将 SVM 加入自行管理的 Microsoft AD 的先决条件
在将 FSx for ONTAP SVM 加入自行管理的 Microsoft AD 域之前,请确保 Active Directory 和网络符合以下部分中描述的要求。
本地 Active Directory 要求
确保您已经有一个本地或其他自行管理的 Microsoft AD,可以在其中加入 SVM。此 Active Directory 应具有以下配置:
-
Active Directory 域控制器的域功能级别为 Windows Server 2000 或更高版本。
-
Active Directory 使用的域名不是单标签域 (SLD) 格式。Amazon FSx 不支持 SLD 域。
-
如果您定义了 Active Directory 站点,请确保 FSx for ONTAP 文件系统所关联 VPC 中的子网在相同 Active Directory 站点中定义,并且 VPC 子网与 Active Directory 站点上的子网之间不存在冲突。
注意
如果使用 AWS Directory Service,则 FSx for ONTAP 不支持将 SVM 加入 Simple Active Directory。
网络配置要求
确保您进行了以下网络配置并具有相关信息。
重要
要将 SVM 加入 Active Directory,您需要确保本主题中介绍的端口允许所有 Active Directory 域控制器与 SVM 上的两个 iSCSI IP 地址(iscsi_1 和 iscsi_2 逻辑接口(LIF))之间的流量。
-
DNS 服务器和 Active Directory 域控制器的 IP 地址。
-
使用 AWS Direct Connect
、AWS VPN 或 AWS Transit Gateway 在创建文件系统的 Amazon VPC 与自行管理的 Active Directory 之间建立了连接。 -
要在其上创建文件系统的子网的安全组和 VPC 网络 ACL 必须允许下图所示端口和方向上的流量。
下表说明了每个端口的作用。
协议
端口
角色
TCP/UDP
53
域名系统(DNS)
TCP/UDP
88
Kerberos 身份验证
TCP/UDP
389
轻型目录访问协议(LDAP)
TCP
445
目录服务 SMB 文件共享
TCP/UDP
464
更改/设置密码
TCP
636
基于 TLS/SSL 的轻型目录访问协议(LDAPS)
-
这些流量规则也应镜像到适用于每个 Active Directory 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。
重要
虽然 Amazon VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。
Active Directory 服务账户要求
确保您在自行管理的 Microsoft AD 中有一个服务账户,该账户具有将计算机加入该域的委派权限。服务账户是自行管理的 Active Directory 中的一个用户账户,该账户已被委派某些任务。
在要加入 SVM 的 OU 中,必须至少为服务账户委派了以下权限:
-
能够重置密码
-
能够限制账户读取和写入数据
-
能够在计算机对象上设置
msDS-SupportedEncryptionTypes
属性 -
验证写入 DNS 主机名的能力
-
验证写入服务主体名称的能力
-
能够创建和删除计算机对象
-
经过验证的读取和写入账户限制的能力
这些权限代表将计算机对象加入到您的 Active Directory 至少需要具备的一组权限。有关更多信息,请参阅 Windows Server 文档主题 Error: Access is denied when non-administrator users who have been delegated control try to join computers to a domain controller
要了解有关创建具有正确权限的服务账户的更多信息,请参阅向 Amazon FSx 服务账户委托权限。
重要
Amazon FSx 在 Amazon FSx 文件系统的整个生命周期中都需要有一个有效的服务账户。Amazon FSx 必须能够完全管理文件系统,并执行以下任务:要求文件系统将资源取消加入和重新加入 Active Directory 域。这些任务包括更换出现故障的文件系统或 SVM,或者修补 NetApp ONTAP 软件。使用 Amazon FSx 更新您的 Active Directory 配置信息,包括服务账户凭证。要了解更多信息,请参阅 使用 Amazon FSx 确保 Active Directory 配置不断更新。
如果这是您首次使用 AWS 和 FSx for ONTAP,请确保在开始 Active Directory 集成之前完成初始设置步骤。有关更多信息,请参阅 设置 FSx for ONTAP。
重要
不要移动 Amazon FSx 在创建 SVM 后在 OU 中创建的计算机对象,也不要在您的 SVM 加入 Active Directory 时删除 Active Directory。这样做会导致您的 SVM 配置错误。