso a diretórios (LDAP)
    UDP 123

    Protocolo de horário de rede (NTP)
    TCP 135

    Ambiente de computação distribuída/Mapeador de pontos finais (DCE/EPMAP)

    TCP

    445

    Compartilhamento de SMB arquivos do Directory Services

    TCP

    636

    Protocolo leve de acesso a diretórios viaTLS/SSL(LDAPS)

    TCP

    3268

    Catálogo global da Microsoft

    TCP

    3269

    O catálogo global da Microsoft acabou SSL

    TCP

    5985

    WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

    TCP

    9389

    Serviços Web do Microsoft Active Directory DS, PowerShell

    TCP

    49152 – 65535

    Portas efêmeras para RPC
    Importante

    É necessário permitir o tráfego de saída na TCP porta 9389 para implantações de sistemas de arquivos Single-AZ 2 e todas as implantações de sistemas de arquivos Multi-AZ.

    nota

    Se você estiver usando a VPC redeACLs, também deverá permitir o tráfego de saída nas portas dinâmicas (49152-65535) do seu sistema de arquivos. FSx

    • Regras de saída para permitir todo o tráfego para os endereços IP associados aos DNS servidores e controladores de domínio do seu domínio autogerenciado do Microsoft Active Directory. Para obter mais informações, consulte a documentação da Microsoft sobre como configurar seu firewall para comunicação com o Active Directory.

    • Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio, DNS servidores, FSx clientes e administradores do Active Directory. FSx

    nota

    Se você tiver sites do Active Directory definidos, você deve garantir que as sub-redes VPC associadas ao seu sistema de FSx arquivos da Amazon estejam definidas em um site do Active Directory e que não existam conflitos entre as sub-redes em seu VPC e as sub-redes em seus outros sites. Você pode visualizar e alterar essas configurações usando o MMC snap-in Serviços e Sites do Active Directory.

    Importante

    Embora os grupos VPC de segurança da Amazon exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls e VPC redes do Windows ACLs exige que as portas sejam abertas em ambas as direções.

  10. Para Autenticação do Windows, escolha Microsoft Active Directory autogerenciado.

  11. Insira um valor para o Nome de domínio totalmente qualificado para o diretório do Microsoft Active Directory autogerenciado.

    nota

    O nome do domínio não deve estar no formato Domínio de Rótulo Único (SLD). FSxAtualmente, a Amazon não oferece suporte a SLD domínios.

    Importante

    Para sistemas de arquivos single-AZ 2 e todos os sistemas de arquivos multi-AZ, o nome de domínio do Active Directory não pode exceder 47 caracteres.

  12. Insira um valor de unidade organizacional para o diretório do Microsoft Active Directory autogerenciado.

    nota

    Certifique-se de que a conta de serviço que você forneceu tenha permissões delegadas à UO especificada aqui ou à UO padrão, se você não especificar uma.

  13. Insira pelo menos um, e não mais do que dois, valores para endereços IP do DNS servidor para o diretório autogerenciado do Microsoft Active Directory.

  14. Insira um valor de string para o Nome de usuário da conta de serviço para a conta em seu domínio do Active Directory autogerenciado, como ServiceAcct. A Amazon FSx usa esse nome de usuário para se juntar ao seu domínio do Microsoft Active Directory.

    Importante

    NOTINCLUA um prefixo de domínio (corp.com\ServiceAcct) ou sufixo de domínio (ServiceAcct@corp.com) ao inserir o nome de usuário da conta de serviço.

    NOTUSE o Nome Distinto (DN) ao inserir o nome de usuário da conta de serviço (CN=ServiceAcct,OU=example,DC=corp,DC=com).

  15. Insira um valor para a Senha da conta de serviço para a conta em seu domínio do Active Directory autogerenciado. A Amazon FSx usa essa senha para se juntar ao seu domínio do Microsoft Active Directory.

  16. Digite novamente a senha para confirmá-la em Confirmar senha.

  17. Para o Grupo de administradores delegado do sistema de arquivos, especifique o grupo Domain Admins ou um grupo personalizado delegado de administradores do sistema de arquivos (se você tiver criado um). O grupo que você especificar deve ter a autoridade delegada para realizar tarefas administrativas em seu sistema de arquivos. Se você não fornecer um valor, a Amazon FSx usa o Domain Admins grupo Builtin. Observe que FSx a Amazon não oferece suporte para ter um Delegated file system administrators group (o Domain Admins grupo ou um grupo personalizado que você especificar) localizado no contêiner embutido.

    Importante

    Se você não fornecer um grupo delegado de administradores do sistema de arquivos, por padrão, a Amazon FSx tentará usar o Domain Admins grupo integrado no seu domínio do Active Directory. Se o nome desse grupo incorporado tiver sido alterado ou se você estiver usando um grupo diferente para administração de domínio, forneça esse nome para o grupo aqui.

    Importante

    NOTINCLUA um prefixo de domínio (corp.com\FSxAdmins) ou sufixo de domínio (FSxAdmins@corp .com) ao fornecer o parâmetro do nome do grupo.

    NOTUSE o Nome Distinto (DN) para o grupo. Um exemplo de nome distinto é CN=FSxAdmins, OU=example, DC=Corp, DC=com.

O exemplo a seguir cria um sistema de arquivos FSx para Windows File Server com um SelfManagedActiveDirectoryConfiguration na Zona de us-east-2 Disponibilidade. 

aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
Importante

Não mova objetos de computador que a Amazon FSx cria na OU após a criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.