Uso de Amazon FSx con AWS Directory Service for Microsoft Active Directory - Servidor FSx de archivos Amazon para Windows
Requisitos previos de redUso de un modelo de aislamiento de bosques de recursosPonga a prueba su configuración de Active Directory

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Amazon FSx con AWS Directory Service for Microsoft Active Directory

AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) proporciona directorios reales de Active Directory totalmente administrados y de alta disponibilidad en la nube. Puede usar estos directorios de Active Directory en la implementación de la carga de trabajo.

Si su organización utiliza AWS Managed Microsoft AD para administrar identidades y dispositivos, le recomendamos que integre su sistema de archivos Amazon FSx con AWS Managed Microsoft AD. De este modo, obtendrá una solución lista para usar con Amazon FSx con AWS Managed Microsoft AD. AWS gestiona la implementación, el funcionamiento, la alta disponibilidad, la fiabilidad, la seguridad y la integración sin inconvenientes de los dos servicios, lo que le permite centrarse en gestionar su propia carga de trabajo de forma eficaz.

Para usar Amazon FSx con su configuración de AWS Managed Microsoft AD, puede usar la consola de Amazon FSx. Al crear un nuevo sistema de archivos de FSx para Windows File Server en la consola, seleccione Active Directory administrado por AWS en la sección Autenticación de Windows. También elige el directorio específico que desee utilizar. Para obtener más información, consulte Paso 5. Crear el sistema de archivos.

Su organización puede gestionar las identidades y los dispositivos en un dominio de Active Directory autoadministrado (en las instalaciones o en la nube). De ese modo, puede unir el sistema de archivos de Amazon FSx directamente al dominio del Active Directory autoadministrado actual. Para obtener más información, consulte Uso de un Active Directory de Microsoft autoadministrado.

Además, también puede configurar su sistema para que se beneficie de un modelo de aislamiento de bosque de recursos. En este modelo, aísla los recursos, incluidos los sistemas de archivos de Amazon FSx, en un bosque de Active Directory independiente del bosque en el que se encuentran los usuarios.

importante

En los sistemas de archivos Single-AZ 2 y en todos los sistemas de archivos Multi-AZ, el nombre de dominio completo de Active Directory (FQDN) no puede superar los 47 caracteres.

Requisitos previos de red

Antes de crear un sistema de archivos de FSx para Windows File Server unido al dominio de Active Directory de Microsoft administrado por AWS, procure haber creado y ajustado las siguientes configuraciones de red:

  • En el caso de los grupos de seguridad de VPC, el grupo de seguridad predeterminado de la Amazon VPC predeterminada ya está agregado al sistema de archivos en la consola. Asegúrese de que el grupo de seguridad y las ACL de red de VPC de las subredes en las que va a crear el sistema de archivos de FSx permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.

    Requisitos de configuración de puertos de FSx para Windows File Server para los grupos de seguridad de VPC y las ACL de red para las subredes en las que se crea el sistema de archivos.

    En la siguiente tabla se identifica la función de cada puerto.

    Protocolo

    Puertos

    Rol

    TCP/UDP

    53

    Sistema de nombres de dominio (DNS)

    TCP/UDP

    88

    Autenticación de Kerberos

    TCP/UDP

    464

    Cambiar/establecer contraseña

    TCP/UDP

    389

    Protocolo ligero de acceso a directorios (LDAP)
    UDP 123

    Protocolo de tiempo de red (NTP)
    TCP 135

    Entorno de computación distribuido/asignador de puntos de conexión (DCE/EPMAP)

    TCP

    445

    Uso compartido de archivos SMB de Directory Services

    TCP

    636

    Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)

    TCP

    3268

    Catálogo global de Microsoft

    TCP

    3269

    Catálogo global de Microsoft mediante SSL

    TCP

    5985

    WinRM 2.0 (Administración remota de Microsoft Windows)

    TCP

    9389

    Servicios web de Microsoft AD DS, PowerShell

    TCP

    49152 - 65535

    Puertos efímeros para RPC
    importante

    Es necesario permitir el tráfico saliente del puerto TCP 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.

    nota

    Si utiliza la ACL de la red de VPC, también debe permitir el tráfico saliente en los puertos dinámicos (49152-65535) desde el sistema de archivos de FSx.

  • Si va a conectar el sistema de archivos de Amazon FSx a un Active Directory de Microsoft administrado por AWS en una VPC o cuenta diferentes, corrobore que haya conectividad entre esa VPC y la VPC de Amazon en la que desee crear el sistema de archivos. Para obtener más información, consulte Uso de Amazon FSx con AWS Managed Microsoft AD en una VPC o cuenta diferentes.

    importante

    Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, las ACL de red de VPC requieren que los puertos estén abiertos en ambas direcciones.

Utilice la herramienta Amazon FSx Network Validation para validar la conectividad con sus controladores de dominio de Active Directory.

Uso de un modelo de aislamiento de bosques de recursos

Une el sistema de archivos a una configuración de AWS Managed Microsoft AD. A continuación, establece una relación unidireccional de confianza en el bosque entre un dominio de AWS Managed Microsoft AD que cree y el dominio de Active Directory autoadministrado existente. Para la autenticación de Windows en Amazon FSx, solo necesita una confianza de bosques unidireccional, en la que el bosque administrado por AWS confíe en el bosque de dominio corporativo.

El dominio corporativo asume el rol de dominio de confianza y el dominio administrado por Directory Service asume el rol de dominio que confía. Las solicitudes de autenticación validadas viajan entre los dominios en una sola dirección, lo que permite que las cuentas de su dominio corporativo se autentiquen con los recursos compartidos en el dominio administrado. En este caso, Amazon FSx solo interactúa con el dominio administrado por AWS. En un escenario de autenticación de Kerberos, las solicitudes de autenticación que se originan en un cliente corporativo son validadas por el dominio corporativo, que luego las remite al AWS Managed Microsoft AD y, finalmente, el cliente presenta su ticket de servicio al sistema de archivos de FSx para Windows File Server. Para obtener más información sobre las relaciones de confianza, consulte la publicación Todo lo que deseaba saber sobre las relaciones de confianza con AWS Managed Microsoft AD en el blog de AWS sobre seguridad.

Ponga a prueba su configuración de Active Directory

Antes de crear su sistema de archivos Amazon FSx, le recomendamos que valide la conectividad con sus controladores de dominio de Active Directory mediante la herramienta de Amazon FSx Network Validation. Para obtener más información, consulte Validar la conectividad con los controladores de dominio de Active Directory.

Los recursos relacionados siguientes pueden serle de ayuda cuando utilice AWS Directory Service for Microsoft Active Directory con FSx para Windows File Server: