为 Kerberos 配置服务主体名称 (SPNs) - FSx适用于 Windows 文件服务器的亚马逊

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Kerberos 配置服务主体名称 (SPNs)

我们建议您在通过 Amazon 传输时使用基于 Kerberos 的身份验证和加密。FSxKerberos 能够为访问文件系统的客户端提供最安全的身份验证。

要为FSx使用DNS别名访问亚马逊的客户启用 Kerberos 身份验证,您必须添加与亚马逊FSx文件系统的 Active Directory 计算机对象上的DNS别名相对应的服务主体名称 (SPNs)。一次SPN只能与一个 Active Directory 计算机对象相关联。如果您已SPNs为原始文件系统的 Active Directory 计算机对象配置了DNS名称,则必须先将其删除。

Kerberos SPNs 身份验证需要两个:

HOST/alias
HOST/alias.domain

如果别名是finance.domain.com,则需要以下两个SPNs:

HOST/finance
HOST/finance.domain.com
注意

在为亚马逊FSx文件系统的 Active Directory (AD) 计算机对象创建新对象之前,您需要删除与 Active Directory 计算机对象上的DNS别名HOSTSPNs对应的所有现有HOSTSPNs内容。如果 AD 中存在DNS别名,则尝试SPNs为您的 Amazon FSx 文件系统设置将失败。SPN

以下过程将介绍如何进行操作:

  • 在原始文件系统的 Active Directory 计算机对象SPNs上查找任何现有的DNS别名。

  • 删除已SPNs找到的现有内容(如果有)。

  • SPNs为您的亚马逊FSx文件系统的 Active Directory 计算机对象创建新的DNS别名。

安装所需的 PowerShell 活动目录模块

  1. 登录已加入您的亚马逊FSx文件系统的活动目录的 Windows 实例。

  2. PowerShell 以管理员身份打开。

  3. 使用以下命令安装 PowerShell 活动目录模块。

    Install-WindowsFeature RSAT-AD-PowerShell
在原始文件系统的 Active Directory 计算机对象SPNs上查找和删除现有DNS别名

如果您已在 A SPNs ctive Directory 中的计算机对象上配置了分配给其他文件系统的DNS别名,则必须先删除这些别名,SPNs然后才能将其SPNs添加到文件系统的计算机对象中。

  1. 使用以下命令查找任何现有SPNs命令。alias_fqdn用您在步骤 1 中与文件系统关联的DNS别名替换。

    ## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

  2. 使用以下示例脚本删除上一步中HOSTSPNs返回的现有内容。

    • 替换为步骤 1alias_fqdn与文件系统关联的完整DNS别名。

    • file_system_DNS_name替换为原始文件系统的DNS名称。

    ## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

  3. 对您在步骤 1 中与文件系统关联的每个DNS别名重复上述步骤

SPNs在您的亚马逊FSx文件系统的 Active Directory 计算机对象上设置

  1. 运行以下命令SPNs,为您的 Amazon FSx 文件系统设置新内容。

    • file_system_DNS_name替换为 Amazon FSx 分配给文件系统的DNS名称。

      要在 Amazon FSx 控制台上查找您的文件系统的DNS名称,请选择文件系统,选择您的文件系统,然后在文件系统详情页面上选择 “网络和安全” 窗格。

      您也可以在DescribeFileSystemsAPI操作的响应中获取DNS名称。

    • 替换为步骤 1alias_fqdn与文件系统关联的完整DNS别名。

    ## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use one of the following commands, not both:
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
##Or
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
    注意

    如果原始FSx文件系统的计算机对象的 AD 中存在DNS别名,则为您的 Amazon 文件系统设置将失败。SPN SPN有关查找和删除现有内容的信息SPNs,请参见在原始文件系统的 Active Directory 计算机对象SPNs上查找和删除现有DNS别名

  2. 使用以下示例脚本验证SPNs是否已为DNS别名配置了新的别名。确保响应包括两个HOST/alias和 HOST SPNsHOST/alias_fqdn,如本过程前面所述。

    file_system_DNS_name替换为 Amazon 为您的文件系统FSx分配的DNS名称。要在 Amazon FSx 控制台上查找您的文件系统的DNS名称,请选择文件系统,选择您的文件系统,然后在文件系统详情页面上选择 “网络和安全” 窗格。

    您也可以在DescribeFileSystemsAPI操作的响应中获取DNS名称。

    ## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name

  3. 对您在步骤 1 中与文件系统关联的每个DNS别名重复上述步骤