Cómo funciona la unión de las SVM a Microsoft Active Directory
Su organización puede gestionar las identidades y los dispositivos mediante un Active Directory, ya sea en las instalaciones o en la nube. Con FSx para ONTAP, puede unir las SVM directamente al dominio del Active Directory existente de las siguientes maneras:
Unir nuevas SVM a un Active Directory en el momento de crearlo:
Con la opción Creación estándar de la consola de Amazon FSx para crear un nuevo sistema de archivos de FSx para ONTAP, puede unir las SVM predeterminadas a un Active Directory autoadministrado. Para obtener más información, consulte Cómo crear un sistema de archivos (consola).
Uso de la consola de Amazon FSx, la AWS CLI o de la API de Amazon FSx para crear una nueva SVM en un sistema de archivos de FSx para ONTAP existente. Para obtener más información, consulte Creación de máquinas virtuales de almacenamiento (SVM).
Unir SVM existentes a un Active Directory:
Usar la Consola de administración de AWS, la AWS CLI y la API para unir una SVM a un Active Directory y volver a intentar unir una SVM a un Active Directory si hubo un error en el primer intento de unión. También puede actualizar algunas propiedades de configuración de Active Directory para las SVM que ya están unidas a un Active Directory. Para obtener más información, consulte Administración de las configuraciones del Active Directory de la SVM.
Uso de la CLI de NetApp ONTAP o la API de REST para unir, volver a intentar unir y desunir las configuraciones de Active Directory de la SVM. Para obtener más información, consulte Actualización de configuraciones de la SVM del Active Directory mediante la CLI de NetApp.
importante
Amazon FSx solo registra registros DNS para una SVM si utiliza Microsoft DNS como servicio DNS predeterminado. Si utiliza un DNS de terceros, deberá configurar las entradas DNS manualmente para sus SVM de Amazon FSx después de crearlas.
Si utiliza AWS Managed Microsoft AD, debe especificar un grupo como Administradores FSx Delegados de AWS, Administradores Delegados de AWS o un grupo personalizado con permisos delegados a la OU.
Al unir una SVM de FSx para ONTAP directamente a un Active Directory autoadministrado, la SVM reside en el mismo bosque del Active Directory (el contenedor lógico superior de una configuración de Active Directory que contiene dominios, usuarios y equipos) y en el mismo dominio de Active Directory que los usuarios y recursos existentes, incluidos los servidores de archivos existentes.
Información necesaria para unir un SVM a un Active Directory
Debe proporcionar la siguiente información sobre el Active Directory al unir una SVM a un Active Directory, independientemente de la operación de API que elija:
El nombre NetBIOS del objeto de equipo de Active Directory que se creará para la SVM. Este es el nombre de la SVM en Active Directory, que debe ser único en el Active Directory. No utilice el nombre NetBIOS del dominio principal. El nombre NetBIOS no puede superar los 15 caracteres.
El fully qualified domain name (FQDN) de su Active Directory. El FQDN no puede superar los 255 caracteres.
nota
El FQDN no puede estar en el formato de dominio de etiqueta única (SLD). Amazon FSx no admite dominios SLD.
-
Hasta tres direcciones IP de los servidores DNS o los hosts de dominio de su dominio.
Las direcciones IP del servidor DNS y las direcciones IP del controlador de dominio de Active Directory pueden estar en cualquier rango de direcciones IP, excepto:
Las direcciones IP que entran en conflicto con las que son propiedad de Amazon Web Services en esa Región de AWS. Para obtener una lista de direcciones IP de AWS por región, consulte los Rangos de direcciones IP de AWS.
Direcciones IP en el siguiente rango de bloques de CIDR: 198.19.0.0/16
-
Credenciales de una cuenta de servicio de Active Directory que Amazon FSx utiliza para unir la SVM a su dominio. Puede proporcionarlas de la siguiente manera:
-
Opción 1: ARN secreto de AWS Secrets Manager. El secreto que contiene el nombre de usuario y contraseña de una cuenta de servicio en el dominio de Active Directory. Para obtener más información, consulte Almacenamiento de credenciales de Active Directory mediante AWS Secrets Manager.
-
Opción 2: credenciales en texto simple
-
Nombre del usuario de la cuenta de servicio: el nombre de usuario de la cuenta de servicio de su Active Directory de Microsoft actual. No incluya un prefijo o sufijo de dominio. Por ejemplo, para
EXAMPLE\ADMIN, utilice soloADMIN. -
Service account password: la contraseña de la cuenta de servicio.
-
-
-
(Opcional) La unidad organizativa (OU) del dominio al que se une la SVM.
nota
Si une la SVM a un Active Directory de AWS Directory Service, debe proporcionar una OU que esté dentro de la OU predeterminada que Directory Service crea para los objetos de directorio relacionados con AWS. Esto se debe a que Directory Service no proporciona acceso a la OU de
Computerspredeterminada del Active Directory. Por ejemplo, si el dominio de Active Directory esexample.com, puede especificar la siguiente OU:OU=Computers,OU=example,DC=example,DC=com. -
(Opcional) El grupo de dominios en el que quiere delegar la autoridad para realizar acciones administrativas en el sistema de archivos. Por ejemplo, este grupo de dominios puede administrar los recursos compartidos de archivos SMB de Windows, tomar posesión de archivos y carpetas, etc. Si no especifica este grupo, Amazon FSx delega esta autoridad en el grupo de Administradores de dominio de su dominio del Active Directory de forma predeterminada.
