本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将 SVM 加入自行管理的 Microsoft AD 的先决条件
在将 for FSx ONTAP SVM 加入自我管理的 Microsoft AD 域之前,请确保您的活动目录和网络符合以下各节中描述的要求。
**Topics**
+ [本地 Active Directory 要求](#ontap-ad-on-prem-prereqs)
+ [网络配置要求](#ontap-ad-network-configs)
+ [Active Directory 服务账户要求](#ontap-ad-service-account-prereqs)
## 本地 Active Directory 要求
确保您已经有一个本地或其他自行管理的 Microsoft AD,可以在其中加入 SVM。此 Active Directory 应具有以下配置:
+ Active Directory 域控制器的域功能级别为 Windows Server 2000 或更高版本。
+ Active Directory 使用的域名不是单标签域(SLD)格式。Amazon FSx 不支持 SLD 域名。
+ 如果您定义了 Active Directory 站点,请确保在 VPC 中与您的 for ONTAP 文件系统关联的子网是在相同的 Active Directory 站点中定义的,并且您 FSx 的 VPC 子网与 Active Directory 站点上的子网之间不存在冲突。
**注意**
如果您使用的是 Directory Service,f FSx or ONTAP 不支持 SVMs 加入简单活动目录。
## 网络配置要求
确保您进行了以下网络配置并具有相关信息。
**重要**
要让 SVM 加入 Active Directory,你需要确保本主题中记录的端口允许所有 Active Directory 域控制器与 SVM 上的两个 iSCSI IP 地址(iscsi\$11 和 iscsi\$12 逻辑接口 ())之间的流量。LIFs
+ DNS 服务器和 Active Directory 域控制器的 IP 地址。
+ 使用 [Direct Connect](https://aws.amazon.com/directconnect/)、[Site-to-Site VPN](https://aws.amazon.com/vpn/) 或 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) 在创建文件系统的 Amazon VPC 与自行管理的 Active Directory 之间建立了连接。
+ 您要在其上创建文件系统的子网的安全组和 VPC 网络 ACLs 必须允许端口上的流量,其方向如下图所示。
![\[该图显示 FSx 了 VPC 安全组的 ONTAP 端口配置要求以及您要在 ONTAP 文件系统中创建 FSx 的子网的网络 ACLs 。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/images/ontap-port-requirements.png)
下表说明了每个端口的作用。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/self-manage-prereqs.html)
+ 这些流量规则还应镜像到适用于每个 Active Directory 域控制器、DNS 服务器、 FSx 客户端和管理员的防火墙上。 FSx
**重要**
虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络都 ACLs 要求双向打开端口。
## Active Directory 服务账户要求
确保您在自行管理的 Microsoft AD 中有一个服务账户,该账户具有将计算机加入该域的委派权限。*服务账户*是自行管理的 Active Directory 中的一个用户账户,该账户已被委派某些任务。
在要加入 SVM 的 OU 中,必须至少为服务账户委派了以下权限:
+ 能够重置密码
+ 能够限制账户读取和写入数据
+ 能够在计算机对象上设置 `msDS-SupportedEncryptionTypes` 属性
+ 验证写入 DNS 主机名的能力
+ 验证写入服务主体名称的能力
+ 能够创建和删除计算机对象
+ 经过验证的读取和写入账户限制的能力
这些权限代表将计算机对象加入到您的 Active Directory 至少需要具备的一组权限。有关更多信息,请参阅 Windows Server 文档主题 [Error: Access is denied when non-administrator users who have been delegated control try to join computers to a domain controller](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con)。
您可以将您的 Active Directory 服务账户凭证存储在 AWS Secrets Manager (推荐)中,并向亚马逊 FSx 提供加入 Active Directory 的秘密 ARN,也可以提供纯文本凭证。
要了解有关创建具有正确权限的服务账户的更多信息,请参阅[向您的 Amazon FSx 服务账户委派权限](self-managed-AD-best-practices.md#connect_delegate_privileges)。
**重要**
亚马逊 FSx 要求在您的亚马逊 FSx 文件系统的整个生命周期内都有一个有效的服务账户。Amazon FSx 必须能够全面管理文件系统并执行要求其取消加入并重新加入您的 Active Directory 域的资源。这些任务包括更换出现故障的文件系统或 SVM,或者修补 NetApp ONTAP 软件。在 Amazon 上更新您的 Active Directory 配置信息 FSx,包括服务账户凭证。要了解更多信息,请参阅[使用 Amazon 更新您的活动目录配置 FSx](self-managed-AD-best-practices.md#keep-ad-config-updated)。
如果这是您首次使用 AWS 和 FSx ONTAP,请确保在开始 Active Directory 集成之前完成初始设置步骤。有关更多信息,请参阅 [为 ONTAP FSx 进行设置](getting-started.md#setting-up)。
**重要**
请勿在 FSx 创建组织单位后移动 Amazon 在 OU 中创建的计算机对象, SVMs 也不要在您的 SVM 已加入 Active Directory 时将其删除。这样做会 SVMs 导致您的配置错误。