Configura i nomi principali dei servizi (SPN) per Kerberos

Ti consigliamo di utilizzare l' Kerberos-based autenticazione e la crittografia in transito con Amazon FSx. Kerberos fornisce l'autenticazione più sicura per i client che accedono al tuo file system.

Per abilitare l'autenticazione Kerberos per i client che accedono ad Amazon FSx utilizzando un alias DNS, devi aggiungere nomi principali di servizio (SPN) che corrispondono all'alias DNS sull'oggetto computer Active Directory del tuo file system Amazon FSx. Un SPN può essere associato solo a un singolo oggetto informatico Active Directory alla volta. Se disponi di SPN esistenti per il nome DNS configurato per l'oggetto computer Active Directory del file system originale, devi prima eliminarli.

Sono necessari due SPN per l'autenticazione Kerberos:


HOST/alias
HOST/alias.domain

Se l'alias èfinance.domain.com, i due SPN richiesti sono i seguenti:


HOST/finance
HOST/finance.domain.com

Nota

Dovrai eliminare tutti gli SPN HOST esistenti che corrispondono all'alias DNS sull'oggetto computer Active Directory prima di creare nuovi SPN HOST per l'oggetto computer Active Directory (AD) del tuo file system Amazon FSx. I tentativi di impostare gli SPN per il file system Amazon FSx falliranno se nell'AD esiste un SPN per l'alias DNS.

Le seguenti procedure descrivono come eseguire le seguenti operazioni:

Trova tutti gli alias DNS SPN esistenti nell'oggetto computer Active Directory del file system originale.
Elimina gli SPN esistenti trovati, se presenti.
Crea nuovi alias DNS SPN per l'oggetto computer Active Directory del tuo file system Amazon FSx.

Per installare il modulo Active Directory richiesto PowerShell

Accedi a un'istanza Windows aggiunta all'Active Directory a cui è unito il tuo file system Amazon FSx.
Apri PowerShell come amministratore.
Installa il modulo PowerShell Active Directory utilizzando il seguente comando.
```
Install-WindowsFeature RSAT-AD-PowerShell
```

Per trovare ed eliminare gli alias DNS esistenti, SPN sull'oggetto computer Active Directory del file system originale

Se hai degli SPN configurati per l'alias DNS che hai assegnato a un altro ﬁle system su un oggetto computer in Active Directory, devi prima rimuovere tali SPN prima di aggiungere gli SPN all'oggetto computer del tuo ﬁle system.

Trova tutti gli SPN esistenti utilizzando i seguenti comandi. Sostituiscilo alias_fqdn con l'alias DNS associato al file system nel passaggio 1.


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

Eliminare gli SPN HOST esistenti restituiti nel passaggio precedente utilizzando lo script di esempio seguente.

Sostituiscilo alias_fqdn con l'alias DNS completo associato al file system nel passaggio 1.
Sostituire file_system_DNS_name con il nome DNS del file system originale.


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

Ripeti i passaggi precedenti per ogni alias DNS associato al file system nel passaggio 1.

Per impostare gli SPN sull'oggetto computer Active Directory del tuo file system Amazon FSx

Imposta nuovi SPN per il tuo file system Amazon FSx eseguendo i seguenti comandi.
- Sostituisci file_system_DNS_name con il nome DNS assegnato da Amazon FSx al file system.
  
  Per trovare il nome DNS del tuo file system sulla console Amazon FSx, scegli File system, scegli il tuo file system, quindi scegli il pannello Rete e sicurezza nella pagina dei dettagli del file system.
  
  Puoi anche ottenere il nome DNS nella risposta dell'DescribeFileSystemsoperazione API.
- Sostituiscilo alias_fqdn con l'alias DNS completo associato al file system nel passaggio 1.
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use the following command to set both the full FQDN and Alias SPNs
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}
```
Nota
L'impostazione di un SPN per il file system Amazon FSx avrà esito negativo se nell'AD per l'oggetto computer del file system originale esiste un SPN per l'alias DNS. Per informazioni su come trovare ed eliminare gli SPN esistenti, consulta. Per trovare ed eliminare gli alias DNS esistenti, SPN sull'oggetto computer Active Directory del file system originale
Verifica che i nuovi SPN siano configurati per l'alias DNS utilizzando lo script di esempio seguente. Assicuratevi che la risposta includa due HOST SPN HOST/alias eHOST/alias_fqdn, come descritto in precedenza in questa procedura.

Sostituisci file_system_DNS_name con il nome DNS assegnato da Amazon FSx al tuo file system. Per trovare il nome DNS del tuo file system sulla console Amazon FSx, scegli File system, scegli il tuo file system, quindi scegli il pannello Rete e sicurezza nella pagina dei dettagli del file system.

Puoi anche ottenere il nome DNS nella risposta dell'DescribeFileSystemsoperazione API.
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
Ripeti i passaggi precedenti per ogni alias DNS che hai associato al file system nel passaggio 1.

Convenzioni dei documenti

Associa gli alias DNS al tuo file system

Aggiorna o crea un record DNS CNAME