本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 SVM 加入自我管理 Microsoft AD 的先決條件
<a name="self-manage-prereqs"></a>

將 FSx for ONTAP SVM 加入自我管理的 Microsoft AD 網域之前，請確定您的 Active Directory 和網路符合下列各節所述的要求。

**Topics**
+ [

## 內部部署 Active Directory 需求
](#ontap-ad-on-prem-prereqs)
+ [

## 網路組態需求
](#ontap-ad-network-configs)
+ [

## Active Directory 服務帳戶需求
](#ontap-ad-service-account-prereqs)

## 內部部署 Active Directory 需求
<a name="ontap-ad-on-prem-prereqs"></a>

請確定您已擁有可加入 SVM 的內部部署或其他自我管理 Microsoft AD。此 Active Directory 應具有下列組態：
+ Active Directory 網域控制站網域功能層級位於 Windows Server 2000 或更高版本。
+  Active Directory 使用的網域名稱不是單一標籤網域 (SLD) 格式。Amazon FSx 不支援 SLD 網域。
+ 如果您已定義 Active Directory 網站，請確定與 FSx for ONTAP 檔案系統相關聯的 VPC 子網路已定義在相同的 Active Directory 網站中，而且 VPC 子網路與 Active Directory 網站上的子網路之間不存在衝突。

**注意**  
如果您使用的是 Directory Service，FSx for ONTAP 不支援將 SVMs加入 Simple Active Directory。

## 網路組態需求
<a name="ontap-ad-network-configs"></a>

請確定您已備妥下列網路組態，並提供相關資訊。

**重要**  
若要讓 SVM 加入 Active Directory，您需要確保本主題中記錄的連接埠允許 SVM 上所有 Active Directory 網域控制器與兩個 iSCSI IP 地址 (iscsi\$11 和 iscsi\$12 邏輯界面 (LIFs)) 之間的流量。
+ DNS 伺服器和 Active Directory 網域控制站 IP 地址。
+ 使用 [Direct Connect](https://aws.amazon.com/directconnect/)、 [Site-to-Site VPN](https://aws.amazon.com/vpn/)或 建立檔案系統和自我管理 Active Directory 的 Amazon VPC 之間的連線[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。
+ 建立檔案系統之子網路的安全群組和 VPC 網路 ACLs 必須允許連接埠上的流量，並依照下圖所示的指示。  
![\[圖表顯示 VPC 安全群組的 FSx for ONTAP 連接埠組態需求，以及您正在建立 FSx for ONTAP 檔案系統之子網路的網路 ACLs。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/ontap-port-requirements.png)

  下表說明每個連接埠的角色。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/self-manage-prereqs.html)
+ 這些流量規則也應該鏡像到套用至每個 Active Directory 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 管理員的防火牆上。
**重要**  
雖然 Amazon VPC 安全群組要求僅以啟動網路流量的方向開啟連接埠，但大多數 Windows 防火牆和 VPC 網路 ACLs 要求雙向開啟連接埠。

## Active Directory 服務帳戶需求
<a name="ontap-ad-service-account-prereqs"></a>

請確定您的自我管理 Microsoft AD 中有服務帳戶，該帳戶已委派將電腦加入網域的許可。*服務帳戶*是自我管理 Active Directory 中已委派特定任務的使用者帳戶。

服務帳戶至少必須在您加入 SVM 的 OU 中委派下列許可：
+ 能夠重設密碼
+ 限制帳戶讀取和寫入資料的能力
+ 能夠在電腦物件上設定 `msDS-SupportedEncryptionTypes` 屬性
+ 驗證寫入 DNS 主機名稱的能力
+ 已驗證能夠寫入服務主體名稱
+ 能夠建立和刪除電腦物件
+ 驗證讀取和寫入帳戶限制的能力

這些代表將電腦物件加入 Active Directory 所需的最低許可集。如需詳細資訊，請參閱 Windows Server 文件主題 [ 錯誤：當被委派控制的非管理員使用者嘗試將電腦加入網域控制站時，存取遭拒](https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con)。

您可以將 Active Directory 服務帳戶登入資料存放在 AWS Secrets Manager （建議） 中，並向 Amazon FSx 提供秘密 ARN 以加入 Active Directory，也可以提供純文字登入資料。

若要進一步了解如何建立具有正確許可的服務帳戶，請參閱 [將許可委派給您的 Amazon FSx 服務帳戶](self-managed-AD-best-practices.md#connect_delegate_privileges)。

**重要**  
Amazon FSx 需要在整個 Amazon FSx 檔案系統生命週期內擁有有效的服務帳戶。Amazon FSx 必須能夠完整管理檔案系統，並執行需要它才能將資源取消加入和重新加入 Active Directory 網域的任務。這些任務包括取代失敗的檔案系統或 SVM，或修補 NetApp ONTAP 軟體。使用 Amazon FSx 將您的 Active Directory 組態資訊保持在最新狀態，包括服務帳戶憑證。如需詳細資訊，請參閱 [使用 Amazon FSx 保持 Active Directory 組態的更新](self-managed-AD-best-practices.md#keep-ad-config-updated)。

 如果這是您第一次使用 AWS 和 FSx for ONTAP，請確定您在開始 Active Directory 整合之前完成初始設定步驟。如需詳細資訊，請參閱[設定 FSx for ONTAP](getting-started.md#setting-up)。

**重要**  
建立 SVMs 後，請勿移動 Amazon FSx 在 OU 中建立的電腦物件，或在加入 SVM 時刪除 Active Directory。這樣做會導致您的 SVMs設定錯誤。