As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para unir uma SVM a um Microsoft AD autogerenciado
Antes de associar uma SVM do FSx para ONTAP a um domínio do Microsoft AD autogerenciado, verifique se o Active Directory e a rede atendem aos requisitos descritos nas seções a seguir.
Tópicos
On-premises Requisitos do Active Directory
Verifique se você já tem um Microsoft AD on-premises ou autogerenciado ao qual possa unir a SVM. Esse Active Directory deve ter a seguinte configuração:
-
O nível funcional de domínio do controlador de domínios do Active Directory está no Windows Server 2000 ou posterior.
-
O Active Directory usa um nome de domínio que não está no formato de domínio de rótulo único (SLD). O Amazon FSx não é compatível com domínios de SLD.
-
Se você tiver sites do Active Directory definidos, certifique-se de que as sub-redes na VPC associada ao seu sistema de arquivos do FSx para ONTAP estejam definidas nos mesmos sites do Active Directory e que não existam conflitos entre as sub-redes da VPC e as sub-redes nos sites do Active Directory.
nota
Se você estiver usando Directory Service, o FSx for ONTAP não suporta a junção de SVMs ao Simple Active Directory.
Requisitos de configuração de rede
Confira se você tem as configurações de rede a seguir e as informações associadas disponíveis para você.
Importante
Para a junção de uma SVM com o Active Directory, você precisa garantir que as portas documentadas neste tópico permitam tráfego entre todos os controladores de domínio do Active Directory e os dois endereços IP iSCSI (as interfaces lógicas iscsi_1 e iscsi_2) na SVM.
-
Os endereços IP do servidor DNS e do controlador de domínios do Active Directory.
-
Conectividade entre a Amazon VPC em que você está criando o sistema de arquivos e o Active Directory autogerenciado usando Direct Connect
, Site-to-Site VPN ou AWS Transit Gateway . -
O grupo de segurança e as ACLs da rede VPC para as sub-redes em que você está criando o sistema de arquivos devem permitir tráfego nas portas e nas direções mostradas no diagrama a seguir.
A função de cada porta é descrita na tabela a seguir.
Protocolo
Portas
Perfil
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Autenticação de Kerberos
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
TCP
445
Compartilhamento de arquivos de SMB para serviços de diretório
TCP/UDP
464
Change/Set senha
TCP
636
LDAPS TLS/SSL (Lightweight Directory Access Protocol over)
-
Essas regras de tráfego também devem ser espelhadas nos firewalls aplicados a cada um dos controladores de domínio do Active Directory, servidores DNS, clientes do FSx e administradores do FSx.
Importante
Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas apenas na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs das redes VPC exige que as portas sejam abertas nas duas direções.
Requisitos de conta de serviço do Active Directory
Confira se você tem uma conta de serviço em seu Microsoft AD autogerenciado, com permissões delegadas para unir computadores ao domínio. Uma conta de serviço é uma conta de usuário no Active Directory autogerenciado que recebeu a delegação de certas tarefas.
No mínimo, as seguintes permissões devem ser delegadas à conta de serviço na UO à qual você está unindo a SVM:
-
Capacidade de redefinir senhas
-
Capacidade de restringir contas de ler e gravar dados
-
Capacidade de definir a propriedade
msDS-SupportedEncryptionTypesem objetos de computador -
Capacidade validada para gravar no nome do host DNS
-
Capacidade validada para gravar no nome da entidade principal de serviço
-
Capacidade para criar e excluir objetos de computador
-
Capacidade validada para ler e gravar restrições de conta
Elas representam o conjunto mínimo de permissões necessárias para associar objetos de computador ao Active Directory. Para obter mais informações, consulte o tópico da documentação do Windows Server Erro: o acesso é negado quando usuários não administradores que receberam controle delegado tentam unir computadores a um controlador de domínio
Você pode armazenar suas credenciais de conta de serviço do Active Directory em AWS Secrets Manager (recomendado) e fornecer ao Amazon FSx um ARN secreto para ingressar no Active Directory, ou você pode fornecer credenciais em texto simples.
Para saber mais sobre como criar uma conta de serviço com as permissões corretas, consulte Delegar permissões à conta de serviço do Amazon FSx.
Importante
O Amazon FSx exige uma conta de serviço válida durante toda a vida útil do sistema de arquivos do Amazon FSx. O Amazon FSx deve ser capaz de gerenciar totalmente o sistema de arquivos e executar tarefas que exijam que ele faça e desfaça a junção de recursos com o domínio do Active Directory. Essas tarefas incluem a substituição de um sistema de arquivos ou SVM com falha ou a correção do software NetApp ONTAP. Mantenha as informações da sua configuração do Active Directory atualizadas com o Amazon FSx, incluindo as credenciais da conta de serviço. Para saber mais, consulte Manter a configuração do Active Directory atualizada com o Amazon FSx.
Se esta é a primeira vez que você usa AWS um FSx for ONTAP, certifique-se de concluir as etapas iniciais de configuração antes de iniciar sua integração com o Active Directory. Para obter mais informações, consulte Configurar o FSx para ONTAP.
Importante
Não mova objetos de computador que o Amazon FSx cria na UO após a criação de suas SVMs, nem exclua seu Active Directory enquanto sua SVM estiver associada a ele. Isso fará com que as SVMs sejam configuradas incorretamente.