Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conditions requises pour joindre une SVM à un Microsoft AD autogéré
<a name="self-manage-prereqs"></a>

Avant de joindre une SVM FSx for ONTAP à un domaine Microsoft AD autogéré, assurez-vous que votre Active Directory et votre réseau répondent aux exigences décrites dans les sections suivantes.

**Topics**
+ [Exigences relatives à Active Directory sur site](#ontap-ad-on-prem-prereqs)
+ [Exigences en matière de configuration du réseau](#ontap-ad-network-configs)
+ [Exigences relatives aux comptes de service Active Directory](#ontap-ad-service-account-prereqs)

## Exigences relatives à Active Directory sur site
<a name="ontap-ad-on-prem-prereqs"></a>

Assurez-vous que vous disposez déjà d'un Microsoft AD sur site ou d'un autre outil autogéré auquel vous pouvez joindre la SVM. Cet Active Directory doit avoir la configuration suivante :
+ Le niveau fonctionnel du domaine du contrôleur de domaine Active Directory est Windows Server 2000 ou supérieur.
+  Active Directory utilise un nom de domaine qui n'est pas au format SLD (Single Label Domain). Amazon FSx ne prend pas en charge les domaines SLD. 
+ Si des sites Active Directory sont définis, assurez-vous que les sous-réseaux du VPC associé à FSx votre système de fichiers for ONTAP sont définis dans les mêmes sites Active Directory et qu'il n'existe aucun conflit entre vos sous-réseaux VPC et les sous-réseaux de vos sites Active Directory.

**Note**  
Si vous utilisez Directory Service, FSx car ONTAP ne prend pas en charge l'adhésion SVMs à Simple Active Directory.

## Exigences en matière de configuration du réseau
<a name="ontap-ad-network-configs"></a>

Assurez-vous que les configurations réseau suivantes sont en place et que les informations associées sont à votre disposition.

**Important**  
Pour qu'une SVM puisse rejoindre Active Directory, vous devez vous assurer que les ports décrits dans cette rubrique autorisent le trafic entre tous les contrôleurs de domaine Active Directory et les deux adresses IP iSCSI (interfaces logiques iscsi\_1 et iscsi\_2 ()) de la SVM. LIFs
+ Les adresses IP du serveur DNS et du contrôleur de domaine Active Directory.
+ Connectivité entre le VPC Amazon dans lequel vous créez le système de fichiers et votre Active Directory autogéré à l'aide de [Direct Connect](https://aws.amazon.com/directconnect/), [Site-to-Site VPN](https://aws.amazon.com/vpn/)ou. [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)
+ Le groupe de sécurité et le réseau VPC ACLs des sous-réseaux sur lesquels vous créez le système de fichiers doivent autoriser le trafic sur les ports et dans les directions indiquées dans le schéma suivant.  
![Schéma illustrant FSx les exigences de configuration du port ONTAP pour les groupes de sécurité VPC et le ACLs réseau pour les sous-réseaux dans lesquels vous créez FSx un système de fichiers ONTAP.](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/images/ontap-port-requirements.png)

  Le rôle de chaque port est décrit dans le tableau suivant.    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/fsx/latest/ONTAPGuide/self-manage-prereqs.html)
+ Ces règles de trafic doivent également être reflétées sur les pare-feux qui s'appliquent à chacun des contrôleurs de domaine, serveurs DNS, FSx clients et administrateurs Active Directory. FSx 
**Important**  
Alors que les groupes de sécurité Amazon VPC nécessitent que les ports soient ouverts uniquement dans le sens où le trafic réseau est initié, la plupart des pare-feux Windows et des réseaux VPC ACLs nécessitent que les ports soient ouverts dans les deux sens.

## Exigences relatives aux comptes de service Active Directory
<a name="ontap-ad-service-account-prereqs"></a>

Assurez-vous que vous disposez d'un compte de service dans votre Microsoft AD autogéré doté d'autorisations déléguées pour associer des ordinateurs au domaine. Un *compte de service* est un compte utilisateur de votre Active Directory autogéré auquel certaines tâches ont été déléguées.

Au minimum, les autorisations suivantes doivent être déléguées au compte de service dans l'unité d'organisation à laquelle vous rejoignez la SVM :
+ Possibilité de réinitialiser les mots de passe
+ Possibilité d'empêcher les comptes de lire et d'écrire des données
+ Possibilité de définir la `msDS-SupportedEncryptionTypes` propriété sur les objets de l'ordinateur
+ Capacité validée d'écrire sur le nom d'hôte DNS
+ Capacité validée d'écrire dans le nom du principal de service
+ Possibilité de créer et de supprimer des objets informatiques
+ Aptitude validée à lire et à écrire les restrictions du compte

Il s'agit de l'ensemble minimal d'autorisations requises pour joindre des objets informatiques à votre Active Directory. Pour plus d'informations, consultez la rubrique de documentation de Windows Server [Erreur : l'accès est refusé lorsque des utilisateurs non administrateurs auxquels le contrôle a été délégué tentent de joindre des ordinateurs à un contrôleur de domaine](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con).

Vous pouvez stocker les informations d'identification de votre compte de service Active Directory dans AWS Secrets Manager (recommandé) et fournir à Amazon FSx un ARN secret pour rejoindre votre Active Directory, ou vous pouvez fournir des informations d'identification en texte brut.

Pour en savoir plus sur la création d'un compte de service doté des autorisations appropriées, consultez[Délégation d'autorisations à votre compte de FSx service Amazon](self-managed-AD-best-practices.md#connect_delegate_privileges).

**Important**  
Amazon a FSx besoin d'un compte de service valide pendant toute la durée de vie de votre système de FSx fichiers Amazon. Amazon FSx doit être en mesure de gérer entièrement le système de fichiers et d'effectuer des tâches qui l'obligent à dissocier et à joindre des ressources à votre domaine Active Directory. Ces tâches incluent le remplacement d'un système de fichiers ou d'une SVM défaillants, ou l'application de correctifs au logiciel NetApp ONTAP. Gardez vos informations de configuration Active Directory à jour avec Amazon FSx, y compris les informations d'identification du compte de service. Pour en savoir plus, veuillez consulter la section [Maintien à jour de votre configuration Active Directory avec Amazon FSx](self-managed-AD-best-practices.md#keep-ad-config-updated).

 Si c'est la première fois que vous utilisez AWS et FSx pour ONTAP, assurez-vous d'avoir effectué les étapes de configuration initiales avant de commencer votre intégration à Active Directory. Pour de plus amples informations, veuillez consulter [Configuration d' FSx ONTAP](getting-started.md#setting-up).

**Important**  
Ne déplacez pas les objets informatiques FSx créés par Amazon dans l'unité d'organisation après votre SVMs création, et ne supprimez pas votre Active Directory alors que votre SVM y est jointe. Cela entraînera une mauvaise configuration SVMs de votre ordinateur.