本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用DNS别名访问数据
FSxfor Windows File Server 为可用于访问文件共享的每个文件系统提供了一个DNS名称。您还可以使用默认DNS名称以外的DNS名称访问文件共享,方法是为 Windows 文件服务器文件系统注册DNS别名。FSx
使用DNS别名,您可以将您的 Windows 文件共享数据移至 FSx Windows 文件服务器,然后继续使用现有DNS名称访问亚马逊FSx上的数据。DNS别名还允许您使用有意义的名称,从而更轻松地管理连接到 Amazon FSx 文件系统的工具和应用程序。您一次最多可以将 50 个DNS别名与一个文件系统关联。有关将DNS别名与适用于 Windows 的文件服务器的文件系统关联和取消关联FSx的更多信息,请参见。管理DNS别名
要使用DNS别名配置FSx对 Windows 文件服务器文件系统的访问权限,必须执行以下步骤:
为文件系统和与之关联的DNS别名@@ 创建DNSCNAME记录。
有关在 Windows 文件服务器文件系统中使用DNS别名的FSx更多信息,请参阅管理DNS别名。
使用 Kerberos 身份验证和带别名的加密 DNS
我们建议您在通过 Amazon 传输时使用基于 Kerberos 的身份验证和加密。FSxKerberos 能够为访问文件系统的客户端提供最安全的身份验证。要为FSx使用DNS别名访问亚马逊的客户启用 Kerberos 身份验证,您必须添加与亚马逊FSx文件系统的 Active Directory 计算机对象上的DNS别名相对应的服务主体名称 (SPNs)。
要在使用别名访问文件系统时设置 Kerberos 身份验证和加密,DNS请参见。为 Kerberos 配置服务主体名称 (SPNs)
您可以选择通过在 Active Directory 中设置以下组策略对象 (GPOs),强制使用DNS别名访问文件系统的客户端使用 Kerberos 身份验证和加密:
限制NTLM:到远程服务器的传出NTLM流量-使用此策略设置可以拒绝或审计从计算机到运行 Windows 操作系统的任何远程服务器的传出NTLM流量。
限制NTLM:为NTLM身份验证添加远程服务器例外情况-使用此策略设置创建远程服务器的例外列表,前提是配置了网络安全:限制NTLM:传出到远程服务器的NTLM流量策略设置,则允许客户端设备使用NTLM身份验证。
要在使用别名访问文件系统时强制执行 Kerberos 身份验证和加密,DNS请参见。使用组策略对象强制执行 Kerberos 身份验证 () GPOs
