Funcionamento da associação de SVMs a um Microsoft Active Directory - FSx para ONTAP
Informações necessárias do Active Directory

Funcionamento da associação de SVMs a um Microsoft Active Directory

Sua organização pode gerenciar identidades e dispositivos usando um Active Directory, seja on-premises ou na nuvem. Com o FSx para ONTAP, você pode associar suas SVMs diretamente ao seu domínio do Active Directory existente das seguintes formas:

  • Associação de novas SVMs a um Active Directory na criação:

    • Usando a opção Criação padrão no console do Amazon FSx para criar um sistema de arquivos do FSx para ONTAP, é possível associar a SVM padrão a um Active Directory autogerenciado. Para obter mais informações, consulte Criar um sistema de arquivos (console).

    • Como usar o console do Amazon FSx, a AWS CLI ou a API do Amazon FSx para criar uma SVM em um sistema de arquivos do FSx para ONTAP existente. Para obter mais informações, consulte Criar máquinas virtuais de armazenamento (SVM).

  • Associar SVMs existentes a um Active Directory:

    • Usando o Console de gerenciamento da AWS, a AWS CLI e a API para associar uma SVM a um Active Directory e tentar refazer a associação de uma SVM a um Active Directory se a tentativa inicial falhar. Você também pode atualizar algumas propriedades de configuração do Active Directory para SVMs que já estão associadas a um Active Directory. Para obter mais informações, consulte Como gerenciar configurações do Active Directory para SVM.

    • Usando a CLI ou a API REST do NetApp ONTAP para associar, tentar refazer a associação e desfazer a associação das configurações entre SVM e Active Directory. Para obter mais informações, consulte Atualizar as configurações de Active Directory da SVM usando a CLI do NetApp.

Importante

  • O Amazon FSx só fará registros de DNS para uma SVM se você usar o Microsoft DNS como serviço DNS padrão. Se você usar um DNS de terceiros, configure entradas de DNS manualmente para suas SVMs do Amazon FSx depois de criá-las.

  • Se você usar AWS Managed Microsoft AD, especifique um grupo como Administradores delegados do FSx da AWS, Administradores delegados da AWS ou um grupo personalizado com permissões delegadas para a UO.

Quando você associa a SVM do FSx para ONTAP diretamente a um Active Directory autogerenciado, a SVM reside na mesma floresta do Active Directory (o contêiner lógico superior em uma configuração do Active Directory que contém domínios, usuários e computadores) e no mesmo domínio do Active Directory que seus usuários e recursos existentes, incluindo servidores de arquivos existentes.

Informações necessárias ao unir uma SVM a um Active Directory

É necessário fornecer as seguintes informações sobre seu Active Directory ao associar uma SVM a um Active Directory, independentemente da operação de API escolhida:

  • O Nome NetBIOS do objeto de computador do Active Directory que será criado para a SVM. Trata-se do nome da SVM no Active Directory, que deve ser exclusivo no Active Directory. Não use o nome NetBIOS do domínio inicial. O nome NetBIOS não pode ter mais de 15 caracteres.

  • O nome de domínio totalmente qualificado (FQDN) do Active Directory. O FQDN não pode ter mais de 255 caracteres.

    nota

    O FQDN não pode estar no formato de domínio de rótulo único (SLD). O Amazon FSx não é compatível com domínios de SLD.

  • Até três endereços IP dos servidores DNS ou dos hosts do domínio.

    Os endereços IP do servidor DNS e do controlador de domínios do Active Directory podem estar em qualquer intervalo de endereços IP, exceto:

    • endereços IP que entram em conflito com aqueles de propriedade da Amazon Web Services nessa Região da AWS. Para obter uma lista de endereços IP da AWS por região, consulte Intervalos de endereços IP da AWS.

    • endereços IP no seguinte intervalo de blocos CIDR: 198.19.0.0/16

  • Credenciais para uma conta de serviço do Active Directory que o Amazon FSx usa para unir a SVM ao seu domínio. Você pode fornecê-los como:

    • Opção 1: ARN secreto do AWS Secrets Manager: o segredo que contém o nome de usuário e a senha de uma conta de serviço no seu domínio do Active Directory. Para obter mais informações, consulte Como armazenar credenciais do Active Directory usando o AWS Secrets Manager.

    • Opção 2: credenciais em texto não criptografado

      • Nome de usuário da conta de serviço: o nome de usuário da conta de serviço no seu Microsoft Active Directory existente. Não inclua um prefixo ou sufixo de domínio. Por exemplo, para EXAMPLE\ADMIN, use apenas ADMIN.

      • Senha da conta de serviço: a senha da conta de serviço.

  • (Opcional) A Unidade Organizacional (UO) no domínio ao qual você une a SVM.

    nota

    Se você associar sua SVM a um Active Directory do AWS Directory Service, é necessário fornecer uma UO que esteja dentro da UO padrão que o Directory Service cria para os objetos de diretório relacionados à AWS. Isso ocorre porque o Directory Service não fornece acesso à UO do Computers padrão do Active Directory. Por exemplo, se o domínio do Active Directory for example.com, você poderá especificar a seguinte UO: OU=Computers,OU=example,DC=example,DC=com.

  • (Opcional) O grupo de domínio ao qual você está delegando autoridade para executar ações administrativas em seu sistema de arquivos. Por exemplo, esse grupo de domínio pode gerenciar compartilhamentos de arquivos de SMB do Windows, assumir a propriedade de arquivos e pastas e assim por diante. Se você não especificar esse grupo, o Amazon FSx delegará essa autoridade ao grupo de administradores de domínio em seu domínio do Active Directory por padrão.