Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Prasyarat untuk bergabung dengan SVM ke Microsoft AD yang dikelola sendiri
Sebelum Anda bergabung dengan FSx ONTAP SVM ke domain Microsoft AD yang dikelola sendiri, pastikan Direktori Aktif dan jaringan Anda memenuhi persyaratan yang dijelaskan di bagian berikut.
**Topics**
+ [Persyaratan Direktori Aktif lokal](#ontap-ad-on-prem-prereqs)
+ [Persyaratan konfigurasi jaringan](#ontap-ad-network-configs)
+ [Persyaratan akun layanan Direktori Aktif](#ontap-ad-service-account-prereqs)
## Persyaratan Direktori Aktif lokal
Pastikan Anda sudah memiliki iklan Microsoft lokal atau yang dikelola sendiri lainnya yang dapat Anda gunakan untuk bergabung dengan SVM. Direktori Aktif ini harus memiliki konfigurasi berikut:
+ Tingkat fungsional domain pengontrol domain Active Directory berada di Windows Server 2000 atau lebih tinggi.
+ Active Directory menggunakan nama domain yang tidak dalam format Single Label Domain (SLD). Amazon FSx tidak mendukung domain SLD.
+ Jika Anda memiliki situs Active Directory yang ditentukan, pastikan subnet di VPC yang terkait dengan sistem file ONTAP FSx Anda didefinisikan di situs Active Directory yang sama, dan tidak ada konflik antara subnet VPC Anda dan subnet di situs Active Directory Anda.
**catatan**
Jika Anda menggunakan Directory Service, FSx untuk ONTAP tidak mendukung bergabung SVMs ke Simple Active Directory.
## Persyaratan konfigurasi jaringan
Pastikan Anda memiliki konfigurasi jaringan berikut dan informasi terkait yang tersedia untuk Anda.
**penting**
Agar SVM dapat bergabung dengan Active Directory, Anda perlu memastikan bahwa port yang didokumentasikan dalam topik ini memungkinkan lalu lintas antara semua Active Directory Domain Controller dan kedua alamat IP iSCSI (iscsi\_1 dan iscsi\_2 logical interface ()) pada SVM. LIFs
+ Server DNS dan alamat IP pengontrol domain Direktori Aktif.
+ Konektivitas antara VPC Amazon tempat Anda membuat sistem file dan Direktori Aktif yang dikelola sendiri menggunakan [Direct Connect](https://aws.amazon.com/directconnect/),, [Site-to-Site VPN](https://aws.amazon.com/vpn/)atau. [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)
+ Grup keamanan dan Jaringan VPC ACLs untuk subnet tempat Anda membuat sistem file harus mengizinkan lalu lintas pada port dan arah yang ditunjukkan pada diagram berikut.
Peran setiap port dijelaskan dalam tabel berikut.
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/fsx/latest/ONTAPGuide/self-manage-prereqs.html)
+ Aturan lalu lintas ini juga harus dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, server DNS, klien, dan administrator. FSx FSx
**penting**
Sementara grup keamanan Amazon VPC mengharuskan port dibuka hanya ke arah lalu lintas jaringan dimulai, sebagian besar firewall Windows dan ACLs jaringan VPC memerlukan port untuk dibuka di kedua arah.
## Persyaratan akun layanan Direktori Aktif
Pastikan Anda memiliki akun layanan di Microsoft AD yang dikelola sendiri yang telah mendelegasikan izin untuk bergabung dengan komputer ke domain. *Akun layanan adalah akun* pengguna di Direktori Aktif yang dikelola sendiri yang telah didelegasikan tugas-tugas tertentu.
Minimal, akun layanan harus didelegasikan izin berikut di OU tempat Anda bergabung dengan SVM:
+ Kemampuan untuk mengatur ulang kata sandi
+ Kemampuan untuk membatasi akun dari membaca dan menulis data
+ Kemampuan untuk mengatur `msDS-SupportedEncryptionTypes` properti pada objek komputer
+ Kemampuan tervalidasi untuk menulis ke nama host DNS
+ Kemampuan tervalidasi untuk menulis ke nama utama layanan
+ Kemampuan untuk membuat dan menghapus objek komputer
+ Kemampuan tervalidasi untuk membaca dan menulis Pembatasan Akun
Ini mewakili serangkaian izin minimum yang diperlukan untuk menggabungkan objek komputer ke Direktori Aktif Anda. Untuk informasi selengkapnya, lihat topik dokumentasi Windows Server [Kesalahan: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba menggabungkan komputer ke pengontrol domain](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).
Anda dapat menyimpan kredensi akun layanan Active Directory Anda di AWS Secrets Manager (disarankan) dan memberikan Amazon FSx dengan ARN rahasia untuk bergabung dengan Active Directory Anda, atau Anda dapat memberikan kredenal teks biasa.
Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat [Mendelegasikan izin ke akun layanan Amazon FSx Anda](self-managed-AD-best-practices.md#connect_delegate_privileges).
**penting**
Amazon FSx memerlukan akun layanan yang valid sepanjang masa hidup sistem FSx file Amazon Anda. Amazon FSx harus dapat sepenuhnya mengelola sistem file dan melakukan tugas yang mengharuskannya untuk berhenti bergabung dan bergabung kembali dengan sumber daya ke domain Direktori Aktif Anda. Tugas-tugas ini termasuk mengganti sistem file yang gagal atau SVM, atau menambal perangkat lunak NetApp ONTAP. Perbarui informasi konfigurasi Direktori Aktif Anda dengan Amazon FSx, termasuk kredensil akun layanan. Untuk mempelajari selengkapnya, lihat [Menjaga konfigurasi Direktori Aktif Anda diperbarui dengan Amazon FSx](self-managed-AD-best-practices.md#keep-ad-config-updated).
Jika ini adalah pertama kalinya Anda menggunakan AWS dan FSx untuk ONTAP, pastikan Anda menyelesaikan langkah penyiapan awal sebelum memulai integrasi Active Directory. Untuk informasi selengkapnya, lihat [Menyiapkan FSx untuk ONTAP](getting-started.md#setting-up).
**penting**
Jangan pindahkan objek komputer yang dibuat FSx Amazon di OU setelah Anda SVMs dibuat, atau hapus Direktori Aktif Anda saat SVM Anda bergabung dengannya. Melakukannya akan menyebabkan Anda SVMs menjadi salah konfigurasi.