Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration des AWS DataSync transferts avec un serveur de fichiers SMB
Avec AWS DataSync, vous pouvez transférer des données entre votre serveur de fichiers SMB (Server Message Block) et les services AWS de stockage suivants. Les services de stockage pris en charge dépendent de votre mode de tâche, comme indiqué ci-dessous :
| Mode de base | Mode amélioré |
| --- | --- |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/create-smb-location.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/datasync/latest/userguide/create-smb-location.html) |
Pour configurer ce type de transfert, vous devez créer un [emplacement](how-datasync-transfer-works.md#sync-locations) pour votre serveur de fichiers SMB. Vous pouvez l'utiliser comme source ou destination de transfert. Veillez à utiliser l'agent correspondant au mode de tâche souhaité.
## Fournir un DataSync accès aux serveurs de fichiers des PME
DataSync se connecte à votre serveur de fichiers via le protocole SMB et peut s'authentifier avec NTLM ou Kerberos.
**Topics**
+ [Versions SMB prises en charge](#configuring-smb-version)
+ [Utilisation de l'authentification NTLM](#configuring-smb-ntlm-authentication)
+ [Utilisation de l’authentification Kerberos](#configuring-smb-kerberos-authentication)
+ [Autorisations requises](#configuring-smb-permissions)
+ [Espaces de noms DFS](#configuring-smb-location-dfs)
### Versions SMB prises en charge
Par défaut, choisit DataSync automatiquement une version du protocole SMB en fonction de la négociation avec votre serveur de fichiers SMB.
Vous pouvez également configurer DataSync pour utiliser une version SMB spécifique, mais nous vous recommandons de le faire uniquement si DataSync vous rencontrez des difficultés pour négocier automatiquement avec le serveur de fichiers SMB. DataSync prend en charge les versions SMB 1.0 et ultérieures. Pour des raisons de sécurité, nous vous recommandons d'utiliser SMB version 3.0.2 ou ultérieure. Les versions antérieures, telles que SMB 1.0, contiennent des failles de sécurité connues que les attaquants peuvent exploiter pour compromettre vos données.
Consultez le tableau suivant pour obtenir la liste des options de la DataSync console et de l'API :
| Option console | Option d'API | Description |
| --- | --- | --- |
| Automatique | `AUTOMATIC` | DataSync et le serveur de fichiers SMB négocient la version la plus élevée de SMB qu'ils supportent mutuellement entre 2.1 et 3.1.1. Il s'agit de l'option recommandée par défaut. Si vous optez pour une version spécifique que votre serveur de fichiers ne prend pas en charge, vous risquez de recevoir une erreur `Operation Not Supported`. |
| SMB 3.0.2 | `SMB3` | Limite la négociation du protocole à la version SMB 3.0.2 uniquement. |
| SMB 2.1 | `SMB2` | Limite la négociation du protocole à la version 2.1 de SMB uniquement. |
| SMB 2.0 | `SMB2_0` | Limite la négociation du protocole à la version 2.0 de SMB uniquement. |
| SMB 1.0 | `SMB1` | Limite la négociation du protocole à la version 1.0 de SMB uniquement. |
### Utilisation de l'authentification NTLM
Pour utiliser l'authentification NTLM, vous devez fournir un nom d'utilisateur et un mot de passe qui permettent d'accéder DataSync au serveur de fichiers SMB vers ou depuis lequel vous effectuez le transfert. L'utilisateur peut être un utilisateur local sur votre serveur de fichiers ou un utilisateur de domaine dans votre Microsoft Active Directory.
### Utilisation de l’authentification Kerberos
Pour utiliser l'authentification Kerberos, vous devez fournir un fichier principal Kerberos, un fichier de table de clés Kerberos (keytab) et un fichier de configuration Kerberos qui permettent d'accéder DataSync au serveur de fichiers SMB vers ou depuis lequel vous effectuez le transfert.
**Topics**
+ [Conditions préalables](#configuring-smb-kerberos-prerequisites)
+ [DataSync options de configuration pour Kerberos](#configuring-smb-kerberos-options)
#### Conditions préalables
Vous devez créer quelques artefacts Kerberos et configurer votre réseau de manière à DataSync pouvoir accéder à votre serveur de fichiers SMB.
+ [Créez un fichier keytab Kerberos à l'aide de l'utilitaire [ktpass](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass) ou kutil.](https://web.mit.edu/kerberos/krb5-1.12/doc/admin/admin_commands/ktutil.html)
L'exemple suivant crée un fichier keytab à l'aide `ktpass` de. Le domaine Kerberos que vous spécifiez (`MYDOMAIN.ORG`) doit être en majuscules.
```
ktpass /out C:\YOUR_KEYTAB.keytab /princ HOST/kerberosuser@MYDOMAIN.ORG /mapuser kerberosuser /pass * /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL
```
+ Préparez une version simplifiée du fichier de configuration Kerberos ()`krb5.conf`. Incluez des informations sur le domaine, l'emplacement des serveurs d'administration du domaine et les mappages des noms d'hôtes sur un domaine Kerberos.
Vérifiez que le `krb5.conf` contenu est formaté avec le bon boîtier mixte pour les domaines et les noms de domaine. Par exemple :
```
[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true
default_realm = MYDOMAIN.ORG
[realms]
MYDOMAIN.ORG = {
kdc = mydomain.org
admin_server = mydomain.org
}
[domain_realm]
.mydomain.org = MYDOMAIN.ORG
mydomain.org = MYDOMAIN.ORG
```
+ Dans la configuration de votre réseau, assurez-vous que le port du serveur du centre de distribution de clés Kerberos (KDC) est ouvert. Le port KDC est généralement le port TCP 88.
#### DataSync options de configuration pour Kerberos
Lorsque vous créez un emplacement SMB utilisant Kerberos, vous configurez les options suivantes.
| Option console | Option d'API | Description |
| --- | --- | --- |
| **Serveur SMB** | `ServerHostName` | Le nom de domaine du serveur de fichiers SMB que votre DataSync agent va monter. Pour Kerberos, vous ne pouvez pas spécifier l'adresse IP du serveur de fichiers. |
| **Kerberos principal** | `KerberosPrincipal` | Identité dans votre domaine Kerberos autorisée à accéder aux fichiers, aux dossiers et aux métadonnées des fichiers sur votre serveur de fichiers SMB. Un principal Kerberos peut ressembler à. `HOST/kerberosuser@MYDOMAIN.ORG` Les noms principaux distinguent les majuscules et minuscules. |
| **fichier Keytab** | `KerberosKeytab` | Un fichier de table de clés Kerberos (keytab), qui inclut les mappages entre votre clé principale Kerberos et vos clés de chiffrement. |
| **Fichier de configuration Kerberos** | `KerberosKrbConf` | `krb5.conf`Fichier qui définit la configuration de votre domaine Kerberos. |
| **Adresses IP DNS** (facultatif) | `DnsIpAddresses` | Les IPv4 adresses des serveurs DNS auxquels appartient votre serveur de fichiers SMB. Si votre environnement comporte plusieurs domaines, sa configuration garantit la DataSync connexion au bon serveur de fichiers SMB. |
### Autorisations requises
L'identité que vous fournissez DataSync doit être autorisée à monter et à accéder aux fichiers, dossiers et métadonnées de fichiers de votre serveur de fichiers SMB.
Si vous fournissez une identité dans votre Active Directory, celle-ci doit être membre d'un groupe Active Directory avec l'un des droits d'utilisateur suivants ou les deux (selon les [métadonnées que vous DataSync souhaitez copier](configure-metadata.md)) :
| Droit de l'utilisateur | Description |
| --- | --- |
| **Restaurer des fichiers et des répertoires** (`SE_RESTORE_NAME`) | Permet DataSync de copier la propriété des objets, les autorisations, les métadonnées des fichiers et les listes d'accès discrétionnaires NTFS ()DACLs. Ce droit d'utilisateur est généralement accordé aux membres des groupes **Domain Admins** et **Backup Operators** (qui sont tous deux des groupes Active Directory par défaut). |
| **Gérer le journal d'audit et de sécurité** (`SE_SECURITY_NAME`) | Permet DataSync de copier les listes de contrôle d'accès au système NTFS (SACLs). Ce droit d'utilisateur est généralement accordé aux membres du groupe des **administrateurs de domaine**. |
Si vous souhaitez copier Windows ACLs et effectuez un transfert entre un serveur de fichiers SMB et un autre système de stockage utilisant SMB (tel qu'Amazon FSx pour Windows File Server ou FSx ONTAP), l'identité que vous fournissez DataSync doit appartenir au même domaine Active Directory ou avoir une relation de confiance Active Directory entre leurs domaines.
### Espaces de noms DFS
DataSync ne prend pas en charge les espaces de noms Microsoft Distributed File System (DFS). Nous vous recommandons de spécifier un serveur de fichiers ou un partage sous-jacent lors de la création de votre DataSync emplacement.
## Création de votre lieu de transfert pour PME
Avant de commencer, vous avez besoin d'un serveur de fichiers SMB à partir duquel vous souhaitez transférer des données.
### Utilisation de la DataSync console
1. Ouvrez la AWS DataSync console à l'adresse [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. Dans le volet de navigation de gauche, développez **Transfert de données**, puis choisissez **Locations** et **Create location**.
1. Pour **Location type (Type d'emplacement)**, choisissez **Server Message Block (SMB)**.
Vous configurerez cet emplacement comme source ou destination plus tard.
1. Pour les **agents**, choisissez l' DataSync agent qui peut se connecter à votre serveur de fichiers SMB.
Vous pouvez choisir plusieurs agents. Pour de plus amples informations, veuillez consulter [Utilisation de plusieurs DataSync agents](do-i-need-datasync-agent.md#multiple-agents).
1. Pour le **serveur SMB**, entrez le nom de domaine ou l'adresse IP du serveur de fichiers SMB que votre DataSync agent va monter.
N'oubliez pas ce qui suit avec ce paramètre :
+ Vous ne pouvez pas spécifier d'adresse IP version 6 (IPv6).
+ Si vous utilisez l'authentification Kerberos, vous devez spécifier un nom de domaine.
1. Dans **Nom du partage**, entrez le nom du partage exporté par votre serveur de fichiers SMB où les données DataSync seront lues ou écrites.
Vous pouvez inclure un sous-répertoire dans le chemin de partage (par exemple,`/path/to/subdirectory`). Assurez-vous que les autres clients SMB de votre réseau peuvent également monter ce chemin.
Pour copier toutes les données du sous-répertoire, vous DataSync devez être en mesure de monter le partage SMB et d'accéder à toutes ses données. Pour de plus amples informations, veuillez consulter [Autorisations requises](#configuring-smb-permissions).
1. (Facultatif) Développez **les paramètres supplémentaires** et choisissez une **version SMB** DataSync à utiliser lors de l'accès à votre serveur de fichiers.
Par défaut, choisit DataSync automatiquement une version en fonction de la négociation avec le serveur de fichiers SMB. Pour plus d'informations, consultez [Versions SMB prises en charge](#configuring-smb-version).
1. **Pour le **type d'authentification**, choisissez **NTLM** ou Kerberos.**
1. Procédez de l'une des manières suivantes en fonction de votre type d'authentification :
------
#### [ NTLM ]
+ Dans **Utilisateur**, entrez un nom d'utilisateur capable de monter votre serveur de fichiers SMB et autorisé à accéder aux fichiers et dossiers concernés par votre transfert.
Pour de plus amples informations, veuillez consulter [Autorisations requises](#configuring-smb-permissions).
+ Dans **Mot de passe**, entrez le mot de passe de l'utilisateur qui peut monter votre serveur de fichiers SMB et qui est autorisé à accéder aux fichiers et dossiers concernés par votre transfert.
+ (Facultatif) Dans le champ **Domaine**, entrez le nom de domaine Windows auquel appartient votre serveur de fichiers SMB.
Si votre environnement comporte plusieurs domaines, la configuration de ce paramètre garantit la DataSync connexion au bon serveur de fichiers SMB.
------
#### [ Kerberos ]
+ Pour le **principal Kerberos**, spécifiez un principal dans votre domaine Kerberos autorisé à accéder aux fichiers, aux dossiers et aux métadonnées des fichiers sur votre serveur de fichiers SMB.
Un principal Kerberos peut ressembler à. `HOST/kerberosuser@MYDOMAIN.ORG`
Les noms principaux distinguent les majuscules et minuscules. L'exécution de votre DataSync tâche échouera si le principal que vous spécifiez pour ce paramètre ne correspond pas exactement au principal que vous avez utilisé pour créer le fichier keytab.
+ Pour le fichier **Keytab, téléchargez un fichier** keytab qui inclut les mappages entre votre clé principale Kerberos et votre clé de chiffrement.
+ Pour le fichier de **configuration Kerberos, téléchargez un `krb5.conf` fichier** qui définit la configuration de votre domaine Kerberos.
+ (Facultatif) Pour les **adresses IP DNS**, spécifiez jusqu'à deux IPv4 adresses pour les serveurs DNS auxquels appartient votre serveur de fichiers SMB.
Si votre environnement comporte plusieurs domaines, la configuration de ce paramètre garantit la DataSync connexion au bon serveur de fichiers SMB.
------
1. (Facultatif) Choisissez **Ajouter un tag** pour étiqueter l'emplacement de votre PME.
Les *tags* sont des paires clé-valeur qui vous permettent de gérer, de filtrer et de rechercher vos emplacements. Nous vous recommandons de créer au moins une balise de nom pour votre emplacement.
1. Choisissez **Créer un emplacement**.
### À l'aide du AWS CLI
Les instructions suivantes décrivent comment créer des emplacements SMB avec l'authentification NTLM ou Kerberos.
------
#### [ NTLM ]
1. Copiez la `create-location-smb` commande suivante.
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "NTLM" \
--user user-who-can-mount-share \
--password user-password \
--domain windows-domain-of-smb-server
```
1. Pour`--agent-arns`, spécifiez l' DataSync agent qui peut se connecter à votre serveur de fichiers SMB.
Vous pouvez choisir plusieurs agents. Pour de plus amples informations, veuillez consulter [Utilisation de plusieurs DataSync agents](do-i-need-datasync-agent.md#multiple-agents).
1. Pour`--server-hostname`, spécifiez le nom de domaine ou l' IPv4 adresse du serveur de fichiers SMB que votre DataSync agent installera.
1. Pour`--subdirectory`, spécifiez le nom du partage exporté par votre serveur de fichiers SMB où les données DataSync seront lues ou écrites.
Vous pouvez inclure un sous-répertoire dans le chemin de partage (par exemple,`/path/to/subdirectory`). Assurez-vous que les autres clients SMB de votre réseau peuvent également monter ce chemin.
Pour copier toutes les données du sous-répertoire, vous DataSync devez être en mesure de monter le partage SMB et d'accéder à toutes ses données. Pour de plus amples informations, veuillez consulter [Autorisations requises](#configuring-smb-permissions).
1. Pour`--user`, spécifiez un nom d'utilisateur capable de monter votre serveur de fichiers SMB et autorisé à accéder aux fichiers et dossiers concernés par votre transfert.
Pour de plus amples informations, veuillez consulter [Autorisations requises](#configuring-smb-permissions).
1. Pour`--password`, spécifiez le mot de passe de l'utilisateur qui peut monter votre serveur de fichiers SMB et qui est autorisé à accéder aux fichiers et dossiers concernés par votre transfert.
1. (Facultatif) Pour`--domain`, spécifiez le nom de domaine Windows auquel appartient votre serveur de fichiers SMB.
Si votre environnement comporte plusieurs domaines, la configuration de ce paramètre garantit la DataSync connexion au bon serveur de fichiers SMB.
1. (Facultatif) Ajoutez `--version` cette option si vous DataSync souhaitez utiliser une version SMB spécifique. Pour de plus amples informations, veuillez consulter [Versions SMB prises en charge](#configuring-smb-version).
1. Exécutez la commande `create-location-smb`.
Si la commande aboutit, vous obtenez une réponse indiquant l'ARN de l'emplacement que vous avez créé. Par exemple :
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------
#### [ Kerberos ]
1. Copiez la `create-location-smb` commande suivante.
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "KERBEROS" \
--kerberos-principal "HOST/kerberosuser@EXAMPLE.COM" \
--kerberos-keytab "fileb://path/to/file.keytab" \
--kerberos-krb5-conf "file://path/to/krb5.conf" \
--dns-ip-addresses array-of-ipv4-addresses
```
1. Pour`--agent-arns`, spécifiez l' DataSync agent qui peut se connecter à votre serveur de fichiers SMB.
Vous pouvez choisir plusieurs agents. Pour de plus amples informations, veuillez consulter [Utilisation de plusieurs DataSync agents](do-i-need-datasync-agent.md#multiple-agents).
1. Pour`--server-hostname`, spécifiez le nom de domaine du serveur de fichiers SMB que votre DataSync agent va monter.
1. Pour`--subdirectory`, spécifiez le nom du partage exporté par votre serveur de fichiers SMB où les données DataSync seront lues ou écrites.
Vous pouvez inclure un sous-répertoire dans le chemin de partage (par exemple,`/path/to/subdirectory`). Assurez-vous que les autres clients SMB de votre réseau peuvent également monter ce chemin.
Pour copier toutes les données du sous-répertoire, vous DataSync devez être en mesure de monter le partage SMB et d'accéder à toutes ses données. Pour de plus amples informations, veuillez consulter [Autorisations requises](#configuring-smb-permissions).
1. Pour les options Kerberos, procédez comme suit :
+ `--kerberos-principal`: Spécifiez un principal dans votre domaine Kerberos autorisé à accéder aux fichiers, aux dossiers et aux métadonnées des fichiers sur votre serveur de fichiers SMB.
Un principal Kerberos peut ressembler à. `HOST/kerberosuser@MYDOMAIN.ORG`
Les noms principaux distinguent les majuscules et minuscules. L'exécution de votre DataSync tâche échouera si le principal que vous spécifiez pour cette option ne correspond pas exactement au principal que vous avez utilisé pour créer le fichier keytab.
+ `--kerberos-keytab`: Spécifiez un fichier keytab qui inclut les mappages entre votre clé principale Kerberos et vos clés de chiffrement.
+ `--kerberos-krb5-conf`: Spécifiez un `krb5.conf` fichier qui définit la configuration de votre domaine Kerberos.
+ (Facultatif) `--dns-ip-addresses` : Spécifiez jusqu'à deux IPv4 adresses pour les serveurs DNS auxquels appartient votre serveur de fichiers SMB.
Si votre environnement comporte plusieurs domaines, la configuration de ce paramètre garantit la DataSync connexion au bon serveur de fichiers SMB.
1. (Facultatif) Ajoutez `--version` cette option si vous DataSync souhaitez utiliser une version SMB spécifique. Pour de plus amples informations, veuillez consulter [Versions SMB prises en charge](#configuring-smb-version).
1. Exécutez la commande `create-location-smb`.
Si la commande aboutit, vous obtenez une réponse indiquant l'ARN de l'emplacement que vous avez créé. Par exemple :
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------