如何配置自行管理的 Microsoft AD 多可用区 Amazon FSx 权限？

解决方法

FSx for Windows File Server 提供单可用区和多可用区文件系统部署。使用自行管理的 Microsoft AD，您可以在不配置权限的情况下构建有限次数的单可用区 1 文件共享。但是，要创建多可用区或单可用区 2 共享，您必须创建一个服务账户并委派所需的权限。

先决条件

• 用于自行管理的 Microsoft AD 的 DNS 服务器必须在用于文件共享的同一 Virtual Private Cloud (VPC) 中访问。
• 您必须能够在自行管理的 Microsoft AD 中创建服务账户并向其授予权限。
• 您必须为自行管理的 Microsoft AD 使用完全限定域名 (FQDN)。不支持单标签域。

创建自行管理的 Microsoft AD 用户

1. 以具有在自行管理的 Microsoft AD 中创建用户权限的域账户身份登录。
2. 打开 Active Directory Users and Computers。
3. 打开要在其中创建服务账户的组织单元 (OU) 的上下文（右键单击）菜单，然后选择新建、用户。
   注意：您可以为服务账户使用任何 OU。如果要使用不同的 OU 创建 Amazon FSx 对象，则用户必须具有对两个 OU 的读取权限。
4. 填写新建对象 – 用户名和用户登录名字段，然后选择下一步。
5. 为用户创建密码，然后选择下一步。
   重要提示：最好不要选择密码永不过期，因为这会导致使用旧密码的服务账户存在安全风险。如果清除密码永不过期选项，则该账户受默认的域策略的约束。请务必在密码过期时更新服务账户凭证。
6. 选择完成以创建用户。

向服务账户委派权限

1. 打开 Active Directory Users and Computers。
2. 选择您要在其中创建 Amazon FSx 计算机对象的 OU。如果在创建过程中未指定此选项，则使用默认的域名\计算机 OU。
   注意：如果不使用默认 OU，请注意后面步骤中的 distinguishedName。从 Active Directory Users and Computer 中，选择查看、高级功能。打开用于 OU 的上下文（右键单击）菜单，然后选择属性。可以在属性编辑器选项卡上找到 distinguishedName。
3. 打开用于 Amazon FSx 的 OU 的上下文（右键单击）菜单，然后选择委派控制。
4. 选择下一步。
5. 对于选定的用户和组，选择以上创建的服务账户，然后选择下一步。
6. 选择创建要委派的自定义任务，然后选择下一步。
7. 选择仅文件夹中的以下对象，然后选择计算机对象。
8. 选择在此文件夹中创建选定对象和删除此文件夹中的选定对象。
9. 选择下一步。
10. 对于权限，请选择：
    重置密码
    读取和写入账户限制
    已验证写入 DNS 主机名
    已验证写入服务主体名称
11. 选择下一步，然后选择完成。

创建文件系统

1. 打开 Amazon FSx 控制台，然后选择创建文件系统。
2. 选择 Amazon FSx for Windows File Server，然后选择下一步。
3. 对于文件系统详细信息，请选择部署类型多可用区，然后指定所需的存储容量和吞吐容量。
4. 对于网络和安全性，请为自行管理的 Microsoft AD 选择 VPC。然后，选择两个首选子网。
5. 对于 Windows 身份验证，请选择自行管理的 Microsoft Active Directory，然后输入以上创建的服务账户的详细信息。
   如果您不使用默认的计算机 OU，请输入您在向服务账户委派权限时记录的 OU 的 distinguishedName。
   对于委派文件系统管理员组，如果不使用默认的域管理员组，请输入组名称。
6. 对于加密，请使用默认设置，或根据需要选择不同的加密选项。
7. 对于备份和维护，请选择您的首选项。默认设置会导致在正常维护时段内零停机，因为 Amazon FSx 无法切换到第二台服务器。
8. 选择下一步。
9. 查看摘要。
   重要提示：摘要指示在创建文件系统后是否可以编辑属性。这是更改任何属性的最后一次机会，一旦创建，则无法编辑属性。
10. 选择创建文件系统。
11. 现在启动文件系统创建。该过程可能需要几个小时，具体取决于共享的大小。完成后，Amazon FSx 控制台顶部将显示一个绿色横幅，表明文件共享现在可用。

---

相关信息

可用性与持久性：单可用区和多可用区文件系统