As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurar nomes principais de serviço (SPNs) para Kerberos
<a name="step2-configure-spn-kerberos"></a>

Recomendamos que você use autenticação e criptografia baseadas em Kerberos em trânsito com a Amazon. FSx O Kerberos oferece a autenticação mais segura para clientes que acessam o sistema de arquivos.

Para habilitar a autenticação Kerberos para clientes que acessam a Amazon FSx usando um alias de DNS, você deve adicionar nomes principais de serviço (SPNs) que correspondam ao alias de DNS no objeto de computador do Active Directory do seu sistema de FSx arquivos Amazon. Um SPN só pode ser associado a um único objeto de computador do Active Directory de cada vez. Se você já SPNs tiver o nome DNS configurado para o objeto de computador do Active Directory do seu sistema de arquivos original, você deve excluí-lo primeiro. 

Há dois requisitos SPNs para a autenticação Kerberos:

```
HOST/alias
HOST/alias.domain
```

Se o alias for`finance.domain.com`, os dois a seguir são obrigatórios SPNs:

```
HOST/finance
HOST/finance.domain.com
```

**nota**  
Você precisará excluir qualquer HOST existente SPNs que corresponda ao alias de DNS no objeto de computador do Active Directory antes de criar um novo HOST SPNs para o objeto de computador do Active Directory (AD) do seu sistema de FSx arquivos Amazon. As tentativas de configuração SPNs para seu sistema de FSx arquivos da Amazon falharão se existir um SPN para o alias DNS no AD.

Os procedimentos apresentados abaixo descrevem como fazer o seguinte:
+ Encontre qualquer alias de DNS existente SPNs no objeto de computador do Active Directory do sistema de arquivos original.
+ Exclua o SPNs encontrado existente, se houver.
+ Crie um novo alias de DNS SPNs para o objeto de computador do Active Directory do seu sistema de FSx arquivos Amazon.

**Para instalar o módulo necessário do PowerShell Active Directory**

1. Faça login em uma instância do Windows associada ao Active Directory ao qual seu sistema de FSx arquivos da Amazon está associado.

1. Abra PowerShell como administrador.

1. Instale o módulo do PowerShell Active Directory usando o comando a seguir.

   ```
   Install-WindowsFeature RSAT-AD-PowerShell
   ```<a name="find-delete-existing-spns"></a>

**Para localizar e excluir o alias de DNS existente SPNs no objeto de computador do Active Directory do sistema de arquivos original**

Se você SPNs configurou o alias de DNS que você atribuiu a outro sistema de arquivos em um objeto de computador no Active Directory, você deve primeiro removê-lo SPNs antes de SPNs adicioná-lo ao objeto de computador do seu sistema de arquivos.

1. Encontre qualquer existente SPNs usando os comandos a seguir. Substitua `alias_fqdn` pelo alias de DNS que você associou ao sistema de arquivos na [Etapa 1](step1-assign-dns-alias.md).

   ```
   ## Find SPNs for original file system's AD computer object
   $ALIAS = "alias_fqdn"
   SetSPN /Q ("HOST/" + $ALIAS)
   SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])
   ```

1. Exclua o HOST existente SPNs retornado na etapa anterior usando o script de exemplo a seguir.
   + Substitua `alias_fqdn` pelo alias de DNS completo que você associou ao sistema de arquivos na [Etapa 1](step1-assign-dns-alias.md).
   + Substitua `file_system_DNS_name` pelo nome DNS do sistema de arquivos original.

   ```
   ## Delete SPNs for original file system's AD computer object
   $Alias = "alias_fqdn"
   $FileSystemDnsName = "file_system_dns_name"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   
   SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
   SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name
   ```

1. Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos na [Etapa 1](step1-assign-dns-alias.md).

**Para configurar SPNs no objeto de computador do Active Directory do seu sistema de FSx arquivos Amazon**

1. Defina um novo SPNs para seu sistema de FSx arquivos da Amazon executando os seguintes comandos.
   + `file_system_DNS_name`Substitua pelo nome DNS que a Amazon FSx atribuiu ao sistema de arquivos. 

     Para encontrar o nome DNS do seu sistema de arquivos no FSx console da Amazon, escolha **Sistemas de arquivos**, escolha seu sistema de arquivos e, em seguida, escolha o painel **Rede e segurança** na página de detalhes do sistema de arquivos. 

     Você também pode obter o nome DNS na resposta da operação da [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API.
   + Substitua `alias_fqdn` pelo alias de DNS completo que você associou ao sistema de arquivos na [Etapa 1](step1-assign-dns-alias.md).

   ```
   ## Set SPNs for FSx file system AD computer object
   $FSxDnsName = "file_system_DNS_name"
   $Alias = "alias_fqdn"
   $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)
   
   ##Use the following command to set both the full FQDN and Alias SPNs
   Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}
   ```
**nota**  
A configuração de um SPN para seu sistema de FSx arquivos da Amazon falhará se um SPN para o alias DNS existir no AD para o objeto de computador do sistema de arquivos original. Para obter informações sobre como encontrar e excluir os existentes SPNs, consulte[Para localizar e excluir o alias de DNS existente SPNs no objeto de computador do Active Directory do sistema de arquivos original](#find-delete-existing-spns).

1. Verifique se os novos SPNs estão configurados para o alias de DNS usando o script de exemplo a seguir. Certifique-se de que a resposta inclua dois HOST `HOST/alias` e SPNs`HOST/alias_fqdn`, conforme descrito anteriormente neste procedimento.

   `file_system_DNS_name`Substitua pelo nome DNS que a Amazon FSx atribuiu ao seu sistema de arquivos. Para encontrar o nome DNS do seu sistema de arquivos no FSx console da Amazon, escolha **Sistemas de arquivos**, escolha seu sistema de arquivos e, em seguida, escolha o painel **Rede e segurança** na página de detalhes do sistema de arquivos. 

   Você também pode obter o nome DNS na resposta da operação da [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)API.

   ```
   ## Verify SPNs on FSx file system AD computer object
   $FileSystemDnsName = "file_system_dns_name"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   SetSpn /L ${FSxAdComputer}.Name
   ```

1. Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos na [Etapa 1](step1-assign-dns-alias.md).