Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan nama utama layanan (SPN) untuk Kerberos
<a name="step2-configure-spn-kerberos"></a>

Kami menyarankan Anda menggunakan Kerberos-based otentikasi dan enkripsi dalam perjalanan dengan Amazon FSx. Kerberos menyediakan autentikasi paling aman untuk klien yang mengakses sistem file Anda.

Untuk mengaktifkan autentikasi Kerberos untuk para klien yang mengakses Amazon FSx dengan menggunakan alias DNS, Anda harus menambahkan nama utama layanan (SPN) yang sesuai dengan alias DNS pada objek komputer Direktori Aktif sistem file Amazon FSx Anda. SPN hanya dapat dikaitkan dengan objek komputer direktori aktif tunggal pada satu waktu. Jika Anda memiliki SPN yang ada untuk nama DNS yang dikonfigurasi untuk objek komputer Direktori Aktif sistem file asli Anda, maka Anda harus menghapusnya terlebih dahulu. 

Ada dua SPN yang diperlukan untuk autentikasi Kerberos:

```
HOST/{{alias}}
HOST/{{alias.domain}}
```

Jika aliasnya adalah `finance.domain.com`, berikut ini adalah dua SPN yang diperlukan:

```
HOST/finance
HOST/finance.domain.com
```

**catatan**  
Anda akan perlu menghapus SPN HOST yang ada yang bersesuaian dengan alias DNS pada objek komputer Direktori Aktif sebelum Anda membuat SPN HOST baru untuk objek komputer Direktori Aktif (AD) sistem file Amazon FSx Anda. Upaya untuk mengatur SPN untuk sistem file Amazon FSx Anda akan gagal jika SPN untuk alias DNS ada di AD.

Prosedur berikut menjelaskan cara melakukan hal berikut:
+ Menemukan setiap SPN dari alias DNS yang ada pada objek komputer Direktori Aktif sistem file asli.
+ Menghapus SPN yang ada yang ditemukan, jika ada.
+ Membuat SPN alias DNS baru untuk objek komputer Direktori Aktif sistem file Amazon FSx Anda.

**Untuk menginstal modul PowerShell Active Directory yang diperlukan**

1. Log on ke instans Windows yang digabungkan dengan Direktori Aktif yang padanyan sistem file Amazon FSx Anda bergabung.

1. Buka PowerShell sebagai administrator.

1. Instal modul PowerShell Active Directory menggunakan perintah berikut.

   ```
   Install-WindowsFeature RSAT-AD-PowerShell
   ```<a name="find-delete-existing-spns"></a>

**Untuk menemukan dan menghapus SPN alias DNS yang ada pada objek komputer Direktori Aktif dari sistem file asli**

Jika Anda memiliki SPNs terkonfigurasikan untuk alias DNS yang telah Anda tugaskan ke sistem lain pada objek komputer di Direktori Aktif, Anda harus terlebih dahulu menghapus SPNs tersebut sebelum menambahkan SPNs ke objek komputer sistem filter Anda.

1. Temukan SPN yang ada dengan menggunakan perintah berikut. Ganti `{{alias_fqdn}}` dengan alias DNS yang Anda kaitkan dengan sistem file di [Langkah 1:](step1-assign-dns-alias.md).

   ```
   ## Find SPNs for original file system's AD computer object
   $ALIAS = "{{alias_fqdn}}"
   SetSPN /Q ("HOST/" + $ALIAS)
   SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])
   ```

1. Hapus SPN HOST yang ada yang dikembalikan pada langkah sebelumnya dengan menggunakan skrip contoh berikut.
   + Ganti `{{alias_fqdn}}` dengan alias DNS penuh yang Anda kaitkan dengan sistem file di [Langkah 1:](step1-assign-dns-alias.md).
   + Ganti `{{file_system_DNS_name}}` dengan nama DNS sistem file yang semula.

   ```
   ## Delete SPNs for original file system's AD computer object
   $Alias = "{{alias_fqdn}}"
   $FileSystemDnsName = "{{file_system_dns_name}}"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   
   SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
   SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name
   ```

1. Ulangi langkah-langkah sebelumnya untuk setiap alias DNS yang telah dikaitkan dengan sistem file di [Langkah 1:](step1-assign-dns-alias.md).

**Untuk mengatur SPN pada objek komputer Direktori Aktif sistem file Amazon FSx Anda**

1. Atur SPN baru untuk sistem file Amazon FSx Anda dengan menjalankan perintah berikut.
   + Ganti `{{file_system_DNS_name}}` dengan nama DNS yang ditetapkan Amazon FSx ke sistem file. 

     Untuk mencari nama DNS sistem file Anda pada konsol Amazon FSx, pilih **Sistem file**, pilih sistem file Anda, dan kemudian pilih panel **Jaringan & keamanan** pada halaman detail sistem file. 

     Anda juga bisa mendapatkan nama DNS sebagai respons operasi [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API.
   + Ganti `{{alias_fqdn}}` dengan alias DNS penuh yang Anda kaitkan dengan sistem file di [Langkah 1:](step1-assign-dns-alias.md).

   ```
   ## Set SPNs for FSx file system AD computer object
   $FSxDnsName = "{{file_system_DNS_name}}"
   $Alias = "{{alias_fqdn}}"
   $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)
   
   ##Use the following command to set both the full FQDN and Alias SPNs
   Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}
   ```
**catatan**  
Pengaturan SPN untuk sistem file Amazon FSx Anda akan gagal jika SPN untuk alias DNS ada di AD untuk objek komputer sistem file asli. Untuk informasi tentang menemukan dan menghapus SPN yang ada, lihat [Untuk menemukan dan menghapus SPN alias DNS yang ada pada objek komputer Direktori Aktif dari sistem file asli](#find-delete-existing-spns).

1. Verifikasi bahwa SPN baru telah dikonfigurasi untuk alias DNS dengan menggunakan skrip contoh berikut. Pastikan bahwa respon menyertakan dua SPN HOST, `HOST/{{alias}}` dan `HOST/{{alias_fqdn}}`, seperti yang dijelaskan sebelumnya dalam prosedur ini.

   Ganti `{{file_system_DNS_name}}` dengan nama DNS yang ditetapkan Amazon FSx ke sistem file Anda. Untuk mencari nama DNS sistem file Anda pada konsol Amazon FSx, pilih **Sistem file**, pilih sistem file Anda, dan kemudian pilih panel **Jaringan & keamanan** pada halaman detail sistem file. 

   Anda juga bisa mendapatkan nama DNS sebagai respons operasi [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API.

   ```
   ## Verify SPNs on FSx file system AD computer object
   $FileSystemDnsName = "{{file_system_dns_name}}"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   SetSpn /L ${FSxAdComputer}.Name
   ```

1. Ulangi langkah-langkah sebelumnya untuk setiap alias DNS yang telah dikaitkan dengan sistem file di [Langkah 1:](step1-assign-dns-alias.md).