Substituição para o Amazon FSx - Amazon FSx para Windows File Server
Preparar a substituição para o Amazon FSxConfigurar SPNs para autenticação KerberosAtualizar os registros CNAME do DNS para o sistema de arquivos do Amazon FSx

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Substituição para o Amazon FSx

Para mudar para o sistema de arquivos do FSx para Windows File Server, execute as seguintes etapas:

  • Preparar para a mudança.

    • Desconecte temporariamente os clientes SMB do sistema de arquivos original.

    • Execute uma sincronização final da configuração de arquivos e do compartilhamento de arquivos.

  • Configure nomes de entidades principais de serviço (SPNs) para o sistema de arquivos do Amazon FSx.

  • Atualize os registros CNAME do DNS para que apontem para o sistema de arquivos do Amazon FSx.

Os procedimentos para a execução de cada uma dessas etapas são fornecidos nas seções a seguir.

Preparar a substituição para o Amazon FSx

Para preparar a substituição para o sistema de arquivos do Amazon FSx, você deve fazer o seguinte:

Configurar SPNs para autenticação Kerberos

Recomendamos que você use autenticação e criptografia baseadas no Kerberos em trânsito com o Amazon FSx. O Kerberos oferece a autenticação mais segura para clientes que acessam o sistema de arquivos. Para habilitar a autenticação Kerberos para clientes que acessam o Amazon FSx usando um alias de DNS, você deve adicionar nomes de entidades principais de serviço (SPNs) que correspondam ao alias de DNS no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx.

Existem dois SPNs necessários para autenticação Kerberos.

HOST/alias
HOST/alias.domain

Por exemplo, se o alias é finance.domain.com, os dois SPNs necessários são os seguintes.

HOST/finance
HOST/finance.domain.com

Um SPN só pode ser associado a um único objeto de computador do Active Directory de cada vez. Se houver SPNs para o nome DNS configurado para o objeto de computador do Active Directory do sistema de arquivos original, você deverá excluí-los antes de criar SPNs para o sistema de arquivos do Amazon FSx.

Os procedimentos a seguir descrevem como encontrar quaisquer SPNs atuais, excluí-los e criar SPNs para o objeto de computador do Active Directory do sistema de arquivos do Amazon FSx.

Para instalar o módulo necessário do PowerShell Active Directory

  1. Faça logon em uma instância do Windows associada ao Active Directory à qual o sistema de arquivos do Amazon FSx está associado.

  2. Abra PowerShell como administrador.

  3. Instale o módulo do PowerShell Active Directory usando o comando a seguir.

    Install-WindowsFeature RSAT-AD-PowerShell
Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original

  1. Encontre todos os SPNs atuais usando os comandos a seguir. Substitua alias_fqdn pelo alias de DNS que você associou ao sistema de arquivos em Como migrar a configuração de DNS para usar o Amazon FSx.

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. Exclua os SPNs HOST atuais retornados na etapa anterior usando o exemplo de script a seguir.

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. Repita essas etapas para cada alias de DNS que você associou ao sistema de arquivos em Como migrar a configuração de DNS para usar o Amazon FSx.

Definir SPNs no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx

  1. Defina novos SPNs para o sistema de arquivos do Amazon FSx executando os comandos a seguir.

    • Substitua file_system_DNS_name pelo nome DNS que o Amazon FSx atribuiu ao sistema de arquivos.

      Para encontrar o nome DNS do sistema de arquivos no console do Amazon FSx, escolha Sistemas de arquivos e escolha o sistema de arquivos. Escolha o painel Rede e segurança da página de detalhes do sistema de arquivos. Você também pode obter o nome DNS na resposta da operação da API de DescribeFilesistemas.

    • Substitua alias_fqdn pelo alias de DNS completo que você associou ao sistema de arquivos em Como migrar a configuração de DNS para usar o Amazon FSx.

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    nota

    A configuração de um SPN para o sistema de arquivos do Amazon FSx apresentará falha se existir um SPN para o alias de DNS no AD do objeto de computador do sistema de arquivos original. Para obter informações sobre como encontrar e excluir SPNs atuais, consulte Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original.

  2. Verifique se os novos SPNs estão configurados para o alias de DNS usando o exemplo de script a seguir. Certifique-se de que a resposta inclua dois SPNs HOST, HOST/alias e HOST/alias_fqdn.

    Substitua file_system_DNS_name pelo nome DNS que o Amazon FSx atribuiu ao sistema de arquivos. Para encontrar o nome DNS do sistema de arquivos no console do Amazon FSx, escolha Sistemas de arquivos, escolha o sistema de arquivos e, em seguida, escolha o painel Rede e segurança na página de detalhes do sistema de arquivos.

    Você também pode obter o nome DNS na resposta da operação da API de DescribeFilesistemas.

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos em Como migrar a configuração de DNS para usar o Amazon FSx.

nota

Você pode aplicar a autenticação e a criptografia Kerberos em trânsito com clientes que se conectam ao sistema de arquivos usando aliases de DNS ao definir os seguintes Group Policy Objects (GPOs - Objetos de política de grupo) no Active Directory:

  • Restringir NTLM: tráfego NTLM de saída para servidores remotos

  • Restringir NTLM: adicionar exceções de servidor remoto para autenticação NTLM

Para obter mais informações, consulte Como reforçar a autenticação do Kerberos usando GPOs em Passo a passo 5: usar aliases de DNS para acessar o sistema de arquivos.

Atualizar os registros CNAME do DNS para o sistema de arquivos do Amazon FSx

Depois de configurar adequadamente os SPNs do sistema de arquivos, mude para o Amazon FSx substituindo cada registro DNS resolvido no sistema de arquivos original por um registro DNS resolvido com o nome DNS padrão do sistema de arquivos do Amazon FSx.

Para instalar os PowerShell cmdlets necessários

  1. Faça login em uma instância do Windows associada ao Active Directory à qual seu sistema de arquivos Amazon FSx está associado como um usuário que é membro de um grupo que tem permissões de administração de DNS (administradores de sistema de nomes de domínio AWS delegados no Microsoft Active Directory AWS gerenciado e administradores de domínio ou outro grupo ao qual você delegou permissões de administração de DNS em seu Active Directory autogerenciado)

    Para obter mais informações, consulte Conectando-se à sua instância do Windows no Guia do usuário do Amazon EC2.

  2. Abra PowerShell como administrador.

  3. O módulo do servidor PowerShell DNS é necessário para executar as instruções neste procedimento. Instale-o usando o comando a seguir.

    Install-WindowsFeature RSAT-DNS-Server
Atualizar um registro CNAME do DNS atual

  1. O script a seguir atualiza todos os registros CNAME do DNS atuais do alias_fqdn para o objeto de computador do sistema de arquivos do Amazon FSx. Se nenhum for encontrado, ele cria um novo registro CNAME do DNS para o alias de DNS alias_fqdn que é resolvido para o nome DNS padrão do sistema de arquivos do Amazon FSx.

    Para executar o script:

    • Substitua alias_fqdn pelo alias de DNS que você associou ao sistema de arquivos.

    • Substitua file_system_DNS_name pelo nome DNS padrão que o Amazon FSx atribuiu ao sistema de arquivos.

    $Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName

  2. Repita a etapa anterior para cada alias de DNS que você associou ao sistema de arquivos em Como migrar a configuração de DNS para usar o Amazon FSx.