Mempersiapkan untuk cutover ke Amazon FSx Konfigurasikan SPN untuk autentikasi Kerberos Perbarui catatan DNS CNAME untuk sistem file Amazon FSx

Memotong operasi ke Amazon FSx for Windows File Server

Setelah memigrasikan penyimpanan file lokal, konfigurasi berbagi file, dan konfigurasi DNS, langkah selanjutnya adalah memotong operasi Anda ke sistem file FSx for Windows File Server. Untuk memotong ke sistem file FSx for Windows File Server Anda, Anda melakukan langkah-langkah berikut:

Bersiap untuk cut over.
- Putuskan sambungan sementara klien SMB dari sistem file yang asli.
- Lakukan sinkronisasi konfigurasi file akhir dan Berbagi file.
Mengkonfigurasi nama utama layanan (SPN) untuk sistem file Amazon FSx Anda.
Perbarui catatan DNS CNAME untuk menunjuk ke sistem file Amazon FSx Anda.

Prosedur untuk melakukan setiap langkah ini disediakan di bagian-bagian berikut.

Topik

Mempersiapkan untuk cutover ke Amazon FSx
Konfigurasikan SPN untuk autentikasi Kerberos
Perbarui catatan DNS CNAME untuk sistem file Amazon FSx

Mempersiapkan untuk cutover ke Amazon FSx

Untuk mempersiapkan cutover ke sistem file Amazon FSx Anda, Anda harus melakukan hal berikut:

Putuskan sambungan semua klien yang menulis ke sistem file yang asli.
Lakukan sinkronisasi file akhir menggunakan AWS DataSync atau Robocopy. Untuk informasi selengkapnya, lihat Migrasi penyimpanan file yang ada ke FSx for Windows File Server.
Lakukan sinkronisasi konfigurasi Berbagi file akhir. Untuk informasi selengkapnya, lihat Memigrasi konfigurasi berbagi file lokal ke Amazon FSx.

Konfigurasikan SPN untuk autentikasi Kerberos

Kami menyarankan Anda menggunakan Kerberos-based otentikasi dan enkripsi dalam perjalanan dengan Amazon FSx. Kerberos menyediakan autentikasi paling aman untuk klien yang mengakses sistem file Anda. Untuk mengaktifkan autentikasi Kerberos agar klien dapat mengakses Amazon FSx menggunakan alias DNS, Anda harus menambahkan nama utama layanan (SPN) yang sesuai dengan alias DNS pada objek komputer Direktori Aktif sistem file Amazon FSx Anda.

Ada dua SPN yang diperlukan untuk autentikasi Kerberos.


HOST/alias
HOST/alias.domain

Sebagai contoh, jika alias adalah finance.domain.com, dua SPN yang diperlukan adalah sebagai berikut.


HOST/finance
HOST/finance.domain.com

SPN hanya dapat dikaitkan dengan objek komputer direktori aktif tunggal pada satu waktu. Jika terdapat SPN yang sudah ada untuk nama DNS yang dikonfigurasi untuk objek komputer Direktori Aktif sistem file asli Anda, Anda harus menghapusnya sebelum membuat SPN untuk sistem file Amazon FSx Anda.

Prosedur berikut menjelaskan cara menemukan SPN yang ada, cara menghapusnya, dan membuat SPN yang baru untuk objek komputer Direktori Aktif dari sistem file Amazon FSx Anda.

Untuk menginstal modul PowerShell Active Directory yang diperlukan

Masuklah ke instans Windows bergabung ke Direktori Aktif yang diikuti oleh sistem file Amazon FSx Anda.
Buka PowerShell sebagai administrator.
Instal modul PowerShell Active Directory menggunakan perintah berikut.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Untuk menemukan dan menghapus SPN alias DNS yang ada pada objek komputer Direktori Aktif dari sistem file asli

Temukan SPN yang ada yang mana saja dengan menggunakan perintah berikut. Ganti alias_fqdn dengan alias DNS yang Anda kaitkan dengan sistem file di Memigrasi konfigurasi DNS lokal Anda ke fsX for Windows File Server.
```
## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])
```

Hapus SPN HOST yang ada yang dikembalikan di langkah sebelumnya dengan menggunakan skrip contoh berikut ini.

Ganti alias_fqdn dengan alias DNS penuh yang Anda kaitkan dengan sistem file di Memigrasi konfigurasi DNS lokal Anda ke fsX for Windows File Server.
Ganti file_system_DNS_name dengan nama DNS dari sistem file yang asli.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Ulangi langkah-langkah untuk setiap alias DNS yang Anda kaitkan dengan sistem file di Memigrasi konfigurasi DNS lokal Anda ke fsX for Windows File Server.

Untuk mengatur SPN pada objek komputer Direktori Aktif milik sistem file Amazon FSx Anda

Atur SPN baru untuk sistem file Amazon FSx Anda dengan menjalankan perintah berikut.
- Ganti file_system_DNS_name dengan nama DNS yang Amazon FSx ditugaskan ke sistem file.
  
  Untuk mencari nama DNS sistem file anda pada konsol Amazon FSx, pilih Sistem file, dan pilih sistem file anda. Pilih jendela Jaringan & keamanan di halaman detail sistem file. Anda juga bisa mendapatkan nama DNS sebagai respons operasi DescribeFileSystemsAPI.
- Ganti alias_fqdn dengan alias DNS penuh yang Anda kaitkan dengan sistem file di Memigrasi konfigurasi DNS lokal Anda ke fsX for Windows File Server.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
catatan
Pengaturan sebuah SPN untuk sistem file Amazon FSx Anda akan gagal jika SPN untuk alias DNS berada di AD untuk objek komputer dari sistem file yang asli. Untuk informasi tentang menemukan dan menghapus SPN yang ada, lihat Untuk menemukan dan menghapus SPN alias DNS yang ada pada objek komputer Direktori Aktif dari sistem file asli.
Verifikasi bahwa SPN yang baru dikonfigurasi untuk alias DNS menggunakan skrip contoh berikut ini. Pastikan bahwa respon mencakup dua SPN HOST, HOST/alias dan HOST/alias_fqdn.

Ganti file_system_DNS_name dengan nama DNS yang Amazon FSx ditugaskan ke sistem file Anda. Untuk mencari nama DNS sistem file Anda pada konsol Amazon FSx, pilih Sistem file, pilih sistem file Anda, dan kemudian pilih panel Jaringan & keamanan pada halaman detail sistem file.

Anda juga bisa mendapatkan nama DNS sebagai respons operasi DescribeFileSystemsAPI.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Ulangi langkah-langkah sebelumnya untuk setiap alias DNS yang telah dikaitkan dengan sistem file di Memigrasi konfigurasi DNS lokal Anda ke fsX for Windows File Server.

catatan

Anda dapat memberlakukan autentikasi Kerberos dan enkripsi transit dengan klien yang terhubung ke sistem file Anda menggunakan alias DNS dengan mengatur Objek Kebijakan Grup (GPO) berikut di Direktori Aktif Anda:

Membatasi NTLM: Lalu lintas NTLM Outgoing ke server jarak jauh
Membatasi NTLM: Menambahkan pengecualian server jarak jauh untuk autentikasi NTLM

Untuk informasi selengkapnya, lihat Menegakkan otentikasi Kerberos menggunakan Objek Kebijakan Grup (GPO) di Panduan 5: Menggunakan alias DNS untuk mengakses sistem file Anda.

Perbarui catatan DNS CNAME untuk sistem file Amazon FSx

Setelah Anda dengan benar mengonfigurasi SPN untuk sistem file Anda, Anda dapat melakukan cut over ke Amazon FSx dengan mengganti setiap catatan DNS yang diubah ke sistem file yang asli dengan catatan DNS yang berubah ke nama DNS default sistem file Amazon FSx.

Untuk menginstal PowerShell cmdlet yang diperlukan

Masuk ke instance Windows yang bergabung dengan Direktori Aktif tempat sistem file Amazon FSx Anda bergabung sebagai pengguna yang merupakan anggota grup yang memiliki izin administrasi DNS (Administrator Sistem Nama Domain AWS Delegasi di Direktori Aktif AWS Microsoft Terkelola, dan Admin Domain atau grup lain tempat Anda telah mendelegasikan izin administrasi DNS di Direktori Aktif yang dikelola sendiri)

Untuk informasi selengkapnya, lihat Menyambungkan ke instans Windows Anda di Panduan Pengguna Amazon EC2.
Buka PowerShell sebagai administrator.
Modul server PowerShell DNS diperlukan untuk melakukan instruksi dalam prosedur ini. Instal menggunakan perintah berikut.
```
Install-WindowsFeature RSAT-DNS-Server
```

Untuk memperbarui catatan DNS CNAME yang ada

Skrip berikut memperbarui catatan DNS CNAME yang ada untuk alias_fqdn ke objek komputer sistem file Amazon FSx Anda. Jika tidak ada yang ditemukan, maka catatan DNS CNAME yang baru diciptakan untuk alias DNS alias_fqdn yang mengubah ke nama DNS default untuk sistem file Amazon FSx Anda.

Untuk menjalankan skrip:
- Ganti alias_fqdn dengan alias DNS yang Anda kaitkan dengan sistem file.
- Ganti file_system_DNS_name dengan nama DNS default yang Amazon FSx telah ditugaskan untuk itu ke sistem file.
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name)[0]

Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
Ulangi langkah-langkah sebelumnya untuk setiap alias DNS yang Anda kaitkan dengan sistem file di Memigrasi konfigurasi DNS lokal Anda ke fsX for Windows File Server.

Konvensi Dokumen

Memigrasi konfigurasi DNS lokal Anda ke fsX for Windows File Server

Memantau sistem file