Vytváření a správa připojení služby Active Directory pro Azure NetApp Files

  • Článek
  • 12 min ke čtení

Několik funkcí Azure NetApp Files vyžaduje připojení ke službě Active Directory. Například před vytvořením svazku SMB,svazku Kerberos NFSv4.1nebo svazku s duálním protokolem musíte mít připojení ke službě Active Directory. Tento článek popisuje, jak vytvořit a spravovat připojení služby Active Directory pro Azure NetApp Files.

Než začnete

Požadavky a důležité informace týkající se připojení služby Active Directory

  • Pro jedno předplatné a oblast můžete nakonfigurovat pouze jedno připojení Active Directory (AD).

    Azure NetApp Files nepodporuje více připojení AD v jedné oblasti, i když jsou připojení AD v různých účtech NetApp. V jednom předplatném ale můžete mít více připojení AD, pokud se připojení AD nachází v různých oblastech. Pokud potřebujete více připojení AD v jedné oblasti, můžete k tomu použít samostatná předplatná.

    Připojení AD je viditelné pouze prostřednictvím účtu NetApp, ve které je vytvořené. Funkci sdílené služby AD ale můžete povolit, aby účty NetApp, které jsou ve stejném předplatném a stejné oblasti, mohly používat server AD vytvořený v jednom z účtů NetApp. Viz Mapování více účtů NetApp ve stejném předplatnéma oblasti na připojení AD. Když tuto funkci povolíte, připojení AD se zobrazí ve všech účtech NetApp, které jsou ve stejném předplatném a stejné oblasti.

  • Účet správce, který používáte, musí mít schopnost vytvářet účty počítačů v cestě organizační jednotky, kterou zadáte.

  • Pokud změníte heslo uživatelského účtu služby Active Directory, který se používá v Azure NetApp Files, nezapomeňte aktualizovat heslo nakonfigurované v připojení služby Active Directory. Jinak nebudete moct vytvářet nové svazky a váš přístup k existujícím svazkům může být ovlivněn také v závislosti na nastavení.

  • Správné porty musí být otevřené na příslušném Windows active directory (AD).
    Požadované porty jsou následující:

    Služba Port Protokol
    Webové služby AD 9389 TCP
    DNS 53 TCP
    DNS 53 UDP
    Protokol ICMPv4 Echo Reply
    Kerberos 464 TCP
    Kerberos 464 UDP
    Kerberos 88 TCP
    Kerberos 88 UDP
    LDAP 389 TCP
    LDAP 389 UDP
    LDAP 3268 TCP
    Název netBIOS 138 UDP
    SAM/LSA 445 TCP
    SAM/LSA 445 UDP
    w32time 123 UDP

  • Topologie lokality pro cílové Active Directory Domain Services musí dodržovat pokyny, zejména virtuální síť Azure, ve které je Azure NetApp Files nasazená.

    Adresní prostor pro virtuální síť, ve které je Azure NetApp Files nasazená, musí být přidán do nové nebo existující lokality služby Active Directory (kde je řadič domény dostupný Azure NetApp Files je).

  • Zadané servery DNS musí být dosažitelné z delegované podsítě Azure NetApp Files.

    Informace o podporovaných topologiích Azure NetApp Files najdete v tématu Pokyny pro plánování sítě.

    Skupiny zabezpečení sítě (NSG) a brány firewall musí mít správně nakonfigurovaná pravidla, která povolují požadavky na provoz služby Active Directory a DNS.

  • Podsíť Azure NetApp Files musí mít přístup ke všem řadičům domény Active Directory Domain Services (ADDS) v doméně, včetně všech místních a vzdálených řadičů domény. Jinak může dojít k přerušení služby.

    Pokud máte řadiče domény, které delegovaná podsíť Azure NetApp Files nedostupné, můžete při vytváření připojení služby Active Directory zadat lokalitu služby Active Directory. Azure NetApp Files musí komunikovat pouze s řadiči domény v lokalitě, kde Azure NetApp Files adresní prostor delegované podsítě.

    Viz Návrh topologie lokalit o lokalitách a službách AD.

  • Šifrování AES pro ověřování AD můžete povolit zaškrtnutím políčka Šifrování AES v okně Připojit ke službě Active Directory. Azure NetApp Files šifrování DES, Kerberos AES 128 a Kerberos AES 256 (od nejméně zabezpečených po nejbezpečnější). Pokud povolíte šifrování AES, musí mít přihlašovací údaje uživatele použité pro připojení ke službě Active Directory povolenou možnost nejvyššího odpovídajícího účtu, která odpovídá možnostem povoleným pro vaši službu Active Directory.

    Pokud má například služba Active Directory pouze schopnost AES-128, musíte pro přihlašovací údaje uživatele povolit možnost účtu AES-128. Pokud má služba Active Directory funkci AES-256, musíte povolit možnost účtu AES-256 (která také podporuje AES-128). Pokud vaše služba Active Directory nemá žádnou možnost šifrování kerberos, Azure NetApp Files ve výchozím nastavení des.

    Možnosti účtu můžete povolit ve vlastnostech konzoly Uživatelé a počítače služby Active Directory konzola Microsoft Management Console (MMC):

    Uživatelé a počítače služby Active Directory KONZOLA MMC

  • Azure NetApp Files podporuje podepisování protokolu LDAP,které umožňuje zabezpečený přenos přenosů protokolu LDAP mezi službou Azure NetApp Files a cílovými řadiči domény služby Active Directory. Pokud postupujete podle pokynů poradce Microsoft ADV190023 pro podepisování protokolu LDAP, měli byste funkci podepisování protokolu LDAP povolit v Azure NetApp Files zaškrtnutím políčka Podepisování protokolu LDAP v okně Připojit ke službě Active Directory.

    Samotná konfigurace vazby kanálu LDAP nemá na službu Azure NetApp Files vliv. Pokud ale použijete jak vazbu kanálu LDAP, tak protokol Secure LDAP (například LDAPS nebo ), vytváření svazku start_tls SMB selže.

  • U dns bez integrované služby AD byste měli přidat záznam DNS A/PTR, který Azure NetApp Files funkci pomocí popisný název.

  • Následující tabulka popisuje nastavení TTL (Time to Live) pro mezipaměť LDAP. Před pokusem o přístup k souboru nebo adresáři prostřednictvím klienta je potřeba počkat na aktualizaci mezipaměti. Jinak se v klientovi zobrazí zpráva o odepření přístupu nebo oprávnění.

    Chybový stav Řešení
    Mezipaměť Výchozí časový limit
    Seznam členství ve skupině 24hodinový čas TTL
    Skupiny systému UNIX 24hodinový čas TTL, záporná hodnota TTL od 1 minuty
    Uživatelé systému UNIX 24hodinový čas TTL, záporná hodnota TTL od 1 minuty

    Mezipaměti mají určité časové období s názvem Time to Live. Po uplynutí časového limitu vyprší platnost položek tak, aby zastaralé položky nestály. Záporná hodnota TTL je tam, kde vyhledávání, které se nezdařilo, se nezdařilo, aby se zabránilo problémům s výkonem v důsledku dotazů protokolu LDAP pro objekty, které pravděpodobně neexistují. "

Rozhodněte, které doménové služby se mají použít.

Azure NetApp Files podporuje připojení AD Active Directory Domain Services (přidává) i Azure Active Directory Domain Services (AADDS). Před vytvořením připojení AD se musíte rozhodnout, jestli chcete použít příkaz Přidat nebo AADDS.

další informace najdete v tématu porovnání samoobslužně spravovaných Active Directory Domain Services, Azure Active Directory a spravovaných Azure Active Directory doménových služeb.

Active Directory Domain Services

Pro Azure NetApp Files můžete použít preferované obory lokality a služby Active Directory . Tato možnost umožňuje čtení a zápisy do Active Directory Domain Services (přidá) řadiče domény, které jsou přístupné Azure NetApp Files. Zabrání taky službě v komunikaci s řadiči domény, které nejsou ve specifikovaných lokalitách a lokalitách služby Active Directory.

Pokud chcete najít název vaší lokality, když použijete příkaz Přidat, můžete kontaktovat skupinu pro správu ve vaší organizaci, která je zodpovědná za Active Directory Domain Services. Následující příklad ukazuje modul plug-in lokality a služby Active Directory, kde se zobrazuje název lokality:

Lokality a služby Active Directory

Když nakonfigurujete připojení AD pro Azure NetApp Files, zadáte název lokality v oboru pro pole název lokality služby Active Directory .

Azure Active Directory Domain Services

informace o konfiguraci a návodech k Azure Active Directory Domain Services (AADDS) najdete v dokumentaci k Azure AD Domain Services.

Pro Azure NetApp Files se vztahují další požadavky na AADDS:

  • Ujistěte se, že virtuální síť nebo podsíť, ve které je AADDS nasazená, jsou ve stejné oblasti Azure jako nasazení Azure NetApp Files.
  • Pokud použijete jinou virtuální síť v oblasti, ve které je nasazený Azure NetApp Files, měli byste vytvořit partnerský vztah mezi dvěma virtuální sítěy.
  • Azure NetApp Files podporuje user a resource forest typy.
  • Pro typ synchronizace můžete vybrat All nebo Scoped .
    Pokud vyberete Scoped , ujistěte se, že je pro přístup ke sdíleným složkám SMB vybraná správná skupina Azure AD. Pokud si nejste jistí, můžete použít All Typ synchronizace.
  • Pokud používáte AADDS se svazkem s duálním protokolem, musíte být ve vlastní organizační jednotce, aby bylo možné použít atributy POSIX. Podrobnosti najdete v tématu Správa atributů LDAP POSIX .

Při vytváření připojení ke službě Active Directory si všimněte následujících specifických možností pro AADDS:

  • V nabídce AADDS najdete informace pro primární DNS, sekundární DNS a název domény DNS služby AD .
    Pro servery DNS se ke konfiguraci připojení služby Active Directory použijí dvě IP adresy.

  • Cesta k organizační jednotce je OU=AADDC Computers .
    Toto nastavení se konfiguruje v připojeních služby Active Directory pod účtem NetApp:

    Cesta organizační jednotky

  • Přihlašovací údaje pro uživatelské jméno může být libovolný uživatel, který je členem skupiny Azure AD DC Administrators.

Vytvoření připojení ke službě Active Directory

  1. Z účtu NetApp klikněte na připojení služby Active Directory a pak klikněte na připojit.

    Azure NetApp Files podporuje jenom jedno připojení Active Directory v rámci stejné oblasti a stejného předplatného. Pokud je služba Active Directory už nakonfigurovaná jiným účtem NetApp ve stejném předplatném a oblasti, nemůžete v účtu NetApp nakonfigurovat ani připojit jinou službu Active Directory. Můžete ale povolit funkci Shared AD, která umožňuje sdílení konfigurace služby Active Directory několika NetApp účty v rámci stejného předplatného a stejné oblasti. Viz téma mapování více účtů NetApp ve stejném předplatném a oblasti na připojení AD.

    Připojení ke službě Active Directory

  2. V okně připojit se ke službě Active Directory zadejte následující informace na základě doménových služeb, které chcete použít:

    Informace specifické pro používané doménové služby najdete v tématu určení, které doménové služby se mají použít.

    • Primární DNS
      Toto je služba DNS potřebná pro operace připojení k doméně služby Active Directory a ověřování SMB.

    • Sekundární DNS
      Toto je sekundární server DNS pro zajištění redundantních názvových služeb.

    • Název domény DNS služby Active Directory
      Toto je název domény vašeho Active Directory Domain Services, ke které se chcete připojit.

    • Název lokality služby Active Directory
      Jedná se o název lokality, na kterou bude zjišťování řadiče domény omezeno. Tato stránka by se měla shodovat s názvem webu v části lokality a služby Active Directory.

    • Předpona serveru SMB (účet počítače)
      Toto je předpona názvů pro účet počítače ve službě Active Directory, kterou Azure NetApp Files použít pro vytváření nových účtů.

      Pokud například standardní názvový server, který vaše organizace používá pro souborové servery, je NAS-01, NAS-02..., NAS-045, zadejte jako předponu "NAS".

      Služba vytvoří ve službě Active Directory další účty počítačů podle potřeby.

      Důležité

      Přejmenování předpony serveru SMB po vytvoření připojení ke službě Active Directory je rušivé. Po přejmenování předpony serveru SMB budete muset znovu připojit existující sdílené složky SMB.

    • Cesta organizační jednotky
      Jedná se o cestu protokolu LDAP pro organizační jednotku (OU), kde budou vytvořeny účty počítačů serveru SMB. To znamená OU = druhá úroveň, OU = First Level.

      pokud používáte Azure NetApp Files se službou Azure Active Directory Domain Services, cesta k organizační jednotce je, OU=AADDC Computers když pro svůj účet NetApp nakonfigurujete službu Active Directory.

      Připojit ke službě Active Directory

    • Šifrování AES
      Toto políčko zaškrtněte, pokud chcete povolit šifrování AES pro ověřování AD nebo pokud potřebujete šifrování pro svazky SMB.

      Požadavky najdete v tématu požadavky na připojení ke službě Active Directory .

      Šifrování AES pro Active Directory

      Funkce šifrování AES je momentálně ve verzi Preview. Pokud tuto funkci používáte poprvé, zaregistrujte funkci před jejím použitím:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryption

      Ověřte stav registrace funkce:

      Poznámka

      RegistrationState může být ve Registering stavu až 60 minut, než se změní na Registered . Než budete pokračovat, počkejte na stav Registered .

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryption

      Můžete také použít příkazy rozhraní příkazového řádku Azure az feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

    • Podepisování LDAP
      Zaškrtnutím tohoto políčka povolíte podepisování LDAP. Tato funkce umožňuje zabezpečené vyhledávání LDAP mezi službou Azure NetApp Files a uživatelem zadanými Active Directory Domain Services řadiči domény. Další informace najdete v tématu ADV190023 | Návod Microsoftu pro povolení vazby kanálu LDAP a podepisování LDAP.

      Podepisování LDAP služby Active Directory

      Funkce podepisování LDAP je aktuálně ve verzi Preview. Pokud tuto funkci používáte poprvé, zaregistrujte funkci před jejím použitím:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigning

      Ověřte stav registrace funkce:

      Poznámka

      RegistrationState může být ve Registering stavu až 60 minut, než se změní na Registered . Než budete pokračovat, počkejte na stav Registered .

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigning

      Můžete také použít příkazy rozhraní příkazového řádku Azure az feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

    • Uživatelé oprávnění zabezpečení
      SeSecurityPrivilegePro uživatele, kteří vyžadují zvýšené oprávnění pro přístup k Azure NetApp Files svazků, můžete udělit oprávnění zabezpečení (). Zadané uživatelské účty budou moci provádět určité akce s Azure NetApp Files sdílené složky SMB, které pro uživatele domény vyžadují oprávnění zabezpečení, které se ve výchozím nastavení nepřiřazuje.

      například uživatelské účty používané pro instalaci SQL Server v některých scénářích musí být udělena zvýšená oprávnění zabezpečení. pokud k instalaci SQL Server používáte účet bez oprávnění správce (doména) a účet nemá přiřazená oprávnění zabezpečení, měli byste k účtu přidat oprávnění zabezpečení.

      Důležité

      Použití funkce zabezpečení oprávnění uživatelé vyžaduje, abyste odeslali žádost pořadníku prostřednictvím sdílených složek Azure NetApp Files SMB nepřetržitá dostupnosti Public Preview stránky pro odeslání pořadníku. Před použitím této funkce počkejte na oficiální e-mail s potvrzením od Azure NetApp Files týmu.

      Použití této funkce je volitelné a podporuje se jenom pro SQL Server. Účet domény použitý k instalaci SQL Server už musí existovat, než ho přidáte do pole Uživatelé s oprávněním zabezpečení. Když účet instalačního SQL Server přidáte uživatelům s oprávněním zabezpečení , služba Azure NetApp Files ověří účet kontaktováním řadiče domény. Příkaz může selhat, pokud nemůže kontaktovat řadič domény.

      Další informace o a SQL Server najdete v tématu SQL Server, pokud instalační účet nemá SeSecurityPrivilege určitá uživatelská práva.

      Snímek obrazovky s oknem Uživatelé s oprávněními zabezpečení v okně Připojení služby Active Directory

    • Uživatelé zásad zálohování
      Můžete zahrnout další účty, které vyžadují zvýšená oprávnění k účtu počítače vytvořenému pro použití s Azure NetApp Files. Zadané účty budou moci změnit oprávnění NTFS na úrovni souboru nebo složky. Můžete například zadat účet neprivilegované služby, který se použije k migraci dat do sdílené složky SMB v Azure NetApp Files.

      Uživatelé zásad zálohování služby Active Directory

      Funkce Uživatelé zásad zálohování je aktuálně ve verzi Preview. Pokud tuto funkci používáte poprvé, zaregistrujte ji před použitím:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperator

      Zkontrolujte stav registrace funkce:

      Poznámka

      Vlastnost RegistrationState může být ve Registering stavu až 60 minut, než se změní na Registered . Než budete pokračovat, počkejte Registered na stav.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperator

      Můžete také použít příkazy Azure CLI a az feature register az feature show zaregistrovat funkci a zobrazit stav registrace.

    • Administrators

      Můžete zadat uživatele nebo skupiny, které budou na svazku udělena oprávnění správce.

      Snímek obrazovky s oknem Připojení služby Active Directory v poli Správci

      Funkce Správci je aktuálně ve verzi Preview. Pokud tuto funkci používáte poprvé, zaregistrujte ji před použitím:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministrators

      Zkontrolujte stav registrace funkce:

      Poznámka

      Vlastnost RegistrationState může být ve Registering stavu až 60 minut, než se změní na Registered . Než budete pokračovat, počkejte Registered na stav.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministrators

      Můžete také použít příkazy Azure CLI a az feature register az feature show zaregistrovat funkci a zobrazit stav registrace.

    • Přihlašovací údaje, včetně vašeho uživatelského jména a hesla

      Přihlašovací údaje služby Active Directory

  3. Klikněte na Připojit.

    Zobrazí se připojení služby Active Directory, které jste vytvořili.

    Vytvoření připojení služby Active Directory

Mapování několika účtů NetApp ve stejném předplatném a oblasti na připojení AD

Funkce Shared AD umožňuje všem účtům NetApp sdílet připojení Active Directory (AD) vytvořené jedním z účtů NetApp, které patří do stejného předplatného a stejné oblasti. Například při použití této funkce mohou všechny účty NetApp ve stejném předplatném aoblasti používat společnou konfiguraci AD k vytvoření svazku SMB, svazku Kerberos NFSv4.1nebo svazku se dvěma protokoly . Když použijete tuto funkci, připojení AD se zobrazí ve všech účtech NetApp, které jsou ve stejném předplatném a stejné oblasti.

Tato funkce je aktuálně ve verzi Preview. Než funkci poprvé začnete používat, musíte ji zaregistrovat. Po registraci je tato funkce povolená a funguje na pozadí. Není vyžadován žádný ovládací prvek uživatelského rozhraní.

  1. Zaregistrujte funkci:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

  2. Zkontrolujte stav registrace funkce:

    Poznámka

    Vlastnost RegistrationState může být ve Registering stavu až 60 minut, než se změní na Registered . Než budete pokračovat, počkejte, až bude stav Zaregistrováno.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

Můžete také použít příkazy Azure CLI a az feature register az feature show zaregistrovat funkci a zobrazit stav registrace.

Další kroky