本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 将 SVM 加入自行管理的 Microsoft AD 的先决条件 在将 FSx for ONTAP SVM 加入自行管理的 Microsoft AD 域之前,请确保 Active Directory 和网络符合以下部分中描述的要求。 **Topics** + [On-premises 活动目录要求](#ontap-ad-on-prem-prereqs) + [网络配置要求](#ontap-ad-network-configs) + [Active Directory 服务账户要求](#ontap-ad-service-account-prereqs) ## On-premises 活动目录要求 确保您已经有一个本地或其他自行管理的 Microsoft AD,可以在其中加入 SVM。此 Active Directory 应具有以下配置: + Active Directory 域控制器的域功能级别为 Windows Server 2000 或更高版本。 + Active Directory 使用的域名不是单标签域(SLD)格式。Amazon FSx 不支持 SLD 域。 + 如果您定义了 Active Directory 站点,请确保 FSx for ONTAP 文件系统所关联 VPC 中的子网在相同 Active Directory 站点中定义,并且 VPC 子网与 Active Directory 站点上的子网之间不存在冲突。 **注意** 如果您使用的是 Directory Service,则适用于 ONTAP 的 FSx 不支持将 SVM 加入简单活动目录。 ## 网络配置要求 确保您进行了以下网络配置并具有相关信息。 **重要** 要将 SVM 加入 Active Directory,您需要确保本主题中介绍的端口允许所有 Active Directory 域控制器与 SVM 上的两个 iSCSI IP 地址(iscsi\_1 和 iscsi\_2 逻辑接口(LIF))之间的流量。 + DNS 服务器和 Active Directory 域控制器的 IP 地址。 + 使用 [Direct Connect](https://aws.amazon.com/directconnect/)、[Site-to-Site VPN](https://aws.amazon.com/vpn/) 或 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) 在创建文件系统的 Amazon VPC 与自行管理的 Active Directory 之间建立了连接。 + 要在其上创建文件系统的子网的安全组和 VPC 网络 ACL 必须允许下图所示端口和方向上的流量。 ![FSx for ONTAP 端口配置要求示意图,展示了要在其中创建 FSx for ONTAP 文件系统的子网的 VPC 安全组和网络 ACL 要求。](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/images/ontap-port-requirements.png) 下表说明了每个端口的作用。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/self-manage-prereqs.html) + 这些流量规则也应镜像到适用于每个 Active Directory 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。 **重要** 虽然 Amazon VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。 ## Active Directory 服务账户要求 确保您在自行管理的 Microsoft AD 中有一个服务账户,该账户具有将计算机加入该域的委派权限。*服务账户*是自行管理的 Active Directory 中的一个用户账户,该账户已被委派某些任务。 在要加入 SVM 的 OU 中,必须至少为服务账户委派了以下权限: + 能够重置密码 + 能够限制账户读取和写入数据 + 能够在计算机对象上设置 `msDS-SupportedEncryptionTypes` 属性 + 验证写入 DNS 主机名的能力 + 验证写入服务主体名称的能力 + 能够创建和删除计算机对象 + 经过验证的读取和写入账户限制的能力 这些权限代表将计算机对象加入到您的 Active Directory 至少需要具备的一组权限。有关更多信息,请参阅 Windows Server 文档主题 [Error: Access is denied when non-administrator users who have been delegated control try to join computers to a domain controller](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con)。 您可以将您的 Active Directory 服务账户凭证存储在 AWS Secrets Manager (推荐)中,并向 Amazon FSx 提供加入 Active Directory 的秘密 ARN,也可以提供纯文本凭证。 要了解有关创建具有正确权限的服务账户的更多信息,请参阅[向 Amazon FSx 服务账户委托权限](self-managed-AD-best-practices.md#connect_delegate_privileges)。 **重要** Amazon FSx 在 Amazon FSx 文件系统的整个生命周期中都需要有一个有效的服务账户。Amazon FSx 必须能够完全管理文件系统,并执行以下任务:要求文件系统将资源取消加入和重新加入 Active Directory 域。这些任务包括更换出现故障的文件系统或 SVM,或者修补 NetApp ONTAP 软件。使用 Amazon FSx 更新您的 Active Directory 配置信息,包括服务账户凭证。要了解更多信息,请参阅[使用 Amazon FSx 确保 Active Directory 配置不断更新](self-managed-AD-best-practices.md#keep-ad-config-updated)。 如果这是您首次使用 AWS 适用于 ONTAP 的 FSx,请确保在开始 Active Directory 集成之前完成初始设置步骤。有关更多信息,请参阅 [设置 FSx for ONTAP](getting-started.md#setting-up)。 **重要** 不要移动 Amazon FSx 在创建 SVM 后在 OU 中创建的计算机对象,也不要在您的 SVM 加入 Active Directory 时删除 Active Directory。这样做会导致您的 SVM 配置错误。