View a markdown version of this page

如何将 SVM 加入 Microsoft Active Directory - FSx for ONTAP
所需的 Active Directory 信息

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何将 SVM 加入 Microsoft Active Directory

您的组织可能会使用 Active Directory 管理身份和设备,而无论是在本地还是在云中。借助 FSx for ONTAP,可以通过以下方式将 SVM 直接加入现有 Active Directory 域:

  • 创建时将新的 SVM 加入 Active Directory:

    • 使用 Amazon FSx 控制台中的标准创建选项创建新的 FSx for ONTAP 文件系统时,可以将默认 SVM 加入自行管理的 Active Directory。有关更多信息,请参阅 创建文件系统(控制台)

    • 使用亚马逊 FSx 控制台或 Amazon FSx API 在现有 FSx for ONTAP 文件系统上创建新的 SVM。 AWS CLI有关更多信息,请参阅 创建存储虚拟机(SVM)

  • 将现有 SVM 加入 Active Directory:

    • 使用 AWS 管理控制台 AWS CLI、和 API 将 SVM 加入活动目录,并在首次尝试加入失败时重新尝试将 SVM 加入活动目录。还可以更新已加入 Active Directory 的 SVM 的某些 Active Directory 配置属性。有关更多信息,请参阅 管理 SVM Active Directory 配置

    • 使用 NetApp ONTAP CLI 或 REST API 加入、重新尝试加入和取消加入 SVM Active Directory 配置。有关更多信息,请参阅 使用 CLI 更新 SVM 活动目录配置 NetApp

重要

  • 如果使用 Microsoft DNS 作为默认 DNS 服务,Amazon FSx 仅注册 SVM 的 DNS 记录。如果使用第三方 DNS,则必须在创建 Amazon FSx SVM 后手动为其设置 DNS 条目。

  • 如果使用 AWS Managed Microsoft AD,则必须指定一个群组,例如 AWS 委托 FSx 管理员、 AWS 授权管理员或具有向 OU 委派权限的自定义群组。

当您将 FSx for ONTAP SVM 直接加入自行管理的 Active Directory 时,SVM 将与您的用户和现有资源(包括现有文件服务器)位于同一 Active Directory 林(Active Directory 配置中包含域、用户和计算机的最顶层逻辑容器)和同一个 Active Directory 域中。

将 SVM 加入 Active Directory 时所需的信息

无论选择哪种 API 操作,在将 SVM 加入 Active Directory 时,您都必须提供有关 Active Directory 的以下信息:

  • 为 SVM 创建的 Active Directory 计算机对象的 NetBIOS 名称。这是 Active Directory 中 SVM 的名称,其在 Active Directory 中必须唯一。不要使用主域的 NetBIOS 名称。NetBIOS 名称不能超过 15 个字符。

  • Active Directory 域的完全限定域名(FQDN)。FQDN 不能超过 255 个字符。

    注意

    FQDN 不能采用单标签域(SLD)格式。Amazon FSx 不支持 SLD 域。

  • 域的 DNS 服务器或域主机的 IP 地址(最多三个)。

    DNS 服务器 IP 地址和 Active Directory 域控制器 IP 地址可以在任何 IP 地址范围内,但以下地址除外:

    • 与其中的 Amazon Web Services-owned IP 地址冲突的 IP 地址 AWS 区域。有关按地区划分 AWS 的 IP 地址列表,请参阅 AWS IP 地址范围

    • 以下 CIDR 区块范围内的 IP 地址:198.19.0。 0/16

  • Amazon FSx 用于将 SVM 加入域的 Active Directory 服务账户的凭证。可通过以下任一方式提供这些凭证:

    • 选项 1: AWS Secrets Manager 秘密 ARN-包含您的 Active Directory 域上服务帐户的用户名和密码的密钥。有关更多信息,请参阅 使用存储活动目录凭证 AWS Secrets Manager

    • 选项 2:纯文本凭证

      • 服务账户用户名:现有 Microsoft Active Directory 中服务账户的用户名。请勿包含域前缀或后缀。例如,对于 EXAMPLE\ADMIN,仅使用 ADMIN

      • 服务账户密码 – 服务账户的密码。

  • (可选)域中 SVM 所加入的组织单元(OU)。

    注意

    如果您将 SVM 加入 Act AWS Directory Service ive Directory,则必须提供一个 OU,该组织单元位于为相关的目录对象 Directory Service 创建的默认 OU 中。 AWS这是因为 Directory Service 不提供对您的 Active Directory 默认 Computers OU 的访问权限。例如,如果您的 Active Directory 域是 example.com,则可以指定以下 OU:OU=Computers,OU=example,DC=example,DC=com

  • (可选)您要将授权委派给的域组,使其对文件系统执行管理操作。例如,此域组可以管理 Windows SMB 文件共享、获取文件和文件夹的所有权等。如果您未指定此组,Amazon FSx 会默认将此授权委派给 Active Directory 域中的域管理员组。