Requisitos previos para unir una SVM a un Microsoft AD autogestionado
Antes de unir una SVM de FSx para ONTAP a un dominio de Microsoft AD autogestionado, asegúrese de que Active Directory y su red cumplen los requisitos descritos en las siguientes secciones.
Temas
Requisitos de Active Directory en las instalaciones
Asegúrese de que ya dispone de un Microsoft AD en las instalaciones u otro AD autogestionado al que pueda unirse la SVM. Este Active Directory debe tener la siguiente configuración:
-
El controlador de dominio de Active Directory tiene un nivel funcional de dominio de Windows Server 2000 o superior.
-
El Active Directory usa un nombre de dominio que no tiene el formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.
-
Si tiene sitios de Active Directory definidos, corrobore que las subredes de la VPC que está asociada al sistema de archivos de FSx para ONTAP están definidas en los mismos sitios de Active Directory y que no hay discrepancias entre las subredes de la VPC y las subredes de los sitios de Active Directory.
nota
Si utiliza Directory Service, FSx para ONTAP no admite la unión de las SVM a Simple Active Directory.
Requisitos de configuración de la red
Asegúrese de tener las siguientes configuraciones de red y de disponer de la información asociada.
importante
Para que una SVM se una a Active Directory, debe asegurarse de que los puertos documentados en este tema permitan el tráfico entre todos los controladores de dominio de Active Directory y las dos direcciones IP iSCSI (interfaces lógicas (LIF) iscsi_1 e iscsi_2) en la SVM.
-
Las direcciones IP del servidor DNS y del controlador de dominio de Active Directory.
-
La conectividad debe estar configurada entre la Amazon VPC donde desea crear el sistema de archivos y el Active Directory autogestionado utilizando Direct Connect
, Site-to-Site VPN o AWS Transit Gateway . -
El grupo de seguridad y las ACL de red de la VPC para las subredes en las que está creando el sistema de archivos deben permitir el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.
El rol de cada puerto se describe en la tabla siguiente.
Protocolo
Puertos
Rol
TCP/UDP
53
Sistema de nombres de dominio (DNS)
TCP/UDP
88
Autenticación de Kerberos
TCP/UDP
389
Protocolo ligero de acceso a directorios (LDAP)
TCP
445
Uso compartido de archivos SMB de Directory Services
TCP/UDP
464
Cambiar/establecer contraseña
TCP
636
Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)
-
Estas reglas de tráfico también deben reflejarse en los firewalls que se aplican a cada uno de los controladores de dominio del Active Directory, los servidores del DNS y los clientes y administradores de FSx.
importante
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.
Requisitos de la cuenta de servicio de Active Directory
Asegúrese de que dispone de una cuenta de servicio en su Microsoft AD autogestionado que tenga permisos delegados para unir equipos al dominio. Una cuenta de servicio es una cuenta de usuario del Active Directory autoadministrado a la que se le delegó permiso para realizar determinadas tareas.
Como mínimo, se deben delegar en la cuenta de servicio los siguientes permisos en la OU a la que se va a unir a la SVM:
-
Capacidad de restablecer las contraseñas
-
Capacidad de restringir la lectura y escritura de datos en las cuentas
-
Capacidad de establecer la propiedad
msDS-SupportedEncryptionTypesen objetos de equipo -
Capacidad validada para escribir en el nombre de host del DNS
-
Capacidad validada para escribir en el nombre de entidad principal del servicio
-
Capacidad para crear y eliminar objetos del equipo
-
Capacidad validada para leer y escribir las restricciones de la cuenta
Estos representan el conjunto mínimo de permisos que se necesitan para unir objetos informáticos al Active Directory. Para obtener más información, consulte el tema Error de la documentación de Windows Server: se deniega el acceso cuando usuarios no administradores a los que se les ha delegado el control intentan unir equipos a un controlador de dominio
Puede almacenar las credenciales de su cuenta de servicio del Active Directory en AWS Secrets Manager (recomendado) y proporcionar a Amazon FSx un ARN secreto para que se una a su Active Directory, o puede proporcionar credenciales de texto simple.
Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Delegación de privilegios a la cuenta de servicio Amazon FSx.
importante
Amazon FSx requiere una cuenta de servicio válida durante toda la vida útil del sistema de archivos de Amazon FSx. Amazon FSx debe poder administrar completamente el sistema de archivos y realizar tareas que requieran que desuna y vuelva a unir los recursos al dominio de Active Directory. Estas tareas incluyen la sustitución de un sistema de archivos o SVM defectuosa o la aplicación de parches al software NetApp ONTAP. Mantenga actualizada la información de configuración del Active Directory con Amazon FSx, incluso las credenciales de la cuenta de servicio. Para obtener más información, consulte Mantener la configuración del Active Directory actualizada con Amazon FSx.
Si es la primera vez que usa AWS y FSx para ONTAP, procure completar los pasos de configuración iniciales antes de iniciar la integración con Active Directory. Para obtener más información, consulte Configuración de FSx para ONTAP.
importante
No mueva los objetos de equipo que Amazon FSx crea en la OU después de que se creen sus SVM, ni elimine el Active Directory mientras la SVM esté unida a él. Si lo hace, las SVM se desconfigurarán.
