使用自我管理的 Microsoft 活動目錄的先決條件 - Amazon FSx for Windows File Server
內部部署組網路組態服務帳戶權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用自我管理的 Microsoft 活動目錄的先決條件

建立加入自我管理 Microsoft 活動目錄網域的 Amazon FSx 檔案系統之前,請先檢閱下列先決條件。

內部部署組

請確定您擁有可以加入 Amazon FSx 檔案系統的現場部署或其他自我管理的 Microsoft Active Directory。您的內部部署作用中目錄應具有下列組態:

  • 您的作用中目錄網域控制站在 Windows 伺服器 2008 R2 或更高版本的網域功能層級。

  • DNS 伺服器 IP 位址和使用中的目錄網域控制站 IP 位址如下所示,視您的檔案系統建立時間而定:

    適用於 2020 年 12 月 17 日之前建立的檔案系統 適用於 2020 年 12 月 17 日之後建立的檔案系統

    IP 位址必須在 RFC 1918 私有 IP 位址範圍內:

    • 10.0.0.0/8

    • 172.16.0.0/12

    • 192.168.0.0/16

    IP 位址可以在任何範圍內,但下列情況除外:

    • 與 Amazon Web Services 衝突的 IP 地址在該 AWS 區域擁有的 IP 地址。如需依地區分類的 AWS 擁有 IP 位址清單,請參閱 AWS IP 位址範圍

    • 位於下列 CIDR 區塊範圍內的 IP 位址:

    如果您需要使用非私有 IP 位址範圍存取在 2020 年 12 月 17 日之前建立的 Windows 檔案伺服器檔案系統 FSx,您可以透過還原檔案系統的備份來建立新的檔案系統。如需詳細資訊,請參閱 使用備份

  • 非單一標籤網域 (SLD) 格式的網域名稱。Amazon FSx 不支持 SLD 域。

  • 對於單一可用區 2 和所有異地同步備份檔案系統,Active Directory 網域名稱不得超過 47 個字元。

  • 如果您已定義 Active Directory 站台,則 VPC 中與 Amazon FSx 檔案系統相關聯的子網路必須定義在 Active Directory 站台中,且 VPC 中的子網路與其他網站中的子網路之間不得發生衝突。

  • 您可能需要將規則新增到防火牆,以允許您的作用中目錄網域控制站和 Amazon FSx 之間的 ICMP 流量。

網路組態

本節說明將檔案系統加入您自我管理的 Active Directory 所需的網路組態。

我們建議您先使用 Amazon FSx 活動目錄驗證工具來測試您的網路設定,然後再嘗試將檔案系統加入自我管理的活動目錄。

  • 必須在您要建立檔案系統的 Amazon VPC 和自我管理的 Active Directory 之間設定連線能力。您可以使用 AWS Direct Connect、、AWS Virtual Private NetworkVPC 對等互連或來設定此連線。AWS Transit Gateway

  • 對於 VPC 安全群組,必須將預設 Amazon VPC 的預設安全群組新增至主控台中的檔案系統。請確定您建立 FSx 檔案系統之子網路的安全性群組和 VPC Network ACL 允許連接埠上的流量,並按照下圖所示的指示進行流量。

    FSx for Windows File Server 的連接埠組態需求,適用於建立檔案系統之子網路的 VPC 安全性群組和網路 ACL。

    下表識別每個連接埠的角色。

    通訊協定

    連接埠

    角色

    TCP/UDP

    53

    網域名稱系統 (DNS)

    TCP/UDP

    88

    Kerberos 身分驗證

    TCP/UDP

    464

    變更/設定密碼

    TCP/UDP

    389

    輕量型目錄存取通訊協定 (LDAP)
    UDP 123

    網路時間通訊協定 (NTP)
    TCP 135

    分散式計算環境/端點對應器 (DCE/EPMAP)

    TCP

    445

    目錄服務 SMB 檔案共用

    TCP

    636

    透過 TLS/SSL 的輕量型目錄存取通訊協定 (LDAPS)

    TCP

    3268

    Microsoft 全球編錄

    TCP

    3269

    通過 SSL Microsoft 全局類別目錄

    TCP

    5985

    Microsoft 視窗遠端管理

    TCP

    9389

    Microsoft 活動目錄 DS Web 服務, PowerShell

    TCP

    49152 - 65535

    適用於 RPC 的暫時性連接埠

    請確定這些流量規則也會鏡像到適用於每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 系統管理員的防火牆上。

重要

單一可用區 2 和異地同步備份檔案系統部署需要在 TCP 連接埠 9389 上允許輸出流量。

注意

如果您使用 VPC 人雲端網路 ACL,您也必須允許 FSx 檔案系統的動態連接埠 (49152-65535) 上的輸出流量。

重要

雖然 Amazon VPC 安全群組要求連接埠只能以網路流量起始的方向開啟,但大多數 Windows 防火牆和 VPC 人雲端網路 ACL 都要求連接埠雙向開啟。

服務帳戶權限

請確定您在自我管理的 Microsoft Active Directory 中有一個具有委派權限的服務帳戶,以將電腦加入網域。服務帳戶是指已委派特定工作的自我管理 Microsoft Active Directory 中的使用者帳戶。

服務帳戶必須至少委派您加入檔案系統的 OU 中的下列權限:

  • 能夠重置密碼

  • 限制帳戶讀取和寫入資料的能力

  • 已驗證能夠寫入 DNS 主機名稱

  • 已驗證能夠寫入服務主體名稱

  • 建立和刪除電腦物件的能力 (可委派)

  • 經過驗證的讀取和寫入帳戶限制功能

  • 修改權限的能力

這些代表將電腦物件加入您的 Active Directory 所需的最低權限集合。如需詳細資訊,請參閱 Microsoft Windows Server 文件主題錯誤:已委派控制項的非系統管理員使用者嘗試將電腦加入網域控制站時,會拒絕存取。

如需使用正確權限建立服務帳戶的詳細資訊,請參閱 將權限委派給您的 Amazon FSx 服務帳戶

Amazon FSx 需要在 Amazon FSx 檔案系統整個生命週期內擁有有效的服務帳戶。Amazon FSx 必須能夠完全管理檔案系統,並執行需要使用服務帳戶取消加入和重新加入 Active Directory 網域的任務。這些工作包括取代失敗的檔案伺服器或修補 Windows 伺服器軟體。您必須使用 Amazon FSx 更新您的活動目錄組態 (包括服務帳戶登入資料)。如需詳細資訊,請參閱 保持您的活動目錄配置更新

Amazon FSx 需要連線到活動目錄環境中的所有網域控制站。如果您有多個網域控制站,請確定所有網域控制站都符合上述需求,並確定您的服務帳戶的任何變更都會傳播到所有的網域控制站。

您可以使用 Amazon FSx 作用中目錄驗證工具來驗證您的作用中目錄組態,包括測試多個網域控制站的連線。若要限制需要連線的網域控制站數目,您也可以在內部部署網域控制站和 AWS Managed Microsoft AD. 如需詳細資訊,請參閱 使用資源樹系隔離模型

重要

建立檔案系統之後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。