Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bekerja dengan Microsoft Active Directory
Saat Anda membuat sistem file Windows File Server FSx untuk Windows, Anda menggabungkannya ke domain Active Directory untuk memberikan otentikasi pengguna dan kontrol akses tingkat file dan folder. Amazon FSx bekerja dengan Microsoft Active Directory untuk berintegrasi dengan lingkungan Microsoft Windows yang ada. Amazon FSx menyediakan dua opsi menggunakan sistem file Windows File Server Anda FSx dengan Active Directory: [Menggunakan Amazon FSx dengan AWS Directory Service for Microsoft Active Directory](fsx-aws-managed-ad.md) dan[Menggunakan Microsoft Active Directory yang dikelola sendiri](self-managed-AD.md).
Direktori Aktif adalah directory service Microsoft yang digunakan untuk menyimpan informasi tentang objek pada jaringan dan membuat informasi ini mudah ditemukan dan digunakan oleh administrator dan pengguna. Objek ini biasanya mencakup sumber daya bersama seperti server file dan pengguna jaringan dan akun komputer.
Pengguna Anda kemudian dapat menggunakan identitas pengguna yang ada di Active Directory untuk mengautentikasi diri mereka sendiri dan mengakses sistem file Windows File Server FSx untuk Windows. Pengguna juga dapat menggunakan identitas mereka yang ada untuk mengontrol akses ke masing-masing file dan folder. Selain itu, Anda dapat memigrasikan file dan folder yang ada bersama dengan konfigurasi daftar kontrol akses keamanan (ACL) mereka ke Amazon FSx tanpa modifikasi apa pun.
**catatan**
Amazon FSx mendukung [Microsoft Azure Active Directory Domain Services](https://docs.microsoft.com/en-us/azure/active-directory-domain-services/overview), yang dapat Anda gabungkan ke [Microsoft Azure Active](https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis) Directory.
Setelah Anda membuat konfigurasi Direktori Aktif yang tergabung untuk sistem file, Anda dapat memperbarui hanya properti berikut:
+ Kredensial pengguna layanan
+ Alamat IP server DNS
Anda *tidak dapat* mengubah properti berikut untuk Microsoft AD yang bergabung setelah membuat sistem file:
+ DomainName
+ OrganizationalUnitDistinguishedName
+ FileSystemAdministratorsGroup
Namun, Anda dapat membuat sistem file baru dari cadangan dan mengubah properti ini dalam konfigurasi integrasi Microsoft Active Directory sistem file baru. Untuk informasi selengkapnya, lihat [Memulihkan backup ke sistem file baru](using-backups.md#restoring-backups).
**catatan**
Amazon FSx tidak mendukung [Konektor Direktori Aktif](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) dan [Direktori Aktif Sederhana](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html).
Server File Windows Anda FSx dapat menjadi **salah konfigurasi** jika ada perubahan dalam konfigurasi Active Directory yang mengganggu koneksi ke sistem file Anda. Untuk mengembalikan sistem file Anda ke status **Tersedia**, pilih tombol **Percobaan Pemulihan** di FSx konsol Amazon, atau gunakan `StartMisconfiguredStateRecovery` perintah di Amazon FSx API atau konsol. Untuk informasi selengkapnya, lihat [Sistem file dalam keadaan salah konfigurasi](misconfigured-ad-config.md).
**Topics**
+ [Menggunakan Amazon FSx dengan AWS Directory Service for Microsoft Active Directory](fsx-aws-managed-ad.md)
+ [Menggunakan Microsoft Active Directory yang dikelola sendiri](self-managed-AD.md)
# Menggunakan Amazon FSx dengan AWS Directory Service for Microsoft Active Directory
AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) menyediakan direktori Active Directory aktual yang dikelola sepenuhnya, sangat tersedia di cloud. Anda dapat menggunakan direktori Active Directory ini dalam penerapan beban kerja Anda.
Jika organisasi Anda menggunakan AWS Managed Microsoft AD untuk mengelola identitas dan perangkat, kami sarankan Anda mengintegrasikan sistem FSx file Amazon Anda. AWS Managed Microsoft AD Dengan melakukan ini, Anda mendapatkan solusi turnkey menggunakan Amazon FSx dengan AWS Managed Microsoft AD. AWS menangani penyebaran, operasi, ketersediaan tinggi, keandalan, keamanan, dan integrasi yang mulus dari kedua layanan, memungkinkan Anda untuk fokus pada pengoperasian beban kerja Anda sendiri secara efektif.
Untuk menggunakan Amazon FSx dengan AWS Managed Microsoft AD pengaturan Anda, Anda dapat menggunakan FSx konsol Amazon. Saat Anda membuat sistem file Server File Windows baru FSx di konsol, pilih **Direktori Aktif AWS Terkelola** di bawah bagian **Otentikasi Windows**. Anda juga memilih direktori khusus yang ingin Anda gunakan. Untuk informasi selengkapnya, lihat [Langkah 5. Buat sistem file Anda](getting-started.md#getting-started-step1).
Organisasi Anda mungkin mengelola identitas dan perangkat di domain Direktori Aktif yang dikelola sendiri (on-premise atau di cloud). Jika demikian, Anda dapat bergabung dengan sistem FSx file Amazon langsung ke domain Active Directory yang sudah ada dan dikelola sendiri. Untuk informasi selengkapnya, lihat [Menggunakan Microsoft Active Directory yang dikelola sendiri](self-managed-AD.md).
Selain itu, Anda juga dapat mengatur sistem Anda untuk mendapatkan manfaat dari model isolasi forest sumber daya. Dalam model ini, Anda mengisolasi sumber daya Anda, termasuk sistem FSx file Amazon Anda, ke dalam hutan Direktori Aktif yang terpisah dari tempat pengguna Anda berada.
**penting**
Untuk sistem file Single-AZ 2 dan semua sistem file Multi-AZ, nama domain yang memenuhi syarat (FQDN) Active Directory tidak dapat melebihi 47 karakter.
## Prasyarat jaringan
Sebelum Anda membuat FSx sistem file Windows File Server yang bergabung dengan domain AWS Microsoft Managed Active Directory, pastikan bahwa Anda telah membuat dan mengatur konfigurasi jaringan berikut:
+ Untuk **Grup keamanan VPC**, grup keamanan default untuk Amazon VPC Anda sudah ditambahkan ke sistem file Anda di konsol. Harap pastikan bahwa grup keamanan dan Jaringan VPC ACLs untuk subnet tempat Anda membuat sistem FSx file memungkinkan lalu lintas di port dan petunjuk yang ditunjukkan pada diagram berikut.
![\[FSx untuk persyaratan konfigurasi port Windows File Server untuk grup keamanan VPC dan jaringan ACLs untuk subnet tempat sistem file dibuat.\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Tabel berikut mengidentifikasi peran masing-masing port.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)
**penting**
Mengizinkan lalu lintas keluar pada TCP port 9389 diperlukan untuk single-AZ 2 dan semua deployment sistem file Multi-AZ.
**catatan**
Jika Anda menggunakan jaringan VPC ACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file Anda. FSx
+ Jika Anda menghubungkan sistem FSx file Amazon Anda ke Direktori Aktif Microsoft AWS Terkelola di VPC atau akun yang berbeda, pastikan konektivitas antara VPC tersebut dan VPC Amazon tempat Anda ingin membuat sistem file. Untuk informasi selengkapnya, lihat [Menggunakan Amazon FSx dengan AWS Managed Microsoft AD VPC atau akun yang berbeda](shared-mad.md).
**penting**
Sementara grup keamanan Amazon VPC mengharuskan port dibuka hanya ke arah lalu lintas jaringan dimulai, jaringan VPC ACLs memerlukan port untuk dibuka di kedua arah.
Gunakan [alat Validasi FSx Jaringan Amazon untuk memvalidasi](validate-ad-domain-controllers.md#test-ad-controller-connectivity) konektivitas ke pengontrol domain Direktori Aktif Anda.
## Menggunakan model isolasi forest sumber daya
Anda bergabung dengan sistem file Anda ke pengaturan AWS Managed Microsoft AD . Anda kemudian membangun hubungan kepercayaan hutan satu arah antara AWS Managed Microsoft AD domain yang Anda buat dan domain Direktori Aktif yang dikelola sendiri yang ada. Untuk otentikasi Windows di Amazon FSx, Anda hanya memerlukan kepercayaan hutan arah satu arah, di mana hutan AWS terkelola mempercayai hutan domain perusahaan.
Domain perusahaan Anda berperan sebagai domain tepercaya, dan domain Directory Service terkelola berperan sebagai domain yang dipercaya. Permintaan autentikasi yang tervalidasi berpindah antar domain hanya dalam satu arah—yang memungkinkan akun di domain perusahaan Anda untuk melakukan autentikasi terhadap sumber daya yang dibagikan di domain terkelola. Dalam hal ini, Amazon hanya FSx berinteraksi dengan domain AWS terkelola. Dalam skenario otentikasi Kerberos, permintaan otentikasi yang berasal dari klien perusahaan divalidasi oleh domain perusahaan, yang kemudian merujuknya ke AWS Managed Microsoft AD, dan akhirnya klien menyajikan tiket layanannya ke sistem file Windows File Server Anda FSx untuk Windows. Untuk informasi lebih lanjut tentang kepercayaan, lihat posting [Segala sesuatu yang ingin Anda ketahui tentang kepercayaan AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/everything-you-wanted-to-know-about-trusts-with-aws-managed-microsoft-ad/) di Blog AWS Keamanan.
## Menguji konfigurasi Direktori Aktif Anda
Sebelum membuat sistem FSx file Amazon, kami sarankan Anda memvalidasi konektivitas ke pengontrol domain Active Directory menggunakan alat Validasi FSx Jaringan Amazon. Untuk informasi selengkapnya, lihat [Memvalidasi konektivitas ke pengontrol domain Direktori Aktif Anda](validate-ad-domain-controllers.md).
Sumber daya terkait berikut dapat membantu Anda saat Anda menggunakan AWS Directory Service for Microsoft Active Directory FSx untuk Windows File Server:
+ [Apa yang ada Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) di *Panduan AWS Directory Service Administrasi*
+ [Buat Direktori Aktif AWS Terkelola Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) di *Panduan AWS Directory Service Administrasi*
+ [Kapan Membuat Hubungan Kepercayaan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) di *Panduan Administrasi AWS Directory Service *
# Menggunakan Amazon FSx dengan AWS Managed Microsoft AD VPC atau akun yang berbeda
Anda dapat bergabung dengan sistem file Windows File Server Anda FSx ke AWS Managed Microsoft AD direktori yang ada di VPC berbeda dalam akun yang sama dengan menggunakan pengintip VPC. Anda juga dapat menggabungkan sistem file Anda ke AWS Managed Microsoft AD direktori yang ada di AWS akun yang berbeda dengan menggunakan berbagi direktori.
**catatan**
Anda hanya dapat memilih AWS Managed Microsoft AD dalam yang Wilayah AWS sama dengan sistem file Anda. Jika Anda ingin menggunakan pengaturan peering VPC lintas wilayah, Anda harus menggunakan Microsoft Active Directory yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Menggunakan Microsoft Active Directory yang dikelola sendiri](self-managed-AD.md).
Alur kerja untuk menggabungkan sistem file Anda ke VPC yang berbeda melibatkan langkah-langkah berikut: AWS Managed Microsoft AD
1. Siapkan lingkungan jaringan Anda.
1. Bagikan direktori Anda.
1. Bergabunglah dengan sistem file Anda ke direktori bersama.
Untuk informasi selengkapnya, lihat [Berbagi direktori Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html) di *Panduan Directory Service Administrasi*.
Untuk mengatur lingkungan jaringan Anda, Anda dapat menggunakan AWS Transit Gateway atau Amazon VPC dan membuat koneksi peering VPC. Selain itu, pastikan bahwa lalu lintas jaringan diperbolehkan di antara keduanya VPCs.
*Gateway transit* adalah hub transit jaringan yang dapat Anda gunakan untuk menghubungkan jaringan Anda VPCs dan lokal. Untuk informasi selengkapnya tentang menggunakan VPC transit gateway, lihat [Memulai dengan Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-getting-started.html) dalam *Panduan Transit Gateway Amazon VPC*.
Koneksi *peering VPC adalah koneksi* jaringan antara dua. VPCs Koneksi ini memungkinkan Anda untuk merutekan lalu lintas di antara mereka menggunakan alamat Internet Protocol pribadi versi 4 (IPv4) atau Internet Protocol versi 6 (IPv6). Anda dapat menggunakan VPC peering untuk terhubung VPCs dalam hal yang sama Wilayah AWS atau di antara keduanya. Wilayah AWS Untuk informasi selengkapnya tentang peering VPC, lihat [Apa yang dimaksud dengan peering VPC?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) dalam *Panduan Peering Amazon VPC*.
Ada prasyarat lain ketika Anda bergabung dengan sistem file Anda ke AWS Managed Microsoft AD direktori di akun yang berbeda dari sistem file Anda. Anda juga perlu membagikan Microsoft Active Directory Anda dengan akun lain. Untuk melakukan ini, Anda dapat menggunakan fitur berbagi direktori Microsoft Active Directory yang AWS dikelola. Untuk mempelajari selengkapnya, lihat [Berbagi direktori Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_sharing.html) di *Panduan AWS Directory Service Administrasi*.
# Memvalidasi konektivitas ke pengontrol domain Direktori Aktif Anda
Sebelum Anda membuat sistem file FSx untuk Windows File Server yang bergabung dengan Active Directory Anda, gunakan alat Validasi Direktori FSx Aktif Amazon untuk memvalidasi konektivitas ke domain Active Directory Anda. Anda dapat menggunakan pengujian ini apakah Anda menggunakan FSx untuk Windows File Server dengan Direktori Aktif Microsoft AWS Terkelola atau dengan konfigurasi Direktori Aktif yang dikelola sendiri. Tes Konektivitas Jaringan Pengontrol Domain (Test- FSx ADController Connection) tidak menjalankan rangkaian lengkap pemeriksaan konektivitas jaringan terhadap setiap pengontrol domain di domain. Sebaliknya, gunakan tes ini untuk menjalankan validasi konektivitas jaringan terhadap serangkaian pengontrol domain tertentu.
**Untuk memvalidasi konektivitas ke pengontrol domain Direktori Aktif**
1. Luncurkan instance Amazon EC2 Windows di subnet yang sama dan dengan grup keamanan Amazon VPC yang sama yang akan Anda gunakan untuk sistem file Windows File Server FSx Anda. Untuk jenis deployment Multi-AZ, gunakan subnet untuk server file aktif pilihan.
1. Bergabunglah dengan instance EC2 Windows Anda ke Active Directory Anda. Untuk informasi lebih lanjut, lihat [Menggabungkan Instans Windows Secara Manual](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html) dalam *Panduan Administrasi AWS Directory Service *.
1. Connect ke EC2 instans Anda. Untuk informasi selengkapnya, lihat [Menghubungkan ke Instans Windows Anda](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) di *Panduan EC2 Pengguna Amazon*.
1. Buka PowerShell jendela Windows (menggunakan **Run as Administrator**) pada EC2 instance.
Untuk menguji apakah modul Active Directory yang diperlukan untuk Windows PowerShell diinstal, gunakan perintah pengujian berikut.
```
PS C:\> Import-Module ActiveDirectory
```
Jika hasil pengujian menunjukkan kesalahan, instasl menggunakan perintah berikut.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. Unduh alat validasi jaringan menggunakan perintah berikut.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. Buka file zip dengan menggunakan perintah berikut.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. Tambahkan FSx ADValidation modul Amazon ke sesi saat ini.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. Tetapkan nilai untuk alamat IP pengendali domain Direktori Aktif dan jalankan tes konektivitas menggunakan perintah berikut:
```
$ADControllerIp = '10.0.75.243'
$Result = Test-FSxADControllerConnection -ADControllerIp $ADControllerIp
```
1. Contoh berikut menunjukkan pengambilan output tes, dengan hasil tes konektivitas sukses.
```
PS C:\AmazonFSxADValidation> $Result
Name Value
---- -----
TcpDetails {@{Port=88; Result=Listening; Description=Kerberos authentication}, @{Port=135; Resul...
Server 10.0.75.243
UdpDetails {@{Port=88; Result=Timed Out; Description=Kerberos authentication}, @{Port=123; Resul...
Success True
PS C:\AmazonFSxADValidation> $Result.TcpDetails
Port Result Description
---- ------ -----------
88 Listening Kerberos authentication
135 Listening DCE / EPMAP (End Point Mapper)
389 Listening Lightweight Directory Access Protocol (LDAP)
445 Listening Directory Services SMB file sharing
464 Listening Kerberos Change/Set password
636 Listening Lightweight Directory Access Protocol over TLS/SSL (LDAPS)
3268 Listening Microsoft Global Catalog
3269 Listening Microsoft Global Catalog over SSL
9389 Listening Microsoft AD DS Web Services, PowerShell
```
Contoh berikut menunjukkan menjalankan tes dan mendapatkan hasil yang gagal.
```
PS C:\AmazonFSxADValidation> $Result = Test-FSxADControllerConnection -ADControllerIp $ADControllerIp
WARNING: TCP 9389 failed to connect. Required for Microsoft AD DS Web Services, PowerShell.
Verify security group and firewall settings on both client and directory controller.
WARNING: 1 ports failed to connect to 10.0.75.243. Check pre-requisites in
https://docs.aws.amazon.com/fsx/latest/WindowsGuide/self-managed-AD.html#self-manage-prereqs
PS C:\AmazonFSxADValidation> $Result
Name Value
---- -----
TcpDetails {@{Port=88; Result=Listening; Description=Kerberos authentication}, @{Port=135; Resul...
Server 10.0.75.243
UdpDetails {@{Port=88; Result=Timed Out; Description=Kerberos authentication}, @{Port=123; Resul...
Success False
FailedTcpPorts {9389}
PS C:\AmazonFSxADValidation> $Result.FailedTcpPorts
9389
```
Windows socket error code mapping
https://msdn.microsoft.com/en-us/library/ms740668.aspx
```
**catatan**
Sebagai alternatif dari prosedur di atas, Anda dapat menggunakan `AWSSupport-ValidateFSxWindowsADConfig` runbook untuk memvalidasi konfigurasi Active Directory yang dikelola sendiri. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/awssupport-validate-fsxwindows-adconfig.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/awssupport-validate-fsxwindows-adconfig.html) di *referensi buku runbook Otomatisasi AWS Systems Manager *.
# Menggunakan Microsoft Active Directory yang dikelola sendiri
Jika organisasi Anda mengelola identitas dan perangkat menggunakan Active Directory yang dikelola sendiri di tempat atau di cloud, Anda dapat menggabungkan sistem file Windows File Server FSx untuk Windows ke domain Active Directory saat pembuatan.
Saat Anda menggabungkan sistem file ke Active Directory yang dikelola sendiri, sistem file Windows File Server Anda FSx berada di hutan Active Directory yang sama (wadah logis teratas dalam konfigurasi Active Directory yang berisi domain, pengguna, dan komputer) dan dalam domain Active Directory yang sama dengan pengguna dan sumber daya yang ada (termasuk server file yang ada).
**catatan**
Anda dapat mengisolasi sumber daya Anda—termasuk sistem file FSx Amazon Anda—ke dalam hutan Direktori Aktif terpisah dari hutan tempat pengguna Anda tinggal. Untuk melakukannya, gabungkan sistem file Anda ke Direktori Aktif Microsoft AWS Terkelola dan buat hubungan kepercayaan hutan satu arah antara Direktori Aktif Microsoft AWS Terkelola yang Anda buat dan Direktori Aktif yang dikelola sendiri yang ada.
+ Nama pengguna dan kata sandi untuk akun layanan di domain Active Directory Anda, yang FSx dapat digunakan Amazon untuk bergabung dengan sistem file ke domain Active Directory Anda. Anda dapat memberikan kredensi ini sebagai teks biasa atau menyimpannya AWS Secrets Manager dan memberikan ARN rahasia (disarankan).
+ (Opsional) Unit Organisasi (OU) di domain Anda di mana Anda ingin sistem file Anda bergabung.
+ (Opsional) Grup domain yang Anda ingin delegasikan otoritas untuk melakukan tindakan administratif pada sistem file Anda. Misalnya, grup domain ini mungkin mengelola berbagi file Windows, mengelola Daftar Kontrol Akses (ACLs) pada folder root sistem file, mengambil kepemilikan file dan folder, dan sebagainya. Jika Anda tidak menentukan grup ini, Amazon FSx mendelegasikan otoritas ini ke grup Admin Domain di domain Active Directory Anda secara default.
**catatan**
Nama grup domain yang Anda berikan harus unik di Direktori Aktif Anda. FSx untuk Windows File Server tidak akan membuat grup domain dalam keadaan berikut:
Jika grup sudah ada dengan nama yang Anda tentukan
Jika Anda tidak menentukan nama, dan grup bernama “Domain Admin” sudah ada di Active Directory Anda.
Untuk informasi selengkapnya, lihat [Bergabung dengan sistem FSx file Amazon ke domain Microsoft Active Directory yang dikelola sendiri](creating-joined-ad-file-systems.md).
**Topics**
+ [Prasyarat](#self-manage-prereqs)
+ [Izin akun layanan](#service-account-prereqs)
+ [Praktik terbaik saat menggunakan Active Directory yang dikelola sendiri](#self-managed-AD-best-practices)
+ [Akun FSx layanan Amazon](#self-managed-AD-service-account)
+ [Mendelegasikan izin ke akun atau grup FSx layanan Amazon](assign-permissions-to-service-account.md)
+ [Memvalidasi konfigurasi Direktori Aktif Anda](validate-ad-config.md)
+ [Bergabung dengan sistem FSx file Amazon ke domain Microsoft Active Directory yang dikelola sendiri](creating-joined-ad-file-systems.md)
+ [Mendapatkan alamat IP sistem file yang benar untuk digunakan untuk entri DNS manual](file-system-ip-addresses-for-dns.md)
+ [Memperbarui konfigurasi Direktori Aktif yang dikelola sendiri](update-self-ad-config.md)
+ [Mengubah akun FSx layanan Amazon](changing-ad-service-account.md)
+ [Pembaruan Direktori Aktif yang dikelola sendiri](monitor-self-ad-update.md)
## Prasyarat
Sebelum Anda bergabung dengan sistem file Windows File Server ke domain Microsoft Active Directory yang dikelola sendiri, tinjau prasyarat berikut untuk membantu memastikan bahwa Anda berhasil bergabung dengan sistem FSx file Amazon ke Active Directory yang dikelola sendiri. FSx
### Konfigurasi lokal
Ini adalah prasyarat untuk Microsoft Active Directory yang dikelola sendiri, baik lokal maupun berbasis cloud, tempat Anda akan bergabung dengan sistem file Amazon. FSx
+ Pengontrol domain Direktori Aktif:
+ Harus memiliki tingkat fungsional domain pada Windows Server 2008 R2 atau lebih tinggi.
+ Harus bisa ditulis.
+ Setidaknya salah satu pengontrol domain yang dapat dijangkau harus berupa Katalog Global hutan.
+ Server DNS harus dapat menyelesaikan nama sebagai berikut:
+ Di domain tempat Anda bergabung dengan sistem file
+ Di domain akar hutan
+ Server DNS dan alamat IP pengontrol domain Direktori Aktif harus memenuhi persyaratan berikut, yang bervariasi tergantung pada kapan sistem FSx file Amazon Anda dibuat:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/self-managed-AD.html)
Jika Anda perlu mengakses sistem file Windows File Server FSx untuk Windows yang dibuat sebelum 17 Desember 2020 menggunakan rentang alamat IP non-pribadi, Anda dapat membuat sistem file baru dengan memulihkan cadangan sistem file. Untuk informasi selengkapnya, lihat [Memulihkan cadangan ke sistem file baru](how-to-restore-backups.md).
+ Nama domain Direktori Aktif yang dikelola sendiri harus memenuhi persyaratan berikut:
+ Nama domain tidak dalam format Single Label Domain (SLD). Amazon FSx tidak mendukung domain SLD.
+ Untuk Single-AZ 2 dan semua sistem file Multi-AZ, nama domain tidak boleh melebihi 47 karakter.
+ Setiap situs Active Directory yang telah Anda tetapkan harus memenuhi prasyarat berikut:
+ Subnet di VPC yang terkait dengan sistem file Anda harus didefinisikan di situs Active Directory.
+ Tidak ada konflik antara subnet VPC dan subnet situs Active Directory mana pun.
Amazon FSx memerlukan konektivitas ke pengontrol domain atau situs Direktori Aktif yang telah Anda tentukan di lingkungan Direktori Aktif Anda. Amazon FSx akan mengabaikan pengontrol domain apa pun dengan TCP dan UDP yang diblokir pada port 389. Untuk pengontrol domain yang tersisa di Direktori Aktif Anda, pastikan bahwa mereka memenuhi persyaratan FSx konektivitas Amazon. Selain itu, verifikasi bahwa setiap perubahan pada akun layanan Anda disebarkan ke semua pengontrol domain ini.
**penting**
Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi.
Anda dapat memvalidasi konfigurasi Direktori Aktif, termasuk menguji konektivitas beberapa pengontrol domain, menggunakan alat [Validasi Direktori FSx Aktif Amazon](validate-ad-config.md). Untuk membatasi jumlah pengontrol domain yang memerlukan konektivitas, Anda juga dapat membangun hubungan kepercayaan antara pengontrol domain lokal dan. AWS Managed Microsoft AD Untuk informasi selengkapnya, lihat [Menggunakan model isolasi forest sumber daya](fsx-aws-managed-ad.md#using-a-rfim).
**penting**
Amazon FSx hanya mendaftarkan catatan DNS untuk sistem file jika Anda menggunakan Microsoft DNS sebagai layanan DNS default. Jika Anda menggunakan DNS pihak ketiga, Anda perlu mengatur entri catatan DNS secara manual untuk sistem file Anda setelah Anda membuatnya.
### Konfigurasi jaringan
Bagian ini menjelaskan persyaratan konfigurasi jaringan untuk menggabungkan sistem file ke Active Directory yang dikelola sendiri. Kami sangat menyarankan agar Anda menggunakan [alat validasi Amazon FSx Active Directory](validate-ad-config.md#test-ad-network-config) untuk menguji pengaturan jaringan Anda sebelum mencoba menggabungkan sistem file Anda ke Active Directory yang dikelola sendiri.
+ Pastikan bahwa aturan firewall Anda akan memungkinkan lalu lintas ICMP antara pengontrol domain Active Directory dan Amazon. FSx
+ Konektivitas harus dikonfigurasi antara VPC Amazon tempat Anda ingin membuat sistem file dan Direktori Aktif yang dikelola sendiri. Anda dapat mengatur konektivitas ini menggunakan [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), [AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html), [VPC peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), atau. [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ Grup keamanan VPC default untuk VPC Amazon default Anda harus ditambahkan ke sistem file Anda menggunakan konsol Amazon. FSx Pastikan bahwa grup keamanan dan Jaringan VPC ACLs untuk subnet tempat Anda membuat sistem file memungkinkan lalu lintas di port dan ke arah yang ditunjukkan pada diagram berikut.
![\[FSx untuk persyaratan konfigurasi port Windows File Server untuk grup keamanan VPC dan jaringan ACLs untuk subnet tempat sistem file dibuat.\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Tabel berikut mengidentifikasi protokol, port, dan perannya.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/self-managed-AD.html)
Aturan lalu lintas ini juga perlu dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, server DNS, klien, dan administrator. FSx FSx
**catatan**
Jika Anda menggunakan jaringan VPC ACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file Anda.
**penting**
Sementara grup keamanan Amazon VPC mengharuskan port dibuka hanya ke arah lalu lintas jaringan dimulai, sebagian besar firewall Windows dan ACLs jaringan VPC memerlukan port untuk dibuka di kedua arah.
## Izin akun layanan
Anda harus memiliki akun layanan di Microsoft Active Directory yang dikelola sendiri dengan izin yang didelegasikan untuk menggabungkan objek komputer ke domain Active Directory yang dikelola sendiri. *Akun layanan adalah akun* pengguna di Direktori Aktif yang dikelola sendiri yang telah didelegasikan tugas-tugas tertentu.
Berikut ini adalah kumpulan izin minimum yang harus didelegasikan ke akun FSx layanan Amazon di OU tempat Anda bergabung dengan sistem file.
+ Jika menggunakan *Delegate Control* di Active Directory User and Computers MMC:
+ Atur ulang kata sandi
+ Baca dan tulis Pembatasan Akun
+ Penulisan tervalidasi ke nama host DNS
+ Penulisan tervalidasi ke nama utama layanan
+ Jika menggunakan *Fitur Lanjutan* di Pengguna Direktori Aktif dan Komputer MMC:
+ Ubah izin
+ Buat objek komputer
+ Hapus objek komputer
Untuk informasi selengkapnya, lihat topik dokumentasi Microsoft Windows Server [ Galat: Akses ditolak ketika pengguna non-administrator yang telah didelegasikan kontrol mencoba untuk menggabungkan komputer ke kontroler domain](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).
Untuk informasi selengkapnya tentang menyetel izin yang diperlukan, lihat[Mendelegasikan izin ke akun atau grup FSx layanan Amazon](assign-permissions-to-service-account.md).
## Praktik terbaik saat menggunakan Active Directory yang dikelola sendiri
**Topics**
+ [Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
Kami menyarankan Anda mengikuti praktik terbaik ini saat bergabung dengan sistem file Amazon FSx untuk Windows File Server ke Microsoft Active Directory yang dikelola sendiri. Praktik terbaik ini akan membantu Anda dalam menjaga ketersediaan sistem file Anda yang berkelanjutan dan tidak terganggu.
**Gunakan akun layanan terpisah untuk Amazon FSx**
Gunakan akun layanan terpisah untuk mendelegasikan [hak istimewa yang diperlukan](#service-account-prereqs) FSx bagi Amazon agar sepenuhnya mengelola sistem file yang digabungkan ke Direktori Aktif yang dikelola sendiri. Kami tidak menyarankan menggunakan **Admin Domain untuk tujuan** ini.
**Menggunakan grup Active Directory**
Gunakan grup Active Directory untuk mengelola izin dan konfigurasi Direktori Aktif yang terkait dengan akun FSx layanan Amazon.
**Memisahkan Unit Organisasi (OU)**
Untuk mempermudah menemukan dan mengelola objek FSx komputer Amazon Anda, kami sarankan Anda memisahkan Unit Organisasi (OU) yang Anda gunakan untuk sistem file Windows File Server Anda FSx dari masalah pengontrol domain lainnya.
**Pertahankan konfigurasi Active Directory up-to-date**
Sangat penting bahwa Anda menyimpan konfigurasi Active Directory sistem file Anda up-to-date dengan perubahan apa pun. Misalnya, jika Active Directory yang dikelola sendiri menggunakan kebijakan pengaturan ulang kata sandi berbasis waktu, segera setelah kata sandi disetel ulang, pastikan untuk memperbarui kata sandi akun layanan pada sistem file Anda. Untuk informasi selengkapnya, lihat [Memperbarui konfigurasi Direktori Aktif yang dikelola sendiri](update-self-ad-config.md).
**Mengubah akun FSx layanan Amazon**
Jika Anda memperbarui sistem file Anda dengan akun layanan baru, itu harus memiliki izin dan hak istimewa yang diperlukan untuk bergabung dengan Direktori Aktif Anda dan memiliki izin **kontrol penuh** untuk objek komputer yang ada yang terkait dengan sistem file. Untuk informasi selengkapnya, lihat [Mengubah akun FSx layanan Amazon](changing-ad-service-account.md).
**Tetapkan subnet ke satu situs Microsoft Active Directory**
Jika lingkungan Direktori Aktif Anda memiliki sejumlah besar pengontrol domain, gunakan **Situs dan Layanan Direktori Aktif** untuk menetapkan subnet yang digunakan oleh sistem FSx file Amazon Anda ke satu situs Direktori Aktif dengan ketersediaan dan keandalan tertinggi. Pastikan bahwa grup keamanan VPC, ACL jaringan VPC, aturan firewall Windows pada Anda DCs, dan kontrol perutean jaringan lainnya yang Anda miliki di infrastruktur Direktori Aktif memungkinkan komunikasi dari Amazon pada port yang diperlukan. FSx Ini memungkinkan Windows untuk kembali ke pengontrol domain lain jika tidak dapat menggunakan situs Direktori Aktif yang ditetapkan. Untuk informasi selengkapnya, lihat [Kontrol akses sistem file dengan Amazon VPC](limit-access-security-groups.md).
**Gunakan aturan grup keamanan untuk membatasi lalu lintas**
Gunakan aturan grup keamanan untuk menerapkan prinsip hak istimewa paling sedikit di cloud pribadi virtual (VPC) Anda. Anda dapat membatasi jenis lalu lintas jaringan masuk dan keluar yang diizinkan untuk file Anda menggunakan aturan grup keamanan VPC. Misalnya, kami sarankan hanya mengizinkan lalu lintas keluar ke pengontrol domain Active Directory yang dikelola sendiri atau ke dalam subnet atau grup keamanan yang Anda gunakan. Untuk informasi selengkapnya, lihat [Kontrol akses sistem file dengan Amazon VPC](limit-access-security-groups.md).
**Jangan memindahkan objek komputer yang dibuat Amazon FSx**
Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi.
**Validasi konfigurasi Direktori Aktif Anda**
Sebelum mencoba bergabung dengan sistem file Windows File Server ke Active Directory Anda, kami sangat menyarankan Anda memvalidasi konfigurasi Active Directory menggunakan alat [Validasi Direktori FSx Aktif Amazon](validate-ad-config.md). FSx
### Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager
Anda dapat menggunakan AWS Secrets Manager untuk menyimpan dan mengelola domain Microsoft Active Directory bergabung dengan kredenal akun layanan dengan aman. Pendekatan ini menghilangkan kebutuhan untuk menyimpan kredensil sensitif dalam teks biasa dalam kode aplikasi atau file konfigurasi, memperkuat postur keamanan Anda.
Anda juga dapat mengonfigurasi kebijakan IAM untuk mengelola akses ke rahasia Anda, dan menyiapkan kebijakan rotasi otomatis untuk kata sandi Anda.
#### Simpan kredenal Direktori Aktif di AWS Secrets Manager (Konsol)
##### Langkah 1: Buat kunci KMS
Buat kunci KMS untuk mengenkripsi dan mendekripsi kredensil Active Directory Anda di Secrets Manager.
**Untuk membuat kunci**
**catatan**
Untuk **Encryption Key**, buat kunci baru, jangan gunakan kunci KMS AWS default. Pastikan untuk membuat AWS KMS key di Wilayah yang sama yang berisi sistem file yang ingin Anda gabungkan ke Active Directory Anda.
1. Buka AWS KMS konsol di https://console.aws.amazon.com /kms.
1. Pilih **Buat kunci**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. Untuk **Penggunaan Kunci**, pilih **Enkripsi dan dekripsi**.
1. Untuk **opsi Lanjutan**, lakukan hal berikut:
1. Untuk **Asal materi kunci**, pilih **KMS**.
1. **Untuk **Regionalitas**, pilih **kunci Wilayah Tunggal** dan pilih Berikutnya.**
1. Pilih **Berikutnya**.
1. Untuk **Alias**, berikan nama untuk kunci KMS.
1. (Opsional) Untuk **Deskripsi**, berikan deskripsi kunci KMS.
1. (Opsional) Untuk **Tag**, berikan tag untuk kunci KMS dan pilih **Berikutnya**.
1. (Opsional) Untuk **administrator Key**, berikan pengguna IAM dan peran yang diizinkan untuk mengelola kunci ini.
1. **Untuk **penghapusan Kunci**, simpan kotak yang dipilih untuk **Izinkan administrator kunci** untuk menghapus kunci ini dan pilih Berikutnya.**
1. (Opsional) Untuk **pengguna Kunci**, berikan pengguna IAM dan peran yang berwenang untuk menggunakan kunci ini dalam operasi kriptografi. Pilih **Berikutnya**.
1. Untuk **kebijakan Kunci**, pilih **Edit** dan sertakan yang berikut ini ke **Pernyataan** kebijakan FSx untuk mengizinkan Amazon menggunakan kunci KMS dan pilih **Berikutnya**. Pastikan untuk mengganti *us-west-2* ke Wilayah AWS tempat sistem file digunakan dan *123456789012* ke Akun AWS ID Anda.
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. Pilih **Selesai**.
**catatan**
Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi `Resource` dan `aws:SourceArn` bidang untuk menargetkan rahasia dan sistem file tertentu.
##### Langkah 2: Buat AWS Secrets Manager rahasia
**Untuk membuat rahasia**
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Untuk **Tipe rahasia**, pilih **Tipe rahasia lainnya**.
1. Untuk **pasangan kunci/nilai**, lakukan hal berikut untuk menambahkan dua kunci Anda:
1. Untuk kunci pertama, masukkan `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`.
1. Untuk nilai kunci pertama, masukkan hanya nama pengguna (tanpa awalan domain) dari pengguna AD.
1. Untuk kunci kedua, masukkan `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`.
1. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.
1. **Untuk **kunci Enkripsi**, masukkan ARN dari kunci KMS yang Anda buat pada langkah sebelumnya dan pilih Berikutnya.**
1. Untuk **Nama rahasia**, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk nama rahasia.
1. Untuk **izin Sumber Daya**, pilih **Edit**.
Tambahkan kebijakan berikut ke kebijakan izin untuk mengizinkan Amazon FSx menggunakan rahasia, lalu pilih **Berikutnya**. Pastikan untuk mengganti *us-west-2* ke Wilayah AWS tempat sistem file digunakan dan *123456789012* ke Akun AWS ID Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**catatan**
Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi `Resource` dan `aws:SourceArn` bidang untuk menargetkan rahasia dan sistem file tertentu.
1. (Opsional) Anda dapat mengonfigurasi Secrets Manager untuk memutar kredensil Anda secara otomatis. Pilih **Berikutnya**.
1. Pilih **Selesai**.
#### Simpan kredensil Direktori Aktif di ( AWS Secrets Manager CLI)
##### Langkah 1: Buat kunci KMS
Buat kunci KMS untuk mengenkripsi dan mendekripsi kredensil Active Directory Anda di Secrets Manager.
Untuk membuat kunci KMS, gunakan AWS CLI perintah [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html).
Dalam perintah ini, atur `--policy` parameter untuk menentukan kebijakan kunci yang mendefinisikan izin untuk kunci KMS. Kebijakan harus mencakup yang berikut:
+ Prinsip layanan untuk Amazon FSx, yaitu`fsx.amazonaws.com`.
+ Tindakan KMS yang diperlukan: `kms:Decrypt` dan`kms:DescribeKey`.
+ Pola ARN sumber daya untuk Anda Wilayah AWS dan akun.
+ Kunci kondisi yang membatasi penggunaan kunci:
+ `kms:ViaService`untuk memastikan permintaan datang melalui Secrets Manager.
+ `aws:SourceAccount`untuk membatasi ke akun Anda.
+ `aws:SourceArn`untuk membatasi sistem FSx file Amazon tertentu.
Contoh berikut membuat kunci KMS enkripsi simetris dengan kebijakan yang memungkinkan Amazon menggunakan kunci FSx untuk operasi dekripsi dan deskripsi kunci. Perintah secara otomatis mengambil Akun AWS ID dan Region Anda, lalu mengonfigurasi kebijakan kunci dengan nilai-nilai ini untuk memastikan kontrol akses yang tepat antara Amazon FSx, Secrets Manager, dan kunci KMS. Pastikan AWS CLI lingkungan Anda berada di wilayah yang sama dengan sistem file yang akan bergabung dengan Active Directory.
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**catatan**
Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi `Resource` dan `aws:SourceArn` bidang untuk menargetkan rahasia dan sistem file tertentu.
##### Langkah 2: Buat AWS Secrets Manager rahasia
Untuk membuat rahasia bagi Amazon FSx untuk mengakses Active Directory Anda, gunakan AWS CLI perintah [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) dan atur parameter berikut:
+ `--name`: Pengidentifikasi rahasia Anda.
+ `--description`: Deskripsi tujuan rahasia.
+ `--kms-key-id`: ARN dari kunci KMS yang Anda buat di [Langkah 1](#create-kms-key-windows-cli) untuk mengenkripsi rahasia saat istirahat.
+ `--secret-string`: String JSON yang berisi kredensi AD Anda dalam format berikut:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`: Nama pengguna akun layanan AD Anda tanpa awalan domain, seperti`svc-fsx`. **Jangan** berikan awalan domain, seperti`CORP\svc-fsx`.
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`: Kata sandi akun layanan AD Anda.
+ `--region`: Di Wilayah AWS mana sistem FSx file Amazon Anda akan dibuat. Ini default ke wilayah yang dikonfigurasi jika tidak `AWS_REGION` disetel.
Setelah membuat rahasia, lampirkan kebijakan sumber daya menggunakan [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html)perintah, dan atur parameter berikut:
+ `--secret-id`: Nama atau ARN rahasia untuk melampirkan kebijakan. Contoh berikut menggunakan **FSxSecret** sebagai`--secret-id`.
+ `--region`: Sama Wilayah AWS seperti rahasiamu.
+ `--resource-policy`: Dokumen kebijakan JSON yang memberikan FSx izin Amazon untuk mengakses rahasia. Kebijakan harus mencakup yang berikut:
+ Prinsip layanan untuk Amazon FSx, yaitu**fsx.amazonaws.com**.
+ Tindakan Secrets Manager yang diperlukan: `secretsmanager:GetSecretValue` dan`secretsmanager:DescribeSecret`.
+ Pola ARN sumber daya untuk Anda Wilayah AWS dan akun.
+ Kunci kondisi berikut yang membatasi akses:
+ `aws:SourceAccount`untuk membatasi ke akun Anda.
+ `aws:SourceArn`untuk membatasi sistem FSx file Amazon tertentu.
Contoh berikut membuat rahasia dengan format yang diperlukan dan melampirkan kebijakan sumber daya yang FSx memungkinkan Amazon menggunakan rahasia tersebut. Contoh ini secara otomatis mengambil Akun AWS ID dan Wilayah Anda, lalu mengonfigurasi kebijakan sumber daya dengan nilai-nilai ini untuk memastikan kontrol akses yang tepat antara Amazon FSx dan rahasia.
Pastikan untuk mengganti `KMS_KEY_ARN` dengan ARN dari kunci yang Anda buat di [Langkah 1](#create-kms-key-windows-cli)`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`, dan `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` dengan kredenal akun layanan Active Directory Anda. Selain itu, verifikasi bahwa AWS CLI lingkungan Anda dikonfigurasi untuk wilayah yang sama dengan sistem file yang akan bergabung dengan Active Directory.
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**catatan**
Anda dapat mengatur kontrol akses yang lebih terperinci dengan memodifikasi `Resource` dan `aws:SourceArn` bidang untuk menargetkan rahasia dan sistem file tertentu.
## Akun FSx layanan Amazon
Sistem FSx file Amazon yang digabungkan ke Direktori Aktif yang dikelola sendiri memerlukan akun layanan yang valid sepanjang masa pakainya. Amazon FSx menggunakan akun layanan untuk mengelola sistem file Anda sepenuhnya dan melakukan tugas administratif yang memerlukan pemutusan dan penggabungan kembali objek komputer ke domain Direktori Aktif Anda. Tugas-tugas ini termasuk mengganti server file yang gagal dan menambal perangkat lunak Microsoft Windows Server. FSx Agar Amazon dapat melakukan tugas-tugas ini, akun FSx layanan Amazon harus memiliki, setidaknya, serangkaian izin yang dijelaskan dalam [Izin akun layanan](#service-account-prereqs) didelegasikan kepadanya.
Meskipun anggota grup **Admin Domain** memiliki hak istimewa yang cukup untuk melakukan tugas ini, kami sangat menyarankan Anda menggunakan akun layanan terpisah untuk mendelegasikan hak istimewa yang diperlukan ke Amazon. FSx
Untuk informasi selengkapnya tentang cara mendelegasikan hak istimewa menggunakan fitur **Kontrol Delegasi** atau **Fitur Lanjutan** di snap-in **Active Directory User and Computers** MMC, lihat. [Mendelegasikan izin ke akun atau grup FSx layanan Amazon](assign-permissions-to-service-account.md)
Jika Anda memperbarui sistem file Anda dengan akun layanan baru, akun layanan baru harus memiliki izin dan hak istimewa yang diperlukan untuk bergabung dengan Direktori Aktif Anda dan memiliki izin **kontrol penuh** untuk objek komputer yang ada yang terkait dengan sistem file. Untuk informasi selengkapnya, lihat [Mengubah akun FSx layanan Amazon](changing-ad-service-account.md).
Sebaiknya simpan kredenal akun layanan Active Directory Anda AWS Secrets Manager untuk keamanan yang lebih baik. Ini menghilangkan kebutuhan untuk menyimpan kredensil sensitif dalam teks biasa dan selaras dengan praktik terbaik keamanan. Untuk informasi selengkapnya, lihat [Menggunakan Microsoft Active Directory yang dikelola sendiri](#self-managed-AD).
# Mendelegasikan izin ke akun atau grup FSx layanan Amazon
Akun FSx layanan Amazon atau grup admin harus memiliki [hak istimewa yang diperlukan](self-managed-AD.md#service-account-prereqs) FSx untuk bergabung dengan sistem file Windows File Server ke domain Active Directory yang dikelola sendiri. Untuk mendelegasikan izin ini, Anda dapat menggunakan **Kontrol Delegasi** atau **Fitur Lanjutan** dalam Active Directory User and Computers MMC snap-in, seperti yang dijelaskan dalam prosedur berikut.
## **Untuk menetapkan izin menggunakan Delegate Control**
****Untuk menetapkan izin ke akun layanan atau grup menggunakan Kontrol Delegasi****
1. Masuk ke sistem Anda sebagai administrator domain untuk domain Active Directory Anda.
1. Buka MMC snap-in **Pengguna Direktori Aktif dan Komputer**.
1. Dalam panel tugas, perluas simpul domain.
1. Temukan dan buka menu konteks (klik kanan) untuk OU yang ingin Anda ubah, lalu pilih **Delegasikan Kontrol**.
1. Pada halaman **Delegasi Control Wizard**, pilih **Selanjutnya**.
1. Pilih **Tambah** untuk menambahkan nama akun atau grup FSx layanan Amazon Anda, lalu pilih **Berikutnya**.
1. Pada halaman **Tugas untuk Didelegasikan**, pilih **Buat tugas kustom untuk didelegasikan**, lalu pilih **Selanjutnya**.
1. Pilih **Hanya objek berikut dalam folder**, lalu pilih **Objek komputer**.
1. Pilih **Buat objek yang dipilih dalam folder ini** dan **Hapus objek yang dipilih dalam folder ini**. Lalu pilih **Selanjutnya**.
1. Untuk **Izin**, pilih:
+ **Setel Ulang Kata Sandi**
+ **Baca dan tulis Pembatasan Akun**
+ **Menulis tervalidasi ke nama host DNS**
+ **Menulis tervalidasi ke nama utama layanan**
1. Pilih **Selanjutnya**, dan kemudian pilih **Selesai**.
1. Tutup snap-in **Active Directory User and Computers** MMC.
## **Untuk menetapkan izin menggunakan Fitur Lanjutan**
1. Masuk ke sistem Anda sebagai administrator domain untuk domain Active Directory Anda.
1. Buka MMC snap-in **Pengguna Direktori Aktif dan Komputer**.
1. Pilih **Lihat** dari bilah menu dan pastikan **Fitur Lanjutan** diaktifkan (tanda centang akan muncul di sebelahnya jika fitur diaktifkan).
1. Dalam panel tugas, perluas simpul domain.
1. Cari dan buka (klik kanan) menu konteks untuk OU yang ingin Anda ubah, lalu pilih **Properties**.
1. Di panel **OU Properties**, pilih tab **Keamanan**.
1. Di tab **Keamanan**, pilih **Advanced**. Kemudian pilih **Tambah**.
1. Pada halaman **Entri Izin**, **pilih Pilih prinsipal** dan masukkan nama akun atau grup FSx layanan Amazon Anda. Untuk **Berlaku untuk:**, pilih **Objek Ini dan semua Komputer Keturunan.** Pastikan bahwa yang berikut ini dipilih:
+ **Ubah izin**
+ **Buat Objek Komputer**
+ **Hapus Objek Komputer**
1. Pilih **Terapkan**, lalu pilih **OK**.
1. Tutup snap-in **Active Directory User and Computers** MMC.
# Memvalidasi konfigurasi Direktori Aktif Anda
Sebelum Anda membuat sistem file FSx untuk Windows File Server yang bergabung dengan Active Directory Anda, kami sarankan Anda memvalidasi konfigurasi Active Directory menggunakan alat Validasi Direktori FSx Aktif Amazon. Perhatikan bahwa konektivitas internet keluar diperlukan untuk berhasil memvalidasi konfigurasi Active Directory.
**Untuk memvalidasi konfigurasi Direktori Aktif Anda**
1. Luncurkan instans Windows Amazon EC2 di subnet yang sama dan dengan grup keamanan Amazon VPC yang sama yang Anda gunakan untuk sistem file FSx for Windows File Server Anda. Pastikan instans EC2 Anda memiliki izin `AmazonEC2ReadOnlyAccess` IAM yang diperlukan. Anda dapat memvalidasi izin peran instans EC2 menggunakan simulator kebijakan IAM. Untuk informasi selengkapnya, lihat [Menguji Kebijakan IAM dengan Simulator Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) di *Panduan Pengguna IAM*.
1. Gabungkan instans Windows EC2 Anda ke Direktori Aktif Anda. Untuk informasi lebih lanjut, lihat [Menggabungkan Instans Windows Secara Manual](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html) dalam *Panduan Administrasi AWS Directory Service *.
1. Connect ke instans EC2 Anda. Untuk informasi selengkapnya, lihat [Menyambungkan ke Instans Windows Anda](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) di *Panduan Pengguna Amazon EC2*.
1. Buka PowerShell jendela Windows (menggunakan **Run as Administrator**) pada instans EC2.
Untuk menguji apakah modul Active Directory yang diperlukan untuk Windows PowerShell diinstal, gunakan perintah pengujian berikut.
```
PS C:\> Import-Module ActiveDirectory
```
Jika hasil pengujian menunjukkan kesalahan, instasl menggunakan perintah berikut.
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. Unduh alat validasi jaringan menggunakan perintah berikut.
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. Buka file zip dengan menggunakan perintah berikut.
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. Tambahkan `AmazonFSxADValidation` modul ke sesi saat ini.
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. Tetapkan parameter yang diperlukan dengan menggantikan perintah berikut:
+ Nama domain Direktori Aktif (*DOMAINNAME.COM*)
+ Siapkan `$Credential` objek untuk kata sandi akun layanan menggunakan salah satu opsi berikut.
+ Untuk membuat objek kredensial secara interaktif, gunakan perintah berikut.
```
$Credential = Get-Credential
```
+ Untuk menghasilkan objek kredensi menggunakan AWS Secrets Manager sumber daya, gunakan perintah berikut.
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ Alamat IP server DNS (*IP\$1ADDRESS\$11*,*IP\$1ADDRESS\$12*)
+ Subnet ID (s) untuk subnet di mana Anda berencana untuk membuat sistem FSx file Amazon Anda (*SUBNET\$11**SUBNET\$12*, misalnya,`subnet-04431191671ac0d19`).
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (Opsional) Tetapkan Unit Organisasi, grup Administrator Delegasi DomainControllersMaxCount, dan aktifkan validasi izin akun layanan dengan mengikuti instruksi dalam `README.md` file yang disertakan sebelum menjalankan alat validasi.
**catatan**
`Domain Admins`Grup ini memiliki nama yang berbeda jika sistem operasinya tidak dalam bahasa Inggris. Misalnya, grup ini dinamai `Administrateurs du domaine` dalam versi OS Prancis. Jika Anda tidak menentukan nilai, nama `Domain Admins` grup default digunakan dan pembuatan sistem file gagal.
1. Menjalankan alat validasi dengan menggunakan perintah ini.
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. Berikut ini adalah contoh hasil pengujian yang berhasil.
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Berikut ini adalah contoh dari hasil pengujian dengan kesalahan.
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
Jika Anda menerima peringatan atau kesalahan ketika Anda menjalankan alat validasi, lihat panduan pemecahan masalah yang disertakan dalam paket alat validasi (`TROUBLESHOOTING.md`) dan [Memecahkan Masalah Amazon FSx](troubleshooting.md).
# Bergabung dengan sistem FSx file Amazon ke domain Microsoft Active Directory yang dikelola sendiri
Saat Anda membuat sistem file Server File Windows baru FSx , Anda dapat mengonfigurasi integrasi Microsoft Active Directory sehingga bergabung dengan domain Microsoft Active Directory yang dikelola sendiri. Untuk melakukannya, berikan informasi berikut untuk Microsoft Active Directory Anda:
+ Nama domain (FQDN) yang sepenuhnya memenuhi syarat dari direktori Microsoft Active Directory lokal Anda.
**catatan**
Amazon FSx saat ini tidak mendukung domain Single Label Domain (SLD).
+ Alamat IP dari server DNS untuk domain Anda.
+ Kredensi untuk akun layanan Direktori Aktif yang FSx digunakan Amazon untuk bergabung dengan sistem file ke domain Anda. Anda dapat memberikan ini sebagai:
+ **Opsi 1**: AWS Secrets Manager rahasia ARN - Rahasia yang berisi nama pengguna dan kata sandi untuk akun layanan di domain Direktori Aktif Anda. Untuk informasi selengkapnya, lihat [Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opsi 2: Kredensi** Plaintext
+ **Nama pengguna akun layanan** — Nama pengguna akun layanan di Microsoft Active Directory yang ada. Jangan sertakan awalan atau akhiran domain. Misalnya, untuk`EXAMPLE\ADMIN`, gunakan saja`ADMIN`.
+ **Kata sandi akun layanan** — Kata sandi untuk akun layanan.
Anda juga dapat menentukan pilihan berikut:
+ Unit Organisasi (OU) tertentu dalam domain yang Anda inginkan untuk bergabung dengan sistem FSx file Amazon Anda.
+ Nama grup domain yang anggotanya diberikan hak administratif untuk sistem FSx file Amazon. Nama grup domain yang Anda berikan harus unik di Direktori Aktif Anda.
Setelah Anda menentukan informasi ini, Amazon FSx menggabungkan sistem file baru Anda ke domain Active Directory yang dikelola sendiri menggunakan akun layanan yang Anda berikan.
**penting**
Amazon FSx hanya mendaftarkan catatan DNS untuk sistem file jika domain Active Directory tempat Anda bergabung menggunakan Microsoft DNS sebagai DNS default. Jika Anda menggunakan DNS pihak ketiga, Anda perlu mengatur entri DNS secara manual untuk sistem FSx file Amazon Anda setelah Anda membuat sistem file Anda. Untuk informasi lebih lanjut tentang memilih alamat IP yang benar untuk digunakan untuk sistem file, lihat [Mendapatkan alamat IP sistem file yang benar untuk digunakan untuk entri DNS manual](file-system-ip-addresses-for-dns.md).
## Sebelum Anda mulai
Pastikan bahwa Anda telah menyelesaikan [Prasyarat](self-managed-AD.md#self-manage-prereqs) yang dirinci di [Menggunakan Microsoft Active Directory yang dikelola sendiri](self-managed-AD.md).
## FSx Untuk membuat sistem file Windows File Server yang digabungkan ke Active Directory (Console) yang dikelola sendiri
1. Buka FSx konsol Amazon di [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Pada dasbor, pilih **Buat sistem file** untuk memulai wizard pembuatan sistem file.
1. Pilih **FSx untuk Windows File Server** dan kemudian pilih **Berikutnya**. Halaman **Buat sistem file** muncul.
1. Berikan nama untuk sistem file Anda. Anda dapat menggunakan maksimum 256 huruf Unicode, spasi, dan angka, serta karakter khusus \$1 - =. \$1 : /
1. Untuk **Kapasitas penyimpanan**, masukkan kapasitas penyimpanan sistem file Anda, dalam GiB. Jika Anda menggunakan penyimpanan SSD, masukkan bilangan bulat berapa pun dalam kisaran 32–65,536. Jika Anda menggunakan penyimpanan HDD, masukkan bilangan bulat berapa pun dalam kisaran 2,000–65,536. Anda dapat meningkatkan jumlah kapasitas penyimpanan sesuai kebutuhan setiap saat setelah Anda membuat sistem file. Untuk informasi selengkapnya, lihat [Mengelola kapasitas penyimpanan](managing-storage-configuration.md#managing-storage-capacity).
1. Pertahankan **Kapasitas throughput** pada pengaturan default-nya. **Kapasitas throughput** adalah kecepatan berkelanjutan di mana server file yang menyimpan sistem file Anda dapat melayani data. Pengaturan **Kapasitas throughput yang disarankan** didasarkan pada jumlah kapasitas penyimpanan yang Anda pilih. Jika Anda membutuhkan lebih dari kapasitas throughput yang disarankan, pilih **Tentukan kapasitas throughput**, dan kemudian pilih nilai. Untuk informasi selengkapnya, lihat [FSx untuk kinerja Windows File ServerPerforma](performance.md).
Anda dapat mengubah kapasitas throughput sesuai kebutuhan setiap saat setelah Anda membuat sistem file. Untuk informasi selengkapnya, lihat [Mengelola kapasitas throughput](managing-throughput-capacity.md).
1. Pilih VPC yang ingin Anda kaitkan dengan sistem file Anda. Untuk tujuan latihan memulai ini, pilih VPC yang sama seperti untuk Directory Service direktori Anda dan instans Amazon EC2.
1. Pilih nilai untuk **Availability Zone** dan untuk **Subnet**.
1. Untuk **Grup keamanan VPC**, grup keamanan default untuk Amazon VPC Anda sudah ditambahkan ke sistem file Anda di konsol. Harap pastikan bahwa grup keamanan dan Jaringan VPC ACLs untuk subnet tempat Anda membuat sistem FSx file memungkinkan lalu lintas di port dan petunjuk yang ditunjukkan pada diagram berikut.
![\[FSx untuk persyaratan konfigurasi port Windows File Server untuk grup keamanan VPC dan jaringan ACLs untuk subnet tempat sistem file dibuat.\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
Tabel berikut mengidentifikasi peran masing-masing port.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**penting**
Mengizinkan lalu lintas keluar pada TCP port 9389 diperlukan untuk single-AZ 2 dan semua deployment sistem file Multi-AZ.
**catatan**
Jika Anda menggunakan jaringan VPC ACLs, Anda juga harus mengizinkan lalu lintas keluar pada port dinamis (49152-65535) dari sistem file Anda. FSx
+ Aturan keluar untuk mengizinkan semua lalu lintas ke alamat IP yang terkait dengan server DNS dan pengontrol domain untuk domain Microsoft Active Directory yang dikelola sendiri. Untuk informasi selengkapnya, lihat [Dokumentasi Microsoft tentang mengkonfigurasi firewall Anda untuk komunikasi Direktori Aktif](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts).
+ Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengontrol domain Active Directory, server DNS, klien, dan administrator. FSx FSx
**catatan**
Jika Anda memiliki situs Direktori Aktif yang ditentukan, Anda harus memastikan bahwa subnet di VPC yang terkait dengan sistem file FSx Amazon Anda didefinisikan di situs Direktori Aktif, dan tidak ada konflik antara subnet di VPC Anda dan subnet di situs Anda yang lain. Anda dapat melihat dan mengubah pengaturan ini menggunakan Situs Direktori Aktif dan snap-in MMC Layanan.
**penting**
Sementara grup keamanan Amazon VPC mengharuskan port dibuka hanya ke arah lalu lintas jaringan dimulai, sebagian besar firewall Windows dan ACLs jaringan VPC memerlukan port untuk dibuka di kedua arah.
1. Untuk **Autentikasi Windows**, pilih **Direktori Aktif Microsoft dikelola sendiri**.
1. Masukkan nilai untuk **nama domain yang sepenuhnya memenuhi syarat** untuk direktori Microsoft Active Directory yang dikelola sendiri.
**catatan**
Nama domain tidak boleh dalam format Single Label Domain (SLD). Amazon FSx saat ini tidak mendukung domain SLD.
**penting**
Untuk Single-AZ 2 dan semua sistem file Multi-AZ, nama domain Direktori Aktif tidak boleh melebihi 47 karakter.
1. Masukkan nilai untuk **Unit Organisasi** untuk direktori Microsoft Active Directory yang dikelola sendiri.
**catatan**
Pastikan bahwa akun layanan yang Anda berikan memiliki izin yang didelegasikan ke OU yang Anda tentukan di sini atau ke default OU jika Anda tidak menentukannya.
1. Masukkan setidaknya satu, dan tidak lebih dari dua, nilai untuk **Alamat IP Server DNS** untuk direktori Microsoft Active Directory yang dikelola sendiri.
1. **Kredensi akun layanan - Pilih cara memberikan kredensi** akun layanan Anda:
+ **Opsi 1**: AWS Secrets Manager rahasia ARN - Rahasia yang berisi nama pengguna dan kata sandi untuk akun layanan di domain Direktori Aktif Anda. Untuk informasi selengkapnya, lihat [Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
+ **Opsi 2: Kredensi** Plaintext
+ **Nama pengguna akun layanan** — Nama pengguna akun layanan di Microsoft Active Directory yang ada. Jangan sertakan awalan atau akhiran domain. Misalnya, untuk`EXAMPLE\ADMIN`, gunakan saja`ADMIN`.
+ **Kata sandi akun layanan** — Kata sandi untuk akun layanan.
+ **Konfirmasi kata** sandi — Kata sandi untuk akun layanan.
**penting**
JANGAN sertakan prefiks domain (`corp.com\ServiceAcct`) atau sufiks domain (`ServiceAcct@corp.com`) saat memasukkan **Nama pengguna akun layanan**.
JANGAN menggunakan Nama yang Dibedakan (DN) saat memasukkan **Nama pengguna akun layanan** (`CN=ServiceAcct,OU=example,DC=corp,DC=com`).
1. Untuk **grup administrator sistem file yang didelegasikan**, tentukan `Domain Admins` grup atau grup administrator sistem file yang didelegasikan khusus (jika Anda telah membuatnya). Grup yang Anda tentukan harus memiliki wewenang yang didelegasikan untuk melakukan tugas administratif pada sistem file Anda. Jika Anda tidak memberikan nilai, Amazon FSx menggunakan `Domain Admins` grup Builtin. Perhatikan bahwa Amazon FSx tidak mendukung memiliki `Delegated file system administrators group` (baik `Domain Admins` grup atau grup kustom yang Anda tentukan) yang terletak di wadah bawaan.
**penting**
Jika Anda tidak menyediakan **grup administrator sistem file yang didelegasikan, Amazon secara default FSx mencoba menggunakan `Domain Admins` grup** bawaan di domain Active Directory Anda. Jika nama grup Builtin ini telah diubah atau jika Anda menggunakan grup yang berbeda untuk administrasi domain, Anda harus memberikan nama tersebut untuk grup di sini.
**penting**
JANGAN sertakan awalan domain (corp.com\$1 FSx Admins) atau akhiran domain (FSxAdmins@corp.com) saat memberikan parameter nama grup.
JANGAN menggunakan Nama yang Dibedakan (DN) untuk grup. Contoh nama yang dibedakan adalah CN = FSx Admin, OU = Contoh, DC = Corp, DC = COM.
## FSx Untuk membuat sistem file Windows File Server bergabung dengan Active Directory ()AWS CLI yang dikelola sendiri
Contoh berikut membuat FSx untuk sistem file Windows File Server dengan `SelfManagedActiveDirectoryConfiguration` di `us-east-2` Availability Zone.
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**penting**
Jangan pindahkan objek komputer yang FSx dibuat Amazon di OU setelah sistem file Anda dibuat. Dengan melakukannya, sistem file Anda akan mengalami kesalahan konfigurasi.
# Mendapatkan alamat IP sistem file yang benar untuk digunakan untuk entri DNS manual
Amazon FSx hanya mendaftarkan catatan DNS untuk sistem file jika Anda menggunakan Microsoft DNS sebagai layanan DNS default. Jika Anda menggunakan DNS pihak ketiga, Anda perlu mengatur entri DNS secara manual untuk sistem file Amazon FSx Anda. Bagian ini menjelaskan cara mendapatkan alamat IP sistem file yang benar untuk digunakan jika Anda harus secara manual menambahkan sistem file ke DNS Anda. Perhatikan bahwa setelah sistem file dibuat, alamat IP-nya tidak berubah sampai sistem file dihapus.
**Cara mendapatkan alamat IP sistem file yang digunakan untuk entri DNS A**
1. Di dalam [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/), pilih sistem file yang ingin Anda dapatkan alamat IP untuk menampilkan halaman detail sistem file.
1. Di tab **Jaringan & keamanan** lakukan salah satu hal berikut:
+ Untuk sistem file Single-AZ 1:
+ Di panel **Subnet**, pilih antarmuka jaringan elastis yang ditunjukkan di bawah **Antarmuka jaringan** untuk membuka halaman **Antarmuka jaringan** di konsol Amazon EC2.
+ Alamat IP untuk sistem file Single-AZ 1 yang akan digunakan ditampilkan di kolom ** IPv4 IP pribadi Primer**.
+ Untuk sistem file Single-AZ 2 atau Multi-AZ:
+ Di panel **Subnet yang dipilih**, pilih antarmuka jaringan elastis ditunjukkan di bawah **Antarmuka jaringan** untuk membuka halaman **Antarmuka jaringan** di konsol Amazon EC2.
+ Alamat IP untuk subnet pilihan untuk digunakan ditampilkan di kolom ** IPv4 IP pribadi Sekunder**.
+ Di panel **subnet Amazon FSx Standby**, pilih elastic network interface yang ditampilkan di bawah **Network interface** untuk membuka halaman **Network Interfaces** di konsol Amazon EC2.
+ Alamat IP untuk subnet siaga yang akan digunakan ditampilkan di kolom ** IPv4 IP pribadi Sekunder**.
**catatan**
**Jika Anda perlu mengatur entri DNS untuk Windows Remote PowerShell Endpoint untuk sistem file Single-AZ 2 atau Multi-AZ, Anda harus menggunakan ** IPv4 alamat pribadi Primer** untuk antarmuka elastic network untuk subnet Preferred Anda.** Untuk informasi selengkapnya, lihat [Menggunakan Amazon FSx CLI untuk PowerShell](administering-file-systems.md#remote-pwrshell).
# Memperbarui konfigurasi Direktori Aktif yang dikelola sendiri
Untuk membantu memastikan ketersediaan sistem FSx file Amazon yang berkelanjutan dan tidak terganggu, Anda harus memperbarui konfigurasi Active Directory sistem file ketika salah satu properti Active Directory berikut berubah:
+ Alamat IP server DNS
+ Kredensi akun layanan dari Active Directory yang dikelola sendiri
Saat Anda memperbarui konfigurasi Direktori Aktif yang dikelola sendiri untuk sistem FSx file Amazon Anda, status sistem file Anda beralih dari **Tersedia** ke Pembaruan saat **pembaruan** diterapkan. Pastikan bahwa keadaan beralih kembali ke **Tersedia** setelah pembaruan diterapkan — perhatikan bahwa pembaruan dapat memakan waktu hingga beberapa menit untuk diselesaikan. Untuk informasi selengkapnya, lihat [Pembaruan Direktori Aktif yang dikelola sendiri](monitor-self-ad-update.md).
Jika ada masalah dengan konfigurasi Direktori Aktif yang dikelola sendiri yang diperbarui, status sistem file akan beralih ke **Salah** Konfigurasi. Status ini menampilkan pesan kesalahan dan tindakan korektif yang direkomendasikan di samping deskripsi sistem file di konsol, API, dan CLI. Setelah mengambil tindakan korektif yang disarankan, verifikasi bahwa status sistem file Anda akhirnya berubah menjadi **Tersedia**.
**penting**
Jika Anda memperbarui sistem file Anda dengan akun layanan baru, pastikan bahwa akun layanan baru memiliki izin **kontrol penuh** untuk objek komputer yang ada yang terkait dengan sistem file.
Untuk informasi tentang pemecahan masalah yang mungkin terkait dengan konfigurasi Direktori Aktif yang dikelola sendiri, lihat. [Sistem file dalam keadaan salah konfigurasi](misconfigured-ad-config.md)
Anda dapat menggunakan Konsol Manajemen AWS, Amazon FSx API, atau AWS CLI untuk memperbarui kredensional akun layanan dan alamat IP server DNS dari konfigurasi Active Directory yang dikelola sendiri oleh sistem file. Anda dapat melacak kemajuan pembaruan konfigurasi Direktori Aktif yang dikelola sendiri kapan saja menggunakan, CLI Konsol Manajemen AWS, dan API. Untuk informasi selengkapnya, lihat [Pembaruan Direktori Aktif yang dikelola sendiri](monitor-self-ad-update.md).
**Untuk memperbarui konfigurasi Direktori Aktif yang dikelola sendiri (Konsol)**
1. Buka FSx konsol Amazon di [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Arahkan ke **sistem File**, dan pilih sistem file Windows yang ingin Anda perbarui konfigurasi Active Directory yang dikelola sendiri.
1. Di tab **Jaringan & keamanan**, lalu pilih **Perbarui** untuk **Alamat IP server DNS**, atau untuk nama pengguna akun layanan, tergantung pada properti Direktori Aktif yang Anda perbarui.
1. Masukkan alamat IP server DNS baru, atau kredenal akun layanan baru (nama pengguna dan kata sandi) atau ARN rahasia dalam dialog yang muncul. Anda dapat menggunakan AWS Secrets Manager untuk menyimpan kredensil Anda. Untuk informasi selengkapnya, lihat [Menyimpan kredensil Active Directory menggunakan AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows).
1. Pilih **Perbarui** untuk memulai pembaruan konfigurasi Direktori Aktif.
Anda dapat [memantau kemajuan pembaruan](monitor-self-ad-update.md) menggunakan Konsol Manajemen AWS atau AWS CLI.
**Untuk memperbarui konfigurasi Direktori Aktif yang dikelola sendiri (CLI)**
+ Untuk memperbarui konfigurasi Direktori Aktif yang dikelola sendiri dari sistem file Windows File Server FSx untuk Windows, gunakan AWS CLI perintah [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html). Atur parameter berikut:
+ `--file-system-id` ke ID dari sistem file yang Anda perbarui.
+ `UserName`nama pengguna baru untuk akun layanan Direktori Aktif yang dikelola sendiri.
+ `Password`kata sandi baru untuk akun layanan Direktori Aktif yang dikelola sendiri.
+ `DomainJoinServiceAccountSecret` AWS Secrets Manager rahasia yang berisi nama pengguna dan kata sandi untuk akun layanan di domain Active Directory Anda
**catatan**
Anda tidak dapat memberikan keduanya username/password dan rahasia akun layanan gabungan domain untuk terhubung ke Direktori Aktif Anda. Berikan hanya satu set kredensional.
+ `DnsIps`alamat IP untuk server DNS Active Directory yang dikelola sendiri.
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
Jika tindakan pembaruan berhasil, layanan mengirimkan kembali respons HTTP 200. `AdminstrativeActions`Objek dalam respons menggambarkan permintaan dan statusnya.
# Mengubah akun FSx layanan Amazon
Jika Anda memperbarui sistem file Anda dengan akun layanan baru, akun layanan baru harus memiliki izin dan hak istimewa yang diperlukan untuk bergabung dengan Direktori Aktif Anda dan memiliki izin **kontrol penuh** untuk objek komputer yang ada yang terkait dengan sistem file. Selain itu, pastikan bahwa akun layanan baru adalah bagian dari akun tepercaya dengan pengaturan **Kebijakan Grup** yang diaktifkan **Pengontrol domain: Izinkan penggunaan kembali akun komputer selama bergabung dengan domain**.
Kami sangat menyarankan menggunakan grup Active Directory untuk mengelola izin dan konfigurasi Active Directory yang terkait dengan akun layanan.
Saat mengubah akun layanan untuk Amazon FSx, pastikan bahwa akun layanan memiliki pengaturan berikut:
+ Akun layanan baru (atau grup Direktori Aktif yang menjadi anggotanya) memiliki izin **kontrol penuh** untuk objek komputer yang ada yang terkait dengan sistem file.
+ Akun layanan baru dan sebelumnya (atau grup Direktori Aktif yang menjadi anggotanya) adalah bagian dari akun tepercaya (atau grup Direktori Aktif tepercaya) dengan **pengontrol Domain: Izinkan penggunaan kembali akun komputer selama pengaturan Kebijakan Grup bergabung dengan domain** diaktifkan pada semua pengontrol domain di Direktori Aktif.
Jika akun layanan tidak memenuhi persyaratan ini, kondisi berikut dapat terjadi:
+ Untuk sistem file Single-AZ, sistem file bisa menjadi **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**.
+ Untuk sistem file multi-AZ, sistem file bisa menjadi **[MISCONFIGURATED](administering-file-systems.md#file-system-lifecycle-states)** dan nama RemotePowerShell endpoint mungkin berubah.
## Mengkonfigurasi Kebijakan Grup pengontrol domain
[Prosedur yang direkomendasikan Microsoft](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action) berikut menjelaskan cara menggunakan kebijakan grup pengontrol domain untuk mengonfigurasi kebijakan daftar izinkan.
**Untuk mengonfigurasi kebijakan daftar izinkan pengontrol domain**
1. Instal pembaruan Microsoft Windows 12 September 2023 atau yang lebih baru di semua komputer anggota dan pengontrol domain di Microsoft Active Directory yang dikelola sendiri.
1. Dalam kebijakan grup baru atau yang sudah ada yang berlaku untuk semua pengontrol domain di Direktori Aktif yang dikelola sendiri, konfigurasikan setelan berikut.
1. Arahkan ke **Konfigurasi Komputer>Kebijakan>Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal>Opsi Keamanan**.
1. Klik dua kali **Pengontrol domain: Izinkan penggunaan kembali akun komputer selama bergabung dengan domain**.
1. Pilih **Tentukan setelan kebijakan ini dan**.
1. Gunakan pemilih objek untuk menambahkan pengguna atau grup pembuat dan pemilik akun komputer tepercaya ke izin **Izinkan**. (Sebagai praktik terbaik, kami sangat menyarankan Anda menggunakan grup untuk izin.) **Jangan menambahkan akun pengguna yang melakukan domain join.**
**Awas**
Batasi keanggotaan pada kebijakan untuk pengguna tepercaya dan akun layanan. Jangan menambahkan pengguna yang diautentikasi, semua orang, atau grup besar lainnya ke kebijakan ini. Sebagai gantinya, tambahkan pengguna tepercaya dan akun layanan tertentu ke grup dan tambahkan grup tersebut ke kebijakan.
1. Tunggu interval penyegaran Kebijakan Grup atau jalankan **gpupdate /force** di semua pengontrol domain.
1. Verifikasi bahwa kunci registri HKLM\$1 System\$1 CCS\$1 Control\$1 SAM — “ComputerAccountReuseAllowList” diisi dengan SDDL yang diinginkan. **Jangan mengedit registri secara manual**.
1. Cobalah untuk bergabung dengan komputer yang memiliki pembaruan 12 September 2023, atau yang lebih baru diinstal. Pastikan salah satu akun yang tercantum dalam polis memiliki akun komputer. Juga pastikan bahwa registri tidak memiliki **NetJoinLegacyAccountReuse**kunci yang diaktifkan (diatur ke 1). Jika domain join gagal, periksa **`c:\windows\debug\netsetup.log`**.
# Pembaruan Direktori Aktif yang dikelola sendiri
Anda dapat memantau kemajuan pembaruan konfigurasi Direktori Aktif yang dikelola sendiri menggunakan API, atau AWS CLI, seperti yang dijelaskan dalam prosedur berikut. Konsol Manajemen AWS
Saat Anda memperbarui konfigurasi Direktori Aktif yang dikelola sendiri oleh sistem file Anda, status sistem file beralih dari **Tersedia** ke Pembaruan saat **pembaruan** diterapkan. Setelah pembaruan selesai, status beralih kembali ke **Tersedia**. Pembaruan konfigurasi Active Directory dapat memakan waktu hingga beberapa menit untuk diselesaikan.
## Memantau pembaruan di konsol
Di tab **Pembaruan** dalam jendela **Detail sistem file**, Anda dapat melihat 10 pembaruan terbaru untuk setiap jenis pembaruan.
![\[Tangkapan layar konsol menunjukkan daftar pembaruan terbaru.\]](http://docs.aws.amazon.com/id_id/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
Untuk pembaruan Direktori Aktif yang dikelola sendiri, Anda dapat melihat informasi berikut ini.
****Jenis pembaruan****
Jenis yang didukung adalah sebagai berikut:
+ Alamat IP server DNS
+ Kredensial akun layanan
****Nilai target****
Nilai yang diinginkan untuk memperbarui properti sistem file. Untuk pembaruan **kredensial akun layanan**, hanya nama pengguna yang ditampilkan, kata sandi akun layanan tidak pernah disertakan dalam bidang ini.
****Status****
Status terkini dari pembaruan. Untuk pembaruan Direktori Aktif yang dikelola sendiri, nilai yang mungkin adalah sebagai berikut:
+ **Tertunda** - Amazon FSx telah menerima permintaan pembaruan, tetapi belum mulai memprosesnya.
+ **Sedang berlangsung** - Amazon FSx sedang memproses permintaan pembaruan.
+ **Selesai** – Pembaruan sistem file berhasil diselesaikan.
+ **Gagal** – Pembaruan sistem file gagal. Pilih tanda tanya (**?**) untuk melihat detail tentang kegagalan.
****Kemajuan%****
Menampilkan kemajuan pembaruan sistem file dalam persentase dari selesai pembaruan.
****Waktu permintaan****
Waktu Amazon FSx menerima permintaan tindakan pembaruan.
## Memantau pembaruan menggunakan AWS CLI dan API
Anda dapat melihat dan memantau permintaan pembaruan sistem file yang sedang berlangsung menggunakan [describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI perintah dan tindakan [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API. Array `AdministrativeActions` mencantumkan 10 tindakan pembaruan terbaru untuk setiap jenis tindakan administratif.
Contoh berikut menunjukkan kutipan respons perintah CLI **describe-file-systems**. Output menunjukkan dua pembaruan sistem file Active Directory yang dikelola sendiri.
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```