使用自行管理的 Microsoft Active Directory 的先决条件 - Amazon FSx for Windows File Server
本地配置网络配置服务账户权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自行管理的 Microsoft Active Directory 的先决条件

在创建加入自行管理的 Microsoft Active Directory 域的 Amazon FSx 文件系统之前,请查看以下先决条件。

本地配置

确保您有一个本地或其他自行管理的 Microsoft Active Directory,您可以在其中加入 Amazon FSx 文件系统。您的本地 Active Directory 应具有以下配置:

  • 您 Active Directory 域控制器的域功能级别为 Windows Server 2008 R2 或更高版本。

  • DNS 服务器 IP 地址和 Active Directory 域控制器 IP 地址如下所示,具体取决于文件系统的创建时间:

    对于 2020 年 12 月 17 日之前创建的文件系统 对于 2020 年 12 月 17 日之后创建的文件系统

    IP 地址必须在 RFC 1918 私有 IP 地址范围内:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP 地址可以位于任何范围内,但以下情况除外:

    • 与 Amazon Web Services 在该 AWS 地区拥有的 IP 地址冲突的 IP 地址。有关按地区划分的 AWS 拥有的 IP 地址列表,请参阅 AWS IP 地址范围

    • 以下 CIDR 块范围内的 IP 地址:198.19.0.0/16

    如果您需要使用非私有 IP 地址范围访问 2020 年 12 月 17 日之前创建的 FSx for Windows File Server 文件系统,则可以通过恢复文件系统的备份来创建新的文件系统。有关更多信息,请参阅 使用备份

  • 非单标签域(SLD)格式的域名。Amazon FSx 不支持 SLD 域。

  • 对于单可用区 2 和所有多可用区文件系统,Active Directory 域名不得超过 47 个字符。

  • 如果您已定义 Active Directory 站点,则必须在 Active Directory 站点中定义与 Amazon FSx 文件系统关联的 VPC 中的子网,且 VPC 中的子网与您其他站点中的子网之间不存在冲突。

  • 您可能需要向防火墙添加规则,以允许 Active Directory 域控制器与 Amazon FSx 之间的 ICMP 流量。

网络配置

本节介绍将文件系统加入您自行管理的 Active Directory 所需的网络配置。

我们建议您先使用 Amazon FSx Active Directory 验证工具测试您的网络设置,然后再尝试将文件系统加入自行管理的 Active Directory。

  • 必须在您要在其中创建文件系统的 Amazon VPC 与自行管理的 Active Directory 之间配置连接。您可以使用 AWS Direct Connect、AWS Virtual Private NetworkVPC 对等互连或AWS Transit Gateway来设置此连接。

  • 对于 VPC 安全组,用于您的默认 Amazon VPC 的默认安全组必须添加到控制台中的文件系统。确保要在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 在端口上允许有下图所示方向的流量。

    用于 VPC 安全组的 FSx for Windows File Server 端口配置要求,以及用于要在其中创建文件系统的子网的网络 ACL。

    下表确定了每个端口的作用。

    协议

    端口

    角色

    TCP/UDP

    53

    域名系统(DNS)

    TCP/UDP

    88

    Kerberos 身份验证

    TCP/UDP

    464

    更改/设置密码

    TCP/UDP

    389

    轻型目录访问协议(LDAP)
    UDP 123

    网络时间协议(NTP)
    TCP 135

    分布式计算环境/端点映射器(DCE/EPMAP)

    TCP

    445

    目录服务 SMB 文件共享

    TCP

    636

    基于 TLS/SSL 的轻型目录访问协议(LDAPS)

    TCP

    3268

    Microsoft 全局目录

    TCP

    3269

    基于 SSL 的 Microsoft 全局目录

    TCP

    5985

    WinRM 2.0(Microsoft Windows 远程管理)

    TCP

    9389

    微软活动目录 DS Web 服务, PowerShell

    TCP

    49152 - 65535

    RPC 的临时端口

    确保这些流量规则也镜像到适用于每个 Active Directory 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

重要

单可用区 2 和多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

注意

如果您使用的是 VPC 网络 ACL,则还必须允许动态端口(49152-65535)上的出站流量。

重要

虽然 Amazon VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。

服务账户权限

确保您在自行管理的 Microsoft Active Directory 中有一个服务账户,该账户具有将计算机加入该域的委派权限。服务账户是自行管理的 Microsoft Active Directory 中的一个用户账户,该账户已被委派某些任务。

服务账户至少需要在您要加入文件系统的 OU 中获得以下权限:

  • 能够重置密码

  • 能够限制账户读取和写入数据

  • 验证写入 DNS 主机名的能力

  • 验证写入服务主体名称的能力

  • 能够(经委派)创建和删除计算机对象

  • 验证读取和写入账户限制的能力

  • 能够修改权限

这些权限代表将计算机对象加入到您的 Active Directory 至少需要具备的一组权限。有关更多信息,请参阅主题为错误:当已委派控制的非管理员用户尝试将计算机加入域控制器时,访问被拒绝的 Microsoft Windows Server 文档。

有关如何创建具有正确权限的服务账户的更多信息,请参阅 向 Amazon FSx 服务账户委派权限

Amazon FSx 在 Amazon FSx 文件系统的整个生命周期中都需要有一个有效的服务账户。Amazon FSx 必须能够使用服务账户全面管理文件系统并执行需要退出并重新加入您的 Active Directory 域的任务。这些任务包括更换出现故障的文件服务器或修补 Windows Server 软件。必须使用 Amazon FSx 更新您的活动目录配置,包括服务账户证书。有关更多信息,请参阅 更新您的活动目录配置

Amazon FSx 需要连接到您的 Active Directory 环境中的所有域控制器。如果您有多个域控制器,请确保所有域控制器都满足上述要求,并确保对您的服务账户所做的任何更改都会传播到所有域控制器。

您可以使用 Amazon FSx Active Directory 验证工具验证您的 Active Directory 配置,包括测试多个域控制器的连接。要限制需要连接的域控制器的数量,您还可以在本地域控制器和 AWS Managed Microsoft AD之间建立信任关系。有关更多信息,请参阅 使用资源林隔离模型

重要

创建文件系统后,请勿移动 Amazon FSx 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。