本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 FSx Amazon AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 在雲端中提供完全受控、高可用性、實際的 Active Directory 目錄。您可以在工作負載部署中使用這些作用中目錄。
如果您的組織用 AWS Managed Microsoft AD 於管理身分和裝置,建議您將 Amazon FSx 檔案系統與 AWS Managed Microsoft AD. 通過這樣做,您將獲得使用 Amazon FSx 的交鑰匙解決方案 AWS Managed Microsoft AD。 AWS 處理這兩項服務的部署、作業、高可用性、可靠性、安全性以及無縫整合,讓您能夠專注於有效地運作自己的工作負載。
要在您FSx的 AWS Managed Microsoft AD 設置中使用 Amazon,您可以使用 Amazon FSx 控制台。當您在主控台中FSx為 Windows 檔案伺服器檔案系統建立新檔案系統時,請在 [Windows 驗證] 區段下選擇 [AWS 受管理的作用中目錄]。您也可以選擇要使用的特定目錄。如需詳細資訊,請參閱步驟 1. 建立您的檔案系統。
您的組織可能會在自我管理的 Active Directory 網域 (內部部署或雲端) 上管理身分識別和裝置。如果是這樣,您可以將 Amazon FSx 檔案系統直接加入您現有的自我管理 Active Directory 網域。如需詳細資訊,請參閱使用自我管理的 Microsoft 活動目錄。
此外,您也可以設定系統以受益於資源樹系隔離模型。在此模型中,您可以將資源 (包括 Amazon FSx 檔案系統) 隔離到使用者所在的獨立 Active Directory 樹系中。
重要
對於單一可用區 2 和所有異地同步備份檔案系統,Active Directory 網域名稱不得超過 47 個字元。
網路必要條
在您建立FSx加入 AWS Microsoft 受管理的使用中目錄網域的 Windows 檔案伺服器檔案系統之前,請確定您已建立並設定下列網路組態:
-
對於VPC安全群組,預設 Amazon 的預設安全群組VPC已新增至主控台中的檔案系統。請確定您要建立FSx檔案系統之子VPC網ACLs路的安全性群組和網路允許連接埠上的流量,並遵循下圖所示的指示。
下表識別每個連接埠的角色。
通訊協定
連接埠
角色
TCP/UDP
53
網域名稱系統 (DNS)
TCP/UDP
88
Kerberos 身分驗證
TCP/UDP
464
變更/設定密碼
TCP/UDP
389
輕量型目錄存取通訊協定 (LDAP)
UDP 123 網路時間通訊協定 (NTP)
TCP 135 分散式計算環境/端點映射器 (DCE/EPMAP)
TCP
445
目錄服務SMB檔案共用
TCP
636
透過TLS/SSL(LDAPS) 輕量型目錄存取通訊協定
TCP
3268
Microsoft 全球編錄
TCP
3269
Microsoft 全局編錄結束 SSL
TCP
5985
Microsoft 視窗遠端管理
TCP
9389
Microsoft AD DS 網絡服務 PowerShell
TCP
49152 - 65535
暫時連接埠 RPC
重要
單一可用區 2 和所有異地同步備份檔案系統部署需要在TCP連接埠 9389 上允許輸出流量。
注意
如果您使用VPC網路ACLs,也必須允許來自檔案系統的動態連接埠 (49152-65535) 上的輸出流量。FSx
-
如果您要將 Amazon FSx 檔案系統連接到不同帳戶VPC或帳戶中的 AWS 受管 Microsoft Active Directory,請確保該檔案系統VPC與您VPC要建立檔案系統的 Amazon 之間的連線。如需詳細資訊,請參閱在不同FSx的帳戶VPC或帳戶 AWS Managed Microsoft AD 中使用 Amazon。
重要
雖然 Amazon VPC 安全群組要求只能以網路流量啟動的方向開啟連接埠,但VPC網路ACLs需要雙向開放連接埠。
使用 Amazon FSx 網路驗證工具來驗證您活動目錄網域控制站的連線能力。
使用資源樹系隔離模型
您可以將檔案系統加入安 AWS Managed Microsoft AD 裝程式。然後,您可以在您建立的網域與現有的自我管理 Active Directory AWS Managed Microsoft AD 網域之間建立單向樹系信任關係。對於 Amazon 中的 Windows 身份驗證FSx,您只需要單向性樹系信任,其中 AWS 受管樹系會信任公司網域樹系。
您的公司網域扮演信任網域的角色,而受 AWS Directory Service 管理的網域則是信任網域的角色。經過驗證的驗證要求只會在一個網域之間傳送,讓您公司網域中的帳戶可以針對受管理網域中共用的資源進行驗證。在這種情況下,Amazon 只會與受管網域FSx互動。受管理的網域接著會將驗證要求傳遞至您的公司網域。
測試您的活動目錄配置
建立 Amazon FSx 檔案系統之前,建議您使用 Amazon FSx 網路驗證工具驗證與 Active Directory 網域控制站的連線。如需詳細資訊,請參閱驗證連線到您的作用中目錄網域控制站。
當您使 AWS Directory Service for Microsoft Active Directory 用 Windows 檔案伺服器時,下列相關資源可以協助您:FSx
-
AWS Directory Service 管理指南中的 AWS Directory Service 是什麼