本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用活動目錄的最佳實踐
這裡有一些建議和指導方針,你應該考慮加入 Amazon NetApp ONTAP SVMs 到你FSx的自我管理 Microsoft 活動目錄。請注意,這些建議作為最佳實踐,但不是必需的。
將許可委派給您的 Amazon FSx 服務帳戶
確保以所需的最低許可設定您提供給 Amazon FSx 的服務帳戶。此外,請將組織單位 (OU) 與其他網域控制站問題分開。
若要將 Amazon FSx SVMs 加入您的網域,請確定服務帳戶已委派許可。網域管理員群組的成員擁有足夠的權限來執行此工作。不過,最佳作法是使用僅具有執行此操作所需最低權限的服務帳戶。下列程序示範如何僅委派加入網域所FSxONTAPSVMs需的權限。
在已加入目錄且已安裝 Active Directory 使用者和電腦MMC嵌入式管理單元的機器上執行此程序。
若要為您的 Microsoft 作用中目錄網域建立服務帳戶
請確定您已以網域系統管理員身分登入您的 Microsoft 作用中目錄網域。
-
開啟 [使用中目錄使用者和電腦MMC] 嵌入式管理單
在工作窗格中,展開網域節點。
-
找出並開啟您要修改之 OU 的內容 (按一下滑鼠右鍵) 功能表,然後選擇 [委派控制]。
-
在 [委派控制精靈] 頁面上,選擇 [下一步]。
-
選擇 [新增],為選取的使用者和群組新增特定使用者或特定群組,然後選擇 [下一步]。
-
在 Tasks to Delegate (要委派的任務) 頁面上,選擇 Create a custom task to delegate (建立要委派的自訂任務),然後選擇 Next (下一步)。
-
選擇資料夾中只有下列物件,然後選擇 [電腦物件]。
-
選擇在此資料夾中建立選取的物件,然後選擇刪除此資料夾中的選取物 然後選擇下一步。
-
在 [顯示這些權限] 下,確定已選取 [一般] 和 [特定屬性]。
-
對於「權限」,請選擇下列項目:
-
重設密碼
-
讀取和寫入帳戶限制
-
已驗證的寫入DNS主機名稱
-
已驗證的寫入服務主要名稱
寫入 msDS-SupportedEncryptionTypes
-
-
選擇 Next (下一步),然後選擇 Finish (完成)。
-
關閉 [使用中目錄使用者和電腦MMC] 嵌入式管理單
重要
建FSx立您的電腦物件之後,請勿移動 Amazon 在 OU 中建立SVMs的電腦物件。這樣做會導致您SVMs的配置錯誤。
使用 Amazon 保持您的活動目錄配置更新 FSx
如需 Amazon 的不中斷可用性 FSxSVMs,請在變更自我管理 AD 設定時更新自我管理的 Active Directory (AD) 組態。SVM
例如,假設您的 AD 使用以時間為基礎的密碼重設原則。在這種情況下,一旦密碼重置,請確保使用 Amazon 更新服務帳戶密碼FSx。要做到這一點,使用 Amazon FSx 控制台,Amazon FSxAPI,或 AWS CLI. 同樣地,如果您的 Active Directory 網域的DNS伺服器 IP 位址發生變更,一旦發生變更,就會更新DNS伺服器 IP 位址與 Amazon FSx。
如果更新的自我管理 AD 組態發生問題,SVM狀態會切換至 [設定錯誤]。此狀態會在主控台、API和的SVM說明旁顯示錯誤訊息和建議的動作CLI。如果您SVM的 AD 組態發生問題,請務必針對組態屬性採取建議的更正動作。如果問題已解決,請確認您SVM的狀態已變更為「已建立」。
如需詳細資訊,請參閱 使用、和更新SVM現有的使用 AWS Management Console中 AWS CLI目錄組態 API 和 使用修改作用中目錄組態 ONTAP CLI。
使用安全群組來限制您內部的流量 VPC
若要限制虛擬私有雲 (VPC) 中的網路流量,您可以在VPC. 換句話說,您可以將權限限制為必要的最低權限。若要這麼做,請使用安全性群組規則。如需進一步了解,請參閱 Amazon VPC 安全組。
為檔案系統的網路介面建立輸出安全性群組規則
為了提高安全性,請考慮使用輸出流量規則設定安全群組。這些規則應該只允許輸出流量到您自我管理的 AD 網域控制站或子網路或安全性群組內。將此安全群組套用至VPC與 Amazon FSx 檔案系統 elastic network interface 相關聯的安全群組。如需進一步了解,請參閱使用 Amazon 的檔案系統存取控制 VPC。