As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando AWS DataSync transferências com um servidor de arquivos SMB
Com AWS DataSync, você pode transferir dados entre o servidor de arquivos Server Message Block (SMB) e os seguintes serviços AWS de armazenamento. Os serviços de armazenamento compatíveis dependem do seu modo de tarefa, conforme mostrado abaixo:
| Modo básico | Modo Avançado |
| --- | --- |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/create-smb-location.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/create-smb-location.html) |
Para configurar esse tipo de transferência, você cria um [local](how-datasync-transfer-works.md#sync-locations) para o servidor de arquivos SMB. Você pode usar esse local como origem ou destino de uma transferência. Certifique-se de usar o agente que corresponde ao modo de tarefa desejado.
## Fornecendo DataSync acesso a servidores de arquivos SMB
DataSync se conecta ao seu servidor de arquivos usando o protocolo SMB e pode se autenticar com NTLM ou Kerberos.
**Topics**
+ [Versões compatíveis do SMB](#configuring-smb-version)
+ [Como usar a autenticação NTLM](#configuring-smb-ntlm-authentication)
+ [Usar a autenticação Kerberos](#configuring-smb-kerberos-authentication)
+ [Permissões obrigatórias](#configuring-smb-permissions)
+ [Namespaces do DFS](#configuring-smb-location-dfs)
### Versões compatíveis do SMB
Por padrão, escolhe DataSync automaticamente uma versão do protocolo SMB com base na negociação com seu servidor de arquivos SMB.
Você também pode configurar DataSync para usar uma versão SMB específica, mas recomendamos fazer isso somente se DataSync tiver problemas para negociar com o servidor de arquivos SMB automaticamente. DataSync oferece suporte às versões 1.0 e posteriores do SMB. Por motivos de segurança, recomendamos usar a versão 3.0.2 ou posterior do SMB. Versões anteriores, como a SMB 1.0, contêm vulnerabilidades de segurança conhecidas que os invasores podem explorar para comprometer os dados.
Consulte a tabela a seguir para ver uma lista de opções no DataSync console e na API:
| Opção do console | Opção de API | Descrição |
| --- | --- | --- |
| Automatico | `AUTOMATIC` | DataSync e o servidor de arquivos SMB negociam a versão mais alta do SMB que eles suportam mutuamente entre 2.1 e 3.1.1. Essa é a opção recomendada e também a padrão. Se, em vez disso, você escolher uma versão específica que seu servidor de arquivos não suporta, você pode receber um erro `Operation Not Supported`. |
| SMB 3.0.2 | `SMB3` | Restringe a negociação do protocolo somente à versão 3.0.2 do SMB. |
| SMB 2.1 | `SMB2` | Restringe a negociação do protocolo somente à versão 2.1 do SMB. |
| SMB 2.0 | `SMB2_0` | Restringe a negociação do protocolo somente à versão 2.0 do SMB. |
| SMB 1.0 | `SMB1` | : restringe a negociação do protocolo somente à versão 3.0.2 do SMB. |
### Como usar a autenticação NTLM
Para usar a autenticação NTLM, você fornece um nome de usuário e uma senha que permitem DataSync acessar o servidor de arquivos SMB para o qual você está transferindo ou de. O usuário pode ser um usuário local no servidor de arquivos ou um usuário de domínio no Microsoft Active Directory.
### Usar a autenticação Kerberos
Para usar a autenticação Kerberos, você fornece um arquivo Kerberos principal, uma tabela de chaves Kerberos (keytab) e um arquivo de configuração Kerberos que permitem acessar o servidor de arquivos SMB que você está transferindo DataSync para ou do qual você está transferindo.
**Topics**
+ [Pré-requisitos](#configuring-smb-kerberos-prerequisites)
+ [DataSync opções de configuração para Kerberos](#configuring-smb-kerberos-options)
#### Pré-requisitos
Você precisa criar alguns artefatos Kerberos e configurar sua rede para que DataSync possa acessar seu servidor de arquivos SMB.
+ Crie um arquivo keytab Kerberos usando o utilitário [ktpass](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass) ou [kutil](https://web.mit.edu/kerberos/krb5-1.12/doc/admin/admin_commands/ktutil.html).
O exemplo a seguir cria um arquivo keytab usando `ktpass`. O realm Kerberos que você especifica (`MYDOMAIN.ORG`) deve estar em maiúsculas.
```
ktpass /out C:\YOUR_KEYTAB.keytab /princ HOST/kerberosuser@MYDOMAIN.ORG /mapuser kerberosuser /pass * /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL
```
+ Prepare uma versão simplificada do arquivo de configuração Kerberos (`krb5.conf`). Inclua informações sobre o realm, o local dos servidores de administração do domínio e mapeamentos de nomes de host em um reino Kerberos.
Verifique se o `krb5.conf` conteúdo está formatado com a combinação correta de maiúsculas e minúsculas para os realms e os nomes de realm dos domínios. Por exemplo:
```
[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true
default_realm = MYDOMAIN.ORG
[realms]
MYDOMAIN.ORG = {
kdc = mydomain.org
admin_server = mydomain.org
}
[domain_realm]
.mydomain.org = MYDOMAIN.ORG
mydomain.org = MYDOMAIN.ORG
```
+ Na configuração de rede, verifique se a porta do servidor Kerberos Key Distribution Center (KDC) está aberta. A porta KDC é normalmente a porta TCP 88.
#### DataSync opções de configuração para Kerberos
Ao criar um local SMB que usa Kerberos, você configura as seguintes opções.
| Opção do console | Opção de API | Description |
| --- | --- | --- |
| **Servidor SMB** | `ServerHostName` | O nome de domínio do servidor de arquivos SMB que seu DataSync agente montará. Para o Kerberos, você não pode especificar o endereço IP do servidor de arquivos. |
| **Entidade principal Kerberos** | `KerberosPrincipal` | Uma identidade no realm Kerberos que tem permissão para acessar os arquivos, pastas e metadados de arquivos no servidor de arquivos SMB. Uma entidade principal Kerberos pode ter a aparência de `HOST/kerberosuser@MYDOMAIN.ORG`. Os nomes de entidade principal diferenciam letras maiúsculas de minúsculas |
| **Arquivo Keytab** | `KerberosKeytab` | Um arquivo da tabela de chaves Kerberos (keytab), que inclui mapeamentos entre a entidade principal Kerberos e as chaves de criptografia. |
| **Arquivo de configuração Kerberos** | `KerberosKrbConf` | Um `krb5.conf` arquivo que define a configuração do realm Kerberos. |
| **Endereços IP DNS** (opcional) | `DnsIpAddresses` | Os IPv4 endereços dos servidores DNS aos quais seu servidor de arquivos SMB pertence. Se você tiver vários domínios em seu ambiente, a configuração garante que ele se DataSync conecte ao servidor de arquivos SMB correto. |
### Permissões obrigatórias
A identidade que você fornece DataSync deve ter permissão para montar e acessar os arquivos, pastas e metadados de arquivos do seu servidor de arquivos SMB.
Se você fornecer uma identidade no Active Directory, ela deverá ser membro de um grupo do Active Directory com um ou ambos os seguintes direitos de usuário (dependendo dos [metadados que você DataSync deseja copiar](configure-metadata.md)):
| Direito do usuário | Description |
| --- | --- |
| **Restaurar arquivos e diretórios** (`SE_RESTORE_NAME`) | Permite copiar DataSync a propriedade do objeto, as permissões, os metadados do arquivo e as listas de acesso discricionário do NTFS (). DACLs Esse direito de usuário geralmente é concedido aos membros dos grupos **Administradores de domínio e** **Operadores de backup** (ambos grupos padrão do Active Directory). |
| **Gerenciar logs de auditoria e segurança** (`SE_SECURITY_NAME`) | Permite DataSync copiar listas de controle de acesso do sistema NTFS (SACLs). Esse direito de usuário geralmente é concedido aos membros do grupo **Administradores de domínio**. |
Se você quiser copiar o Windows ACLs e estiver fazendo a transferência entre um servidor de arquivos SMB e outro sistema de armazenamento que usa SMB (como Amazon FSx for Windows File Server ou FSx ONTAP), a identidade fornecida DataSync deverá pertencer ao mesmo domínio do Active Directory ou ter uma relação de confiança do Active Directory entre seus domínios.
### Namespaces do DFS
DataSync não oferece suporte a namespaces do Microsoft Distributed File System (DFS). Em vez disso, recomendamos especificar um servidor ou compartilhamento de arquivos subjacente ao criar sua DataSync localização.
## Criar seu local de transferência do SMB
Antes de começar, é preciso um servidor de arquivos SMB do qual você deseja transferir dados.
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Em **Tipo de local**, escolha **Server Message Block (SMB)**.
Você configurará esse local como origem ou destino posteriormente.
1. Para **Agentes**, escolha o DataSync agente que pode se conectar ao seu servidor de arquivos SMB.
Você pode escolher mais de um agente. Para obter mais informações, consulte [Usando vários DataSync agentes](do-i-need-datasync-agent.md#multiple-agents).
1. Para **servidor SMB**, insira o nome de domínio ou endereço IP do servidor de arquivos SMB que seu DataSync agente montará.
Lembre-se do seguinte com essa configuração:
+ Você não pode especificar um endereço IP versão 6 (IPv6).
+ Se você estiver usando a autenticação Kerberos, deverá especificar um nome de domínio.
1. Em **Nome do compartilhamento**, insira o nome do compartilhamento exportado pelo seu servidor de arquivos SMB onde os dados DataSync serão lidos ou gravados.
Você pode incluir um subdiretório no caminho de compartilhamento (por exemplo, `/path/to/subdirectory`). Certifique-se de que outros clientes do SMB em sua rede também possam montar este caminho.
Para copiar todos os dados no subdiretório, DataSync deve ser capaz de montar o compartilhamento SMB e acessar todos os seus dados. Para obter mais informações, consulte [Permissões obrigatórias](#configuring-smb-permissions).
1. (Opcional) Expanda **Configurações adicionais** e escolha uma **versão SMB** DataSync para usar ao acessar seu servidor de arquivos.
Por padrão, escolhe DataSync automaticamente uma versão com base na negociação com o servidor de arquivos SMB. Para mais informações, consulte [Versões compatíveis do SMB](#configuring-smb-version).
1. Para **Tipo de autenticação**, escolha **NTLM** ou **Kerberos**.
1. Siga um destes procedimentos, dependendo do tipo de autenticação escolhido:
------
#### [ NTLM ]
+ Em **Usuário**, insira um nome de usuário que possa montar o servidor de arquivos SMB e tenha permissão para acessar os arquivos e pastas envolvidos na sua transferência.
Para obter mais informações, consulte [Permissões obrigatórias](#configuring-smb-permissions).
+ Em **Senha**, especifique a senha do usuário que pode montar o servidor de arquivos do SMB e tem permissão para acessar os arquivos e pastas envolvidos na sua transferência.
+ (Opcional) Para **Domínio**, insira o nome do domínio do Windows ao qual pertence o servidor de arquivos SMB.
Se você tiver vários domínios em seu ambiente, definir essa configuração garante que ele se DataSync conecte ao servidor de arquivos SMB correto.
------
#### [ Kerberos ]
+ Para **Entidade principal Kerberos**, especifique uma entidade principal no realm Kerberos que tenha permissão para acessar os arquivos, pastas e metadados de arquivos no servidor de arquivos SMB.
Uma entidade principal Kerberos pode ter a aparência de `HOST/kerberosuser@MYDOMAIN.ORG`.
Os nomes de entidade principal diferenciam letras maiúsculas de minúsculas A execução da DataSync tarefa falhará se o principal que você especificar para essa configuração não corresponder exatamente ao principal usado para criar o arquivo keytab.
+ Para **Arquivo Keytab**, faça upload de um arquivo keytab que inclua mapeamentos entre as chaves de entidade principal e de criptografia do Kerberos.
+ Para **Arquivo de configuração Kerberos**, faça upload de um `krb5.conf` arquivo que defina a configuração do realm Kerberos.
+ (Opcional) Para **endereços IP DNS**, especifique até dois IPv4 endereços para os servidores DNS aos quais seu servidor de arquivos SMB pertence.
Se você tiver vários domínios em seu ambiente, a configuração desse parâmetro garante que ele se DataSync conecte ao servidor de arquivos SMB correto.
------
1. (Opcional) Escolha **Adicionar tag** para marcar sua localização SMB.
As *Tags* são pares de chave-valor que ajudam você a gerenciar, filtrar e pesquisar seus locais. Recomendamos criar pelo menos uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
### Usando o AWS CLI
As instruções a seguir descrevem como criar locais SMB com autenticação NTLM ou Kerberos.
------
#### [ NTLM ]
1. Copie o seguinte comando `create-location-smb`:
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "NTLM" \
--user user-who-can-mount-share \
--password user-password \
--domain windows-domain-of-smb-server
```
1. Para`--agent-arns`, especifique o DataSync agente que pode se conectar ao seu servidor de arquivos SMB.
Você pode escolher mais de um agente. Para obter mais informações, consulte [Usando vários DataSync agentes](do-i-need-datasync-agent.md#multiple-agents).
1. Para`--server-hostname`, especifique o nome de domínio ou IPv4 endereço do servidor de arquivos SMB que seu DataSync agente montará.
1. Para`--subdirectory`, especifique o nome do compartilhamento exportado pelo seu servidor de arquivos SMB onde DataSync lerá ou gravará dados.
Você pode incluir um subdiretório no caminho de compartilhamento (por exemplo, `/path/to/subdirectory`). Certifique-se de que outros clientes do SMB em sua rede também possam montar este caminho.
Para copiar todos os dados no subdiretório, DataSync deve ser capaz de montar o compartilhamento SMB e acessar todos os seus dados. Para obter mais informações, consulte [Permissões obrigatórias](#configuring-smb-permissions).
1. Para `--user`, especifique um nome de usuário que possa montar o servidor de arquivos SMB e tenha permissão para acessar os arquivos e pastas envolvidos na transferência.
Para obter mais informações, consulte [Permissões obrigatórias](#configuring-smb-permissions).
1. Para `--password`, especifique a senha do usuário que pode montar o servidor de arquivos SMB e tenha permissão para acessar os arquivos e pastas envolvidos na sua transferência.
1. (Opcional) Para `--domain`, especifique o nome do domínio do Windows ao qual pertence o servidor de arquivos SMB.
Se você tiver vários domínios em seu ambiente, definir essa configuração garante que ele se DataSync conecte ao servidor de arquivos SMB correto.
1. (Opcional) Adicione a `--version` opção se quiser DataSync usar uma versão SMB específica. Para obter mais informações, consulte [Versões compatíveis do SMB](#configuring-smb-version).
1. Execute o comando `create-location-smb`.
Se o comando for bem-sucedido, você receberá uma resposta que mostra o ARN do local que você criou. Por exemplo:
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------
#### [ Kerberos ]
1. Copie o seguinte comando `create-location-smb`:
```
aws datasync create-location-smb \
--agent-arns datasync-agent-arns \
--server-hostname smb-server-address \
--subdirectory smb-export-path \
--authentication-type "KERBEROS" \
--kerberos-principal "HOST/kerberosuser@EXAMPLE.COM" \
--kerberos-keytab "fileb://path/to/file.keytab" \
--kerberos-krb5-conf "file://path/to/krb5.conf" \
--dns-ip-addresses array-of-ipv4-addresses
```
1. Para`--agent-arns`, especifique o DataSync agente que pode se conectar ao seu servidor de arquivos SMB.
Você pode escolher mais de um agente. Para obter mais informações, consulte [Usando vários DataSync agentes](do-i-need-datasync-agent.md#multiple-agents).
1. Para`--server-hostname`, especifique o nome de domínio do servidor de arquivos SMB que seu DataSync agente montará.
1. Para`--subdirectory`, especifique o nome do compartilhamento exportado pelo seu servidor de arquivos SMB onde DataSync lerá ou gravará dados.
Você pode incluir um subdiretório no caminho de compartilhamento (por exemplo, `/path/to/subdirectory`). Certifique-se de que outros clientes do SMB em sua rede também possam montar este caminho.
Para copiar todos os dados no subdiretório, DataSync deve ser capaz de montar o compartilhamento SMB e acessar todos os seus dados. Para obter mais informações, consulte [Permissões obrigatórias](#configuring-smb-permissions).
1. Para as opções de Kerberos, faça o seguinte:
+ `--kerberos-principal`: especifique uma entidade principal no realm Kerberos que tenha permissão para acessar os arquivos, pastas e metadados de arquivos no servidor de arquivos SMB.
Uma entidade principal Kerberos pode ter a aparência de `HOST/kerberosuser@MYDOMAIN.ORG`.
Os nomes de entidade principal diferenciam letras maiúsculas de minúsculas A execução da DataSync tarefa falhará se o principal que você especificar para essa opção não corresponder exatamente ao principal usado para criar o arquivo keytab.
+ `--kerberos-keytab`: especifique um arquivo keytab que inclua mapeamentos entre as chaves de entidade principal e de criptografia do Kerberos.
+ `--kerberos-krb5-conf`: especifique um `krb5.conf` arquivo que defina a configuração do realm Kerberos.
+ (Opcional)`--dns-ip-addresses`: especifique até dois IPv4 endereços para os servidores DNS aos quais seu servidor de arquivos SMB pertence.
Se você tiver vários domínios em seu ambiente, a configuração desse parâmetro garante que ele se DataSync conecte ao servidor de arquivos SMB correto.
1. (Opcional) Adicione a `--version` opção se quiser DataSync usar uma versão SMB específica. Para obter mais informações, consulte [Versões compatíveis do SMB](#configuring-smb-version).
1. Execute o comando `create-location-smb`.
Se o comando for bem-sucedido, você receberá uma resposta que mostra o ARN do local que você criou. Por exemplo:
```
{
"arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
```
------