如何将 SVM 加入 Microsoft Active Directory - FSx for ONTAP
所需的 Active Directory 信息

如何将 SVM 加入 Microsoft Active Directory

您的组织可能会使用 Active Directory 管理身份和设备,而无论是在本地还是在云中。借助 FSx for ONTAP,可以通过以下方式将 SVM 直接加入现有 Active Directory 域:

  • 创建时将新的 SVM 加入 Active Directory:

    • 使用 Amazon FSx 控制台中的标准创建选项创建新的 FSx for ONTAP 文件系统时,可以将默认 SVM 加入自行管理的 Active Directory。有关更多信息,请参阅 创建文件系统(控制台)

    • 使用 Amazon FSx 控制台、AWS CLI 或 Amazon FSx API 在现有 FSx for ONTAP 文件系统上创建新的 SVM。有关更多信息,请参阅 创建存储虚拟机(SVM)

  • 将现有 SVM 加入 Active Directory:

    • 使用 AWS 管理控制台、AWS CLI 和 API 将 SVM 加入 Active Directory,如果初次尝试加入失败,可以重新尝试将 SVM 加入 Active Directory。还可以更新已加入 Active Directory 的 SVM 的某些 Active Directory 配置属性。有关更多信息,请参阅 管理 SVM Active Directory 配置

    • 使用 NetApp ONTAP CLI 或 REST API 加入、重新尝试加入和取消加入 SVM Active Directory 配置。有关更多信息,请参阅 使用 NetApp CLI 更新 SVM 的 Active Directory 配置

重要

  • 如果使用 Microsoft DNS 作为默认 DNS 服务,Amazon FSx 仅注册 SVM 的 DNS 记录。如果使用第三方 DNS,则必须在创建 Amazon FSx SVM 后手动为其设置 DNS 条目。

  • 如果使用 AWS Managed Microsoft AD,则必须指定一个组,例如 AWS 委派的 FSx 管理员、AWS 委派的管理员或对 OU 具有委派权限的自定义组。

当您将 FSx for ONTAP SVM 直接加入自行管理的 Active Directory 时,SVM 将与您的用户和现有资源(包括现有文件服务器)位于同一 Active Directory 林(Active Directory 配置中包含域、用户和计算机的最顶层逻辑容器)和同一个 Active Directory 域中。

将 SVM 加入 Active Directory 时所需的信息

无论选择哪种 API 操作,在将 SVM 加入 Active Directory 时,您都必须提供有关 Active Directory 的以下信息:

  • 为 SVM 创建的 Active Directory 计算机对象的 NetBIOS 名称。这是 Active Directory 中 SVM 的名称,其在 Active Directory 中必须唯一。不要使用主域的 NetBIOS 名称。NetBIOS 名称不能超过 15 个字符。

  • Active Directory 域的完全限定域名(FQDN)。FQDN 不能超过 255 个字符。

    注意

    FQDN 不能采用单标签域(SLD)格式。Amazon FSx 不支持 SLD 域。

  • 域的 DNS 服务器或域主机的 IP 地址(最多三个)。

    DNS 服务器 IP 地址和 Active Directory 域控制器 IP 地址可以在任何 IP 地址范围内,但以下地址除外:

    • 与相应 AWS 区域 中 Amazon Web Services 拥有的 IP 地址冲突的 IP 地址。有关按区域划分的 AWS IP 地址列表,请参阅 AWS IP 地址范围

    • 以下 CIDR 数据块范围内的 IP 地址:198.19.0.0/16

  • Amazon FSx 用于将 SVM 加入域的 Active Directory 服务账户的凭证。可通过以下任一方式提供这些凭证:

    • 选项 1:AWS Secrets Manager 密钥 ARN:包含 Active Directory 域中服务账户用户名和密码的密钥。有关更多信息,请参阅 使用 AWS Secrets Manager 存储 Active Directory 凭证

    • 选项 2:纯文本凭证

      • 服务账户用户名:现有 Microsoft Active Directory 中服务账户的用户名。请勿包含域前缀或后缀。例如,对于 EXAMPLE\ADMIN,仅使用 ADMIN

      • 服务账户密码 – 服务账户的密码。

  • (可选)域中 SVM 所加入的组织单元(OU)。

    注意

    如果将 SVM 加入 AWS Directory Service Active Directory,则必须提供一个 OU 且该 OU 位于 Directory Service 为 AWS 相关的目录对象创建的默认 OU 中。这是因为,Directory Service 不提供对 Active Directory 默认 Computers OU 的访问权限。例如,如果您的 Active Directory 域是 example.com,则可以指定以下 OU:OU=Computers,OU=example,DC=example,DC=com

  • (可选)您要将授权委派给的域组,使其对文件系统执行管理操作。例如,此域组可以管理 Windows SMB 文件共享、获取文件和文件夹的所有权等。如果您未指定此组,Amazon FSx 会默认将此授权委派给 Active Directory 域中的域管理员组。