本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 Amazon FSx 檔案系統加入自我管理的 Microsoft Active Directory 網域
<a name="creating-joined-ad-file-systems"></a>

當您建立新的 FSx for Windows File Server 檔案系統時，您可以設定 Microsoft Active Directory 整合，使其加入您的自我管理 Microsoft Active Directory 網域。若要執行此作業，請提供 Microsoft Active Directory 的下列資訊：
+ 您內部部署 Microsoft Active Directory 目錄的完整網域名稱 (FQDN)。
**注意**  
Amazon FSx 目前不支援單一標籤網域 (SLD) 網域。
+ 網域 DNS 伺服器的 IP 地址。
+ Amazon FSx 用來將檔案系統加入網域的 Active Directory 服務帳戶的登入資料。您可以提供下列其中一種方式：
  + **選項 1**： AWS Secrets Manager 秘密 ARN - 包含 Active Directory 網域上服務帳戶的使用者名稱和密碼的秘密。如需詳細資訊，請參閱[使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
  + **選項 2**：純文字登入資料
    + **服務帳戶使用者名稱** – 現有 Microsoft Active Directory 中服務帳戶的使用者名稱。請勿包含網域字首或尾碼。例如，對於 `EXAMPLE\ADMIN`，僅使用 `ADMIN`。
    + **服務帳戶密碼** – 服務帳戶的密碼。

或者，您也可以指定以下内容：
+  網域中您希望 Amazon FSx 檔案系統加入的特定組織單位 (OU)。
+  網域群組的名稱，其成員會獲得 Amazon FSx 檔案系統的管理權限。您提供的網域群組名稱在 Active Directory 中必須是唯一的。

指定此資訊後，Amazon FSx 會使用您提供的服務帳戶，將新的檔案系統加入自我管理的 Active Directory 網域。

**重要**  
如果您加入檔案系統的 Active Directory 網域使用 Microsoft DNS 做為預設 DNS，Amazon FSx 只會註冊檔案系統的 DNS 記錄。如果您使用的是第三方 DNS，則在建立檔案系統之後，您將需要手動設定 Amazon FSx 檔案系統的 DNS 項目。如需選擇要用於檔案系統之正確 IP 地址的詳細資訊，請參閱 [取得用於手動 DNS 項目的正確檔案系統 IP 地址](file-system-ip-addresses-for-dns.md)。

## 開始之前
<a name="b4-you-begin"></a>

請確定您已完成 中[先決條件](self-managed-AD.md#self-manage-prereqs)詳述的 [使用自我管理的 Microsoft Active Directory](self-managed-AD.md)。

## 建立加入自我管理 Active Directory 的 FSx for Windows File Server 檔案系統 （主控台）
<a name="create-joined-fsx-console"></a>

1. 開啟位於 https：//[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。

1. 在儀表板上，選擇 **Create file system** (建立檔案系統) 以啟動檔案系統建立精靈。

1. 選擇 **FSx for Windows File Server**，然後選擇**下一步**。**Create file system** (建立檔案系統) 頁面隨即顯示。

1. 為您的檔案系統提供名稱。您最多可以使用 256 個 Unicode 字母、空格和數字，加上特殊字元 \$1 - = . \$1 ： /

1. 對於**儲存容量**，請以 GiB 為單位輸入檔案系統的儲存容量。如果您使用的是 SSD 儲存，請輸入 32–65，536 範圍內的任何整數。如果您使用的是 HDD 儲存，請輸入 2，000–65，536 範圍內的任何整數。您可以在建立檔案系統之後，隨時視需要增加儲存容量。如需詳細資訊，請參閱[管理儲存容量](managing-storage-configuration.md#managing-storage-capacity)。

1. 保留 **Throughput capacity** (輸送容量) 的預設設定。**輸送量容量**是託管檔案系統的檔案伺服器可以提供資料的持續速度。**建議的輸送量容量**設定取決於您選擇的儲存容量。如果您需要超過建議的輸送量容量，請選擇**指定輸送量容量**，然後選擇值。如需詳細資訊，請參閱[FSx for Windows File Server 效能效能](performance.md)。

   您可以在建立檔案系統之後隨時視需要修改輸送量容量。如需詳細資訊，請參閱[管理輸送量容量](managing-throughput-capacity.md)。

1. 選擇您要與檔案系統建立關聯的 VPC。基於本入門練習的目的，請選擇與 Directory Service 目錄和 Amazon EC2 執行個體相同的 VPC。

1. 選擇**可用區域**和**子網路**的任何值。

1. 對於 **VPC 安全群組**，預設 Amazon VPC 的預設安全群組已新增至主控台中的檔案系統。請確定您建立 FSx 檔案系統之子網路的安全群組和 VPC 網路 ACLs 允許連接埠上的流量，並如下圖所示。  
![\[VPC 安全群組的 FSx for Windows File Server 連接埠組態需求，以及建立檔案系統之子網路的網路 ACLs。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)

   下表識別每個連接埠的角色。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**重要**  
單一可用區 2 和所有多可用區檔案系統部署需要允許 TCP 連接埠 9389 上的傳出流量。
**注意**  
如果您使用的是 VPC 網路 ACLs，您還必須允許來自 FSx 檔案系統的動態連接埠 ((49152-65535) 上的傳出流量。
   + 傳出規則，允許所有流量流向與自我管理 Microsoft Active Directory 網域的 DNS 伺服器和網域控制站相關聯的 IP 地址。如需詳細資訊，請參閱 [Microsoft 有關為 Active Directory 通訊設定防火牆的文件](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)。
   + 請確定這些流量規則也會鏡像到套用至每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 管理員的防火牆上。
**注意**  
 如果您已定義 Active Directory 網站，您必須確保與 Amazon FSx 檔案系統相關聯的 VPC 中的子網路是在 Active Directory 網站中定義，而且 VPC 中的子網路和其他站台中的子網路之間不存在衝突。您可以使用 Active Directory 網站和服務 MMC 嵌入來檢視和變更這些設定。
**重要**  
雖然 Amazon VPC 安全群組要求僅以啟動網路流量的方向開啟連接埠，但大多數 Windows 防火牆和 VPC 網路 ACLs 要求雙向開啟連接埠。

1. 針對 **Windows 身分驗證**，選擇**自我管理 Microsoft Active Directory**。

1.  輸入自我管理 Microsoft Active Directory 目錄**完整網域名稱**的值。
**注意**  
網域名稱不得為單一標籤網域 (SLD) 格式。Amazon FSx 目前不支援 SLD 網域。
**重要**  
對於單一可用區 2 和所有多可用區檔案系統，Active Directory 網域名稱不能超過 47 個字元。

1. 輸入自我管理 Microsoft Active Directory 目錄**的組織單位**值。
**注意**  
請確定您提供的服務帳戶具有委派給您在此處指定之 OU 的許可，或如果您未指定預設 OU 的許可。

1. 為自我管理的 Microsoft Active Directory 目錄輸入至少一個且不超過兩個 **DNS 伺服器 IP 地址**的值。

1. **服務帳戶登入**資料 – 選擇如何提供服務帳戶登入資料：
   + **選項 1**： AWS Secrets Manager 秘密 ARN - 包含 Active Directory 網域上服務帳戶的使用者名稱和密碼的秘密。如需詳細資訊，請參閱[使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
   + **選項 2**：純文字登入資料
     + **服務帳戶使用者名稱** – 現有 Microsoft Active Directory 中服務帳戶的使用者名稱。請勿包含網域字首或尾碼。例如，對於 `EXAMPLE\ADMIN`，僅使用 `ADMIN`。
     + **服務帳戶密碼** – 服務帳戶的密碼。
     + **確認密碼** – 服務帳戶的密碼。
**重要**  
 輸入**服務帳戶使用者名稱**時，請勿包含網域字首 (`corp.com\ServiceAcct`) 或網域尾碼 (`ServiceAcct@corp.com`)。  
 輸入**服務帳戶使用者名稱** () 時，請勿使用辨別名稱 (DN`CN=ServiceAcct,OU=example,DC=corp,DC=com`)。

1. 對於**委派檔案系統管理員群組**，指定`Domain Admins`群組或自訂委派檔案系統管理員群組 （如果您已建立群組）。您指定的 群組應具有在檔案系統上執行管理任務的委派授權。如果您未提供值，Amazon FSx 會使用內建`Domain Admins`群組。請注意，Amazon FSx 不支援在內建容器中擁有 `Delegated file system administrators group`（您指定的`Domain Admins`群組或自訂群組）。
**重要**  
 如果您未提供**委派檔案系統管理員群組**，根據預設，Amazon FSx 會嘗試在您的 Active Directory 網域中使用內建`Domain Admins`群組。如果此內建群組的名稱已變更，或者您使用不同的群組進行網域管理，則必須在此處提供該群組的名稱。
**重要**  
 提供群組名稱參數時，請勿包含網域字首 (corp.com\$1FSxAdmins) 或網域尾碼 (FSxAdmins@corp.com)。  
 請勿對 群組使用辨別名稱 (DN)。辨別名稱的範例為 CN=FSxAdmins，OU=example，DC=corp，DC=com。

## 建立加入自我管理 Active Directory 的 FSx for Windows File Server 檔案系統 (AWS CLI)
<a name="create-joined-fsx-cli"></a>

 下列範例會建立 FSx for Windows File Server 檔案系統`SelfManagedActiveDirectoryConfiguration`，並在`us-east-2`可用區域中使用 。

```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
   DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```

**重要**  
建立檔案系統後，請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。