Pré-requisitos para usar um Microsoft Active Directory autogerenciado

Antes de criar um sistema de arquivos do Amazon FSx associado ao seu domínio autogerenciado do Microsoft Active Directory, examine os seguintes pré-requisitos:

Configurações on-premises

Certifique-se de que você tenha um Microsoft Active Directory on-premises ou outro Microsoft Active Directory autogerenciado ao qual possa associar o sistema de arquivos do Amazon FSx. Seu Active Directory on-premises deve ter a seguinte configuração:

• Seu controlador de domínio do Active Directory possui um nível funcional de domínio no Windows Server 2008 R2 ou superior.

• Os endereços IP do servidor DNS e os endereços IP do controlador de domínio do Active Directory são os seguintes, dependendo de quando o sistema de arquivos foi criado:

  Para sistemas de arquivos criados antes de 17 de dezembro de 2020	Para sistemas de arquivos criados após 17 de dezembro de 2020
  Os endereços IP devem estar em um intervalo de endereços IP privados do RFC 1918: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16	Os endereços IP podem estar em qualquer intervalo, exceto: Endereços IP que entram em conflito com os endereços IP de propriedade da Amazon Web Services nessa AWS região. Para obter uma lista de endereços IP AWS próprios por região, consulte os intervalos de endereços AWS IP. Endereços IP no seguinte intervalo de blocos CIDR: 198.19.0.0/16

  Se você precisar acessar um sistema de arquivos do FSx para Windows File Server que foi criado antes de 17 de dezembro de 2020 usando um intervalo de endereços IP não privado, você pode criar um novo sistema de arquivos restaurando um backup do sistema de arquivos. Para ter mais informações, consulte Trabalhar com backups.

• Um nome de domínio que não está no formato de domínio de rótulo único (SLD). O Amazon FSx não é compatível com domínios de SLD.

• Para sistemas de arquivos single-AZ 2 e todos os sistemas de arquivos multi-AZ, o nome de domínio do Active Directory não pode exceder 47 caracteres.

• Se os sites do Active Directory estiverem definidos, as sub-redes da VPC associadas ao sistema de arquivos do Amazon FSx deverão ser definidas em um site do Active Directory e não deverão existir conflitos entre as sub-redes da VPC e as sub-redes dos outros sites.

• Talvez seja necessário adicionar regras ao seu firewall para permitir o tráfego ICMP entre seus controladores de domínio do Active Directory e o Amazon FSx.

Configurações de rede

Esta seção descreve as configurações de rede necessárias para unir um sistema de arquivos ao seu Active Directory autogerenciado.

Recomendamos que você use a ferramenta de validação Amazon FSx Active Directory para testar suas configurações de rede antes de tentar unir seu sistema de arquivos ao seu Active Directory autogerenciado.

• A conectividade deve ser configurada entre a Amazon VPC na qual você deseja criar o sistema de arquivos e o seu Active Directory autogerenciado. Você pode configurar essa conectividade usando AWS Direct Connect, AWS Virtual Private Network, VPC peering ou. AWS Transit Gateway

• Para grupos de segurança da VPC, o grupo de segurança padrão da sua Amazon VPC padrão deve ser adicionado ao seu sistema de arquivos no console. Certifique-se de que o grupo de segurança e as ACLs da rede da VPC para as sub-redes em que você criou o sistema de arquivos do FSx permitam o tráfego nas portas e nas direções mostradas no diagrama a seguir.

  

  A tabela a seguir identifica o perfil de cada porta.

  Protocolo	Portas	Função
  TCP/UDP	53	Domain Name System (DNS)
  TCP/UDP	88	Autenticação de Kerberos
  TCP/UDP	464	Alterar/definir senha
  TCP/UDP	389	Lightweight Directory Access Protocol (LDAP)
  UDP	123	Network Time Protocol (NTP)
  TCP	135	Distributed Computing Environment/End Point Mapper (DCE/EPMAP)
  TCP	445	Compartilhamento de arquivos de SMB para serviços de diretório
  TCP	636	Lightweight Directory Access Protocol over TLS/SSL (LDAPS)
  TCP	3268	Catálogo global da Microsoft
  TCP	3269	Catálogo global da Microsoft sobre SSL
  TCP	5985	WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)
  TCP	9389	Serviços Web do Microsoft Active Directory DS, PowerShell
  TCP	49152 – 65535	Portas efêmeras para RPC

  Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio do Active Directory, servidores DNS, clientes do FSx e administradores do FSx.

Importante

A permissão do tráfego de saída na porta TCP 9389 é necessária para implantações de sistemas de arquivos single-AZ 2 e multi-AZ.

nota

Se estiver usando ACLs de rede de VPC, você também deverá permitir tráfego de saída em portas dinâmicas (49152-65535) do sistema de arquivos do FSx.

Importante

Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas apenas na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs das redes VPC exige que as portas sejam abertas nas duas direções.

Permissões da conta de serviço

Certifique-se de ter uma conta de serviço em seu Microsoft Active Directory autogerenciado com permissões delegadas para associar computadores ao domínio. Uma conta de serviço é uma conta de usuário no Microsoft Active Directory autogerenciado à qual foram delegadas determinadas tarefas.

A conta de serviço precisa, no mínimo, receber as seguintes permissões na UO à qual você está ingressando no sistema de arquivos:

• Capacidade de redefinir senhas

• Capacidade de restringir contas de ler e gravar dados

• Capacidade validada para gravar no nome do host DNS

• Capacidade validada para gravar no nome da entidade principal de serviço

• Capacidade (pode ser delegada) de criar e excluir objetos de computador

• Capacidade validada para ler e gravar restrições de conta

• Capacidade de modificar permissões

Elas representam o conjunto mínimo de permissões necessárias para associar objetos de computador ao Active Directory. Para obter mais informações, consulte o tópico da documentação do Microsoft Windows Server Erro: o acesso é negado quando usuários não administradores aos quais foi delegado o controle tentam associar computadores a um controlador de domínio.

Para obter mais informações sobre como criar uma conta de serviço com as permissões corretas, consulte Delegar privilégios à conta de serviço Amazon FSx .

O Amazon FSx exige uma conta de serviço válida durante toda a vida útil do sistema de arquivos do Amazon FSx. O Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e realizar tarefas que exijam a desvinculação e a reintegração do seu domínio do Active Directory usando a conta de serviço. Essas tarefas incluem a substituição de um servidor de arquivos com falha ou a correção do software Windows Server. É fundamental que você mantenha a configuração do Active Directory, incluindo as credenciais da conta de serviço, atualizada com o Amazon FSx. Para ter mais informações, consulte Mantendo sua configuração do Active Directory atualizada.

O Amazon FSx requer conectividade com todos os controladores de domínio em seu ambiente do Active Directory. Se você tiver vários controladores de domínio, certifique-se de que todos eles atendam aos requisitos acima e de que todas as alterações na sua conta de serviço sejam propagadas para todos os controladores de domínio.

Você pode validar a configuração do Active Directory, inclusive testar a conectividade de vários controladores de domínio, usando a Ferramenta de validação do Active Directory do Amazon FSx. Para limitar o número de controladores de domínio que exigem conectividade, você também pode criar uma relação de confiança entre os controladores de domínio on-premises e o AWS Managed Microsoft AD. Para ter mais informações, consulte Como usar um modelo de isolamento de floresta de recursos.

Importante

Não mova objetos de computador criados pelo Amazon FSx na UO depois da criação do sistema de arquivos. Isso fará com que o sistema de arquivos fique configurado incorretamente.