本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 存取您的資料
您可以使用各種支援的用戶端和方法,從 AWS 雲端 和內部部署環境存取 Amazon FSx 檔案系統。
**Topics**
+ [支援的用戶端](#supported-clients-fsx)
+ [從 內存取資料 AWS 雲端](#access-environments)
+ [從內部部署存取資料](#on-premise-access)
+ [使用預設 DNS 名稱存取資料](#dns-name)
+ [支援分散式檔案系統 (DFS) 命名空間](#dfs-namespace)
+ [使用 DNS 別名存取資料](dns-aliases.md)
+ [使用檔案共享存取資料](using-file-shares.md)
+ [建立、更新、移除檔案共用](managing-file-shares.md)
## 支援的用戶端
FSx for Windows File Server 支援伺服器訊息區塊 (SMB) 通訊協定 2.0 到 3.1.1 版,可讓您靈活地使用各種運算執行個體和作業系統連線到檔案系統。
下列 AWS 運算執行個體支援與 Amazon FSx 搭配使用:
+ Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,包括 Microsoft Windows、Mac、Amazon Linux 和 Amazon Linux 2 執行個體。如需詳細資訊,請參閱[映射檔案共享](using-file-shares.md#mapping-file-shares)。
+ Amazon Elastic Container Service (Amazon ECS) 容器。如需詳細資訊,請參閱《*Amazon Elastic Container Service 開發人員指南*》中的 [FSx for Windows File Server 磁碟區](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/wfsx-volumes.html)。
+ WorkSpaces 執行個體 – 若要進一步了解,請參閱 AWS 部落格文章[使用 FSx for Windows File Server 搭配 Amazon WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-for-windows-file-server-with-amazon-workspaces/)。
+ Amazon AppStream 2.0 執行個體 – 若要進一步了解,請參閱 AWS 部落格文章[使用 Amazon FSx 搭配 Amazon AppStream 2.0](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-with-amazon-appstream-2-0/)。
+ 在 VMware Cloud on AWS environment 中執行VMs – 若要進一步了解,請參閱 AWS 部落格文章,在 [ VMware Cloud on AWS Environment 中使用 FSx for Windows File Server 存放和共用檔案](https://aws.amazon.com/blogs/apn/storing-and-sharing-files-with-amazon-fsx-in-a-vmware-cloud-on-aws-environment/)。
下列作業系統支援與 Amazon FSx 搭配使用:
+ Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 和 Windows Server 2022。
+ Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10 (包括 WorkSpaces 的 Windows 7 和 Windows 10 桌面體驗) 和 Windows 11。
+ Linux,使用 `cifs-utils`工具。
+ macOS
## 從 內存取資料 AWS 雲端
每個 Amazon FSx 檔案系統都與虛擬私有雲端 (VPC) 相關聯。無論可用區域為何,您都可以從檔案系統 VPC 中的任何位置存取 FSx for Windows File Server 檔案系統。您也可以從與檔案系統不同的 AWS 帳戶 VPCs 或 AWS 區域 存取檔案系統。除了下列各節所述存取 FSx for Windows File Server 資源的需求之外,您也需要確保已設定檔案系統的 VPC 安全群組,以便資料和管理流量可在檔案系統和用戶端之間流動。如需使用所需連接埠設定安全群組的詳細資訊,請參閱 [使用 Amazon VPC 的檔案系統存取控制](limit-access-security-groups.md)。
您可以從與檔案系統位於相同 VPC 的支援用戶端存取 FSx for Windows File Server 檔案系統。
下表說明 Amazon FSx 支援從每個支援環境中的用戶端存取的環境,取決於檔案系統建立的時間。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/supported-fsx-clients.html)
**注意**
在某些情況下,您可能想要使用非私有 IP 地址範圍,從內部部署存取 2020 年 12 月 17 日之前建立的檔案系統。若要這樣做,請從檔案系統的備份建立新的檔案系統。如需詳細資訊,請參閱[使用備份保護您的資料](using-backups.md)。
### 從不同的 VPC 存取資料 AWS 帳戶,或 AWS 區域
您可以從位於不同 VPC 中的支援用戶端 AWS 帳戶,或是使用 VPC 對等互連或傳輸閘道與檔案系統 AWS 區域 相關聯的用戶端存取 FSx for Windows File Server 檔案系統。當您使用 VPC 對等互連或傳輸閘道來連接 VPCs 時,在一個 VPC 中的運算執行個體可以存取另一個 VPC 中的 Amazon FSx 檔案系統。即使 VPCs屬於不同的 AWS 帳戶,即使 VPCs位於不同的 中,也可以進行此存取 AWS 區域。
*VPC 互連連線*是兩個 VPCs之間的網路連線,您可以使用私有 IPv4 或 IP 第 6 版 (IPv6) 地址來路由它們之間的流量。您可以使用 VPC 對等互連來連接相同 AWS 區域內或 AWS 區域之間的 VPCs。如需 VPC 互連的詳細資訊,請參閱《Amazon VPC 互連指南》**中的[什麼是 VPC 互連?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html)。
*傳輸閘道*是網路傳輸中樞,您可以用於互相連接 VPC 和現場部署網路。如需使用 VPC 傳輸閘道的詳細資訊,請參閱《*Amazon VPC* [傳輸閘道》中的傳輸閘道入門](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-getting-started.html)。
設定 VPC 對等互連或傳輸閘道連線後,您可以使用檔案系統 DNS 名稱來存取檔案系統。就像從相關聯 VPC 內的運算執行個體執行一樣。
## 從內部部署存取資料
FSx for Windows File Server 支援使用 AWS Direct Connect 或 從內部部署運算執行個體 Site-to-Site VPN 存取您的檔案系統。透過 的支援 AWS Direct Connect,FSx for Windows File Server 可讓您透過內部部署環境的專用網路連線存取檔案系統。透過 的支援 Site-to-Site VPN,FSx for Windows File Server 可讓您透過安全且私有的通道,從內部部署裝置存取檔案系統。
將內部部署環境連線至與 Amazon FSx 檔案系統相關聯的 VPC 之後,您可以使用其 DNS 名稱或 DNS 別名來存取檔案系統。就像從 VPC 內的運算執行個體一樣。如需 Direct Connect的詳細資訊,請參閱《[Direct Connect 使用者指南》](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)**。如需設定 Site-to-Site VPN 連線的詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的 [VPN 連線](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。
**注意**
在某些情況下,您可能想要使用非私有 IP 地址範圍,從內部部署存取 2020 年 12 月 17 日之前建立的檔案系統。若要這樣做,請從檔案系統的備份建立新的檔案系統。如需詳細資訊,請參閱[使用備份保護您的資料](using-backups.md)。
FSx for Windows File Server 也支援使用 Amazon FSx File Gateway,從內部部署運算執行個體提供低延遲、無縫存取雲端 FSx for Windows File Server 檔案共用。如需詳細資訊,請參閱*《[Amazon FSx 檔案閘道使用者指南](https://docs.aws.amazon.com/filegateway/latest/filefsxw/what-is-file-fsxw.html)*》。
**注意**
Amazon FSx File Gateway 不再提供給新客戶。FSx File Gateway 的現有客戶可以繼續正常使用服務。如需類似 FSx File Gateway 的功能,請造訪[此部落格文章](https://aws.amazon.com/blogs/storage/switch-your-file-share-access-from-amazon-fsx-file-gateway-to-amazon-fsx-for-windows-file-server/)。
## 使用預設 DNS 名稱存取資料
FSx for Windows File Server 為每個檔案系統提供網域名稱系統 (DNS) 名稱。您可以使用此 DNS 名稱,將運算執行個體上的磁碟機代號映射至 Amazon FSx 檔案共享,以存取 FSx FSx for Windows File Server 檔案系統。如需詳細資訊,請參閱 [使用檔案共享存取資料](using-file-shares.md)。
**重要**
如果您使用 Microsoft DNS 做為預設 DNS,Amazon FSx 只會註冊檔案系統的 DNS 記錄。如果您使用第三方 DNS,則必須手動設定 Amazon FSx 檔案系統的 DNS 項目。如需選擇要用於檔案系統的正確 IP 地址的資訊,請參閱 [取得用於手動 DNS 項目的正確檔案系統 IP 地址](file-system-ip-addresses-for-dns.md)。
若要尋找 DNS 名稱:
+ 在 Amazon FSx 主控台中,選擇**檔案系統**,然後選擇**詳細資訊**。在**網路與安全**區段中檢視 DNS 名稱。
+ 或者,在 **CreateFileSystem**或 **DescribeFileSystems** API 命令的回應中檢視它。
對於加入 AWS Managed Microsoft Active Directory 的所有單一可用區檔案系統,DNS 名稱的格式如下: `fs-0123456789abcdef0.ad-dns-domain-name`
對於加入自我管理 Active Directory 的所有單一可用區檔案系統,以及任何多可用區檔案系統,DNS 名稱的格式如下: `amznfsxaa11bb22.ad-domain.com`
### 使用 Kerberos 身分驗證搭配 DNS 名稱
我們建議您透過 Amazon FSx 使用傳輸中的 Kerberos 型身分驗證和加密。Kerberos 為存取檔案系統的用戶端提供最安全的身分驗證。若要為 SMB 工作階段啟用傳輸中資料的 Kerberos 型身分驗證和加密,請使用 Amazon FSx 提供的檔案系統 DNS 名稱來存取您的檔案系統。
如果您的 AWS Managed Microsoft Active Directory 與內部部署 Active Directory 之間已設定外部信任,若要搭配 Kerberos 身分驗證使用 Amazon FSx Remote PowerShell,您必須在用戶端上設定本機群組政策,以取得樹系搜尋順序。如需詳細資訊,請參閱 Microsoft 文件中的[設定 Kerberos 樹系搜尋順序 (KFSO)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh921473(v=ws.10)?redirectedfrom=MSDN)。
## 支援分散式檔案系統 (DFS) 命名空間
FSx for Windows File Server 支援使用 Microsoft DFS 命名空間。使用 DFS 命名空間將位於多個檔案系統上的檔案共用組織成一個通用資料夾結構 (命名空間),您可用來存取整個檔案資料集。您可以在 DFS 命名空間中使用名稱,將 Amazon FSx 檔案系統的連結目標設定為檔案系統的 DNS 名稱,以存取該檔案系統。如需詳細資訊,請參閱[使用 DFS 命名空間將多個 FSx for Windows File Server 檔案系統分組](using-dfs-namespaces.md#group-file-systems)。
# 使用 DNS 別名存取資料
FSx for Windows File Server 為每個檔案系統提供 DNS 名稱,您可以用來存取檔案共享。您也可以使用預設 DNS 名稱以外的 DNS 名稱來存取檔案共享,方法是註冊 FSx for Windows File Server 檔案系統的 DNS 別名。
使用 DNS 別名,您可以將 Windows 檔案共用資料移至 FSx for Windows File Server,然後繼續使用現有的 DNS 名稱來存取 Amazon FSx 上的資料。DNS 別名也可讓您使用有意義的名稱,更輕鬆地管理工具和應用程式以連線至 Amazon FSx 檔案系統。您一次最多可將 50 個 DNS 別名與檔案系統建立關聯。如需將 DNS 別名與 FSx for Windows File Server 檔案系統建立關聯和取消關聯的詳細資訊,請參閱 [管理 DNS 別名](managing-dns-aliases.md)。
若要使用 DNS 別名設定對 FSx for Windows File Server 檔案系統的存取,您必須執行下列步驟:
1. [將 DNS 別名與您的檔案系統建立關聯](step1-assign-dns-alias.md).
1. 建立檔案系統的 [DNS CNAME 記錄](step4-configure-dns-cname.md),以及與其相關聯的 DNS 別名。
如需搭配 FSx for Windows File Server 檔案系統使用 DNS 別名的詳細資訊,請參閱 [管理 DNS 別名](managing-dns-aliases.md)。
## 使用 Kerberos 身分驗證和加密搭配 DNS 別名
我們建議您透過 Amazon FSx 使用傳輸中的 Kerberos 型身分驗證和加密。Kerberos 為存取檔案系統的用戶端提供最安全的身分驗證。若要為使用 DNS 別名存取 Amazon FSx 的用戶端啟用 Kerberos 身分驗證,您必須新增對應至 Amazon FSx 檔案系統 Active Directory 電腦物件上 DNS 別名的服務主體名稱 (SPNs)。
若要在使用 DNS 別名存取檔案系統時設定 Kerberos 身分驗證和加密,請參閱 [設定 Kerberos 的服務主體名稱 (SPNs)](step2-configure-spn-kerberos.md)。
您可以在 Active Directory 中設定下列群組政策物件 (GPOs),選擇性地強制使用 DNS 別名存取檔案系統的用戶端使用 Kerberos 身分驗證和加密:
+ **限制 NTLM:傳出 NTLM 流量到遠端伺服器** - 使用此政策設定來拒絕或稽核從電腦傳出 NTLM 流量到執行 Windows 作業系統的任何遠端伺服器。
+ **限制 NTLM:為 NTLM 身分驗證新增遠端伺服器例外**狀況 - 如果已設定*網路安全:限制 NTLM:將 NTLM 流量傳出至遠端伺服器政策設定,請使用此政策設定來建立允許用戶端裝置使用 NTLM 身分驗證的遠端伺服器*例外狀況清單。
若要在使用 DNS 別名存取檔案系統時強制執行 Kerberos 身分驗證和加密,請參閱 [使用群組政策物件 (GPOs) 強制執行 Kerberos 身分驗證](enforce-kerberos.md)。
如需將檔案系統設定為使用 DNS 別名的詳細資訊,請參閱下列程序:
+ [將 DNS 別名與您的檔案系統建立關聯](step1-assign-dns-alias.md)
+ [設定 Kerberos 的服務主體名稱 (SPNs)](step2-configure-spn-kerberos.md)
+ [更新或建立 DNS CNAME 記錄](step4-configure-dns-cname.md)
+ [使用群組政策物件 (GPOs) 強制執行 Kerberos 身分驗證](enforce-kerberos.md)
# 將 DNS 別名與您的檔案系統建立關聯
當您建立新的檔案系統,以及使用 Amazon FSx 主控台、CLI 和 API 從備份建立新的檔案系統時,您可以將 DNS 別名與現有的 FSx for Windows File Server 檔案系統建立關聯。如果您要使用不同的網域名稱建立別名,請輸入完整名稱,包括父系網域,以關聯別名。
此程序說明如何在使用 Amazon FSx 主控台建立新檔案系統時關聯 DNS 別名。如需將 DNS 別名與現有檔案系統建立關聯的相關資訊,以及使用 CLI 和 API 的詳細資訊,請參閱 [管理 DNS 別名](managing-dns-aliases.md)。
**在建立新檔案系統時關聯 DNS 別名**
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 請遵循入門一節[步驟 5. 建立您的檔案系統](getting-started.md#getting-started-step1)中所述建立新檔案系統的程序。
1. 在**建立檔案系統**精靈的**存取 - 選用**區段中,輸入您要與檔案系統建立關聯的 DNS 別名。
指定 DNS 別名時,請使用下列準則:
+ 必須格式化為完整網域名稱 (FQDN)`hostname.domain`,例如 `accounting.example.com`。
+ 可包含英數字元和連字號 (‐)。
+ 名稱開頭或結尾不能為連字號 (-)。
+ 可以從數字開頭。
對於 DNS 別名名稱,Amazon FSx 會將字母字元儲存為小寫字母 (a-z),不論儲存時指定為大寫、小寫字母或逸出碼中的對應字母。
1. 針對**維護偏好設定**,進行任何您想要的變更。
1. 在**標籤 - 選用**區段中,新增您需要的任何標籤,然後選擇**下一步**。
1. 檢閱顯示在 **Create file system** (建立檔案系統) 頁面上的檔案系統組態。選擇**建立檔案系統**以建立檔案系統。
# 設定 Kerberos 的服務主體名稱 (SPNs)
我們建議您透過 Amazon FSx 使用傳輸中的 Kerberos 型身分驗證和加密。Kerberos 為存取檔案系統的用戶端提供最安全的身分驗證。
若要為使用 DNS 別名存取 Amazon FSx 的用戶端啟用 Kerberos 身分驗證,您必須新增對應至 Amazon FSx 檔案系統 Active Directory 電腦物件上 DNS 別名的服務主體名稱 (SPNs)。SPN 一次只能與單一 Active Directory 電腦物件建立關聯。如果您有為原始檔案系統 Active Directory 電腦物件設定的 DNS 名稱的現有 SPNs,您必須先將其刪除。
Kerberos 身分驗證需要兩個 SPNs:
```
HOST/alias
HOST/alias.domain
```
如果別名為 `finance.domain.com`,以下是兩個必要的 SPNs:
```
HOST/finance
HOST/finance.domain.com
```
**注意**
在為 Amazon FSx 檔案系統 Active Directory (AD) 電腦物件建立新的 HOST SPN 之前,您將需要刪除與 Active Directory 電腦物件上 DNS 別名 SPNs 對應的任何現有 HOST SPNs。如果 AD 中存在 DNS 別名SPNs,則嘗試設定 Amazon FSx 檔案系統的 SPN 將會失敗。
下列程序說明如何執行下列動作:
+ 在原始檔案系統的 Active Directory 電腦物件上尋找任何現有的 DNS 別名 SPNs。
+ 刪除找到的現有 SPNs,如果有的話。
+ 為 Amazon FSx 檔案系統的 Active Directory 電腦物件建立新的 DNS 別名 SPNs。
**安裝所需的 PowerShell Active Directory 模組**
1. 登入已加入 Amazon FSx 檔案系統之 Active Directory 的 Windows 執行個體。
1. 以管理員身分開啟 PowerShell。
1. 使用以下命令安裝 PowerShell Active Directory 模組。
```
Install-WindowsFeature RSAT-AD-PowerShell
```
**在原始檔案系統的 Active Directory 電腦物件上尋找和刪除現有的 DNS 別名 SPNs**
如果您已針對已指派給 Active Directory 中電腦物件上另一個檔案系統的 DNS 別名設定 SPNs,您必須先移除這些 SPNs才能將 SPNs 新增至檔案系統的電腦物件。
1. 使用下列命令尋找任何現有的 SPNs。`alias_fqdn` 將 取代為您在[步驟 1](step1-assign-dns-alias.md) 中與檔案系統相關聯的 DNS 別名。
```
## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])
```
1. 使用下列範例指令碼刪除上一個步驟中傳回的現有 HOST SPNs。
+ `alias_fqdn` 將 取代為您在[步驟 1](step1-assign-dns-alias.md) 中與檔案系統相關聯的完整 DNS 別名。
+ `file_system_DNS_name` 將 取代為原始檔案系統的 DNS 名稱。
```
## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name
```
1. 針對您在步驟 [1 中與檔案系統相關聯的每個 DNS 別名重複上述步驟](step1-assign-dns-alias.md)。
**在 Amazon FSx 檔案系統的 Active Directory 電腦物件上設定 SPNs**
1. 執行下列命令,為您的 Amazon FSx 檔案系統設定新的 SPNs。
+ `file_system_DNS_name` 將 取代為 Amazon FSx 指派給檔案系統的 DNS 名稱。
若要在 Amazon FSx 主控台上尋找檔案系統的 DNS 名稱,請選擇**檔案系統**,然後選擇檔案系統詳細資訊頁面上**的網路與安全**窗格。
您也可以在 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 操作的回應中取得 DNS 名稱。
+ `alias_fqdn` 將 取代為您在[步驟 1](step1-assign-dns-alias.md) 中與檔案系統相關聯的完整 DNS 別名。
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)
##Use the following command to set both the full FQDN and Alias SPNs
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}
```
**注意**
如果原始檔案系統的電腦物件的 AD 中存在 DNS 別名的 SPN,則設定 Amazon FSx 檔案系統的 SPN 將會失敗。如需尋找和刪除現有 SPNs的詳細資訊,請參閱 [在原始檔案系統的 Active Directory 電腦物件上尋找和刪除現有的 DNS 別名 SPNs](#find-delete-existing-spns)。
1. 使用以下範例指令碼,確認已為 DNS 別名設定新的 SPNs。請確定回應包含兩個 HOST SPNs `HOST/alias`和 `HOST/alias_fqdn`,如本程序先前所述。
`file_system_DNS_name` 將 取代為 Amazon FSx 指派給檔案系統的 DNS 名稱。若要在 Amazon FSx 主控台上尋找檔案系統的 DNS 名稱,請選擇**檔案系統**,然後選擇檔案系統詳細資訊頁面上**的網路與安全**窗格。
您也可以在 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 操作的回應中取得 DNS 名稱。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
1. 針對您在步驟 [1 中與檔案系統相關聯的每個 DNS 別名重複上述步驟](step1-assign-dns-alias.md)。
# 更新或建立 DNS CNAME 記錄
為您的檔案系統正確設定 SPNs 之後,您可以將解析至原始檔案系統的每個 DNS 記錄取代為解析為 Amazon FSx 檔案系統預設 DNS 名稱的 DNS 記錄,以切換到 Amazon FSx。
需要 `dnsserver`和 `activedirectory` Windows 模組才能執行本節中顯示的命令。
**安裝所需的 PowerShell 模組**
1. 以具有 DNS 管理許可的群組成員身分 ( 中的**AWS 委派網域名稱系統管理員** AWS Managed Microsoft AD,以及 **網域管理員**或您已在自我管理 Active Directory 中委派 DNS 管理許可的其他群組),登入已加入 Amazon FSx 檔案系統加入的相同 Active Directory 的 Windows 執行個體。
如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)。
1. 以管理員身分開啟 PowerShell。
1. PowerShell DNS Server 模組需要執行此程序中的指示。使用以下命令進行安裝。
```
Install-WindowsFeature RSAT-DNS-Server
```
**更新或建立 Amazon FSx 檔案系統的自訂 DNS 名稱**
1. 以使用者身分連線至 Amazon EC2 執行個體,該使用者是具有 DNS 管理許可的群組成員 ( AWS 受管 Active Directory 中的**AWS 委派網域名稱系統管理員**,以及**網域管理員**或您已在自我管理 Active Directory 中委派 DNS 管理許可的其他群組)。
如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)。
1. 在命令提示字元中,執行下列指令碼。此指令碼會將任何現有的 DNS CNAME 記錄遷移到您的 Amazon FSx 檔案系統。如果找不到,它會為解析`alias_fqdn`為 Amazon FSx 檔案系統預設 DNS 名稱的 DNS 別名建立新的 DNS CNAME 記錄。
執行指令碼:
+ `alias_fqdn` 將 取代為您與檔案系統相關聯的 DNS 別名。
+ `file_system_DNS_name` 將 取代為 Amazon FSx 已指派給檔案系統的 DNS 名稱。
```
$Alias="alias_fqdn"
$FSxDnsName="file_system_dns_name"
$AliasHost=$Alias.Split('.')[0]
$ZoneName=((Get-WmiObject Win32_ComputerSystem).Domain)
$DnsServerComputerName = (Resolve-DnsName $ZoneName -Type NS | Where Type -eq 'A' | Select -ExpandProperty Name) | Select -First 1
Add-DnsServerResourceRecordCName -Name $AliasHost -ComputerName $DnsServerComputerName -HostNameAlias $FSxDnsName -ZoneName $ZoneName
```
1. 針對您在步驟 [1 中與檔案系統相關聯的每個 DNS 別名重複上述步驟](step1-assign-dns-alias.md)。
您現在已使用 DNS 別名為 Amazon FSx 檔案系統新增 DNS CNAME 值。您現在可以使用 DNS 別名來存取您的資料。
**注意**
更新 DNS CNAME 記錄以指向先前指向另一個檔案系統的 Amazon FSx 檔案系統時,用戶端可能無法在短時間內與檔案系統連線。當用戶端 DNS 快取重新整理時,他們應該能夠使用 DNS 別名進行連線。如需詳細資訊,請參閱[無法使用 DNS 別名存取檔案系統](unable-to-access.md#cant-connect-using-dns-alias)。
# 使用群組政策物件 (GPOs) 強制執行 Kerberos 身分驗證
您可以在 Active Directory 中設定下列群組政策物件 (GPOs),在存取檔案系統時強制執行 Kerberos 身分驗證:
+ **限制 NTLM:傳出 NTLM 流量到遠端伺服器** - 使用此政策設定來拒絕或稽核從電腦傳出 NTLM 流量到執行 Windows 作業系統的任何遠端伺服器。
+ **限制 NTLM:為 NTLM 身分驗證新增遠端伺服器例外**狀況 - 如果已設定*網路安全:限制 NTLM:將 NTLM 流量傳出至遠端伺服器政策設定,請使用此政策設定來建立允許用戶端裝置使用 NTLM 身分驗證的遠端伺服器*例外狀況清單。
1. 登入已加入 Active Directory 的 Windows 執行個體,您的 Amazon FSx 檔案系統會以管理員身分加入其中。如果您要設定自我管理 Active Directory,請直接將這些步驟套用到您的 Active Directory。
1. 選擇**開始**,選擇**管理工具**,然後選擇**群組政策管理**。
1. 選擇**群組政策物件**。
1. 如果您的群組政策物件尚不存在,請建立它。
1. 找出現有的**網路安全:限制 NTLM:將 NTLM 流量傳出至遠端伺服器**政策。(如果沒有現有政策,請建立新的政策。) 在**本機安全設定**索引標籤中,開啟內容 (按一下滑鼠右鍵) 選單,然後選擇**屬性**。
1. 選擇**全部拒絕**。
1. 選擇**套用**以儲存安全設定。
1. 若要設定用戶端特定遠端伺服器的 NTLM 連線例外狀況,請尋找**網路安全:限制 NTLM:新增遠端伺服器例外狀況**。
開啟內容 (按一下滑鼠右鍵) 選單,然後在**本機安全設定**索引標籤中選擇**屬性**。
1. 輸入要新增至例外清單的任何伺服器名稱。
1. 選擇**套用**以儲存安全設定。
# 使用檔案共享存取資料
Microsoft Windows *檔案共享*是您檔案系統上的特定資料夾或目錄。它包含可能存在的任何子資料夾。用戶端會使用伺服器訊息區塊 (SMB) 通訊協定存取檔案系統上的檔案共享。您的 FSx for Windows File Server 檔案系統隨附名為 的預設 Windows 檔案共用`share`。您可以使用 Windows *共用資料夾*圖形使用者介面 (GUI) 工具,視需要建立和管理任意數量的其他檔案共用。
即使叢集內的伺服器節點故障,Microsoft Windows 持續可用 (CA) 共享仍可提供維持共用檔案不間斷存取的主要優勢。使用 CA 檔案共享可將在檔案系統維護時段期間將資料檔案存放在這些檔案共享的伺服器應用程式中斷降至最低。
如需在 FSx for Windows File Server 檔案系統上建立和管理檔案共用的詳細資訊,包括 CA 共用,請參閱 [建立、更新、移除檔案共用](managing-file-shares.md)。
## 映射檔案共享
若要存取您的檔案共享,請使用 Windows Map Network Drive 功能,將運算執行個體上的磁碟機代號映射至 Amazon FSx 檔案共享。將檔案共享映射到運算執行個體上磁碟機的程序稱為在 Linux 中*掛*載檔案共享。此程序會根據運算執行個體的類型和作業系統而有所不同。映射檔案共享之後,您的應用程式和使用者可以存取檔案共享上的檔案和資料夾,就像它們是本機檔案和資料夾一樣。
如需映射和掛載檔案共用以存取檔案系統上資料的詳細資訊,請參閱下列程序:
+ [映射 Amazon EC2 Windows 執行個體上的檔案共享](map-share-windows.md).
+ [在 Amazon EC2 Mac 執行個體上掛載檔案共享](map-share-mac.md)
+ [在 Amazon EC2 Linux 執行個體上掛載檔案共享](map-shares-linux.md)
# 映射 Amazon EC2 Windows 執行個體上的檔案共享
您可以使用 Windows File Explorer 或命令提示字元,在 EC2 Windows 執行個體上映射檔案共享,以存取 FSx for Windows File Server 檔案系統。
## 在 Amazon EC2 Windows 執行個體上映射檔案共享 (File Explorer)
1. 啟動 EC2 Windows 執行個體,並將其連接至您加入 Amazon FSx 檔案系統的 Microsoft Active Directory。若要這樣做,請從 *AWS Directory Service 管理指南*中選擇下列其中一個程序:
+ [無縫加入 Windows EC2 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)
+ [手動加入 Windows 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)
1. 連接至 EC2 Windows 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)。
1. 連線後,開啟檔案總管。
1. 在導覽窗格中,開啟**網路**的內容 (按一下滑鼠右鍵) 選單,然後選擇**映射網路磁碟機**。
1. 針對**磁碟機**,選擇磁碟機代號。
1. 針對**資料夾**,輸入檔案系統的 DNS 名稱或與檔案系統相關聯的 DNS 別名,以及共用名稱。
**重要**
在異地同步備份檔案系統的容錯移轉過程中,使用 IP 地址而非 DNS 名稱可能會導致無法使用。此外,多可用區和單一可用區檔案系統中以 Kerberos 為基礎的身分驗證需要 DNS 名稱或相關聯的 DNS 別名。
您可以選擇 **Windows File Server**、**Network & Security**,在 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx)上尋找檔案系統的 DNS 名稱和任何相關聯的 DNS 別名。或者,您可以在 [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html) 或 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 操作的回應中找到它們。如需使用 DNS 別名的詳細資訊,請參閱 [管理 DNS 別名](managing-dns-aliases.md)。
+ 對於加入 AWS Managed Microsoft Active Directory 的單一可用區檔案系統,DNS 名稱如下所示。
```
fs-0123456789abcdef0.ad-domain.com
```
+ 對於加入自我管理 Active Directory 的單一可用區檔案系統,以及任何多可用區檔案系統,DNS 名稱如下所示。
```
amznfsxaa11bb22.ad-domain.com
```
例如,若要使用單一可用區檔案系統的 DNS 名稱,請在**資料夾**輸入下列內容。
```
\\fs-0123456789abcdef0.ad-domain.com\share
```
若要使用多可用區域檔案系統的 DNS 名稱,請在**資料夾**輸入下列內容。
```
\\amznfsxaa11bb22.ad-domain.com\share
```
若要使用與檔案系統相關聯的 DNS 別名,請在**資料夾**中輸入下列內容。
```
\\fqdn-dns-alias\share
```
1. 選擇**登入時重新連線**的選項,指出檔案共享是否應在登入時重新連線,然後選擇**完成**。
## 在 Amazon EC2 Windows 執行個體上映射檔案共享 (命令提示)
1. 啟動 EC2 Windows 執行個體,並將其連接至您加入 Amazon FSx 檔案系統的 Microsoft Active Directory。若要這樣做,請從 *AWS Directory Service 管理指南*中選擇下列其中一個程序:
+ [無縫加入 Windows EC2 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)
+ [手動加入 Windows 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)
1. 以 AWS Managed Microsoft AD 目錄中的使用者身分連線至 EC2 Windows 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)。
1. 連線之後,請開啟命令提示視窗。
1. 使用您選擇的磁碟機代號、檔案系統的 DNS 名稱和共用名稱來掛載檔案共用。您可以選擇 **Windows File Server**、**Network & Security**,以使用 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx)尋找 DNS 名稱。或者,您可以在 `CreateFileSystem`或 `DescribeFileSystems` API 操作的回應中找到它們。
+ 對於加入 AWS 受管 Microsoft Active Directory 的單一可用區檔案系統,DNS 名稱如下所示。
```
fs-0123456789abcdef0.ad-domain.com
```
+ 對於加入自我管理 Active Directory 的單一可用區檔案系統,以及任何多可用區檔案系統,DNS 名稱如下所示。
```
amznfsxaa11bb22.ad-domain.com
```
以下是掛載檔案共享的範例命令。
```
$ net use H: \\amzfsxaa11bb22.ad-domain.com\share /persistent:yes
```
您也可以使用任何支援的 PowerShell 命令來掛載檔案共享,而不是 `net use`命令。
# 在 Amazon EC2 Mac 執行個體上掛載檔案共享
您可以在已加入 Active Directory 或未加入存取 FSx for Windows File Server 檔案系統的 Amazon EC2 Mac 執行個體上掛載檔案共享。如果執行個體未加入您的 Active Directory,請務必更新執行個體所在 Amazon Virtual Private Cloud (Amazon VPC) 的 DHCP 選項集,以包含 Active Directory 網域的 DNS 名稱伺服器。然後重新啟動執行個體。
## 在 Amazon EC2 Mac 執行個體 (GUI) 上掛載檔案共享
1. 啟動 EC2 Mac 執行個體。若要這樣做,請從 *Amazon EC2 使用者指南*中選擇下列其中一個程序:
+ [使用主控台啟動 Mac 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html#mac-instance-launch)
+ [使用 啟動 Mac 執行個體 AWS CLI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html#mac-instance-launch-cli)
1. 使用虛擬網路運算 (VNC) 連線至 EC2 Mac 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[使用 VNC 連線至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html#mac-instance-vnc)。
1. 在 EC2 Mac 執行個體上,連線至 Amazon FSx 檔案共用,如下所示:
1. 開啟 Finder,選擇 **Go**,然後選擇**連線至伺服器**。
1. 在**連線至伺服器**對話方塊中,輸入檔案系統的 DNS 名稱或與檔案系統相關聯的 DNS 別名,以及共用名稱。然後選擇 **連線**。
您可以選擇 **Windows File Server**、**Network & Security**,在 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx)上尋找檔案系統的 DNS 名稱和任何相關聯的 DNS 別名。或者,您可以在 [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html) 或 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 操作的回應中找到它們。如需使用 DNS 別名的詳細資訊,請參閱 [管理 DNS 別名](managing-dns-aliases.md)。
![\[Mac 連線螢幕擷取畫面,顯示檔案系統窗格的 DNS 和共用名稱。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/images/mac-instance-connect1.png)
1. 在下一個畫面上,選擇**連線**以繼續。
1. 輸入 Amazon FSx 服務帳戶的 Microsoft Active Directory (AD) 登入資料,如下列範例所示。然後選擇 **連線**。
![\[Mac 連線螢幕擷取畫面,顯示如何輸入檔案系統窗格的使用者登入資料。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/images/mac-instance-connect2.png)
1. 如果連線成功,您可以在 Finder 視窗中**的位置**下看到 Amazon FSx 共用。
## 在 Amazon EC2 Mac 執行個體上掛載檔案共享 (命令列)
1. 啟動 EC2 Mac 執行個體。若要這樣做,請從 *Amazon EC2 使用者指南*中選擇下列其中一個程序:
+ [使用主控台啟動 Mac 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html#mac-instance-launch)
+ [使用 啟動 Mac 執行個體 AWS CLI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html#mac-instance-launch-cli)
1. 使用虛擬網路運算 (VNC) 連線至 EC2 Mac 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[使用 VNC 連線至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html#mac-instance-vnc)。
1. 使用以下命令掛載檔案共享。
```
mount_smbfs //file_system_dns_name/file_share mount_point
```
您可以選擇 **Windows File Server**、**Network & Security**,在 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx)上尋找 DNS 名稱。或者,您可以在 `CreateFileSystem`或 `DescribeFileSystems` API 操作的回應中找到它們。
+ 對於加入 AWS 受管 Microsoft Active Directory 的單一可用區檔案系統,DNS 名稱如下所示。
```
fs-0123456789abcdef0.ad-domain.com
```
+ 對於加入自我管理 Active Directory 的單一可用區檔案系統,以及任何多可用區檔案系統,DNS 名稱如下所示。
```
amznfsxaa11bb22.ad-domain.com
```
此程序中使用的掛載命令會在指定點執行下列動作:
+ `//file_system_dns_name/file_share` – 指定要掛載的檔案系統的 DNS 名稱和共用。
+ *mount\$1point* – 您要掛載檔案系統之 EC2 執行個體上的目錄。
# 在 Amazon EC2 Linux 執行個體上掛載檔案共享
您可以在加入 Active Directory 或未加入存取 FSx for Windows File Server 檔案系統的 Amazon EC2 Linux 執行個體上掛載 FSx for Windows File Server 檔案共享。
**注意**
下列命令指定參數,例如 SMB 通訊協定、快取,以及讀取和寫入緩衝區大小,僅做為範例。Linux `cifs`命令的參數選擇以及使用的 Linux 核心版本,可能會影響用戶端和 Amazon FSx 檔案系統之間網路操作的輸送量和延遲。如需詳細資訊,請參閱您正在使用的 Linux 環境`cifs`的文件。
Linux 用戶端不支援自動 DNS 型容錯移轉。如需詳細資訊,請參閱[Linux 用戶端的容錯移轉體驗](high-availability-multiAZ.md#linux-failover)。
## 在加入 Active Directory 的 Amazon EC2 Linux 執行個體上掛載檔案共享
1. 如果您尚未將執行中的 EC2 Linux 執行個體加入 Microsoft Active Directory,請參閱《 *AWS Directory Service 管理指南*》中的[手動加入 Linux 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_linux_instance.html),以取得相關指示。
1. 連線至 EC2 Linux 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
1. 若要安裝此 `cifs-utils` 套件,請執行下列命令:此套件用於掛載網路檔案系統,例如 Linux 上的 Amazon FSx。
```
$ sudo yum install cifs-utils
```
1. 建立掛載點目錄 **/mnt/fsx**。這是您將掛載 Amazon FSx 檔案系統的位置。
```
$ sudo mkdir -p /mnt/fsx
```
1. 使用下列命令以 kerberos 驗證。
```
$ kinit
```
1. 使用以下命令掛載檔案共享。
```
$ sudo mount -t cifs //file_system_dns_name/file_share mount_point --verbose -o vers=SMB_version,sec=krb5,cruid=ad_user,rsize=CIFSMaxBufSize,wsize=CIFSMaxBufSize,cache=none,ip=preferred-file-server-Ip
```
您可以選擇 **Windows File Server**、**Network & Security**,在 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx)上尋找 DNS 名稱。或者,您可以在 `CreateFileSystem`或 `DescribeFileSystems` API 操作的回應中找到它們。
+ 對於加入 AWS 受管 Microsoft Active Directory 的單一可用區檔案系統,DNS 名稱如下所示。
```
fs-0123456789abcdef0.ad-domain.com
```
+ 對於加入自我管理 Active Directory 的單一可用區檔案系統,以及任何多可用區檔案系統,DNS 名稱如下所示。
```
amznfsxaa11bb22.ad-domain.com
```
`CIFSMaxBufSize` 將 取代為核心允許的最大值。執行下列命令以取得此值。
```
$ modinfo cifs | grep CIFSMaxBufSize
parm: CIFSMaxBufSize:Network buffer size (not including header). Default: 16384 Range: 8192 to 130048 (uint)
```
輸出顯示緩衝區大小上限為 130048。
1. 執行下列命令,僅傳回通用網際網路檔案系統 (CIFS) 類型的檔案系統,以確認檔案系統已掛載。
```
$ mount -l -t cifs
//fs-0123456789abcdef0/share on /mnt/fsx type cifs (rw,relatime,vers=SMB_version,sec=krb5,cache=cache_mode,username=user1@CORP.NETWORK.COM,uid=0,noforceuid,gid=0,noforcegid,addr=192.0.2.0,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,rsize=1048576,wsize=1048576,echo_interval=60,actimeo=1)
```
此程序中使用的掛載命令會在指定點執行下列動作:
+ `//file_system_dns_name/file_share` – 指定要掛載的檔案系統的 DNS 名稱和共用。
+ *mount\$1point* – 您要掛載檔案系統之 EC2 執行個體上的目錄。
+ `-t cifs vers=SMB_version` – 指定檔案系統的類型為 CIFS 和 SMB 通訊協定版本。Amazon FSx for Windows File Server 支援 SMB 2.0 到 3.1.1 版。
+ `sec=krb5` – 指定使用 Kerberos 第 5 版進行身分驗證。
+ `cache=cache_mode` – 設定快取模式。CIFS 快取的此選項可能會影響效能,而且您應該測試哪些設定最適合您的核心和工作負載 (並檢閱 Linux 文件)。`none` 建議使用 `strict`和 選項,因為 `loose`可能因通訊協定語意較鬆而造成資料不一致。
+ `cruid=ad_user` – 將登入資料快取擁有者的 uid 設定為 AD 目錄管理員。
+ `/mnt/fsx` – 指定 EC2 執行個體上 Amazon FSx 檔案共享的掛載點。
+ `rsize=CIFSMaxBufSize,wsize=CIFSMaxBufSize` – 將讀取和寫入緩衝區大小指定為 CIFS 通訊協定允許的最大值。`CIFSMaxBufSize` 將 取代為核心允許的最大值。執行下列命令`CIFSMaxBufSize`來判斷 。
```
$ modinfo cifs | grep CIFSMaxBufSize
parm: CIFSMaxBufSize:Network buffer size (not including header). Default: 16384 Range: 8192 to 130048 (uint)
```
輸出顯示緩衝區大小上限為 130048。
+ `ip=preferred-file-server-Ip` – 將目的地 IP 地址設定為檔案系統偏好檔案伺服器的 IP 地址。
您可以擷取檔案系統偏好的檔案伺服器 IP 地址,如下所示:
+ 使用 Amazon FSx 主控台,在**檔案系統詳細資訊**頁面**的網路與安全**索引標籤上。
+ 在 CLI `describe-file-systems` 命令或同等 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 命令的回應中。
# 在未加入 Active Directory 的 Amazon EC2 Linux 執行個體上掛載檔案共享
下列程序會將 Amazon FSx 檔案共用掛載到未加入 Active Directory (AD) 的 Amazon EC2 Linux 執行個體。對於未加入 AD 的 EC2 Linux 執行個體,您只能使用其私有 IP 地址掛載 FSx for Windows File Server 檔案共享。您可以使用 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx),在偏好的檔案伺服器 IP 地址**的網路與安全**索引標籤上,取得檔案系統的私有 IP 地址。 ****
此範例使用 NTLM 身分驗證。若要這樣做,您將檔案系統掛載為使用者,而該使用者是 FSx for Windows File Server 檔案系統加入的 Microsoft Active Directory 網域的成員。使用者帳戶的登入資料會在您在 EC2 執行個體 上建立的文字檔案中提供`creds.txt`。此檔案包含使用者的使用者名稱、密碼和網域。
```
$ cat creds.txt
username=user1
password=Password123
domain=EXAMPLE.COM
```
**啟動和設定 Amazon Linux EC2 執行個體**
1. 使用 Amazon EC2 [主控台啟動 Amazon EC2 ](https://console.aws.amazon.com/ec2)執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance)。
1. 連線至 Amazon Linux EC2 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
1. 若要安裝此 `cifs-utils` 套件,請執行下列命令:此套件用於掛載網路檔案系統,例如 Linux 上的 Amazon FSx。
```
$ sudo yum install cifs-utils
```
1. 建立**/mnt/fsxx**您計劃掛載 Amazon FSx 檔案系統的掛載點。
```
$ sudo mkdir -p /mnt/fsx
```
1. 使用先前顯示的格式,在 `/home/ec2-user`目錄中建立`creds.txt`登入資料檔案。
1. 設定`creds.txt`檔案許可,以便只有您 (擁有者) 可以執行下列命令來讀取和寫入檔案。
```
$ chmod 700 creds.txt
```
**掛載檔案系統**
1. 您可以使用其私有 IP 地址掛載未加入 Active Directory 的檔案共用。您可以使用 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx),在偏好的檔案伺服器 IP 地址的網路**與安全**索引標籤上,取得檔案系統的私有 IP 地址。 ****
1. 使用以下命令掛載檔案系統:
```
$ sudo mount -t cifs //file-system-IP-address/file_share /mnt/fsx --verbose -o vers=SMB_version,sec=ntlmsspi,cred=/home/ec2-user/creds.txt,rsize=CIFSMaxBufSize,wsize=CIFSMaxBufSize,cache=none
```
`CIFSMaxBufSize` 將 取代為核心允許的最大值。執行下列命令以取得此值。
```
$ modinfo cifs | grep CIFSMaxBufSize
parm: CIFSMaxBufSize:Network buffer size (not including header). Default: 16384 Range: 8192 to 130048 (uint)
```
輸出顯示緩衝區大小上限為 130048。
1. 執行下列命令,僅傳回 CIFS 檔案系統,以確認檔案系統已掛載。
```
$ mount -l -t cifs
//file-system-IP-address/file_share on /mnt/fsx type cifs (rw,relatime,vers=SMB_version,sec=ntlmsspi,cache=cache_mode,username=user1,domain=CORP.EXAMPLE.COM,uid=0,noforceuid,gid=0,noforcegid,addr=192.0.2.0,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,rsize=1048576,wsize=1048576,echo_interval=60,actimeo=1)
```
此程序中使用的掛載命令會在指定點執行下列動作:
+ `//file-system-IP-address/file_share` – 指定您要掛載的檔案系統的 IP 地址和共用。
+ `-t cifs vers=SMB_version` – 指定檔案系統的類型為 CIFS 和 SMB 通訊協定版本。Amazon FSx for Windows File Server 支援 SMB 2.0 到 3.1.1 版。
+ `sec=ntlmsspi` – 指定使用 NT LAN Manager 安全支援提供者界面 (NTLMSSPI) 進行身分驗證。
+ `cache=cache_mode` – 設定快取模式。CIFS 快取的此選項可能會影響效能,而且您應該測試哪些設定最適合您的核心和工作負載 (並檢閱 Linux 文件)。建議使用選項 `none` `strict`和 ,因為 `loose`可能會因為通訊協定語意較寬鬆而導致資料不一致。
+ `cred=/home/ec2-user/creds.txt` – 指定在何處取得使用者登入資料。
+ `/mnt/fsx` – 指定 EC2 執行個體上 Amazon FSx 檔案共享的掛載點。
+ `rsize=CIFSMaxBufSize,wsize=CIFSMaxBufSize` – 將讀取和寫入緩衝區大小指定為 CIFS 通訊協定允許的最大值。`CIFSMaxBufSize` 將 取代為核心允許的最大值。執行下列命令`CIFSMaxBufSize`來判斷 。
```
$ modinfo cifs | grep CIFSMaxBufSize
parm: CIFSMaxBufSize:Network buffer size (not including header). Default: 16384 Range: 8192 to 130048 (uint)
```
# 在 Amazon EC2 Linux 執行個體上自動掛載檔案共用
您可以自動掛載 FSx for Windows File Server 檔案共享,以便在掛載的 Amazon EC2 Linux 執行個體重新啟動時存取 FSx for Windows File Server 檔案系統。若要這樣做,請將 項目新增至 EC2 執行個體上的 `/etc/fstab` 檔案。`/etc/fstab` 檔案包含檔案系統的資訊,在執行個體啟動期間執行**mount -a**的命令 會掛載 `/etc/fstab` 檔案中列出的檔案系統。
對於*未*加入 Active Directory 的 Amazon EC2 Linux 執行個體,您只能使用其私有 IP 地址掛載 FSx for Windows File Server 檔案共享。您可以使用 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx),在偏好的檔案伺服器 IP 地址的網路**與安全**索引標籤上,取得檔案系統的私有 IP 地址。 ****
下列程序使用 Microsoft NTLM 身分驗證。您可以將檔案系統掛載為使用者,而該使用者是加入 FSx for Windows File Server 檔案系統的 Microsoft Active Directory 網域成員。您可以使用下列命令,從 `creds.txt` 檔案擷取使用者帳戶的登入資料。
```
$ cat creds.txt
username=user1
password=Password123
domain=EXAMPLE.COM
```
## 在未加入 Active Directory 的 Amazon Linux EC2 執行個體上自動掛載檔案共享
**啟動和設定 Amazon Linux EC2 執行個體**
1. 使用 Amazon EC2 [主控台啟動 Amazon EC2 ](https://console.aws.amazon.com/ec2)執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance)。
1. 連線到您的執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
1. 若要安裝此 `cifs-utils` 套件,請執行下列命令:此套件用於掛載網路檔案系統,例如 Linux 上的 Amazon FSx。
```
$ sudo yum install cifs-utils
```
1. 建立 `/mnt/fsx` 目錄。這是您將掛載 Amazon FSx 檔案系統的位置。
```
$ sudo mkdir /mnt/fsx
```
1. 在 `/home/ec2-user`目錄中建立`creds.txt`登入資料檔案。
1. 設定檔案許可,以便只有您 (擁有者) 可以執行下列命令來讀取檔案。
```
$ sudo chmod 700 creds.txt
```
**自動掛載檔案系統**
1. 您可以使用其私有 IP 地址,自動掛載未加入 Active Directory 的檔案共用。您可以使用 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx),在偏好的檔案伺服器 IP 地址**的網路與安全**索引標籤上取得檔案系統的私有 IP 地址。 ****
1. 若要使用其私有 IP 地址自動掛載檔案共享,請將以下行新增至`/etc/fstab`檔案。
```
//file-system-IP-address/file_share /mnt/fsx cifs vers=SMB_version,sec=ntlmsspi,cred=/home/ec2-user/creds.txt,rsize=CIFSMaxBufSize,wsize=CIFSMaxBufSize,cache=none 0 0
```
`CIFSMaxBufSize` 將 取代為核心允許的最大值。執行下列命令以取得此值。
```
$ modinfo cifs | grep CIFSMaxBufSize
parm: CIFSMaxBufSize:Network buffer size (not including header). Default: 16384 Range: 8192 to 130048 (uint)
```
輸出顯示緩衝區大小上限為 130048。
1. 使用 `mount`命令搭配 'fake' 選項以及 'all' 和 'verbose' 選項來測試`fstab`項目。
```
$ sudo mount -fav
home/ec2-user/fsx : successfully mounted
```
1. 若要掛載檔案共享,請重新啟動 Amazon EC2 執行個體。
1. 當執行個體再次可用時,請執行下列命令來驗證檔案系統是否已掛載。
```
$ sudo mount -l -t cifs
//file-system-IP-address/file_share on /mnt/fsx type cifs (rw,relatime,vers=SMB_version,sec=ntlmsspi,cache=cache_code,username=user1,domain=CORP.EXAMPLE.COM,uid=0,noforceuid,gid=0,noforcegid,addr=192.0.20.0,file_mode=0755,dir_mode=0755,soft,nounix,serverino,mapposix,rsize=1048576,wsize=1048576,echo_interval=60,actimeo=1)
```
在此程序中新增至 `/etc/fstab` 檔案的行會在指定點執行下列動作:
+ `//file-system-IP-address/file_share` – 指定您要掛載之 Amazon FSx 檔案系統的 IP 地址和共用。
+ `/mnt/fsx` – 指定 EC2 執行個體上 Amazon FSx 檔案系統的掛載點。
+ `cifs vers=SMB_version` – 指定檔案系統的類型為 CIFS 和 SMB 通訊協定版本。Amazon FSx for Windows File Server 支援 SMB 2.0 到 3.1.1 版。
+ `sec=ntlmsspi` – 指定使用 NT LAN Manager 安全支援提供者界面來促進 NTLM 挑戰-回應身分驗證。
+ `cache=cache_mode` – 設定快取模式。CIFS 快取的此選項可能會影響效能,而且您應該測試哪些設定最適合您的核心和工作負載 (並檢閱 Linux 文件)。建議使用選項 `none` `strict`和 ,因為 `loose`可能會因為通訊協定語意較寬鬆而導致資料不一致。
+ `cred=/home/ec2-user/creds.txt` – 指定在何處取得使用者登入資料。
+ `_netdev` – 告知作業系統檔案系統位於需要網路存取的裝置上。使用此選項可防止執行個體掛載檔案系統,直到用戶端上啟用網路服務為止。
+ `0` – 指出如果檔案系統是非零值`dump`,應該由 備份。對於 Amazon FSx,此值應為 `0`。
+ `0` – 指定在開機時`fsck`檢查檔案系統的順序。對於 Amazon FSx 檔案系統,此值應`0`指出 `fsck`不應在啟動時執行。
# 建立、更新、移除檔案共用
本主題說明如何透過執行下列任務來管理檔案共享。
+ 建立新的檔案共用
+ 修改現有的檔案共用
+ 移除現有的檔案共用
您可以使用 Windows 原生共用資料夾 GUI 和 Amazon FSx CLI 在 PowerShell 上進行遠端管理,以管理 FSx for Windows File Server 檔案系統上的檔案共用。使用共用資料夾 GUI (**fsmgmt.msc**) 時,您可能會在第一次開啟位於不同檔案系統之共用的內容選單時遇到延遲。為了避免這些延遲,請使用 PowerShell 來管理位於多個檔案系統上的檔案共用。
Microsoft Windows 會強制執行命名檔案和目錄的規則和限制。為了確保您可以成功建立和存取資料,您應該根據這些 Windows 指導方針命名檔案和目錄。如需詳細資訊,請參閱[命名慣例](https://learn.microsoft.com/en-us/windows/win32/fileio/naming-a-file#naming-conventions)。
**警告**
Amazon FSx 要求 SYSTEM 使用者在您建立 SMB 檔案共用的每個資料夾上擁有**完全控制** NTFS ACL 許可。請勿在您的資料夾上變更此使用者的 NTFS ACL 許可,因為這樣做會使您的檔案共用無法存取。
## 使用共用資料夾 GUI 管理檔案共用
若要管理 Amazon FSx 檔案系統上的檔案共用,您可以使用共用資料夾 GUI。共用資料夾 GUI 提供集中位置,用於管理 Windows 伺服器上的所有共用資料夾。下列程序說明如何管理您的檔案共用。
**將共用資料夾連接至 FSx for Windows File Server 檔案系統**
1. 啟動您的 Amazon EC2 執行個體,並將其連接至您的 Amazon FSx 檔案系統所加入的 Microsoft Active Directory。若要執行此操作,請從 *AWS Directory Service 管理指南*中選擇下列其中一個程序:
+ [無縫加入 Windows EC2 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)
+ [手動加入 Windows 執行個體](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)
1. 以檔案系統管理員群組成員身分的使用者身分連線至您的執行個體。在 AWS 受管 Microsoft Active Directory AWS 中,此群組稱為委派 FSx 管理員。在自我管理的 Microsoft Active Directory 中,此群組稱為網域管理員,或您在建立期間提供的管理員群組自訂名稱。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud [Windows 執行個體使用者指南》中的連線至](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)您的 Windows 執行個體。
1. 開啟**開始**功能表,並使用**以管理員身分**執行 **fsmgmt.msc**。這樣做會開啟共用資料夾 GUI 工具。
1. 針對**動作**,選擇**連線至另一部電腦**。
1. 針對**另一部電腦**,輸入 Amazon FSx 檔案系統的網域名稱系統 (DNS) 名稱,例如 **amznfsxabcd0123.corp.example.com**。
若要在 Amazon FSx 主控台上尋找檔案系統的 DNS 名稱,請選擇**檔案系統**、選擇檔案系統,然後檢查檔案系統詳細資訊頁面的網路**與安全**區段。您也可以在 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 操作的回應中取得 DNS 名稱。
1. 選擇**確定**。然後,Amazon FSx 檔案系統的項目會出現在共用資料夾工具的清單中。
現在共用資料夾已連線至您的 Amazon FSx 檔案系統,您可以在檔案系統上管理 Windows 檔案共用。預設共用稱為 `\share`。您可以使用下列動作來執行此操作:
+ **建立新的檔案共用** – 在共用資料夾工具中,選擇左側窗格中**的共用**,以查看 Amazon FSx 檔案系統的作用中共用。選擇**新共用**並完成建立共用資料夾精靈。
您必須先建立本機資料夾,才能建立新的檔案共用。您可以執行以下操作:
+ 使用共用資料夾工具:指定本機資料夾路徑時,按一下「瀏覽」,然後按一下「建立新資料夾」來建立本機資料夾。
+ 使用命令列:
```
New-Item -Type Directory -Path \\amznfsxabcd0123.corp.example.com\D$\share\MyNewShare
```
+ **修改檔案共用** – 在共用資料夾工具中,開啟您要在右側窗格中修改之檔案共用的內容 (按一下滑鼠右鍵) 選單,然後選擇**屬性**。修改屬性,然後選擇**確定**。
+ **移除檔案共用** – 在共用資料夾工具中,開啟您要在右側窗格中移除的檔案共用內容 (按一下滑鼠右鍵) 選單,然後選擇**停止共用**。
**注意**
對於單一可用區 2 和多可用區檔案系統,只有在您使用 Amazon FSx 檔案系統的 DNS 名稱連線至 **fsmgmt.msc** 時,才能使用共用資料夾 GUI 工具移除檔案共用或修改檔案共用 (包括更新許可、使用者限制和其他屬性)。如果您使用檔案系統的 IP 地址或 DNS 別名名稱進行連線,則共用資料夾 GUI 工具不支援這些動作。
**注意**
如果您使用 **fsmgmt.msc** 共用資料夾 GUI 工具來存取位於多個 FSx for Windows File Server 檔案系統的共用,則在第一次開啟位於不同檔案系統之共用的檔案共用內容選單時,可能會遇到延遲。若要避免這些延遲,您可以使用 PowerShell 管理檔案共用,如下所述。
## 管理與 PowerShell 的檔案共用
您可以使用 PowerShell 的自訂 FSx for Windows File Server 遠端管理命令來管理檔案共用。這些命令可協助您自動管理檔案共用任務,例如:
+ 將檔案共用從現有檔案伺服器遷移至 Amazon FSx
+ 同步跨 的檔案共用 AWS 區域 以進行災難復原
+ 以程式設計方式管理持續的檔案共用工作流程,例如團隊檔案共用佈建
若要了解如何在 PowerShell 上使用 Amazon FSx CLI 進行遠端管理,請參閱 [使用 Amazon FSx CLI for PowerShell](administering-file-systems.md#remote-pwrshell)。
下表列出 Amazon FSx CLI 遠端管理 PowerShell 命令,您可以使用這些命令來管理 FSx for Windows File Server 檔案系統上的檔案共用。
| 共用管理命令 | 描述 |
| --- | --- |
| **New-FSxSmbShare** | 建立新的檔案共用。 |
| **Remove-FSxSmbShare** | 移除檔案共用。 |
| **Get-FSxSmbShare** | 擷取現有的檔案共用。 |
| **Set-FSxSmbShare** | 設定共享的屬性。 |
| **Get-FSxSmbShareAccess** | 擷取共用的存取控制清單 (ACL)。 |
| **Grant-FSxSmbShareAccess** | 將受信任者的允許存取控制項目 (ACE) 新增至共用的安全描述項。 |
| **Revoke-FSxSmbShareAccess** | 從共享的安全描述符中移除受信任者的所有允許 ACEs。 |
| **Block-FSxSmbShareAccess** | 將受託人的拒絕 ACE 新增至共享的安全描述項。 |
| **Unblock-FSxSmbShareAccess** | 從共享的安全描述符中移除受信任者的所有拒絕 ACEs。 |
每個命令的線上說明提供所有命令選項的參考。若要存取此說明,請使用 執行 命令`-?`,例如 `New-FSxSmbShare -?`。
### 將登入資料傳遞至 New-FSxSmbShare
您可以將登入資料傳遞至 New-FSxSmbShare,以便您可以循環執行登入資料,以建立數百或數千個共享,而不必每次重新輸入登入資料。
使用下列其中一個選項,準備在 FSx for Windows File Server 檔案伺服器上建立檔案共用所需的登入資料物件。
+ 若要以互動方式產生登入資料物件,請使用下列命令。
```
$credential = Get-Credential
```
+ 若要使用 AWS Secrets Manager 資源產生登入資料物件,請使用下列命令。
```
$credential = ConvertFrom-Json -InputObject (Get-SECSecretValue -SecretId $AdminSecret).SecretString
$FSxAdminUserCredential = (New-Object PSCredential($credential.UserName,(ConvertTo-SecureString $credential.Password -AsPlainText -Force)))
```
## 建立持續可用的 (CA) 共享
您可以使用 Amazon FSx CLI for Remote Management on PowerShell 建立持續可用的 (CA) 共享。在 FSx for Windows File Server 多可用區域檔案系統上建立的 CA 共用具有高度耐用性和高可用性。Amazon FSx 單一可用區檔案系統建立在單一節點叢集上。因此,在單一可用區檔案系統上建立的 CA 共用非常耐用,但並非高度可用。使用 `New-FSxSmbShare`命令,並將 `-ContinuouslyAvailable` 選項設定為 `$True`,以指定共享是持續可用的共享。以下是建立 CA 共享的範例命令。
```
New-FSxSmbShare -Name "New CA Share" -Path "D:\share\new-share" -Description "CA share" -ContinuouslyAvailable $True
```
您可以使用 `Set-FSxSmbShare`命令修改現有檔案共享上的 `-ContinuouslyAvailable`選項。
### 判斷現有的檔案共用是否持續可用
使用下列命令來檢視現有檔案共享的持續可用屬性值。
```
Invoke-Command -ComputerName powershell_endpoint -ConfigurationName FSxRemoteAdmin -scriptblock { get-fsxsmbshare -name share_name }
```
如果已啟用 CA,輸出將包含以下行:
```
[...]
ContinuouslyAvailable : True
[...]
```
如果未啟用 CA,輸出將包含以下行:
```
[...]
ContinuouslyAvailable : False
[...]
```
若要在現有檔案共享上啟用持續可用,請使用下列命令:
```
Invoke-Command -ComputerName powershell_endpoint -ConfigurationName FSxRemoteAdmin -scriptblock { set-fsxsmbshare -name share_name -ContinuouslyAvailable $True}
```
# New-FSxSmbShare 命令使用單向信任失敗
Amazon FSx 不支援在您擁有單向信任,且使用者所在的網域未設定為信任與 Amazon FSx 檔案系統相關聯的網域的情況下執行 `New-FSxSmbShare` PowerShell 命令。
您可以使用下列其中一個解決方案來解決這種情況:
+ 執行 `New-FSxSmbShare`命令的使用者必須與 FSx 檔案系統位於相同的網域中。
+ 您可以使用 fsmgmt.msc GUI 在檔案系統上建立共享。如需詳細資訊,請參閱[使用共用資料夾 GUI 管理檔案共用](managing-file-shares.md#shared-folders-tool)。