本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将亚马逊 FSx 文件系统加入自我管理的 Microsoft Active Directory 域
<a name="creating-joined-ad-file-systems"></a>

当你 FSx 为 Windows 文件服务器创建新的文件系统时，你可以配置 Microsoft Active Directory 集成，使其加入你自行管理的 Microsoft Active Directory 域。为此，请为您的 Microsoft Active Directory 提供以下信息：
+ 本地 Microsoft Active Directory 目录的完全限定域名（FQDN）。
**注意**  
Amazon FSx 目前不支持单一标签域名 (SLD) 域名。
+ 域的 DNS 服务器的 IP 地址。
+ Amazon 用于将文件系统加入您的域的 A FSx ctive Directory 服务账户的证书。可通过以下任一方式提供这些凭证：
  + **选项 1**： AWS Secrets Manager 秘密 ARN-包含您的 Active Directory 域上服务帐户的用户名和密码的密钥。有关更多信息，请参阅 [使用存储活动目录凭证 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
  + **选项 2**：纯文本凭证
    + **服务账户用户名**：现有 Microsoft Active Directory 中服务账户的用户名。请勿包含域前缀或后缀。例如，对于 `EXAMPLE\ADMIN`，仅使用 `ADMIN`。
    + **服务账户密码** – 服务账户的密码。

或者，您也可以指定以下内容：
+  您希望 Amazon FSx 文件系统加入的域内的特定组织单位 (OU)。
+  域组的名称，其成员被授予 Amazon FSx 文件系统的管理权限。您提供的域组名称在 Active Directory 中必须是唯一的。

在您指定此信息后，Amazon 会使用您提供的服务账户将您的新文件系统 FSx 加入到您自行管理的 Active Directory 域中。

**重要**  
 FSx 只有当你加入的活动目录域使用微软 DNS 作为默认 DNS 时，亚马逊才会注册文件系统的 DNS 记录。如果您使用的是第三方 DNS，则需要在创建 FSx 文件系统后手动设置 Amazon 文件系统的 DNS 条目。有关为文件系统选择正确 IP 地址的更多信息，请参阅[获取用于手动 DNS 条目的正确文件系统 IP 地址](file-system-ip-addresses-for-dns.md)。

## 开始前的准备工作
<a name="b4-you-begin"></a>

确保您已完成 [使用自行管理的 Microsoft Active Directory](self-managed-AD.md) 中详述的 [先决条件](self-managed-AD.md#self-manage-prereqs)。

## 创建加入自我管理 FSx 的 Active Directory 的 Windows 文件服务器文件系统（控制台）
<a name="create-joined-fsx-console"></a>

1. 打开 Amazon FSx 控制台，网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。

1. 在控制面板上，选择**创建文件系统**以启动文件系统创建向导。

1. 选择 “**Window FSx s 文件服务器**”，然后选择 “**下一步**”。显示**创建文件系统**页面。

1. 为您的文件提供名称。您最多可以使用 256 个 Unicode 字母、空格和数字以及特殊字符：\$1 - = . \$1 : /

1. 对于**存储容量**，请输入文件系统的存储容量，以 GiB 为单位。如果您使用的是 SSD 存储，请输入 32 – 65,536 范围内的任意整数。如果您使用的是 HDD 存储，请输入 2,000 – 65,536 范围内的任意整数。创建文件系统后，您可以根据需要随时增加存储容量。有关更多信息，请参阅 [管理存储容量](managing-storage-configuration.md#managing-storage-capacity)。

1. 保持**吞吐能力**设置为默认设置。**吞吐能力**是托管文件系统的文件服务器可以持续提供数据的速度。**建议的吞吐能力**设置基于您选择的存储容量。如果您需要的吞吐能力超过建议吞吐能力，请选择**指定吞吐能力**，然后选择一个值。有关更多信息，请参阅 [FSx 用于 Windows 文件服务器的性能性能](performance.md)。

   创建文件系统后，您可以根据需要随时修改吞吐能力。有关更多信息，请参阅 [管理吞吐能力](managing-throughput-capacity.md)。

1. 选择要与文件系统关联的 VPC。在本入门练习中，请选择与您的 Directory Service 目录和 Amazon EC2 实例相同的 VPC。

1. 为**可用区**和**子网**选择任意值。

1. 对于 **VPC 安全组**，用于您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保您创建 FSx 文件系统的子网的安全组和 VPC 网络 ACLs 允许以下图所示的端口和方向上的流量。  
![\[FSx 适用于 Windows 文件服务器对 VPC 安全组和创建文件系统的子网的网络 ACLs 的端口配置要求。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)

   下表确定了每个端口的作用。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**重要**  
单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。
**注意**  
如果您使用的是 VPC 网络 ACLs，则还必须允许来自文件系统的动态端口 (49152-65535) 上的出站流量。 FSx 
   + 允许所有流量流向与您自行管理的 Microsoft Active Directory 域的 DNS 服务器和域控制器关联的 IP 地址的出站规则。有关更多信息，请参阅 [Microsoft 关于为 Active Directory 通信配置防火墙的文档](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)。
   + 确保这些流量规则也镜像到适用于每个 Active Directory 域控制器、DNS 服务器、 FSx 客户端和管理员的防火墙上。 FSx
**注意**  
 如果您定义了 Active Directory 站点，则必须确保与 Amazon FSx 文件系统关联的 VPC 中的子网在 Active Directory 站点中定义，并且您的 VPC 中的子网与其他站点中的子网之间不存在冲突。您可以使用 Active Directory Sites and Services MMC 管理单元查看和更改这些设置。
**重要**  
虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口，但大多数 Windows 防火墙和 VPC 网络都 ACLs 要求双向打开端口。

1. 对于 **Windows 身份验证**，选择**自行管理的 Microsoft Active Directory**。

1.  输入自行管理的 Microsoft Active Directory 目录的**完全限定域名**值。
**注意**  
域名不能采用单标签域（SLD）格式。Amazon FSx 目前不支持 SLD 域名。
**重要**  
对于单可用区 2 和所有多可用区文件系统，Active Directory 域名不得超过 47 个字符。

1. 输入自行管理的 Microsoft Active Directory 目录的**组织单元**值。
**注意**  
确保您提供的服务账号已将权限委托给您在此处指定的 OU，或者如果您未指定，则委托给默认 OU。

1. 在自行管理的 Microsoft Active Directory 目录的 **DNS 服务器 IP 地址**中至少输入一个值（不超过两个）。

1. **服务账户凭证**：选择如何提供服务账户凭证：
   + **选项 1**： AWS Secrets Manager 秘密 ARN-包含您的 Active Directory 域上服务帐户的用户名和密码的密钥。有关更多信息，请参阅 [使用存储活动目录凭证 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
   + **选项 2**：纯文本凭证
     + **服务账户用户名**：现有 Microsoft Active Directory 中服务账户的用户名。请勿包含域前缀或后缀。例如，对于 `EXAMPLE\ADMIN`，仅使用 `ADMIN`。
     + **服务账户密码** – 服务账户的密码。
     + **确认密码** – 服务账户的密码。
**重要**  
 输入**服务账户用户名**时，请勿包含域前缀（`corp.com\ServiceAcct`）或域后缀（`ServiceAcct@corp.com`）。  
 输入**服务账户用户名**（`CN=ServiceAcct,OU=example,DC=corp,DC=com`）时，请勿使用可分辨名称（DN）。

1. 对于**委派的文件系统管理员组**，请指定 `Domain Admins` 组或自定义委派的文件系统管理员组（如果已创建）。您指定的组应具有在您的文件系统上执行管理任务的委托授权。如果您不提供值，Amazon 会 FSx 使用内置`Domain Admins`组。请注意，Amazon FSx 不支持`Delegated file system administrators group`将（您指定的`Domain Admins`群组或自定义群组）置于内置容器中。
**重要**  
 如果您未提供**委派文件系统管理员组**，则默认情况下，Amazon 会 FSx 尝试在您的 Active Directory 域中使用该内置`Domain Admins`组。如果此内置组的名称已更改，或者您使用其他组进行域管理，则必须在此处为该组提供该名称。
**重要**  
 在提供群组名称参数时，请勿包含域名前缀 (corp.com\$1 FSx Admins) 或域后缀 (FSxAdmins@corp.com)。  
 请勿使用该组的可分辨名称（DN）。可分辨名称的一个例子是 CN= FSx Admins、ou=Example、dc=Corp、dc=com。

## 创建加入自我管理 FSx 的 Active Directory 的 Windows 文件服务器文件系统 ()AWS CLI
<a name="create-joined-fsx-cli"></a>

 以下示例创建了一个 FSx 适用于 Windows 文件服务器的文件系统，该文件系统`SelfManagedActiveDirectoryConfiguration`位于`us-east-2`可用区。

```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```

**重要**  
 FSx 创建文件系统后，请勿移动 Amazon 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。