Etapa 1: associe aliases de DNS ao seu sistema de arquivos do Amazon FSx Etapa 2: configurar nomes das entidades principais de serviço (SPNs) para o Kerberos Etapa 3: atualizar ou criar um registro CNAME do DNS para o sistema de arquivos Como reforçar a autenticação do Kerberos usando GPOs

Passo a passo 5: como usar aliases de DNS para acessar seu sistema de arquivos

O FSx para Windows File Server fornece um nome de Sistema de Nomes de Domínio (DNS) padrão para cada sistema de arquivos que você pode usar para acessar os dados no sistema de arquivos. Você também pode acessar os sistemas de arquivos usando um alias de DNS de sua escolha. Com aliases de DNS, você pode continuar usando os nomes DNS atuais para acessar dados armazenados no Amazon FSx ao migrar o armazenamento do sistema de arquivos on-premises para o Amazon FSx, sem precisar atualizar qualquer ferramenta ou aplicação. Você pode associar até 50 aliases de DNS a um sistema de arquivos a qualquer momento.

Acessar seus sistemas de arquivos do Amazon FSx usando aliases de DNS requer a execução das três etapas a seguir.

Associe aliases de DNS ao seu sistema de arquivos do Amazon FSx.
Configure os nomes das entidades principais de serviço (SPNs) para o objeto de computador do seu sistema de arquivos. (Isso é necessário para obter a autenticação do Kerberos ao acessar o sistema de arquivos usando aliases de DNS).
Atualize ou crie um registro CNAME de DNS para o sistema de arquivos e o alias de DNS.

Tópicos

Etapa 1: associe aliases de DNS ao seu sistema de arquivos do Amazon FSx
Etapa 2: configurar nomes das entidades principais de serviço (SPNs) para o Kerberos
Etapa 3: atualizar ou criar um registro CNAME do DNS para o sistema de arquivos
Como reforçar a autenticação do Kerberos usando GPOs

Etapa 1: associe aliases de DNS ao seu sistema de arquivos do Amazon FSx

Você pode associar aliases de DNS a sistemas de arquivos existentes do FSx para Windows File Server, ao criar novos sistemas de arquivos e ao criar um novo sistema de arquivos de um backup usando o console do Amazon FSx, a CLI e a API. Se estiver criando um alias com um nome de domínio diferente, insira o nome completo, incluindo o domínio pai, para associar um alias.

Este procedimento descreve como associar aliases de DNS ao criar um novo sistema de arquivos usando o console do Amazon FSx. Para obter informações sobre a associação de aliases de DNS a sistemas de arquivos existentes e detalhes sobre o uso da CLI e da API, consulte Como gerenciar aliases de DNS.

Abra o console do Amazon FSx em https://console.aws.amazon.com/fsx/.
Siga o procedimento para a criação de um novo sistema de arquivos descrito na Crie seu sistema de arquivos da seção de Conceitos básicos.
Na seção Acesso: opcional do assistente Criar sistema de arquivos, insira os aliases de DNS que você deseja associar ao sistema de arquivos.

Use as seguintes diretrizes ao especificar aliases de DNS:
- Deve ser formatado como um nome de domínio totalmente qualificado (FQDN) hostname.domain, por exemplo, accounting.example.com.
- Pode conter caracteres alfanuméricos e hifens (-).
- Não pode começar ou terminar com um hífen (-).
- Pode começar com um caractere numérico.
Para nomes de alias DNS, o Amazon FSx armazena caracteres alfabéticos como letras minúsculas (a-z), independentemente de como elas são especificadas: como letras maiúsculas, letras minúsculas ou as letras correspondentes em códigos de escape.
Para as Preferências de manutenção, faça as alterações que você desejar.
Na seção Tags - opcional, adicione as tags necessárias e selecione Próximo.
Verifique a configuração do sistema de arquivos mostrada na página Criar sistema de arquivos. Selecione Criar sistema de arquivos para criar o sistema de arquivos.

Quando o novo sistema de arquivos estiver disponível, continue com a etapa 2.

Etapa 2: configurar nomes das entidades principais de serviço (SPNs) para o Kerberos

Recomendamos que você use autenticação e criptografia baseadas no Kerberos em trânsito com o Amazon FSx. O Kerberos oferece a autenticação mais segura para clientes que acessam o sistema de arquivos.

Para ativar a autenticação do Kerberos para clientes que acessam o Amazon FSx usando um alias de DNS, você deve adicionar nomes das entidades principais de serviço (SPNs) que correspondam ao alias de DNS no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx. Um SPN só pode ser associado a um único objeto de computador do Active Directory de cada vez. Se você tiver SPNs existentes para o nome DNS configurado para o objeto de computador do Active Directory do sistema de arquivos original, será necessário excluí-los primeiro.

Há dois SPNs necessários para a autenticação do Kerberos:


HOST/alias
HOST/alias.domain

Se o alias for finance.domain.com, os dois SPNs necessários são os seguintes:


HOST/finance
HOST/finance.domain.com

nota

Você precisará excluir todos os SPNs HOST existentes que correspondam ao alias de DNS no objeto de computador do Active Directory antes de criar novos SPNs HOST para o objeto de computador do Active Directory (AD) do sistema de arquivos do Amazon FSx. As tentativas de definir SPNs para seu sistema de arquivos do Amazon FSx falharão se existir um SPN para o alias de DNS no AD.

Os procedimentos apresentados abaixo descrevem como fazer o seguinte:

Localize todos os SPNs de alias de DNS existentes no objeto de computador do Active Directory do sistema de arquivos original.
Exclua os SPNs existentes encontrados, se houver.
Crie novos SPNs de alias de DNS para o objeto de computador do Active Directory do seu sistema de arquivos do Amazon FSx.

Para instalar o módulo necessário do PowerShell Active Directory

Faça logon em uma instância do Windows associada ao Active Directory ao qual seu sistema de arquivos do Amazon FSx está associado.
Abra PowerShell como administrador.
Instale o módulo do PowerShell Active Directory usando o comando a seguir.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original

Encontre todos os SPNs atuais usando os comandos a seguir. Substitua alias_fqdn pelo alias de DNS que você associou ao sistema de arquivos na Etapa 1.


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

Exclua os SPNs HOST atuais retornados na etapa anterior usando o exemplo de script a seguir.

Substitua alias_fqdn pelo alias de DNS completo que você associou ao sistema de arquivos na Etapa 1.
Substitua file_system_DNS_name pelo nome DNS do sistema de arquivos original.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos na Etapa 1.

Definir SPNs no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx

Defina novos SPNs para o sistema de arquivos do Amazon FSx executando os comandos a seguir.
- Substitua file_system_DNS_name pelo nome DNS que o Amazon FSx atribuiu ao sistema de arquivos.
  
  Para encontrar o nome DNS do sistema de arquivos no console do Amazon FSx, escolha Sistemas de arquivos, escolha o sistema de arquivos e, em seguida, escolha o painel Rede e segurança na página de detalhes do sistema de arquivos.
  
  Você também pode obter o nome DNS na resposta da operação da API de DescribeFilesistemas.
- Substitua alias_fqdn pelo alias de DNS completo que você associou ao sistema de arquivos na Etapa 1.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use one of the following commands, not both:
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
##Or
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
nota
A configuração de um SPN para o sistema de arquivos do Amazon FSx apresentará falha se existir um SPN para o alias de DNS no AD do objeto de computador do sistema de arquivos original. Para obter informações sobre como encontrar e excluir SPNs atuais, consulte Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original.
Verifique se os novos SPNs estão configurados para o alias de DNS usando o exemplo de script a seguir. Certifique-se de que a resposta inclua dois SPNs HOST, HOST/alias e HOST/alias_fqdn, conforme descrito anteriormente neste procedimento.

Substitua file_system_DNS_name pelo nome DNS que o Amazon FSx atribuiu ao sistema de arquivos. Para encontrar o nome DNS do sistema de arquivos no console do Amazon FSx, escolha Sistemas de arquivos, escolha o sistema de arquivos e, em seguida, escolha o painel Rede e segurança na página de detalhes do sistema de arquivos.

Você também pode obter o nome DNS na resposta da operação da API de DescribeFilesistemas.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos na Etapa 1.

Para obter informações sobre como impor que os clientes usem a autenticação e a criptografia do Kerberos ao se conectarem ao sistema de arquivos do Amazon FSx, consulte Como reforçar a autenticação do Kerberos usando GPOs.

Etapa 3: atualizar ou criar um registro CNAME do DNS para o sistema de arquivos

Depois de configurar adequadamente os SPNs do sistema de arquivos, mude para o Amazon FSx substituindo cada registro DNS resolvido no sistema de arquivos original por um registro DNS resolvido com o nome DNS padrão do sistema de arquivos do Amazon FSx.

Os módulos do Windows dnsserver e activedirectory são necessários para executar os comandos apresentados nesta seção.

Para instalar os PowerShell cmdlets necessários

Faça login em uma instância do Windows associada ao Active Directory à qual seu sistema de arquivos Amazon FSx está associado como um usuário que é membro de um grupo que tem permissões de administração de DNS (administradores de sistema de nomes de domínio AWSAWS delegados no Active Directory AWS gerenciado e administradores de domínio ou outro grupo ao qual você delegou permissões de administração de DNS em seu Active Directory autogerenciado).

Para obter mais informações, consulte Conectando-se à sua instância do Windows no Guia do usuário do Amazon EC2.
Abra PowerShell como administrador.
O módulo Servidor PowerShell DNS é necessário para executar as instruções neste procedimento. Instale-o usando o comando a seguir.
```
Install-WindowsFeature RSAT-DNS-Server
```

Atualizar ou criar um nome DNS personalizado para seu sistema de arquivos do Amazon FSx

Conecte-se à sua instância do Amazon EC2 como um usuário que é membro de um grupo que tem permissões de administração de DNS (administradores de sistema de nomes de domínio AWS delegados no Active Directory AWS gerenciado e administradores de domínio ou outro grupo ao qual você delegou permissões de administração de DNS em seu Active Directory autogerenciado).

Para obter mais informações, consulte Conectando-se à sua instância do Windows no Guia do usuário do Amazon EC2.
No prompt de comando, execute o seguinte script: Esse script migra todos os registros CNAME do DNS existentes para o seu sistema de arquivos do Amazon FSx. Se não for encontrado nenhum, ele cria um novo registro CNAME do DNS para o alias de DNS alias_fqdn que resolve para o nome DNS padrão do seu sistema de arquivos do Amazon FSx.

Para executar o script:
- Substitua alias_fqdn pelo alias de DNS que você associou ao sistema de arquivos.
- Substitua file_system_DNS_name pelo nome DNS que o Amazon FSx atribuiu ao sistema de arquivos.
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name) | Select -First 1
foreach ($computer in $DnsServerComputerName)
{
Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $computer -HostNameAlias $FSxDnsName -ZoneName $ZoneName
}
```
Repita a etapa anterior para cada alias de DNS que você associou ao sistema de arquivos na Etapa 1.

Agora você adicionou um valor CNAME do DNS para seu sistema de arquivos do Amazon FSx com o alias de DNS. Agora você pode usar o alias de DNS para acessar seus dados.

nota

Ao atualizar um registro CNAME do DNS para apontar para um sistema de arquivos do Amazon FSx anteriormente apontado para outro sistema de arquivos, os clientes podem não conseguir se conectar ao sistema de arquivos por um breve período de tempo. Quando o cache DNS do cliente for atualizado, ele poderá se conectar usando o alias de DNS. Para ter mais informações, consulte Não é possível acessar o sistema de arquivos usando um alias de DNS.

Como reforçar a autenticação do Kerberos usando GPOs

Você pode reforçar a autenticação do Kerberos ao acessar o sistema de arquivos configurando os seguintes Objetos de Política de Grupo (GPOs) no Active Directory:

Restringir NTLM: tráfego NTLM de saída para servidores remotos: use essa configuração de política para negar ou auditar o tráfego NTLM de saída de um computador para qualquer servidor remoto que esteja executando o sistema operacional Windows.
Restringir NTLM: adicionar exceções de servidor remoto para autenticação NTLM: use essa configuração de política para criar uma lista de exceções de servidores remotos para os quais os dispositivos clientes têm permissão de usar a autenticação NTLM se a configuração de política Segurança de rede: restringir NTLM: tráfego NTLM de saída para servidores remotos estiver configurada.

Faça logon em uma instância do Windows associada ao Active Directory ao qual seu sistema de arquivos do Amazon FSx está associado como administrador. Se estiver configurando um Active Directory autogerenciado, aplique estas etapas diretamente ao Active Directory.
Selecione Iniciar, Ferramentas administrativas e, em seguida, Gerenciamento de política de grupo.
Selecione Objetos de Política de Grupo.
Se o Objeto de Política de Grupo ainda não existir, crie-o.
Localize a política de Segurança de rede existente: restringir NTLM: tráfego NTLM de saída para servidores remotos. (Se não houver uma política existente, crie uma nova política). Na guia Configuração de segurança local, abra o menu de contexto (clique com o botão direito do mouse) e escolha Propriedades.
Selecione Negar tudo.
Selecione Aplicar para salvar a configuração de segurança.
Para definir exceções para conexões NTLM com servidores remotos específicos para o cliente, localize Segurança de rede: restringir NTLM: adicionar exceções de servidor remoto.

Abra o menu de contexto (clique com o botão direito do mouse) e escolha Propriedades na guia Configuração de segurança local.
Insira os nomes dos servidores a serem adicionados à lista de exceções.
Selecione Aplicar para salvar a configuração de segurança.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Passo a passo 4: usar o Amazon FSx com o Amazon AppStream 2.0

Passo a passo 6: aumentar a escala horizontalmente com fragmentos