Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configurar las AWS DataSync transferencias con un servidor de archivos SMB
<a name="create-smb-location"></a>

Con él AWS DataSync, puede transferir datos entre su servidor de archivos del bloque de mensajes del servidor (SMB) y los siguientes servicios AWS de almacenamiento. Los servicios de almacenamiento compatibles dependen del modo de tarea, como se muestra a continuación:


| Modo básico | Modo mejorado | 
| --- | --- | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/create-smb-location.html)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/create-smb-location.html)  | 

Para configurar este tipo de transferencia, cree una [ubicación](how-datasync-transfer-works.md#sync-locations) de transferencia para su servidos de archivos de SMB. Puede usar esto como origen o destino de la transferencia. Asegúrese de utilizar el agente que corresponda al modo de tarea deseado.

## Proporcionar DataSync acceso a los servidores de archivos SMB
<a name="configuring-smb"></a>

DataSync se conecta al servidor de archivos mediante el protocolo SMB y puede autenticarse con NTLM o Kerberos.

**Topics**
+ [Versiones compatibles de SMB](#configuring-smb-version)
+ [Uso de la autenticación NTLM](#configuring-smb-ntlm-authentication)
+ [Uso de la autenticación Kerberos](#configuring-smb-kerberos-authentication)
+ [Permisos necesarios](#configuring-smb-permissions)
+ [Espacios de nombres de DFS](#configuring-smb-location-dfs)

### Versiones compatibles de SMB
<a name="configuring-smb-version"></a>

De forma predeterminada, elige DataSync automáticamente una versión del protocolo SMB en función de la negociación con el servidor de archivos SMB.

También puede configurarlo DataSync para usar una versión SMB específica, pero le recomendamos que lo haga solo si DataSync tiene problemas para negociar automáticamente con el servidor de archivos SMB. DataSync es compatible con las versiones 1.0 y posteriores para SMB. Por motivos de seguridad, se recomienda utilizar SMB versión 3.0.2 o posterior. Las versiones anteriores, como SMB 1.0, contienen vulnerabilidades de seguridad conocidas que los atacantes pueden explotar para comprometer los datos.

Consulte la siguiente tabla para ver una lista de las opciones de la DataSync consola y la API:


| Opción de la consola | Opción de la API | Description (Descripción) | 
| --- | --- | --- | 
| Automático |  `AUTOMATIC`  |  DataSync y el servidor de archivos SMB negocian la versión más alta de SMB que admiten mutuamente, entre la 2.1 y la 3.1.1. Esta es la opción predeterminada y recomendada. Si, por el contrario, elige una versión específica que el servidor de archivos no admite, es posible que aparezca un error `Operation Not Supported`.  | 
|  SMB 3.0.2  |  `SMB3`  |  Restringe la negociación del protocolo solo a la versión 3.0.2 de SMB.  | 
| SMB 2.1 |  `SMB2`  | Restringe la negociación del protocolo solo a la versión 2.1 de SMB. | 
| SMB 2.0 | `SMB2_0` | Restringe la negociación del protocolo solo a la versión 2.0 de SMB. | 
| SMB 1.0 | `SMB1` | Restringe la negociación del protocolo solo a la versión 1.0 de SMB. | 

### Uso de la autenticación NTLM
<a name="configuring-smb-ntlm-authentication"></a>

Para usar la autenticación NTLM, debe proporcionar un nombre de usuario y una contraseña que le permitan acceder DataSync al servidor de archivos SMB desde o hacia el que está realizando la transferencia. El usuario puede ser un usuario local del servidor de archivos o un usuario de dominio en Microsoft Active Directory.

### Uso de la autenticación Kerberos
<a name="configuring-smb-kerberos-authentication"></a>

Para usar la autenticación Kerberos, debe proporcionar un elemento principal de Kerberos, un archivo de tabla de claves (keytab) de Kerberos y un archivo de configuración de Kerberos que le permitan acceder DataSync al servidor de archivos SMB desde o hacia el que está realizando la transferencia.

**Topics**
+ [Requisitos previos](#configuring-smb-kerberos-prerequisites)
+ [DataSync opciones de configuración para Kerberos](#configuring-smb-kerberos-options)

#### Requisitos previos
<a name="configuring-smb-kerberos-prerequisites"></a>

Debe crear un par de artefactos de Kerberos y configurar la red para que DataSync pueda acceder al servidor de archivos SMB.
+ Cree un archivo keytab de Kerberos mediante la utilidad [ktpass](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass) o [kutil](https://web.mit.edu/kerberos/krb5-1.12/doc/admin/admin_commands/ktutil.html).

  El siguiente ejemplo crea un archivo keytab mediante `ktpass`. El dominio (realm) de Kerberos (`MYDOMAIN.ORG`) que especifique debe estar en mayúsculas.

  ```
  ktpass /out C:\YOUR_KEYTAB.keytab /princ HOST/kerberosuser@MYDOMAIN.ORG /mapuser kerberosuser /pass * /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL
  ```
+ Prepare una versión simplificada del archivo de configuración de Kerberos (`krb5.conf`). Incluya información sobre el dominio de Kerberos (realm), la ubicación de los servidores administradores del dominio, y las asignaciones de nombres de host al dominio (realm) de Kerberos.

  Verifique que el contenido `krb5.conf` tenga el formato adecuado con el uso correcto de mayúsculas y minúsculas mixtas para los dominios (realms) y los nombres de dominio del dominio (realm). Por ejemplo:

  ```
  [libdefaults] 
    dns_lookup_realm = true 
    dns_lookup_kdc = true 
    forwardable = true 
    default_realm = MYDOMAIN.ORG
  
  [realms] 
    MYDOMAIN.ORG = { 
      kdc = mydomain.org 
      admin_server = mydomain.org 
    }
  
  [domain_realm] 
    .mydomain.org = MYDOMAIN.ORG 
    mydomain.org = MYDOMAIN.ORG
  ```
+ En la configuración de red, asegúrese de que el puerto del servidor del Centro de distribución de claves de Kerberos (KDC) esté abierto. El puerto del KDC suele ser el puerto TCP 88.

#### DataSync opciones de configuración para Kerberos
<a name="configuring-smb-kerberos-options"></a>

Al crear una ubicación SMB que utilice Kerberos, configure las siguientes opciones.


| Opción de la consola | Opción de la API | Description (Descripción) | 
| --- | --- | --- | 
|  **servidor SMB**  |  `ServerHostName`  |  El nombre de dominio del servidor de archivos SMB que montará su DataSync agente. Con Kerberos, no puede especificar la dirección IP del servidor de archivos.  | 
|  **Entidad principal de Kerberos**  |  `KerberosPrincipal`  |  Una identidad en el dominio (realm) de Kerberos que tiene permiso para acceder a los archivos, las carpetas y los metadatos de archivos en el servidor de archivos SMB. Una entidad principal de Kerberos puede tener un formato similar a `HOST/kerberosuser@MYDOMAIN.ORG`. Los nombres de las entidades principales distinguen entre mayúsculas y minúsculas.  | 
|  **Archivo keytab**  |  `KerberosKeytab`   |  Un archivo de tabla de claves de Kerberos (keytab) que incluye asignaciones entre la entidad principal de Kerberos y las claves de cifrado.  | 
|  **Archivo de configuración de Kerberos**  |  `KerberosKrbConf`  |  Un archivo `krb5.conf` que define la configuración del dominio (realm) de Kerberos.  | 
|  **Direcciones IP de DNS** (opcional)  |  `DnsIpAddresses`  |  Las IPv4 direcciones de los servidores DNS a los que pertenece su servidor de archivos SMB. Si tiene varios dominios en su entorno, al configurarlos se asegura de que DataSync se conecten al servidor de archivos SMB correcto.  | 

### Permisos necesarios
<a name="configuring-smb-permissions"></a>

La identidad que proporcione DataSync debe tener permiso para montar y acceder a los archivos, carpetas y metadatos de archivos de su servidor de archivos SMB.

Si proporciona una identidad en su Active Directory, debe ser miembro de un grupo de Active Directory con uno o ambos de los siguientes derechos de usuario (según los [metadatos que desee DataSync copiar](configure-metadata.md)):


| Derecho de usuario | Description (Descripción) | 
| --- | --- | 
|  **Restaurar archivos y directorios** (`SE_RESTORE_NAME`)  |  Permite DataSync copiar la propiedad de los objetos, los permisos, los metadatos de los archivos y las listas de acceso discrecional de NTFS ()DACLs. Este derecho de usuario se suele conceder a los miembros de los grupos **Domain Admins** y **Backup Operators** (ambos grupos predeterminados de Active Directory).  | 
|  **Administre el registro de auditoría y seguridad** () `SE_SECURITY_NAME`  |  Permite copiar DataSync las listas de control de acceso al sistema NTFS (). SACLs **Este derecho de usuario se suele conceder a los miembros del grupo de administradores de dominio.**   | 

Si desea copiar Windows ACLs y va a realizar una transferencia entre un servidor de archivos SMB y otro sistema de almacenamiento que utilice SMB (como Amazon FSx for Windows File Server o FSx ONTAP), la identidad que proporcione DataSync debe pertenecer al mismo dominio de Active Directory o tener una relación de confianza de Active Directory entre sus dominios.

### Espacios de nombres de DFS
<a name="configuring-smb-location-dfs"></a>

DataSync no admite los espacios de nombres del Sistema de archivos distribuido (DFS) de Microsoft. En su lugar, se recomienda especificar un servidor de archivos subyacente o un recurso compartido al crear la ubicación. DataSync 

## Creación de la ubicación de transferencia de SMB
<a name="create-smb-location-how-to"></a>

Antes de empezar, necesita un servidor de archivos SMB desde el que quiera transferir datos.

### Uso de la DataSync consola
<a name="create-smb-location-how-to-console"></a>

1. Abra la AWS DataSync consola en [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).

1. En el panel de navegación situado a la izquierda, expanda **Transferencia de datos** y, a continuación, seleccione **Ubicaciones** y **Crear ubicación**.

1. En **Location type (Tipo de ubicación)**, elija **Server Message Block (SMB)**.

   Puede configurar esta ubicación como origen o destino posteriormente.

1. En el caso de **los agentes**, elija el DataSync agente que se pueda conectar a su servidor de archivos SMB.

   Puede elegir más de un agente. Para obtener más información, consulte [Uso de varios DataSync agentes](do-i-need-datasync-agent.md#multiple-agents).

1. Para el **servidor SMB**, introduzca el nombre de dominio o la dirección IP del servidor de archivos SMB que montará su DataSync agente.

   Tenga en cuenta lo siguiente con esta configuración:
   + No puede especificar una dirección IP de versión 6 (IPv6).
   + Si utiliza autenticación Kerberos, debe especificar un nombre de dominio.

1. En **Nombre del recurso compartido**, introduzca el nombre del recurso compartido exportado por el servidor de archivos SMB donde DataSync se leerán o escribirán los datos.

   Puede incluir un subdirectorio en la ruta del recurso compartido (por ejemplo, `/path/to/subdirectory`). Asegúrese de que otros clientes de SMB de la red también puedan montar esta ruta. 

   Para copiar todos los datos del subdirectorio, DataSync debe poder montar el recurso compartido SMB y acceder a todos sus datos. Para obtener más información, consulte [Permisos necesarios](#configuring-smb-permissions).

1. (Opcional) Amplíe **la configuración adicional** y elija una **versión SMB** para utilizarla DataSync al acceder al servidor de archivos.

   De forma predeterminada, elige DataSync automáticamente una versión en función de la negociación con el servidor de archivos SMB. Para obtener información, consulte [Versiones compatibles de SMB](#configuring-smb-version).

1. En **Tipo de autenticación**, seleccione **NTLM** o **Kerberos**.

1. Realice una de las siguientes acciones según el tipo de autenticación:

------
#### [ NTLM ]
   + En **Usuario**, especifique el nombre del usuario que puede montar su servidor de archivos SMB y que tiene permiso para acceder a los archivos y carpetas que intervienen en la transferencia.

     Para obtener más información, consulte [Permisos necesarios](#configuring-smb-permissions).
   + En **Contraseña**, introduzca la contraseña del usuario que puede montar su servidor de archivos SMB y que tiene los permisos para acceder a los archivos y carpetas que intervienen en la transferencia.
   + (Opcional) En **Dominio**, ingrese el nombre del dominio de Windows al que pertenece su servidor de archivos SMB.

     Si tiene varios dominios en su entorno, al configurar esta configuración se asegura de que DataSync se conecte al servidor de archivos SMB correcto.

------
#### [ Kerberos ]
   + En **Entidad principal de Kerberos**, especifique una entidad principal en el dominio (realm) de Kerberos que tenga permiso para acceder a los archivos, las carpetas y los metadatos de archivos del servidor de archivos SMB.

     Una entidad principal de Kerberos puede tener un formato similar a `HOST/kerberosuser@MYDOMAIN.ORG`.

     Los nombres de las entidades principales distinguen entre mayúsculas y minúsculas. La ejecución de la DataSync tarea fallará si el principal que especifique para esta configuración no coincide exactamente con el principal que utilizó para crear el archivo keytab.
   + En **Archivo keytab**, cargue un archivo keytab que incluya las asignaciones entre la entidad principal de Kerberos y las claves de cifrado.
   + En **Archivo de configuración de Kerberos**, cargue un archivo `krb5.conf` que defina la configuración del dominio (realm) de Kerberos.
   + (Opcional) Para **las direcciones IP DNS**, especifique hasta dos IPv4 direcciones para los servidores DNS a los que pertenece el servidor de archivos SMB. 

     Si tiene varios dominios en su entorno, la configuración de este parámetro garantiza que DataSync se conecte al servidor de archivos SMB correcto.

------

1. (Opcional) Seleccione **Añadir etiqueta** para etiquetar su ubicación de SMB.

   Las *etiquetas* son pares de clave-valor que le ayudan a administrar, filtrar y buscar sus recursos de DataSync. Le recomendamos crear al menos una etiqueta de nombre para su ubicación. 

1. Seleccione **Crear ubicación**.

### Mediante el AWS CLI
<a name="create-location-smb-cli"></a>

Las siguientes instrucciones describen cómo crear ubicaciones SMB con autenticación NTLM o Kerberos.

------
#### [ NTLM ]

1. Copie el siguiente comando `create-location-smb`.

   ```
   aws datasync create-location-smb \
       --agent-arns datasync-agent-arns \
       --server-hostname smb-server-address \
       --subdirectory smb-export-path \
       --authentication-type "NTLM" \
       --user user-who-can-mount-share \
       --password user-password \
       --domain windows-domain-of-smb-server
   ```

1. Para`--agent-arns`, especifique el DataSync agente que se puede conectar a su servidor de archivos SMB.

   Puede elegir más de un agente. Para obtener más información, consulte [Uso de varios DataSync agentes](do-i-need-datasync-agent.md#multiple-agents).

1. Para`--server-hostname`, especifique el nombre de dominio o la IPv4 dirección del servidor de archivos SMB que montará el DataSync agente. 

1. Para ello`--subdirectory`, especifique el nombre del recurso compartido exportado por el servidor de archivos SMB en el que se DataSync leerán o escribirán los datos.

   Puede incluir un subdirectorio en la ruta del recurso compartido (por ejemplo, `/path/to/subdirectory`). Asegúrese de que otros clientes de SMB de la red también puedan montar esta ruta. 

   Para copiar todos los datos del subdirectorio, DataSync debe poder montar el recurso compartido SMB y acceder a todos sus datos. Para obtener más información, consulte [Permisos necesarios](#configuring-smb-permissions).

1. En `--user`, especifique un nombre de usuario que pueda montar el servidor de archivos SMB y que tenga permiso para acceder a los archivos y carpetas implicados en la transferencia.

   Para obtener más información, consulte [Permisos necesarios](#configuring-smb-permissions).

1. En `--password`, especifique la contraseña del usuario que puede montar el servidor de archivos SMB y que tiene permiso para acceder a los archivos y carpetas implicados en la transferencia.

1. (Opcional) En `--domain`, especifique el nombre del dominio de Windows al que pertenece el servidor de archivos SMB.

   Si tiene varios dominios en su entorno, al configurar esta configuración se asegura de que DataSync se conecte al servidor de archivos SMB correcto.

1. (Opcional) Añada la `--version` opción si desea DataSync utilizar una versión SMB específica. Para obtener más información, consulte [Versiones compatibles de SMB](#configuring-smb-version).

1. Ejecute el comando `create-location-smb`.

   Si el comando se ejecuta correctamente, recibirá una respuesta que le mostrará el ARN de la ubicación que creó. Por ejemplo:

   ```
   {
       "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
   }
   ```

------
#### [ Kerberos ]

1. Copie el siguiente comando `create-location-smb`.

   ```
   aws datasync create-location-smb \
       --agent-arns datasync-agent-arns \
       --server-hostname smb-server-address \
       --subdirectory smb-export-path \
       --authentication-type "KERBEROS" \
       --kerberos-principal "HOST/kerberosuser@EXAMPLE.COM" \
       --kerberos-keytab "fileb://path/to/file.keytab" \
       --kerberos-krb5-conf "file://path/to/krb5.conf" \
       --dns-ip-addresses array-of-ipv4-addresses
   ```

1. Para`--agent-arns`, especifique el DataSync agente que se puede conectar a su servidor de archivos SMB.

   Puede elegir más de un agente. Para obtener más información, consulte [Uso de varios DataSync agentes](do-i-need-datasync-agent.md#multiple-agents).

1. Para`--server-hostname`, especifique el nombre de dominio del servidor de archivos SMB que montará el DataSync agente. 

1. Para ello`--subdirectory`, especifique el nombre del recurso compartido exportado por el servidor de archivos SMB donde se DataSync leerán o escribirán los datos.

   Puede incluir un subdirectorio en la ruta del recurso compartido (por ejemplo, `/path/to/subdirectory`). Asegúrese de que otros clientes de SMB de la red también puedan montar esta ruta. 

   Para copiar todos los datos del subdirectorio, DataSync debe poder montar el recurso compartido SMB y acceder a todos sus datos. Para obtener más información, consulte [Permisos necesarios](#configuring-smb-permissions).

1. Para las opciones de Kerberos, realice lo siguiente:
   + `--kerberos-principal`: especifique una entidad principal en el dominio (realm) de Kerberos que tenga permiso para acceder a los archivos, las carpetas y los metadatos de archivos del servidor de archivos SMB.

     Una entidad principal de Kerberos puede tener un formato similar a `HOST/kerberosuser@MYDOMAIN.ORG`.

     Los nombres de las entidades principales distinguen entre mayúsculas y minúsculas. La ejecución de la DataSync tarea fallará si el principal que especifique para esta opción no coincide exactamente con el principal que utilizó para crear el archivo keytab.
   + `--kerberos-keytab`: especifique un archivo keytab que incluya las asignaciones entre la entidad principal de Kerberos y las claves de cifrado.
   + `--kerberos-krb5-conf`: especifique un archivo `krb5.conf` que defina la configuración del dominio (realm) de Kerberos.
   + (Opcional)`--dns-ip-addresses`: especifique hasta dos IPv4 direcciones para los servidores DNS a los que pertenece el servidor de archivos SMB. 

     Si tiene varios dominios en su entorno, la configuración de este parámetro garantiza que DataSync se conecte al servidor de archivos SMB correcto.

1. (Opcional) Añada la `--version` opción si desea DataSync utilizar una versión SMB específica. Para obtener más información, consulte [Versiones compatibles de SMB](#configuring-smb-version).

1. Ejecute el comando `create-location-smb`.

   Si el comando se ejecuta correctamente, recibirá una respuesta que le mostrará el ARN de la ubicación que creó. Por ejemplo:

   ```
   {
       "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
   }
   ```

------