本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用自我管理的 Microsoft 活動目錄的先決條件
建立加入自我管理 Microsoft 活動目錄網域的 Amazon FSx 檔案系統之前,請先檢閱下列先決條件。
內部部署組
請確定您擁有可以加入 Amazon FSx 檔案系統的現場部署或其他自我管理的 Microsoft Active Directory。您的內部部署作用中目錄應具有下列組態:
-
您的作用中目錄網域控制站在 Windows 伺服器 2008 R2 或更高版本的網域功能層級。
-
DNS 伺服器 IP 位址和使用中的目錄網域控制站 IP 位址如下所示,視您的檔案系統建立時間而定:
適用於 2020 年 12 月 17 日之前建立的檔案系統 適用於 2020 年 12 月 17 日之後建立的檔案系統 IP 位址必須在 RFC 1918
私有 IP 位址範圍內: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
IP 位址可以在任何範圍內,但下列情況除外:
與 Amazon Web Services 衝突的 IP 地址在該 AWS 區域擁有的 IP 地址。如需依地區分類的 AWS 擁有 IP 位址清單,請參閱 AWS IP 位址範圍。
位於下列 CIDR 區塊範圍內的 IP 位址:
如果您需要使用非私有 IP 位址範圍存取在 2020 年 12 月 17 日之前建立的 Windows 檔案伺服器檔案系統 FSx,您可以透過還原檔案系統的備份來建立新的檔案系統。如需詳細資訊,請參閱 使用備份。
-
非單一標籤網域 (SLD) 格式的網域名稱。Amazon FSx 不支持 SLD 域。
-
對於單一可用區 2 和所有異地同步備份檔案系統,Active Directory 網域名稱不得超過 47 個字元。
-
如果您已定義 Active Directory 站台,則 VPC 中與 Amazon FSx 檔案系統相關聯的子網路必須定義在 Active Directory 站台中,且 VPC 中的子網路與其他網站中的子網路之間不得發生衝突。
您可能需要將規則新增到防火牆,以允許您的作用中目錄網域控制站和 Amazon FSx 之間的 ICMP 流量。
網路組態
本節說明將檔案系統加入您自我管理的 Active Directory 所需的網路組態。
我們建議您先使用 Amazon FSx 活動目錄驗證工具來測試您的網路設定,然後再嘗試將檔案系統加入自我管理的活動目錄。
-
必須在您要建立檔案系統的 Amazon VPC 和自我管理的 Active Directory 之間設定連線能力。您可以使用 AWS Direct Connect、、AWS Virtual Private NetworkVPC 對等互連或來設定此連線。AWS Transit Gateway
-
對於 VPC 安全群組,必須將預設 Amazon VPC 的預設安全群組新增至主控台中的檔案系統。請確定您建立 FSx 檔案系統之子網路的安全性群組和 VPC Network ACL 允許連接埠上的流量,並按照下圖所示的指示進行流量。
下表識別每個連接埠的角色。
通訊協定
連接埠
角色
TCP/UDP
53
網域名稱系統 (DNS)
TCP/UDP
88
Kerberos 身分驗證
TCP/UDP
464
變更/設定密碼
TCP/UDP
389
輕量型目錄存取通訊協定 (LDAP)
UDP 123 網路時間通訊協定 (NTP)
TCP 135 分散式計算環境/端點對應器 (DCE/EPMAP)
TCP
445
目錄服務 SMB 檔案共用
TCP
636
透過 TLS/SSL 的輕量型目錄存取通訊協定 (LDAPS)
TCP
3268
Microsoft 全球編錄
TCP
3269
通過 SSL Microsoft 全局類別目錄
TCP
5985
Microsoft 視窗遠端管理
TCP
9389
Microsoft 活動目錄 DS Web 服務, PowerShell
TCP
49152 - 65535
適用於 RPC 的暫時性連接埠
請確定這些流量規則也會鏡像到適用於每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 系統管理員的防火牆上。
重要
單一可用區 2 和異地同步備份檔案系統部署需要在 TCP 連接埠 9389 上允許輸出流量。
注意
如果您使用 VPC 人雲端網路 ACL,您也必須允許 FSx 檔案系統的動態連接埠 (49152-65535) 上的輸出流量。
重要
雖然 Amazon VPC 安全群組要求連接埠只能以網路流量起始的方向開啟,但大多數 Windows 防火牆和 VPC 人雲端網路 ACL 都要求連接埠雙向開啟。
服務帳戶權限
請確定您在自我管理的 Microsoft Active Directory 中有一個具有委派權限的服務帳戶,以將電腦加入網域。服務帳戶是指已委派特定工作的自我管理 Microsoft Active Directory 中的使用者帳戶。
服務帳戶必須至少委派您加入檔案系統的 OU 中的下列權限:
-
能夠重置密碼
-
限制帳戶讀取和寫入資料的能力
-
已驗證能夠寫入 DNS 主機名稱
-
已驗證能夠寫入服務主體名稱
-
建立和刪除電腦物件的能力 (可委派)
-
經過驗證的讀取和寫入帳戶限制功能
-
修改權限的能力
這些代表將電腦物件加入您的 Active Directory 所需的最低權限集合。如需詳細資訊,請參閱 Microsoft Windows Server 文件主題錯誤:已委派控制項的非系統管理員使用者嘗試將電腦加入網域控制站時,會拒絕存
如需使用正確權限建立服務帳戶的詳細資訊,請參閱 將權限委派給您的 Amazon FSx 服務帳戶 。
Amazon FSx 需要在 Amazon FSx 檔案系統整個生命週期內擁有有效的服務帳戶。Amazon FSx 必須能夠完全管理檔案系統,並執行需要使用服務帳戶取消加入和重新加入 Active Directory 網域的任務。這些工作包括取代失敗的檔案伺服器或修補 Windows 伺服器軟體。您必須使用 Amazon FSx 更新您的活動目錄組態 (包括服務帳戶登入資料)。如需詳細資訊,請參閱 保持您的活動目錄配置更新。
Amazon FSx 需要連線到活動目錄環境中的所有網域控制站。如果您有多個網域控制站,請確定所有網域控制站都符合上述需求,並確定您的服務帳戶的任何變更都會傳播到所有的網域控制站。
您可以使用 Amazon FSx 作用中目錄驗證工具來驗證您的作用中目錄組態,包括測試多個網域控制站的連線。若要限制需要連線的網域控制站數目,您也可以在內部部署網域控制站和 AWS Managed Microsoft AD. 如需詳細資訊,請參閱 使用資源樹系隔離模型。
重要
建立檔案系統之後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。