Come posso configurare una Microsoft Active Directory sel-managed in modo da poter creare condivisioni Amazon FSx Multi-AZ 2 o Single-AZ 2 per Windows File Server?

Risoluzione

Per creare condivisioni Multi-AZ o Single-AZ 2, crea prima un account di servizio, quindi delega le autorizzazioni richieste.

Prerequisiti

• I server DNS per Microsoft Active Directory self-managed devono essere raggiungibili all'interno dello stesso cloud privato virtuale (VPC) utilizzato per la condivisione dei file.
• Devi poter creare e concedere autorizzazioni a un account di servizio all'interno di Microsoft Active Directory self-managed.
• Devi utilizzare un nome di dominio completo (FQDN) per Microsoft Active Directory self-managed. Il dominio a etichetta singola non è supportato.

Crea un utente Microsoft Active Directory self-managed per un account di servizio

1. Accedi al server Microsoft Active Directory self-managed come account di dominio con autorizzazioni per creare utenti.
2. Apri Utenti e computer di Active Directory.
3. Apri il menu contestuale (facendo clic con il pulsante destro del mouse) per l'unità organizzativa (UO) in cui desideri creare l'account di servizio, quindi scegli Nuovo e Utente.
   Nota: puoi utilizzare qualsiasi unità organizzativa per l'account di servizio. Tuttavia, per utilizzare un'unità organizzativa diversa per creare oggetti Amazon FSx, l'utente deve avere accesso in lettura a entrambe le unità organizzative.
4. Inserisci le informazioni per i campi Nuovo oggetto - utente e nome di accesso utente, quindi scegli Avanti.
5. Crea una password per l'utente, quindi scegli Avanti.
   Importante: è consigliabile non selezionare Nessuna scadenza password. Questa scelta può comportare un rischio per la sicurezza con gli account di servizio che utilizzano password vecchie. Quando l'impostazione Nessuna scadenza password viene deselezionata, l'account è soggetto alla policy di dominio predefinita. Assicurati di aggiornare le credenziali dell'account di servizio quando la password scade.
6. Per creare l'utente, scegli Fine.

Delega le autorizzazioni all'account di servizio

1. Apri Utenti e computer di Active Directory.
2. Seleziona l'unità organizzativa in cui desideri creare oggetti computer di Amazon FSx. Se non specifichi l'unità organizzativa durante la creazione, viene utilizzata l'unità organizzativa predefinita Domainname\Computers.
   Nota: se non utilizzi l'unità organizzativa predefinita, annota il valore distinguishedName per un passaggio successivo. Per individuare questo valore, in Utenti e computer di Active Directory, scegli Visualizza, quindi seleziona Funzionalità avanzate. Apri il menu contestuale (facendo clic con il pulsante destro del mouse) per l'unità organizzativa che desideri utilizzare, quindi scegli Proprietà. Il valore distinguishedName viene visualizzato nella scheda Editor attributi.
3. Apri il menu contestuale (facendo clic con il pulsante destro del mouse) per l'unità organizzativa utilizzata per Amazon FSx, quindi scegli Delega controllo.
4. Scegli Avanti.
5. Per Utenti e gruppi selezionati, seleziona l'account di servizio che hai creato in precedenza, quindi scegli Avanti.
6. Scegli Crea un'attività personalizzata da delegare, quindi scegli Avanti.
7. Scegli Solo i seguenti oggetti nella cartella, quindi seleziona Oggetti computer.
8. Seleziona sia Crea oggetti selezionati in questa cartella che Elimina oggetti selezionati in questa cartella.
9. Scegli Avanti.
10. Per Autorizzazioni, seleziona quanto segue:
    Reimpostare la password
    Restrizioni dell'account di lettura e scrittura
    Scrittura convalidata nel nome host DNS
    Scrittura convalidata nel nome dell'entità servizio
11. Scegli Avanti, quindi seleziona Fine.

Crea il file system di Amazon FSx per Windows File Server

1. Apri la console Amazon FSx, quindi scegli Crea file system.
2. Scegli Amazon FSx per Windows File Server, quindi seleziona Avanti.
3. Per Dettagli del file system, scegli il tipo di distribuzione Multi-AZ, quindi specifica la Capacità di archiviazione e la Capacità effettiva di trasmissione di cui hai bisogno.
4. Per Rete e sicurezza, seleziona il VPC per Microsoft Active Directory self-managed. Quindi seleziona due sottoreti preferite.
5. Per Autenticazione di Windows, scegli Microsoft Active Directory self-managed, quindi inserisci i dettagli per l'account di servizio che hai creato in precedenza.
   Se non utilizzi l'unità organizzativa Computers predefinita, inserisci il valore distinguishedName dell'unità organizzativa che hai annotato durante la delega delle autorizzazioni all'account di servizio.
   In Gruppo di amministratori di file system delegati, inserisci il nome del gruppo se non utilizzi il gruppo Domain Admins predefinito.
6. Per Crittografia, utilizza le impostazioni predefinite o seleziona le opzioni di crittografia desiderate.
7. Per Backup e manutenzione, scegli le impostazioni che preferisci. Poiché Amazon FSx esegue il failover sul secondo server durante la normale finestra di manutenzione, le impostazioni predefinite non causano tempi di inattività.
8. Scegli Avanti.
9. Rivedi il Riepilogo.
   Importante: il riepilogo ti mostra se puoi modificare un attributo dopo la creazione del file system. Questa è l'ultima possibilità di modificare attributi che non possono essere modificati dopo la creazione.
10. Scegli Crea file system.
    Inizia la creazione del file system. Il processo può richiedere alcune ore, a seconda delle dimensioni della condivisione. Al termine del processo, nella parte superiore della console Amazon FSx viene visualizzato un banner verde per indicare che la condivisione di file è disponibile.

Informazioni correlate

Disponibilità e durabilità: file system Single-AZ e Multi-AZ