Vysvětlení pokynů pro návrh a plánování webu služby Doména služby Active Directory Services pro Azure NetApp Files
Správné návrh a plánování Doména služby Active Directory Services (AD DS) je klíčem k architektuře řešení, které používají svazky Azure NetApp Files. Funkce Azure NetApp Files, jako jsou svazky SMB, svazky se dvěma protokoly a svazky Kerberos NFSv4.1, jsou navržené pro použití se službou AD DS.
Tento článek obsahuje doporučení, která vám pomůžou s vývojem strategie nasazení služby AD DS pro Azure NetApp Files. Než si přečtete tento článek, musíte mít dobrý přehled o tom, jak služba AD DS funguje na funkční úrovni.
Identifikace požadavků AD DS pro Azure NetApp Files
Před nasazením svazků Azure NetApp Files musíte identifikovat požadavky na integraci služby AD DS pro Azure NetApp Files, abyste měli jistotu, že je služba Azure NetApp Files dobře připojená ke službě AD DS. Nesprávná nebo neúplná integrace služby AD DS se službou Azure NetApp Files může způsobit přerušení nebo výpadky přístupu klientů pro svazky SMB, duální protokol nebo Kerberos NFSv4.1.
Podporované scénáře ověřování
Azure NetApp Files podporuje ověřování založené na identitách přes protokol SMB pomocí následujících metod.
- Ověřování AD DS: Počítače s Windows připojené k AD DS mají přístup ke sdíleným složkám Azure NetApp Files pomocí přihlašovacích údajů služby Active Directory přes protokol SMB. Váš klient musí mít přehled o službě AD DS. Pokud už máte službu AD DS nastavenou místně nebo na virtuálním počítači v Azure, kde jsou vaše zařízení připojená k vaší službě AD DS, měli byste použít službu AD DS pro ověřování sdílených složek Azure NetApp Files.
- Ověřování microsoft Entra Domain Services: Cloudové virtuální počítače s Windows připojené ke službě Microsoft Entra Domain Services mají přístup ke sdíleným složkám Azure NetApp Files pomocí přihlašovacích údajů služby Microsoft Entra Domain Services. V tomto řešení služba Microsoft Entra Domain Services provozuje za zákazníka tradiční doménu ad systému Windows Server.
- Microsoft Entra Kerberos pro hybridní identity: Použití Microsoft Entra ID pro ověřování hybridních identit uživatelů umožňuje uživatelům Microsoft Entra přistupovat ke sdíleným složkám Azure NetApp Files pomocí ověřování kerberos. To znamená, že koncoví uživatelé mají přístup ke sdíleným složkám Azure NetApp Files, aniž by museli mít přehled o řadičích domény z hybridního připojení Microsoft Entra a virtuálních počítačů s Windows nebo Linuxem připojených k Microsoft Entra. Cloudové identity se v současné době nepodporují.
- Ověřování ad Kerberos pro linuxové klienty: Klienti Linuxu můžou používat ověřování Kerberos přes protokol SMB pro Azure NetApp Files pomocí AD DS.
Síťové požadavky
Svazky SMB služby Azure NetApp Files, dual-protocol a Kerberos NFSv4.1 vyžadují spolehlivé a nízké latence síťového připojení (méně než 10 ms RTT) k řadičům domény služby AD DS. Špatné síťové připojení nebo vysoká latence sítě mezi azure NetApp Files a řadiči domény AD DS může způsobit přerušení přístupu klientů nebo vypršení časového limitu klienta.
Ujistěte se, že splňujete následující požadavky na topologii a konfigurace sítě:
- Ujistěte se, že se používá podporovaná síťová topologie pro Azure NetApp Files .
- Ujistěte se, že řadiče domény AD DS mají síťové připojení z delegovaných podsítí služby Azure NetApp Files hostující svazky Azure NetApp Files.
- Topologie partnerských virtuálních sítí s řadiči domény AD DS musí mít správně nakonfigurované partnerské vztahy pro podporu síťového připojení azure NetApp Files k řadiči domény AD DS.
- Skupiny zabezpečení sítě (NSG) a brány firewall řadiče domény SLUŽBY AD DS musí mít správně nakonfigurovaná pravidla pro podporu připojení služby Azure NetApp Files ke službě AD DS a DNS.
- Ujistěte se, že latence je menší než 10 ms RTT mezi azure NetApp Files a řadiči domény AD DS.
Požadované síťové porty jsou následující:
| Služba | Port | Protokol |
|---|---|---|
| Webové služby AD | 9389 | TCP |
| DNS* | 53 | TCP |
| DNS* | 53 | UDP |
| ICMPv4 | – | Odpověď na odezvu |
| Kerberos | 464 | TCP |
| Kerberos | 464 | UDP |
| Kerberos | 88 | TCP |
| Kerberos | 88 | UDP |
| LDAP | 389 | TCP |
| LDAP | 389 | UDP |
| LDAP | 389 | Protokol TLS |
| LDAP | 3 268 | TCP |
| Název rozhraní NetBIOS | 138 | UDP |
| SAM/LSA | 445 | TCP |
| SAM/LSA | 445 | UDP |
*DNS spuštěný na řadiči domény SLUŽBY AD DS
Požadavky NA DNS
Svazky SMB služby Azure NetApp Files, duální protokol a svazky Kerberos NFSv4.1 vyžadují spolehlivý přístup ke službám DNS (Domain Name System) a aktuálním záznamům DNS. Špatné síťové připojení mezi službami Azure NetApp Files a servery DNS může způsobit přerušení přístupu klientů nebo vypršení časového limitu klienta. Neúplné nebo nesprávné záznamy DNS pro SLUŽBU AD DS nebo Azure NetApp Files můžou způsobit přerušení přístupu klientů nebo vypršení časového limitu klienta.
Azure NetApp Files podporuje použití integrovaného DNS služby Active Directory nebo samostatných serverů DNS.
Ujistěte se, že splňujete následující požadavky na konfigurace DNS:
- Pokud používáte samostatné servery DNS:
- Ujistěte se, že servery DNS mají síťové připojení k delegované podsíti Služby Azure NetApp Files hostující svazky Azure NetApp Files.
- Zajistěte, aby brány firewall nebo skupiny zabezpečení sítě neblokovaly síťové porty UDP 53 a TCP 53.
- Ujistěte se, že se na serverech DNS vytvořily záznamy SRV zaregistrované službou AD DS Net Logon.
- Ujistěte se, že se záznamy PTR pro řadiče domény AD DS používané službou Azure NetApp Files vytvořily na serverech DNS ve stejné doméně jako vaše konfigurace Azure NetApp Files.
- Azure NetApp Files při odstranění svazku automaticky neodstraní záznamy ukazatelů (PTR) přidružené k položkám DNS. Záznamy PTR se používají pro reverzní vyhledávání DNS, které mapují IP adresy na názvy hostitelů. Obvykle je spravuje správce serveru DNS. Když ve službě Azure NetApp Files vytvoříte svazek, můžete ho přidružit k názvu DNS. Správa záznamů DNS, včetně záznamů PTR, je však mimo rozsah služby Azure NetApp Files. Azure NetApp Files poskytuje možnost přidružit svazek k názvu DNS, aby byl přístup jednodušší, ale nespravuje záznamy DNS přidružené k ho názvu. Pokud odstraníte svazek ve službě Azure NetApp Files, musí být přidružené záznamy DNS (například záznamy A pro předávání vyhledávání DNS) spravované a odstraněné ze serveru DNS nebo ze služby DNS, kterou používáte.
- Azure NetApp Files podporuje standardní a zabezpečené dynamické aktualizace DNS. Pokud požadujete zabezpečené dynamické aktualizace DNS, ujistěte se, že jsou zabezpečené aktualizace nakonfigurované na serverech DNS.
- Pokud se dynamické aktualizace DNS nepoužívají, musíte ručně vytvořit záznam A a záznam PTR pro účty počítačů služby AD DS vytvořené v organizační jednotce SLUŽBY AD DS (zadané v připojení Azure NetApp Files AD) pro podporu podepisování protokolu LDAP Služby NetApp Files, PROTOKOLU LDAP přes TLS, SMB, duální protokol nebo svazky Kerberos NFSv4.1.
- U složitých nebo velkých topologií služby AD DS se můžou vyžadovat zásady DNS nebo stanovení priorit podsítě DNS pro podporu svazků NFS s povoleným protokolem LDAP.
Požadavky na zdroj času
Azure NetApp Files používá jako zdroj času time.windows.com . Ujistěte se, že řadiče domény používané službou Azure NetApp Files jsou nakonfigurované tak, aby používaly time.windows.com nebo jiný přesný stabilní kořenový zdroj (stratum 1). Pokud mezi službou Azure NetApp Files a vaším klientem nebo řadiči domény AS DS existuje více než pět minut nerovnoměrná distribuce, ověřování se nezdaří. Přístup ke svazkům Azure NetApp Files může také selhat.
Rozhodnutí o tom, kterou službu AD DS použít se službou Azure NetApp Files
Azure NetApp Files podporuje služby Doména služby Active Directory Services (AD DS) i službu Microsoft Entra Domain Services pro připojení AD. Než vytvoříte připojení AD, musíte se rozhodnout, jestli se má používat služba AD DS nebo Microsoft Entra Domain Services.
Další informace naleznete v tématu Porovnání samoobslužných Doména služby Active Directory Services, Microsoft Entra ID a spravované služby Microsoft Entra Domain Services.
Důležité informace o Doména služby Active Directory Services
Služby Doména služby Active Directory (AD DS) byste měli použít v následujících scénářích:
- Máte uživatele služby AD DS hostované v místní doméně SLUŽBY AD DS, kteří potřebují přístup k prostředkům Azure NetApp Files.
- Máte aplikace hostované částečně místně a částečně v Azure, které potřebují přístup k prostředkům Azure NetApp Files.
- Ve vašem předplatném nepotřebujete integraci služby Microsoft Entra Domain Services s tenantem Microsoft Entra nebo služba Microsoft Entra Domain Services není kompatibilní s vašimi technickými požadavky.
Poznámka:
Azure NetApp Files nepodporuje použití řadičů domény jen pro čtení (RODC) služby AD DS.
Pokud se rozhodnete používat službu AD DS se službou Azure NetApp Files, postupujte podle pokynů v průvodci architekturou služby AD DS do Azure a ujistěte se, že splňujete požadavky na síť Azure NetApp Files a DNS pro službu AD DS.
Důležité informace o službě Microsoft Entra Domain Services
Microsoft Entra Domain Services je spravovaná doména SLUŽBY AD DS, která se synchronizuje s vaším tenantem Microsoft Entra. Hlavní výhody používání služby Microsoft Entra Domain Services jsou následující:
- Microsoft Entra Domain Services je samostatná doména. Proto není potřeba nastavovat síťové připojení mezi místním prostředím a Azure.
- Poskytuje zjednodušené prostředí pro nasazení a správu.
Služby Microsoft Entra Domain Services byste měli používat v následujících scénářích:
- Není potřeba rozšířit službu AD DS z místního prostředí do Azure, aby poskytovala přístup k prostředkům Azure NetApp Files.
- Zásady zabezpečení neumožňují rozšíření místní služby AD DS do Azure.
- Nemáte silné znalosti služby AD DS. Služba Microsoft Entra Domain Services může zlepšit pravděpodobnost dobrých výsledků se službou Azure NetApp Files.
Pokud se rozhodnete používat službu Microsoft Entra Domain Services se službou Azure NetApp Files, přečtěte si dokumentaci ke službě Microsoft Entra Domain Services s pokyny k architektuře, nasazení a správě. Ujistěte se, že splňujete také požadavky azure NetApp Files network a DNS.
Návrh topologie lokality služby AD DS pro použití se službou Azure NetApp Files
Vhodný návrh topologie lokality služby AD DS je kritický pro všechny architektury řešení, které zahrnují svazky Kerberos služby Azure NetApp Files, duální protokol nebo svazky Kerberos NFSv4.1.
Nesprávná topologie nebo konfigurace lokality služby AD DS může mít za následek následující chování:
- Nepodařilo se vytvořit svazky KERBEROS služby Azure NetApp Files, duální protokol nebo NFSv4.1
- Nepodařilo se změnit konfiguraci připojení ANF AD
- Nízký výkon dotazů klienta LDAP
- Problémy s ověřováním
Topologie lokality AD DS pro Azure NetApp Files je logická reprezentace sítě Azure NetApp Files. Návrh topologie lokality služby AD DS pro Azure NetApp Files zahrnuje plánování umístění řadiče domény, návrh lokalit, infrastruktury DNS a podsítí sítě, aby se zajistilo dobré připojení mezi službou Azure NetApp Files, klienty úložiště Azure NetApp Files a řadiči domény AD DS.
Kromě několika řadičů domény přiřazených k lokalitě SLUŽBY AD DS nakonfigurované v názvu webu ad ad služby Azure NetApp Files může mít lokalita služby Azure NetApp Files AD DS přiřazenou jednu nebo více podsítí.
Poznámka:
Je nezbytné, aby všechny řadiče domény a podsítě přiřazené k lokalitě AD DS služby Azure NetApp Files byly dobře připojené (méně než 10ms LATENCE RTT) a dosažitelné síťovými rozhraními používanými svazky Azure NetApp Files.
Pokud používáte standardní síťové funkce, měli byste zajistit, aby všechna pravidla definovaná uživatelem nebo skupina zabezpečení sítě (NSG) nezablokovala síťovou komunikaci služby Azure NetApp Files s řadiči domény AD DS přiřazenými k lokalitě služby Azure NetApp Files AD DS.
Pokud používáte síťová virtuální zařízení nebo brány firewall (například palo Alto Networks nebo brány firewall fortinet), musí být nakonfigurované tak, aby neblokovaly síťový provoz mezi službami Azure NetApp Files a řadiči domény a podsítěmi ad DS přiřazenými k lokalitě ad DS služby Azure NetApp Files.
Jak Azure NetApp Files používá informace o webu AD DS
Azure NetApp Files používá název webu AD nakonfigurovaný v připojeních služby Active Directory ke zjištění, které řadiče domény existují pro podporu ověřování, připojení k doméně, dotazů LDAP a operací lístku Kerberos.
Zjišťování řadiče domény SLUŽBY AD DS
Azure NetApp Files zahájí zjišťování řadiče domény každých čtyři hodiny. Azure NetApp Files se dotazuje záznamu prostředku služby DNS (SRV) specifického pro lokalitu služby AZURE NETApp Files, aby určil, které řadiče domény jsou v lokalitě služby AD DS zadaném v poli Název webu služby AD služby Azure NetApp Files. Zjišťování serveru řadiče domény Azure NetApp Files kontroluje stav služeb hostovaných na řadičích domény (například Kerberos, LDAP, Net Logon a LSA) a vybere optimální řadič domény pro žádosti o ověření.
Záznamy prostředků služby DNS (SRV) pro lokalitu SLUŽBY AD DS zadané v poli název webu služby AD služby Azure NetApp Files musí obsahovat seznam IP adres pro řadiče domény SLUŽBY AD DS, které budou používat služba Azure NetApp Files. Platnost záznamu prostředku DNS (SRV) můžete zkontrolovat pomocí nslookup nástroje.
Poznámka:
Pokud provedete změny řadičů domény v lokalitě služby AD DS používané službou Azure NetApp Files, počkejte alespoň čtyři hodiny mezi nasazením nových řadičů domény SLUŽBY AD DS a vyřazením existujících řadičů domény SLUŽBY AD DS. Tato doba čekání umožňuje službě Azure NetApp Files zjistit nové řadiče domény SLUŽBY AD DS.
Ujistěte se, že zastaralé záznamy DNS přidružené k vyřazené řadiči domény SLUŽBY AD DS se z DNS odeberou. Tím se zajistí, že se Služba Azure NetApp Files nebude pokoušet komunikovat s vyřazeným řadičem domény.
Zjišťování serveru LDAP pro službu AD DS
K samostatnému procesu zjišťování pro servery LDAP služby AD DS dochází v případě, že je pro svazek NFS služby Azure NetApp Files povolený protokol LDAP. Když se klient LDAP vytvoří ve službě Azure NetApp Files, služba Azure NetApp Files se dotazuje záznamu prostředku služby AD DS (SRV) pro seznam všech serverů LDAP služby AD DS v doméně, nikoli serverů LDAP služby AD DS přiřazených k lokalitě služby AD DS zadanému v připojení AD.
Ve velkých nebo složitých topologiích služby AD DS možná budete muset implementovat zásady DNS nebo stanovení priorit podsítě DNS, aby se zajistilo, že se vrátí servery AD DS LDAP přiřazené k lokalitě služby AD DS zadané v připojení AD.
Případně lze proces zjišťování serveru LDAP služby AD DS přepsat zadáním až dvou upřednostňovaných serverů AD pro klienta LDAP.
Důležité
Pokud služba Azure NetApp Files nemůže během vytváření klienta LDAP služby Azure NetApp Files dosáhnout zjištěného serveru LDAP služby AD DS, vytvoření svazku s povoleným protokolem LDAP selže.
Důsledky nesprávné nebo neúplné konfigurace názvu webu AD
Nesprávná nebo neúplná topologie nebo konfigurace lokality služby AD DS může vést k selháním vytváření svazků, problémům s klientskými dotazy, selháním ověřování a selháním při úpravě připojení AD služby Azure NetApp Files.
Důležité
Pole Název webu AD je nutné k vytvoření připojení AD služby Azure NetApp Files. Definovaný web služby AD DS musí existovat a musí být správně nakonfigurovaný.
Služba Azure NetApp Files používá lokalitu SLUŽBY AD DS ke zjišťování řadičů domény a podsítí přiřazených k lokalitě služby AD DS definované v názvu lokality AD DS. Všechny řadiče domény přiřazené k lokalitě SLUŽBY AD DS musí mít dobré síťové připojení z virtuálních síťových rozhraní Azure používaných službou ANF a musí být dostupné. Virtuální počítače řadiče domény služby AD DS přiřazené k lokalitě služby AD DS, které služba Azure NetApp Files používá, musí být vyloučené ze zásad správy nákladů, které vypínají virtuální počítače.
Pokud služba Azure NetApp Files nemůže kontaktovat žádné řadiče domény přiřazené k lokalitě služby AD DS, proces zjišťování řadiče domény se dotáže domény služby AD DS na seznam všech řadičů domény. Seznam řadičů domény vrácených z tohoto dotazu je neuspořádaný seznam. Azure NetApp Files se proto může pokusit použít řadiče domény, které nejsou dostupné nebo dobře připojené, což může způsobit selhání vytváření svazků, problémy s klientskými dotazy, selhání ověřování a selhání při úpravě připojení Ad služby Azure NetApp Files.
Konfiguraci lokality služby AD DS je nutné aktualizovat při každém nasazení nových řadičů domény do podsítě přiřazené lokalitě služby AD DS, kterou používá služba Azure NetApp Files AD Připojení ion. Ujistěte se, že záznamy DNS SRV pro lokalitu odrážejí všechny změny řadičů domény přiřazených k lokalitě služby AD DS používané službou Azure NetApp Files. Platnost záznamu prostředku DNS (SRV) můžete zkontrolovat pomocí nslookup nástroje.
Poznámka:
Azure NetApp Files nepodporuje použití řadičů domény jen pro čtení (RODC) služby AD DS. Pokud chcete službě Azure NetApp Files zabránit v používání řadiče domény jen pro čtení, nekonfigurujte pole Název webu SLUŽBY AD pro připojení AD pomocí řadiče domény jen pro čtení.
Ukázková konfigurace topologie lokality AD DS pro Azure NetApp Files
Topologie lokality služby AD DS je logická reprezentace sítě, ve které je nasazená služba Azure NetApp Files. V této části má ukázkový scénář konfigurace topologie lokality služby AD DS v úmyslu zobrazit základní návrh webu SLUŽBY AD DS pro Azure NetApp Files. Není to jediný způsob, jak navrhnout topologii sítě nebo lokality AD pro Azure NetApp Files.
Důležité
V případě scénářů, které zahrnují komplexní topologie služby AD DS nebo komplexní síťové topologie, byste měli mít microsoft Azure CSA, abyste zkontrolovali návrh sítí Azure NetApp Files a webu AD.
Následující diagram znázorňuje ukázkovou topologii sítě: sample-network-topology.png 
V ukázkové síťové topologii se místní doménaanf.local SLUŽBY AD DS rozšíří do virtuální sítě Azure. Místní síť je připojená k virtuální síti Azure pomocí okruhu Azure ExpressRoute.
Virtuální síť Azure má čtyři podsítě: podsíť brány, podsíť Azure Bastion, podsíť AD DS a delegovanou podsíť služby Azure NetApp Files. Redundantní řadiče domény SLUŽBY AD DS připojené k anf.local doméně se nasadí do podsítě služby AD DS. Podsíť služby AD DS má přiřazený rozsah IP adres 10.0.0.0/24.
Azure NetApp Files může použít pouze jednu lokalitu služby AD DS k určení, které řadiče domény se použijí pro ověřování, dotazy LDAP a Protokol Kerberos. V ukázkovém scénáři se vytvoří a přiřadí dva objekty podsítě k lokalitě volané ANF pomocí nástroje Active Directory Sites and Services. Jeden objekt podsítě je mapován na podsíť SLUŽBY AD DS, 10.0.0.0/24 a druhý objekt podsítě je mapován na delegovanou podsíť ANF, 10.0.2.0/24.
V nástroji Lokality a služby Active Directory ověřte, že jsou řadiče domény služby AD DS nasazené do podsítě služby AD DS přiřazené k lokalitě ANF :
Pokud chcete vytvořit objekt podsítě, který se mapuje na podsíť služby AD DS ve virtuální síti Azure, klikněte pravým tlačítkem na kontejner Podsítě v nástroji Lokality a služby Active Directory a vyberte Možnost Nová podsíť....
V dialogovém okně Nový objekt – Podsíť je do pole Předpona zadán rozsah IP adres 10.0.0.0/24 pro podsíť služby AD DS. Vyberte ANF jako objekt lokality pro podsíť. Vyberte OK a vytvořte objekt podsítě a přiřaďte ho k lokalitě ANF .
Chcete-li ověřit, že je nový objekt podsítě přiřazen ke správné lokalitě, klikněte pravým tlačítkem myši na objekt podsítě 10.0.0.0/24 a vyberte Vlastnosti. Pole Web by mělo zobrazit ANF objekt webu:
Pokud chcete vytvořit objekt podsítě, který se mapuje na delegovanou podsíť Azure NetApp Files ve virtuální síti Azure, klikněte pravým tlačítkem na kontejner Podsítě v nástroji Lokality a služby Active Directory a vyberte Možnost Nová podsíť....
Aspekty replikace mezi oblastmi
Replikace služby Azure NetApp Files mezi oblastmi umožňuje replikaci svazků Azure NetApp Files z jedné oblasti do jiné oblasti za účelem podpory požadavků na obchodní kontinuitu a zotavení po havárii (BC/DR).
Svazky KERBEROS azure NetApp Files, duální protokol a NFSv4.1 podporují replikaci mezi oblastmi. Replikace těchto svazků vyžaduje:
- Účet NetApp vytvořený ve zdrojové i cílové oblasti.
- Připojení Active Directory služby Azure NetApp Files v účtu NetApp vytvořeném ve zdrojových a cílových oblastech.
- Řadiče domény služby AD DS se nasazují a spouští v cílové oblasti.
- Aby bylo možné povolit dobrou síť Azure NetApp Files s řadiči domény AD DS v cílové oblasti, musí být v cílové oblasti nasazena správná síťová komunikace služby Azure NetApp Files s řadiči domény AD DS.
- Připojení služby Active Directory v cílové oblasti musí být nakonfigurované tak, aby používaly prostředky DNS a lokality SLUŽBY AD v cílové oblasti.
Další kroky
- Vytváření a správa připojení Active Directory
- Úprava připojení služby Active Directory
- Povolení ověřování PROTOKOLU LDAP služby AD DS pro svazky NFS
- Vytvoření svazku SMB
- Vytvoření svazku se dvěma protokoly
- Chyby svazků SMB a duálních protokolů
- Přístup ke svazkům SMB z virtuálních počítačů s Windows připojených k Microsoft Entra