本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用自我管理的 Microsoft Active Directory
如果您的組織使用內部部署或雲端的自我管理 Active Directory 來管理身分和裝置,您可以在建立時將 FSx for Windows File Server 檔案系統加入 Active Directory 網域。
當您將檔案系統加入自我管理的 Active Directory 時,您的 FSx for Windows File Server 檔案系統位於相同的 Active Directory 樹系 (Active Directory 組態中包含網域、使用者和電腦的最上層邏輯容器),以及與您的使用者和現有資源 (包括現有的檔案伺服器) 位於相同的 Active Directory 網域中。
**注意**
您可以將 資源 - 包括您的 Amazon FSx 檔案系統 - 隔離到與使用者所在樹系不同的 Active Directory 樹系。若要這樣做,請將您的檔案系統加入 AWS Managed Microsoft Active Directory,並在您建立的 AWS Managed Microsoft Active Directory 與現有的自我管理 Active Directory 之間建立單向樹系信任關係。
+ Active Directory 網域上服務帳戶的使用者名稱和密碼,讓 Amazon FSx 用來將檔案系統加入 Active Directory 網域。您可以將這些登入資料提供為純文字,或將其存放在 , AWS Secrets Manager 並提供秘密 ARN (建議)。
+ (選用) 您要在其中加入檔案系統之網域中的組織單位 (OU)。
+ (選用) 您要委派授權對檔案系統執行管理動作的網域群組。例如,此網域群組可能會管理 Windows 檔案共用、管理檔案系統根資料夾上的存取控制清單 (ACLs)、取得檔案和資料夾的擁有權等。如果您未指定此群組,Amazon FSx 預設會將此授權委派給 Active Directory 網域中的網域管理員群組。
**注意**
您提供的網域群組名稱在 Active Directory 中必須是唯一的。FSx for Windows File Server 不會在下列情況下建立網域群組:
如果具有您指定名稱的群組已存在
如果您未指定名稱,且 Active Directory 中已存在名為「網域管理員」的群組。
如需詳細資訊,請參閱[將 Amazon FSx 檔案系統加入自我管理的 Microsoft Active Directory 網域](creating-joined-ad-file-systems.md)。
**Topics**
+ [先決條件](#self-manage-prereqs)
+ [服務帳戶許可](#service-account-prereqs)
+ [使用自我管理 Active Directory 時的最佳實務](#self-managed-AD-best-practices)
+ [Amazon FSx 服務帳戶](#self-managed-AD-service-account)
+ [將許可委派給 Amazon FSx 服務帳戶或群組](assign-permissions-to-service-account.md)
+ [驗證您的 Active Directory 組態](validate-ad-config.md)
+ [將 Amazon FSx 檔案系統加入自我管理的 Microsoft Active Directory 網域](creating-joined-ad-file-systems.md)
+ [取得用於手動 DNS 項目的正確檔案系統 IP 地址](file-system-ip-addresses-for-dns.md)
+ [更新自我管理 Active Directory 組態](update-self-ad-config.md)
+ [變更 Amazon FSx 服務帳戶](changing-ad-service-account.md)
+ [監控自我管理 Active Directory 更新](monitor-self-ad-update.md)
## 先決條件
將 FSx for Windows File Server 檔案系統加入自我管理的 Microsoft Active Directory 網域之前,請檢閱下列先決條件,以協助確保您可以將 Amazon FSx 檔案系統成功加入自我管理的 Active Directory。
### 內部部署組態
這些是您將加入 Amazon FSx 檔案系統的自我管理 Microsoft Active Directory 的先決條件,無論是內部部署或雲端型。
+ Active Directory 網域控制站:
+ 必須具有 Windows Server 2008 R2 或更高版本的網域功能層級。
+ 必須可寫入。
+ 至少一個可連線網域控制站必須是樹系的全域目錄。
+ DNS 伺服器必須能夠解析名稱,如下所示:
+ 在您加入檔案系統的網域中
+ 在樹系的根網域中
+ DNS 伺服器和 Active Directory 網域控制站 IP 地址必須符合下列要求,這取決於建立 Amazon FSx 檔案系統的時間:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/self-managed-AD.html)
如果您需要使用非私有 IP 地址範圍存取 2020 年 12 月 17 日之前建立的 FSx for Windows File Server 檔案系統,您可以透過還原檔案系統的備份來建立新的檔案系統。如需詳細資訊,請參閱[將備份還原至新的檔案系統](how-to-restore-backups.md)。
+ 自我管理 Active Directory 的網域名稱必須符合下列要求:
+ 網域名稱不是單一標籤網域 (SLD) 格式。Amazon FSx 不支援 SLD 網域。
+ 對於單一可用區 2 和所有多可用區檔案系統,網域名稱不能超過 47 個字元。
+ 您已定義的任何 Active Directory 網站必須符合下列先決條件:
+ VPC 中與您檔案系統相關聯的子網路必須在 Active Directory 網站中定義。
+ VPC 子網路和任何 Active Directory 站台子網路之間沒有任何衝突。
Amazon FSx 需要連線至您在 Active Directory 環境中定義的網域控制站或 Active Directory 網站。Amazon FSx 會忽略連接埠 389 上封鎖 TCP 和 UDP 的任何網域控制站。對於 Active Directory 中的其餘網域控制站,請確保它們符合 Amazon FSx 連線需求。此外,請確認您的服務帳戶的任何變更都會傳播到所有這些網域控制站。
**重要**
建立檔案系統後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。
您可以使用 [Amazon FSx Active Directory 驗證工具](validate-ad-config.md)來驗證 Active Directory 組態,包括測試多個網域控制站的連線。若要限制需要連線的網域控制站數量,您也可以在內部部署網域控制站與 之間建立信任關係 AWS Managed Microsoft AD。如需詳細資訊,請參閱[使用資源樹系隔離模型](fsx-aws-managed-ad.md#using-a-rfim)。
**重要**
如果您使用 Microsoft DNS 做為預設 DNS 服務,Amazon FSx 只會註冊檔案系統的 DNS 記錄。如果您使用第三方 DNS,則需要在建立檔案系統之後手動設定 DNS 記錄項目。
### 網路組態
本節說明將檔案系統加入自我管理 Active Directory 的網路組態需求。強烈建議您在嘗試將檔案系統加入自我管理 [Active Directory 之前,使用 Amazon FSx Active Directory 驗證工具](validate-ad-config.md#test-ad-network-config)來測試網路設定。
+ 確保您的防火牆規則將允許 Active Directory 網域控制站與 Amazon FSx 之間的 ICMP 流量。
+ 必須在您要建立檔案系統和自我管理 Active Directory 的 Amazon VPC 之間設定連線。您可以使用 [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)、[AWS Virtual Private Network](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)、[VPC 對等](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)互連或 來設定此連線[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)。
+ 預設 Amazon VPC 的預設 VPC 安全群組必須使用 Amazon FSx 主控台新增至您的檔案系統。確定您建立檔案系統之子網路的安全群組和 VPC 網路 ACLs 允許連接埠和 上的流量,如下圖所示。
![\[VPC 安全群組的 FSx for Windows File Server 連接埠組態需求,以及建立檔案系統之子網路的網路 ACLs。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
下表識別通訊協定、連接埠及其角色。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/self-managed-AD.html)
這些流量規則也需要在套用至每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 管理員的防火牆上鏡像。
**注意**
如果您使用的是 VPC 網路 ACLs,您還必須允許來自檔案系統的動態連接埠 ((49152-65535) 上的傳出流量。
**重要**
雖然 Amazon VPC 安全群組要求僅以啟動網路流量的方向開啟連接埠,但大多數 Windows 防火牆和 VPC 網路 ACLs 要求雙向開啟連接埠。
## 服務帳戶許可
您需要在自我管理的 Microsoft Active Directory 中擁有服務帳戶,具有將電腦物件加入自我管理 Active Directory 網域的委派許可。*服務帳戶*是自我管理 Active Directory 中已委派特定任務的使用者帳戶。
以下是必須委派給您要加入檔案系統之 OU 中 Amazon FSx 服務帳戶的一組最低許可。
+ 如果在 Active Directory 使用者和電腦 MMC 中使用*委派控制*:
+ 重設密碼
+ 讀取和寫入帳戶限制
+ 驗證寫入 DNS 主機名稱
+ 驗證寫入服務主體名稱
+ 如果在 Active Directory 使用者和電腦 MMC 中使用*進階功能*:
+ 修改許可
+ 建立電腦物件
+ 刪除電腦物件
如需詳細資訊,請參閱 Microsoft Windows Server 文件主題 [ 錯誤:當被委派控制的非管理員使用者嘗試將電腦加入網域控制站時,存取遭拒](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con)。
如需設定所需許可的詳細資訊,請參閱 [將許可委派給 Amazon FSx 服務帳戶或群組](assign-permissions-to-service-account.md)。
## 使用自我管理 Active Directory 時的最佳實務
**Topics**
+ [使用 存放 Active Directory 登入資料 AWS Secrets Manager](#bp-store-ad-creds-using-secret-manager-windows)
建議您在將 Amazon FSx for Windows File Server 檔案系統加入自我管理的 Microsoft Active Directory 時,遵循這些最佳實務。這些最佳實務可協助您維持檔案系統的持續、不間斷可用性。
**使用 Amazon FSx 的個別服務帳戶**
使用個別的服務帳戶來委派 Amazon FSx [所需的權限](#service-account-prereqs),以完整管理加入自我管理 Active Directory 的檔案系統。不建議為此目的使用**網域管理員**。
**使用 Active Directory 群組**
使用 Active Directory 群組來管理與 Amazon FSx 服務帳戶相關聯的 Active Directory 許可和組態。
**隔離組織單位 (OU)**
為了更輕鬆地尋找和管理 Amazon FSx 電腦物件,建議您將 FSx for Windows File Server 檔案系統所使用的組織單位 (OU) 與其他網域控制站考量分開。
**將 Active Directory 組態up-to-date**
您必須將檔案系統的 Active Directory 組態保持在up-to-date,才能進行任何變更。例如,如果您的自我管理 Active Directory 使用以時間為基礎的密碼重設政策,一旦重設密碼,請務必更新檔案系統上的服務帳戶密碼。如需詳細資訊,請參閱[更新自我管理 Active Directory 組態](update-self-ad-config.md)。
**變更 Amazon FSx 服務帳戶**
如果您使用新的服務帳戶更新檔案系統,它必須具有加入 Active Directory 所需的許可和權限,並擁有與檔案系統相關聯之現有電腦物件**的完整控制**許可。如需詳細資訊,請參閱[變更 Amazon FSx 服務帳戶](changing-ad-service-account.md)。
**將子網路指派給單一 Microsoft Active Directory 網站**
如果您的 Active Directory 環境有大量網域控制站,請使用 **Active Directory 網站和服務**,將 Amazon FSx 檔案系統使用的子網路指派給具有最高可用性和可靠性的單一 Active Directory 網站。請確定DCs 上的 VPC 安全群組、VPC 網路 ACL、Windows 防火牆規則,以及您在 Active Directory 基礎設施中擁有的任何其他網路路由控制,允許在必要的連接埠上從 Amazon FSx 進行通訊。如果 Windows 無法使用指派的 Active Directory 網站,這可讓 Windows 還原至其他網域控制站。如需詳細資訊,請參閱[使用 Amazon VPC 的檔案系統存取控制](limit-access-security-groups.md)。
**使用安全群組規則來限制流量**
使用安全群組規則在虛擬私有雲端 (VPC) 中實作最低權限原則。您可以使用 VPC 安全群組規則來限制檔案允許的傳入和傳出網路流量類型。例如,我們建議僅允許傳出流量到自我管理的 Active Directory 網域控制站,或您正在使用的子網路或安全群組內。如需詳細資訊,請參閱[使用 Amazon VPC 的檔案系統存取控制](limit-access-security-groups.md)。
**請勿移動建立的 Amazon FSx 電腦物件**
建立檔案系統後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。
**驗證您的 Active Directory 組態**
在嘗試將 FSx for Windows File Server 檔案系統加入 Active Directory 之前,強烈建議您使用 [Amazon FSx Active Directory 驗證工具來驗證 Active Directory ](validate-ad-config.md)組態。
### 使用 存放 Active Directory 登入資料 AWS Secrets Manager
您可以使用 AWS Secrets Manager 安全地存放和管理 Microsoft Active Directory 網域聯結服務帳戶登入資料。這種方法不需要將敏感登入資料以純文字形式存放在應用程式程式碼或組態檔案中,以強化您的安全狀態。
您也可以設定 IAM 政策來管理對秘密的存取,並設定密碼的自動輪換政策。
#### 將 Active Directory 登入資料存放在 AWS Secrets Manager (主控台)
##### 步驟 1:建立 KMS 金鑰
建立 KMS 金鑰以加密和解密 Secrets Manager 中的 Active Directory 登入資料。
**建立金鑰**
**注意**
對於**加密金鑰**,請建立新的金鑰,請勿使用 AWS 預設 KMS 金鑰。請務必 AWS KMS key 在包含您要加入 Active Directory 之檔案系統的相同區域中建立 。
1. 在 https://https://console.aws.amazon.com/kms 開啟 AWS KMS 主控台。
1. 選擇**建立金鑰**。
1. 對於**金鑰類型**,選擇**對稱**。
1. 對於**金鑰用途**,選擇**加密和解密**。
1. 對於**進階選項**,請執行下列動作:
1. 對於**金鑰材料來源**,選擇 **KMS**。
1. 針對**區域性**,選擇**單一區域金鑰**,然後選擇**下一步**。
1. 選擇**下一步**。
1. 對於**別名**,提供 KMS 金鑰的名稱。
1. (選用) 對於**描述**,提供 KMS 金鑰的描述。
1. (選用) 對於**標籤**,提供 KMS 金鑰的標籤,然後選擇**下一步**。
1. (選用) 對於**金鑰管理員**,請提供有權管理此金鑰的 IAM 使用者和角色。
1. 針對**金鑰刪除**,請保留選取**允許金鑰管理員**刪除此金鑰的方塊,然後選擇**下一步**。
1. (選用) 對於**金鑰使用者**,請提供授權在密碼編譯操作中使用此金鑰的 IAM 使用者和角色。選擇**下一步**。
1. 針對**金鑰政策**,選擇**編輯**並在政策**陳述**式中包含以下內容,以允許 Amazon FSx 使用 KMS 金鑰,然後選擇**下一步**。請務必將 *us-west-2* 取代為部署 AWS 區域 檔案系統的 ,並將 *123456789012* 取代為您的 AWS 帳戶 ID。
```
{
"Sid": "Allow FSx to use the KMS key",
"Version": "2012-10-17",
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-west-2.amazonaws.com",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
```
1. 選擇**完成**。
**注意**
您可以修改 `Resource`和 `aws:SourceArn` 欄位以鎖定特定秘密和檔案系統,藉此設定更精細的存取控制。
##### 步驟 2:建立 AWS Secrets Manager 秘密
**若要建立機密**
1. 請開啟位於 [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) 的機密管理員控制台。
1. 選擇**存放新的機密**。
1. 針對**機密類型**,選擇**其他類型的機密**。
1. 對於**金鑰/值對**,請執行下列動作來新增您的兩個金鑰:
1. 對於第一個金鑰,輸入 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`。
1. 對於第一個金鑰的值,僅輸入 AD 使用者的使用者名稱 (不含網域字首)。
1. 對於第二個金鑰,輸入 `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`。
1. 對於第二個金鑰的值,輸入您在網域上為 AD 使用者建立的密碼。
1. 針對**加密金鑰**,輸入您在上一個步驟中建立之 KMS 金鑰的 ARN,然後選擇**下一步**。
1. 對於**秘密名稱**,輸入可協助您稍後尋找密碼的描述性名稱。
1. (選用) 對於**描述**,輸入秘密名稱的描述。
1. 針對**資源許可**,選擇**編輯**。
將下列政策新增至許可政策,以允許 Amazon FSx 使用秘密,然後選擇**下一步**。請務必將 *us-west-2* 取代為部署 AWS 區域 檔案系統的 ,並將 *123456789012* 取代為您的 AWS 帳戶 ID。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "fsx.amazonaws.com"
},
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:fsx:us-west-2:123456789012:file-system/*"
}
}
}
]
}
```
**注意**
您可以修改 `Resource`和 `aws:SourceArn` 欄位以鎖定特定秘密和檔案系統,藉此設定更精細的存取控制。
1. (選用) 您可以設定 Secrets Manager 自動輪換您的登入資料。選擇**下一步**。
1. 選擇**完成**。
#### 在 AWS Secrets Manager (CLI) 中存放 Active Directory 登入資料
##### 步驟 1:建立 KMS 金鑰
建立 KMS 金鑰以加密和解密 Secrets Manager 中的 Active Directory 登入資料。
若要建立 KMS 金鑰,請使用 AWS CLI 命令 [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html)。
在此命令中,設定 `--policy` 參數以指定定義 KMS 金鑰許可的金鑰政策。政策必須包含下列項目:
+ Amazon FSx 的服務主體,即 `fsx.amazonaws.com`。
+ 必要的 KMS 動作: `kms:Decrypt`和 `kms:DescribeKey`。
+ 您 AWS 區域 和 帳戶的資源 ARN 模式。
+ 限制金鑰用量的條件金鑰:
+ `kms:ViaService` 以確保請求透過 Secrets Manager 進行。
+ `aws:SourceAccount` 限制為您的帳戶。
+ `aws:SourceArn` 限制為特定 Amazon FSx 檔案系統。
下列範例會使用允許 Amazon FSx 使用金鑰進行解密和金鑰描述操作的政策來建立對稱加密 KMS 金鑰。命令會自動擷取您的 AWS 帳戶 ID 和區域,然後使用這些值設定金鑰政策,以確保 Amazon FSx、Secrets Manager 和 KMS 金鑰之間的適當存取控制。請確定您的 AWS CLI 環境與將加入 Active Directory 的檔案系統位於相同的區域。
```
# Set region and get Account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Create Key
KMS_KEY_ARN=$(aws kms create-key --policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Sid\": \"Enable IAM User Permissions\",
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::$ACCOUNT_ID:root\"
},
\"Action\": \"kms:*\",
\"Resource\": \"*\"
},
{
\"Sid\": \"Allow FSx to use the KMS key\",
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"kms:Decrypt\",
\"kms:DescribeKey\"
],
\"Resource\": \"*\",
\"Condition\": {
\"StringEquals\": {
\"kms:ViaService\": \"secretsmanager.$REGION.amazonaws.com\",
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}" --query 'KeyMetadata.Arn' --output text)
echo "KMS Key ARN: $KMS_KEY_ARN"
```
**注意**
您可以修改 `Resource`和 `aws:SourceArn` 欄位以鎖定特定秘密和檔案系統,藉此設定更精細的存取控制。
##### 步驟 2:建立 AWS Secrets Manager 秘密
若要為 Amazon FSx 建立秘密以存取您的 Active Directory,請使用 AWS CLI 命令 [create-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/create-secret.html) 並設定下列參數:
+ `--name`:秘密的識別符。
+ `--description`:秘密用途的描述。
+ `--kms-key-id`:您在[步驟 1 中建立](#create-kms-key-windows-cli)用於加密靜態秘密之 KMS 金鑰的 ARN。
+ `--secret-string`:JSON 字串,其中包含以下格式的 AD 登入資料:
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`:沒有網域字首的 AD 服務帳戶使用者名稱,例如 `svc-fsx`。**請勿**提供網域字首,例如 `CORP\svc-fsx`。
+ `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`:您的 AD 服務帳戶密碼。
+ `--region`:建立 Amazon FSx 檔案系統的 AWS 區域 。如果`AWS_REGION`未設定 ,則預設為您設定的區域。
建立秘密後,使用 [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/logs/put-resource-policy.html) 命令連接資源政策,並設定下列參數:
+ `--secret-id`:要連接政策的秘密名稱或 ARN。下列範例使用 **FSxSecret**做為 `--secret-id`。
+ `--region`:與您的秘密 AWS 區域 相同。
+ `--resource-policy`:授予 Amazon FSx 存取秘密許可的 JSON 政策文件。政策必須包含下列項目:
+ Amazon FSx 的服務主體,即 **fsx.amazonaws.com**。
+ 必要的 Secrets Manager 動作: `secretsmanager:GetSecretValue`和 `secretsmanager:DescribeSecret`。
+ 您 AWS 區域 和 帳戶的資源 ARN 模式。
+ 限制存取的下列條件金鑰:
+ `aws:SourceAccount` 限制為您的帳戶。
+ `aws:SourceArn` 限制為特定 Amazon FSx 檔案系統。
下列範例會建立具有所需格式的秘密,並連接允許 Amazon FSx 使用秘密的資源政策。此範例會自動擷取您的 AWS 帳戶 ID 和區域,然後使用這些值設定資源政策,以確保 Amazon FSx 與秘密之間的適當存取控制。
請務必將 取代`KMS_KEY_ARN`為您在[步驟 1](#create-kms-key-windows-cli)、 和 中建立之金鑰的 ARN`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`,`CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`取代為您的 Active Directory 服務帳戶憑證。此外,請確認您的 AWS CLI 環境已設定為與將加入 Active Directory 的檔案系統相同的區域。
```
# Set region and get account ID
REGION=${AWS_REGION:-$(aws configure get region)}
ACCOUNT_ID=$(aws sts get-caller-identity --query 'Account' --output text)
# Replace with your KMS key ARN from Step 1
KMS_KEY_ARN="arn:aws:kms:us-east-2:123456789012:key/1234542f-d114-555b-9ade-fec3c9200d8e"
# Replace with your Active Directory credentials
AD_USERNAME="Your_Username"
AD_PASSWORD="Your_Password"
# Create the secret
SECRET_ARN=$(aws secretsmanager create-secret \
--name "FSxSecret" \
--description "Secret for FSx access" \
--kms-key-id "$KMS_KEY_ARN" \
--secret-string "{\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME\":\"$AD_USERNAME\",\"CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD\":\"$AD_PASSWORD\"}" \
--region "$REGION" \
--query 'ARN' \
--output text)
echo "Secret created with ARN: $SECRET_ARN"
# Attach the resource policy with proper formatting
aws secretsmanager put-resource-policy \
--secret-id "FSxSecret" \
--region "$REGION" \
--resource-policy "{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"Service\": \"fsx.amazonaws.com\"
},
\"Action\": [
\"secretsmanager:GetSecretValue\",
\"secretsmanager:DescribeSecret\"
],
\"Resource\": \"$SECRET_ARN\",
\"Condition\": {
\"StringEquals\": {
\"aws:SourceAccount\": \"$ACCOUNT_ID\"
},
\"ArnLike\": {
\"aws:SourceArn\": \"arn:aws:fsx:$REGION:$ACCOUNT_ID:file-system/*\"
}
}
}
]
}"
echo "Resource policy attached successfully"
```
**注意**
您可以修改 `Resource`和 `aws:SourceArn` 欄位以鎖定特定秘密和檔案系統,藉此設定更精細的存取控制。
## Amazon FSx 服務帳戶
加入自我管理 Active Directory 的 Amazon FSx 檔案系統在其生命週期內都需要有效的服務帳戶。Amazon FSx 使用 服務帳戶來完整管理您的檔案系統,並執行需要將電腦物件取消加入和重新加入 Active Directory 網域的管理任務。這些任務包括取代失敗的檔案伺服器和修補 Microsoft Windows Server 軟體。若要讓 Amazon FSx 執行這些任務,Amazon FSx 服務帳戶必須至少具有 [服務帳戶許可](#service-account-prereqs) 中描述的一組許可。
雖然**網域管理員**群組的成員有足夠的權限來執行這些任務,我們強烈建議您使用個別的服務帳戶,將所需的權限委派給 Amazon FSx。
如需如何使用 **Active Directory 使用者和電腦** MMC Snap-in 中的**委派控制**或**進階功能**來委派權限的詳細資訊,請參閱 [將許可委派給 Amazon FSx 服務帳戶或群組](assign-permissions-to-service-account.md)。
如果您使用新的服務帳戶更新檔案系統,則新的服務帳戶必須具有加入 Active Directory 所需的許可和權限,並擁有與檔案系統相關聯之現有電腦物件**的完整控制**許可。如需詳細資訊,請參閱[變更 Amazon FSx 服務帳戶](changing-ad-service-account.md)。
為了增強安全性,建議您將 Active Directory 服務帳戶登入資料存放在 中 AWS Secrets Manager 。這不需要以純文字存放敏感登入資料,並符合安全最佳實務。如需詳細資訊,請參閱[使用自我管理的 Microsoft Active Directory](#self-managed-AD)。
# 將許可委派給 Amazon FSx 服務帳戶或群組
Amazon FSx 服務帳戶或管理員群組必須具有將 FSx for Windows File Server 檔案系統加入自我管理 Active Directory 網域[所需的權限](self-managed-AD.md#service-account-prereqs)。若要委派這些許可,您可以在 Active Directory User and Computers MMC Snap-in 中使用**委派控制**或**進階功能**,如下列程序所述。
## 使用**委派控制**指派許可
**使用**委派控制**將許可指派給服務帳戶或群組**
1. 以 Active Directory 網域的網域管理員身分登入您的系統。
1. 開啟 **Active Directory 使用者和電腦** MMC 嵌入。
1. 在任務窗格中,展開網域節點。
1. 找到並開啟您要修改之 OU 的內容 (按一下滑鼠右鍵) 選單,然後選擇**委派控制**。
1. 在**控制委派精靈**頁面上,選擇**下一步**。
1. 選擇**新增**以新增 Amazon FSx 服務帳戶或群組的名稱,然後選擇**下一步**。
1. 在 **Tasks to Delegate (要委派的任務)** 頁面上,選擇 **Create a custom task to delegate (建立要委派的自訂任務)**,然後選擇 **Next (下一步)**。
1. 選擇**僅資料夾中的下列物件**,然後選擇**電腦物件**。
1. 選擇**在此資料夾中建立選取的物件**,以及**在此資料夾中刪除選取的物件**。然後選擇**下一步**。
1. 針對**許可**,選擇下列項目:
+ **重設密碼**
+ **讀取和寫入帳戶限制**
+ **驗證寫入 DNS 主機名稱**
+ **驗證寫入服務主體名稱**
1. 選擇 **Next** (下一步),然後選擇 **Finish** (完成)。
1. 關閉 **Active Directory 使用者和電腦** MMC 嵌入。
## 使用**進階功能**指派許可
1. 以 Active Directory 網域的網域管理員身分登入您的系統。
1. 開啟 **Active Directory 使用者和電腦** MMC 嵌入。
1. 從選單列選取**檢視**,並確保已啟用**進階功能** (如果啟用該功能,旁邊會顯示核取記號)。
1. 在任務窗格中,展開網域節點。
1. 找到並開啟 (按一下滑鼠右鍵) 您要修改之 OU 的內容選單,然後選擇**屬性**。
1. 在 **OU 屬性**窗格中,選取**安全性**索引標籤。
1. 在**安全**索引標籤中,選取**進階**。然後選取**新增**。
1. 在**許可項目**頁面上,選擇**選取委託人**,然後輸入 Amazon FSx 服務帳戶或群組的名稱。針對**套用至:**,選擇**此物件和所有子系電腦**。請確定已選取下列項目:
+ **修改許可**
+ **建立電腦物件**
+ **刪除電腦物件**
1. 選取**套用**,然後選取**確定**。
1. 關閉 **Active Directory 使用者和電腦 **MMC 嵌入。
# 驗證您的 Active Directory 組態
在建立加入 Active Directory 的 FSx for Windows File Server 檔案系統之前,建議您使用 Amazon FSx Active Directory 驗證工具來驗證 Active Directory 組態。請注意,需要傳出網際網路連線才能成功驗證 Active Directory 組態。
**驗證您的 Active Directory 組態**
1. 在相同子網路中啟動 Amazon EC2 Windows 執行個體,並使用您用於 FSx for Windows File Server 檔案系統的相同 Amazon VPC 安全群組。確保您的 EC2 執行個體具有必要的 `AmazonEC2ReadOnlyAccess` IAM 許可。您可以使用 IAM 政策模擬器來驗證 EC2 執行個體角色許可。如需詳細資訊,請參閱《[IAM 使用者指南》中的使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)。 **
1. 將 EC2 Windows 執行個體加入 Active Directory。如需詳細資訊,請參閱《 *AWS Directory Service 管理指南*》中的[手動加入 Windows 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)。
1. 連線至 EC2 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)。
1. 在 EC2 執行個體上開啟 Windows PowerShell 視窗 (使用以**管理員身分執行**)。
若要測試是否已安裝 Windows PowerShell 所需的 Active Directory 模組,請使用下列測試命令。
```
PS C:\> Import-Module ActiveDirectory
```
如果上述 傳回錯誤,請使用下列命令進行安裝。
```
PS C:\> Install-WindowsFeature RSAT-AD-PowerShell
```
1. 使用下列命令下載網路驗證工具。
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/WindowsGuide/samples/AmazonFSxADValidation.zip" -OutFile "AmazonFSxADValidation.zip"
```
1. 使用下列命令展開 zip 檔案。
```
PS C:\> Expand-Archive -Path "AmazonFSxADValidation.zip"
```
1. 將`AmazonFSxADValidation`模組新增至目前的工作階段。
```
PS C:\> Import-Module .\AmazonFSxADValidation
```
1. 將 替換為下列命令來設定必要的參數:
+ Active Directory 網域名稱 (*DOMAINNAME.COM*://)
+ 使用下列其中一個選項準備服務帳戶密碼的`$Credential`物件。
+ 若要以互動方式產生登入資料物件,請使用下列命令。
```
$Credential = Get-Credential
```
+ 若要使用 AWS Secrets Manager 資源產生登入資料物件,請使用下列命令。
```
$Secret = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$Credential = (New-Object PSCredential($Secret.UserName,(ConvertTo-SecureString $Secret.Password -AsPlainText -Force)))
```
+ DNS 伺服器 IP 地址 (*IP\$1ADDRESS\$11*、*IP\$1ADDRESS\$12*)
+ 您計劃建立 Amazon FSx 檔案系統的子網路 (*SUBNET\$11*、*SUBNET\$12*) 子網路 ID (例如 `subnet-04431191671ac0d19`)。
```
PS C:\>
$FSxADValidationArgs = @{
# DNS root of ActiveDirectory domain
DomainDNSRoot = 'DOMAINNAME.COM'
# IP v4 addresses of DNS servers
DnsIpAddresses = @('IP_ADDRESS_1', 'IP_ADDRESS_2')
# Subnet IDs for Amazon FSx file server(s)
SubnetIds = @('SUBNET_1', 'SUBNET_2')
Credential = $Credential
}
```
1. (選用) 在執行驗證工具之前,遵循隨附`README.md`檔案中的指示,設定組織單位、委派管理員群組、DomainControllersMaxCount 並啟用服務帳戶許可驗證。
**注意**
如果作業系統不是英文,則`Domain Admins`群組會有不同的名稱。例如, 群組在法文作業系統版本`Administrateurs du domaine`中命名。如果您未指定值,則會使用預設`Domain Admins`群組名稱,且檔案系統建立失敗。
1. 使用此命令執行驗證工具。
```
PS C:\> $Result = Test-FSxADConfiguration @FSxADValidationArgs
```
1. 以下是成功測試結果的範例。
```
Test 1 - Validate EC2 Subnets ...
...
Test 17 - Validate 'Delete Computer Objects' permission ...
Test computer object amznfsxtestd53f deleted!
...
SUCCESS - All tests passed! Please proceed to creating an Amazon FSx file system. For your convenience, SelfManagedActiveDirectoryConfiguration of result can be used directly in CreateFileSystemWindowsConfiguration for New-FSXFileSystem
PS C:\AmazonFSxADValidation> $Result.Failures.Count
0
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
以下是發生錯誤的測試結果範例。
```
Test 1 - Validate EC2 Subnets ...
...
Test 7 - Validate that provided EC2 Subnets belong to a single AD Site ...
Name DistinguishedName Site
---- ----------------- ----
10.0.0.0/19 CN=10.0.0.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
10.0.128.0/19 CN=10.0.128.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=Default-First-Site-Name,C...
10.0.64.0/19 CN=10.0.64.0/19,CN=Subnets,CN=Sites,CN=Configuration,DC=test-ad,DC=local CN=SiteB,CN=Sites,CN=Configu...
Best match for EC2 subnet subnet-092f4caca69e360e7 is AD site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st-ad,DC=local
Best match for EC2 subnet subnet-04431191671ac0d19 is AD site CN=SiteB,CN=Sites,CN=Configuration,DC=test-ad,DC=local
WARNING: EC2 subnets subnet-092f4caca69e360e7 subnet-04431191671ac0d19 matched to different AD sites! Make sure they
are in a single AD site.
...
9 of 16 tests skipped.
FAILURE - Tests failed. Please see error details below:
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
Please address all errors and warnings above prior to re-running validation to confirm fix.
PS C:\AmazonFSxADValidation> $Result.Failures.Count
1
PS C:\AmazonFSxADValidation> $Result.Failures
Name Value
---- -----
SubnetsInSeparateAdSites {subnet-04431191671ac0d19, subnet-092f4caca69e360e7}
PS C:\AmazonFSxADValidation> $Result.Warnings.Count
0
```
如果您在執行驗證工具時收到警告或錯誤,請參閱驗證工具套件 (`TROUBLESHOOTING.md`) 和 中包含的故障診斷指南[Amazon FSx 故障診斷](troubleshooting.md)。
# 將 Amazon FSx 檔案系統加入自我管理的 Microsoft Active Directory 網域
當您建立新的 FSx for Windows File Server 檔案系統時,您可以設定 Microsoft Active Directory 整合,使其加入您的自我管理 Microsoft Active Directory 網域。若要執行此作業,請提供 Microsoft Active Directory 的下列資訊:
+ 您內部部署 Microsoft Active Directory 目錄的完整網域名稱 (FQDN)。
**注意**
Amazon FSx 目前不支援單一標籤網域 (SLD) 網域。
+ 網域 DNS 伺服器的 IP 地址。
+ Amazon FSx 用來將檔案系統加入網域的 Active Directory 服務帳戶的登入資料。您可以提供下列其中一種方式:
+ **選項 1**: AWS Secrets Manager 秘密 ARN - 包含 Active Directory 網域上服務帳戶的使用者名稱和密碼的秘密。如需詳細資訊,請參閱[使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
+ **選項 2**:純文字登入資料
+ **服務帳戶使用者名稱** – 現有 Microsoft Active Directory 中服務帳戶的使用者名稱。請勿包含網域字首或尾碼。例如,對於 `EXAMPLE\ADMIN`,僅使用 `ADMIN`。
+ **服務帳戶密碼** – 服務帳戶的密碼。
或者,您也可以指定以下内容:
+ 網域中您希望 Amazon FSx 檔案系統加入的特定組織單位 (OU)。
+ 網域群組的名稱,其成員會獲得 Amazon FSx 檔案系統的管理權限。您提供的網域群組名稱在 Active Directory 中必須是唯一的。
指定此資訊後,Amazon FSx 會使用您提供的服務帳戶,將新的檔案系統加入自我管理的 Active Directory 網域。
**重要**
如果您加入檔案系統的 Active Directory 網域使用 Microsoft DNS 做為預設 DNS,Amazon FSx 只會註冊檔案系統的 DNS 記錄。如果您使用的是第三方 DNS,則在建立檔案系統之後,您將需要手動設定 Amazon FSx 檔案系統的 DNS 項目。如需選擇要用於檔案系統之正確 IP 地址的詳細資訊,請參閱 [取得用於手動 DNS 項目的正確檔案系統 IP 地址](file-system-ip-addresses-for-dns.md)。
## 開始之前
請確定您已完成 中[先決條件](self-managed-AD.md#self-manage-prereqs)詳述的 [使用自我管理的 Microsoft Active Directory](self-managed-AD.md)。
## 建立加入自我管理 Active Directory 的 FSx for Windows File Server 檔案系統 (主控台)
1. 開啟位於 https://[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。
1. 在儀表板上,選擇 **Create file system** (建立檔案系統) 以啟動檔案系統建立精靈。
1. 選擇 **FSx for Windows File Server**,然後選擇**下一步**。**Create file system** (建立檔案系統) 頁面隨即顯示。
1. 為您的檔案系統提供名稱。您最多可以使用 256 個 Unicode 字母、空格和數字,加上特殊字元 \$1 - = . \$1 : /
1. 對於**儲存容量**,請以 GiB 為單位輸入檔案系統的儲存容量。如果您使用的是 SSD 儲存,請輸入 32–65,536 範圍內的任何整數。如果您使用的是 HDD 儲存,請輸入 2,000–65,536 範圍內的任何整數。您可以在建立檔案系統之後,隨時視需要增加儲存容量。如需詳細資訊,請參閱[管理儲存容量](managing-storage-configuration.md#managing-storage-capacity)。
1. 保留 **Throughput capacity** (輸送容量) 的預設設定。**輸送量容量**是託管檔案系統的檔案伺服器可以提供資料的持續速度。**建議的輸送量容量**設定取決於您選擇的儲存容量。如果您需要超過建議的輸送量容量,請選擇**指定輸送量容量**,然後選擇值。如需詳細資訊,請參閱[FSx for Windows File Server 效能效能](performance.md)。
您可以在建立檔案系統之後隨時視需要修改輸送量容量。如需詳細資訊,請參閱[管理輸送量容量](managing-throughput-capacity.md)。
1. 選擇您要與檔案系統建立關聯的 VPC。基於本入門練習的目的,請選擇與 Directory Service 目錄和 Amazon EC2 執行個體相同的 VPC。
1. 選擇**可用區域**和**子網路**的任何值。
1. 對於 **VPC 安全群組**,預設 Amazon VPC 的預設安全群組已新增至主控台中的檔案系統。請確定您建立 FSx 檔案系統之子網路的安全群組和 VPC 網路 ACLs 允許連接埠上的流量,並如下圖所示。
![\[VPC 安全群組的 FSx for Windows File Server 連接埠組態需求,以及建立檔案系統之子網路的網路 ACLs。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
下表識別每個連接埠的角色。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/creating-joined-ad-file-systems.html)
**重要**
單一可用區 2 和所有多可用區檔案系統部署需要允許 TCP 連接埠 9389 上的傳出流量。
**注意**
如果您使用的是 VPC 網路 ACLs,您還必須允許來自 FSx 檔案系統的動態連接埠 ((49152-65535) 上的傳出流量。
+ 傳出規則,允許所有流量流向與自我管理 Microsoft Active Directory 網域的 DNS 伺服器和網域控制站相關聯的 IP 地址。如需詳細資訊,請參閱 [Microsoft 有關為 Active Directory 通訊設定防火牆的文件](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)。
+ 請確定這些流量規則也會鏡像到套用至每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 管理員的防火牆上。
**注意**
如果您已定義 Active Directory 網站,您必須確保與 Amazon FSx 檔案系統相關聯的 VPC 中的子網路是在 Active Directory 網站中定義,而且 VPC 中的子網路和其他站台中的子網路之間不存在衝突。您可以使用 Active Directory 網站和服務 MMC 嵌入來檢視和變更這些設定。
**重要**
雖然 Amazon VPC 安全群組要求僅以啟動網路流量的方向開啟連接埠,但大多數 Windows 防火牆和 VPC 網路 ACLs 要求雙向開啟連接埠。
1. 針對 **Windows 身分驗證**,選擇**自我管理 Microsoft Active Directory**。
1. 輸入自我管理 Microsoft Active Directory 目錄**完整網域名稱**的值。
**注意**
網域名稱不得為單一標籤網域 (SLD) 格式。Amazon FSx 目前不支援 SLD 網域。
**重要**
對於單一可用區 2 和所有多可用區檔案系統,Active Directory 網域名稱不能超過 47 個字元。
1. 輸入自我管理 Microsoft Active Directory 目錄**的組織單位**值。
**注意**
請確定您提供的服務帳戶具有委派給您在此處指定之 OU 的許可,或如果您未指定預設 OU 的許可。
1. 為自我管理的 Microsoft Active Directory 目錄輸入至少一個且不超過兩個 **DNS 伺服器 IP 地址**的值。
1. **服務帳戶登入**資料 – 選擇如何提供服務帳戶登入資料:
+ **選項 1**: AWS Secrets Manager 秘密 ARN - 包含 Active Directory 網域上服務帳戶的使用者名稱和密碼的秘密。如需詳細資訊,請參閱[使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
+ **選項 2**:純文字登入資料
+ **服務帳戶使用者名稱** – 現有 Microsoft Active Directory 中服務帳戶的使用者名稱。請勿包含網域字首或尾碼。例如,對於 `EXAMPLE\ADMIN`,僅使用 `ADMIN`。
+ **服務帳戶密碼** – 服務帳戶的密碼。
+ **確認密碼** – 服務帳戶的密碼。
**重要**
輸入**服務帳戶使用者名稱**時,請勿包含網域字首 (`corp.com\ServiceAcct`) 或網域尾碼 (`ServiceAcct@corp.com`)。
輸入**服務帳戶使用者名稱** () 時,請勿使用辨別名稱 (DN`CN=ServiceAcct,OU=example,DC=corp,DC=com`)。
1. 對於**委派檔案系統管理員群組**,指定`Domain Admins`群組或自訂委派檔案系統管理員群組 (如果您已建立群組)。您指定的 群組應具有在檔案系統上執行管理任務的委派授權。如果您未提供值,Amazon FSx 會使用內建`Domain Admins`群組。請注意,Amazon FSx 不支援在內建容器中擁有 `Delegated file system administrators group`(您指定的`Domain Admins`群組或自訂群組)。
**重要**
如果您未提供**委派檔案系統管理員群組**,根據預設,Amazon FSx 會嘗試在您的 Active Directory 網域中使用內建`Domain Admins`群組。如果此內建群組的名稱已變更,或者您使用不同的群組進行網域管理,則必須在此處提供該群組的名稱。
**重要**
提供群組名稱參數時,請勿包含網域字首 (corp.com\$1FSxAdmins) 或網域尾碼 (FSxAdmins@corp.com)。
請勿對 群組使用辨別名稱 (DN)。辨別名稱的範例為 CN=FSxAdmins,OU=example,DC=corp,DC=com。
## 建立加入自我管理 Active Directory 的 FSx for Windows File Server 檔案系統 (AWS CLI)
下列範例會建立 FSx for Windows File Server 檔案系統`SelfManagedActiveDirectoryConfiguration`,並在`us-east-2`可用區域中使用 。
```
aws fsx --region us-east-2 \
create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--security-group-ids security-group-id \
--subnet-ids subnet-id\
--windows-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',ThroughputCapacity=8
```
**重要**
建立檔案系統後,請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。
# 取得用於手動 DNS 項目的正確檔案系統 IP 地址
如果您使用 Microsoft DNS 做為預設 DNS 服務,Amazon FSx 只會註冊檔案系統的 DNS 記錄。如果您使用第三方 DNS,則需要手動設定 Amazon FSx 檔案系統的 DNS 項目。本節說明如何取得正確的檔案系統 IP 地址,以便在您必須手動將檔案系統新增至 DNS 時使用。請注意,建立檔案系統後,在刪除檔案系統之前,其 IP 地址不會變更。
**如何取得用於 DNS A 項目的檔案系統 IP 地址**
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 中,選擇要取得 IP 地址的檔案系統,以顯示檔案系統詳細資訊頁面。
1. 在**網路與安全**索引標籤中,執行下列其中一項:
+ 對於單一可用區 1 檔案系統:
+ 在**子網路**面板中,選擇網路界面下方顯示的彈性**網路界面**,以在 Amazon EC2 主控台中開啟**網路界面**頁面。
+ 要使用的單一可用區 1 檔案系統的 IP 地址會顯示在**主要私有 IPv4 IP** 欄中。
+ 對於單一可用區 2 或多可用區檔案系統:
+ 在**偏好的子網路**面板中,選擇網路界面下方**顯示的彈性網路界面**,以在 Amazon EC2 主控台中開啟**網路界面**頁面。
+ 要使用之偏好子網路的 IP 地址會顯示在**次要私有 IPv4 IP** 欄中。
+ 在 Amazon FSx **待命子網路**面板中,選擇網路界面下方**顯示的彈性網路界面**,以在 Amazon EC2 主控台中開啟**網路界面**頁面。
+ 要使用的待命子網路 IP 地址會顯示在**次要私有 IPv4 IP** 欄中。
**注意**
如果您需要為單一可用區 2 或多可用區檔案系統設定 Windows Remote PowerShell 端點的 DNS 項目,您應該使用**主要私有 IPv4 地址**做為**偏好子網路**的彈性網路界面。如需詳細資訊,請參閱[使用 Amazon FSx CLI for PowerShell](administering-file-systems.md#remote-pwrshell)。
# 更新自我管理 Active Directory 組態
若要協助確保 Amazon FSx 檔案系統的持續、不間斷可用性,您必須在下列任何 Active Directory 屬性變更時更新檔案系統的 Active Directory 組態:
+ DNS 伺服器 IP 地址
+ 自我管理 Active Directory 的服務帳戶登入資料
當您更新 Amazon FSx 檔案系統的自我管理 Active Directory 組態時,在套用更新時,檔案系統的狀態會從**可用**切換到**更新**。確認狀態在套用更新後切換回**可用** – 請注意,更新可能需要幾分鐘才能完成。如需詳細資訊,請參閱[監控自我管理 Active Directory 更新](monitor-self-ad-update.md)。
如果更新的自我管理 Active Directory 組態發生問題,檔案系統狀態會切換到**設定錯誤**。此狀態會在主控台、API 和 CLI 的檔案系統描述旁顯示錯誤訊息和建議的修正動作。採取建議的修正動作後,請確認檔案系統的狀態最終變更為**可用**。
**重要**
如果您使用新的服務帳戶更新檔案系統,請確保新的服務帳戶具有與檔案系統相關聯之現有電腦物件**的完整控制**許可。
如需自我管理 Active Directory 組態相關問題的疑難排解資訊,請參閱 [檔案系統處於設定錯誤狀態](misconfigured-ad-config.md)。
您可以使用 AWS 管理主控台、Amazon FSx API 或 AWS CLI 來更新服務帳戶登入資料,以及檔案系統自我管理 Active Directory 組態的 DNS 伺服器 IP 地址。您可以隨時使用 AWS 管理主控台、 CLI 和 API 來追蹤自我管理 Active Directory 組態更新的進度。如需詳細資訊,請參閱[監控自我管理 Active Directory 更新](monitor-self-ad-update.md)。
**更新自我管理 Active Directory 組態 (主控台)**
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 導覽至**檔案系統**,然後選擇您要更新自我管理 Active Directory 組態的 Windows 檔案系統。
1. 在**網路與安全**索引標籤中,選擇**更新** **DNS 伺服器 IP 地址**或服務帳戶使用者名稱,視您要更新的 Active Directory 屬性而定。
1. 在出現的對話方塊中輸入新的 DNS 伺服器 IP 地址,或新的服務帳戶登入資料 (使用者名稱和密碼) 或秘密 ARN。您可以使用 AWS Secrets Manager 來存放您的登入資料。如需詳細資訊,請參閱[使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。
1. 選擇**更新**以啟動 Active Directory 組態更新。
您可以使用 AWS 管理主控台 或 [監控更新進度](monitor-self-ad-update.md) AWS CLI。
**更新自我管理 Active Directory 組態 (CLI)**
+ 若要更新 FSx for Windows File Server 檔案系統的自我管理 Active Directory 組態,請使用 AWS CLI 命令 [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html)。設定下列參數:
+ `--file-system-id` 至您正在更新之檔案系統的 ID。
+ `UserName` 自我管理 Active Directory 服務帳戶的新使用者名稱。
+ `Password` 自我管理 Active Directory 服務帳戶的新密碼。
+ `DomainJoinServiceAccountSecret` 包含 Active Directory 網域上服務帳戶的使用者名稱和密碼的 AWS Secrets Manager 秘密
**注意**
您無法同時提供使用者名稱/密碼和網域聯結服務帳戶秘密,以連線至您的 Active Directory。僅提供一組登入資料。
+ `DnsIps` 自我管理 Active Directory DNS 伺服器的 IP 地址。
```
aws fsx update-file-system --file-system-id fs-0123456789abcdef0 \
--windows-configuration 'SelfManagedActiveDirectoryConfiguration={UserName=username,Password=password,\
DnsIps=[192.0.2.0,192.0.2.24]}'
```
如果更新動作成功,服務會傳回 HTTP 200 回應。回應中的`AdminstrativeActions`物件描述請求及其狀態。
# 變更 Amazon FSx 服務帳戶
如果您使用新的服務帳戶更新檔案系統,則新的服務帳戶必須具有加入 Active Directory 所需的許可和權限,並具有與檔案系統相關聯之現有電腦物件**的完整控制**許可。此外,請確定新的服務帳戶是已啟用**群組政策**設定**網域控制器的信任帳戶的一部分:允許在網域加入期間重複使用電腦帳戶**。
我們強烈建議使用 Active Directory 群組來管理與服務帳戶相關聯的 Active Directory 許可和組態。
變更 Amazon FSx 的服務帳戶時,請確定服務帳戶具有下列設定:
+ 新的服務帳戶 (或其成員的 Active Directory 群組) 具有與檔案系統相關聯的現有電腦物件**的完整控制**許可。
+ 新的和先前的服務帳戶 (或其成員的 Active Directory 群組) 是具有**網域控制站的信任帳戶 (或信任的 Active Directory 群組) 的一部分:允許在 Active Directory 中所有網域控制站上啟用網域聯結群組政策設定期間重複使用電腦帳戶**。
如果服務帳戶不符合這些要求,可能會發生下列情況:
+ 對於單一可用區檔案系統,檔案系統可能會變成 **[MISCONFIGURED\$1UNAVAILABLE](administering-file-systems.md#file-system-lifecycle-states)**。
+ 對於多可用區域檔案系統,檔案系統可能會變成 **[MISCONFIGURED](administering-file-systems.md#file-system-lifecycle-states)**,而 RemotePowerShell 端點名稱可能會變更。
## 設定網域控制站的群組政策
下列 [ Microsoft 建議程序](https://support.microsoft.com/en-us/topic/kb5020276-netjoin-domain-join-hardening-changes-2b65a0f3-1f4c-42ef-ac0f-1caaf421baf8#bkmk_take_action)說明如何使用網域控制站群組政策來設定允許清單政策。
**設定網域控制站的允許清單政策**
1. 在自我管理 Microsoft Active Directory 中的所有成員電腦和網域控制站上安裝 2023 年 9 月 12 日或更新版本的 Microsoft Windows 更新。
1. 在套用至自我管理 Active Directory 中所有網域控制站的新或現有群組政策中,設定下列設定。
1. 導覽至**電腦組態>政策>Windows 設定>安全性設定>本機政策>安全性選項**。
1. 按兩下**網域控制站:允許電腦帳戶在網域加入期間重複使用**。
1. 選取**定義此政策設定並 <編輯安全性...>**。
1. 使用物件挑選器,將信任的電腦帳戶建立者和擁有者的使用者或群組新增至**允許**許可。(最佳實務是強烈建議您使用 群組來取得許可。) **請勿新增執行網域聯結的使用者帳戶。**
**警告**
將政策的成員資格限制為信任的使用者和服務帳戶。請勿將已驗證的使用者、所有人或其他大型群組新增至此政策。反之,請將特定信任的使用者和服務帳戶新增至群組,並將這些群組新增至政策。
1. 等待群組政策重新整理間隔,或在所有網域控制站**gpupdate /force**上執行。
1. 確認 HKLM\$1System\$1CCS\$1Control\$1SAM – “ComputerAccountReuseAllowList” 登錄機碼已填入所需的 SDDL。**請勿手動編輯登錄**檔。
1. 嘗試加入已安裝 2023 年 9 月 12 日或更新版本更新的電腦。確保政策中列出的其中一個帳戶擁有該電腦帳戶。同時確保其登錄檔未啟用 **NetJoinLegacyAccountReuse** 金鑰 (設定為 1)。如果網域聯結失敗,請檢查 **`c:\windows\debug\netsetup.log`**。
# 監控自我管理 Active Directory 更新
您可以使用 、 AWS 管理主控台 API 或 監控自我管理 Active Directory 組態更新的進度 AWS CLI,如下列程序所述。
當您更新檔案系統的自我管理 Active Directory 組態時,套用更新時,檔案系統的狀態會從**可用**切換到**更新**。更新完成後,狀態會切換回**可用**。Active Directory 組態更新可能需要幾分鐘的時間才能完成。
## 在主控台中監控更新
在**檔案系統詳細資訊**視窗中的**更新**索引標籤中,您可以檢視每個更新類型的 10 個最近更新。
![\[顯示最近更新清單的主控台螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/images/fs-updates-panel.png)
對於自我管理 Active Directory 更新,您可以檢視以下資訊。
****更新類型****
支援的類型如下:
+ DNS 伺服器 IP 地址
+ 服務帳戶登入資料
****目標值****
要更新檔案系統屬性的所需值。對於**服務帳戶登入**資料更新,僅顯示使用者名稱,服務帳戶密碼絕不會包含在此欄位中。
****狀態****
更新的目前狀態。對於自我管理 Active Directory 更新,可能的值如下所示:
+ **待定** – Amazon FSx 已收到更新請求,但尚未開始處理。
+ **進行中** – Amazon FSx 正在處理更新請求。
+ **已完成** – 檔案系統更新已成功完成。
+ **失敗** – 檔案系統更新失敗。選擇問號 (**?**) 以查看失敗的詳細資訊。
****進度 %****
將檔案系統更新進度顯示為完成百分比。
****請求時間****
Amazon FSx 收到更新動作請求的時間。
## 使用 AWS CLI 和 API 監控更新
您可以使用 [describe-file-systems](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html) AWS CLI 命令和 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 動作,檢視和監控進行中的檔案系統更新請求。`AdministrativeActions` 陣列會列出每個管理動作類型的 10 個最近更新動作。
下列範例顯示 CLI **describe-file-systems** 命令回應的摘錄。輸出會顯示兩個自我管理的 Active Directory 檔案系統更新。
```
{
"OwnerId": "111122223333",
.
.
.
"StorageCapacity": 1000,
"AdministrativeActions": [
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1581694766.757,
"Status": "PENDING",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "serviceUser",
}
}
}
},
{
"AdministrativeActionType": "FILE_SYSTEM_UPDATE",
"RequestTime": 1619032957.759,
"Status": "FAILED",
"TargetFileSystemValues": {
"WindowsConfiguration": {
"SelfManagedActiveDirectoryConfiguration": {
"DnsIps": [
"10.0.138.161"
]
}
}
},
"FailureDetails": {
"Message": "Failure details message."
}
}
],
.
.
.
```