Creare e gestire le connessioni Active Directory per Azure NetApp Files

Articolo
11/07/2023

Per diverse funzionalità di Azure NetApp Files è necessaria una connessione Active Directory. Ad esempio, è necessario avere una connessione Active Directory prima di poter creare un volume SMB, un volume Kerberos NFSv4.1 o un volume a doppio protocollo. Questo articolo illustra come creare e gestire connessioni Active Directory per Azure NetApp Files.

Requisiti e considerazioni per le connessioni Active Directory

Importante

È necessario seguire le linee guida descritte in Comprendere le linee guida per la progettazione e la pianificazione del sito di Servizi di Dominio di Active Directory per Azure NetApp Files per i servizi di Dominio di Active Directory (AD DS) o Microsoft Entra Domain Services usati con Azure NetApp Files.

Prima di creare la connessione AD, vedere Modificare le connessioni di Active Directory per Azure NetApp Files per comprendere l'impatto delle modifiche apportate alle opzioni di configurazione della connessione di Active Directory dopo la creazione della connessione AD. Le modifiche apportate alle opzioni di configurazione della connessione ad Active Directory causano interruzioni dell'accesso client e alcune opzioni non possono essere modificate affatto.

È necessario creare un account Azure NetApp Files nell'area in cui vengono distribuiti i volumi di Azure NetApp Files.
È possibile configurare una sola connessione Active Directory (AD) per sottoscrizione per area.

Azure NetApp Files non supporta più connessioni AD in una singola area, anche se le connessioni AD vengono create in account NetApp diversi. Tuttavia, è possibile avere più connessioni AD in una singola sottoscrizione se le connessioni di Active Directory si trovano in aree diverse. Se sono necessarie più connessioni AD in una singola area, è possibile usare sottoscrizioni separate per farlo.

La connessione AD è visibile solo tramite l'account NetApp in cui viene creata. È tuttavia possibile abilitare la funzionalità Active Directory condivisa per consentire agli account NetApp che si trovano nella stessa sottoscrizione e nella stessa area di usare la stessa connessione AD. Vedere Eseguire il mapping di più account NetApp nella stessa sottoscrizione e nella stessa area a una connessione ad Active Directory.
L'account amministratore di connessione di Azure NetApp Files AD deve avere le proprietà seguenti:
- Deve essere un account utente di dominio Active Directory Domain Services nello stesso dominio in cui vengono creati gli account computer azure NetApp Files.
- Deve avere l'autorizzazione per creare account computer (ad esempio, aggiunta a un dominio di Active Directory) nel percorso dell'unità organizzativa di Active Directory Domain Services specificato nell'opzione Percorso unità organizzativa della connessione ad Active Directory.
- Non può essere un account del servizio gestito del gruppo.
L'account amministratore della connessione AD supporta i tipi di crittografia Kerberos AES-128 e Kerberos AES-256 per l'autenticazione con Active Directory Domain Services per la creazione di account computer di Azure NetApp Files , ad esempio le operazioni di aggiunta al dominio di Active Directory.
Per abilitare la crittografia AES nell'account amministratore di connessione di Azure NetApp Files AD, è necessario usare un account utente di dominio AD membro di uno dei gruppi di Active Directory Domain Services seguenti:
- Domain Admins
- Amministratori Enterprise
- Amministratori
- Account Operators
- Microsoft Entra Domain Services Amministrazione istrators _ (solo Microsoft Entra Domain Services)_
- In alternativa, è anche possibile usare un account utente di dominio Active Directory con msDS-SupportedEncryptionTypes autorizzazione di scrittura per l'account amministratore della connessione AD per impostare la proprietà tipo di crittografia Kerberos nell'account amministratore della connessione AD.
Nota

Quando si modifica l'impostazione per abilitare AES nell'account amministratore della connessione AD, è consigliabile usare un account utente con autorizzazione di scrittura per l'oggetto AD che non è l'amministratore di Azure NetApp Files AD. È possibile farlo con un altro account amministratore di dominio o delegando il controllo a un account. Per altre informazioni, vedere Delega dell'Amministrazione istration tramite oggetti ou.

Se si imposta la crittografia Kerberos AES-128 e AES-256 nell'account amministratore della connessione AD, verrà usato il livello di crittografia più elevato supportato da Servizi di dominio Active Directory.
Per abilitare il supporto della crittografia AES per l'account amministratore nella connessione AD, eseguire i comandi di PowerShell di Active Directory seguenti:
```
Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>
```
KerberosEncryptionType è un parametro multivalore che supporta i valori AES-128 e AES-256.

Per altre informazioni, vedere la documentazione di Set-ADUser.
Se è necessario abilitare e disabilitare determinati tipi di crittografia Kerberos per gli account computer Active Directory per gli host Windows aggiunti a un dominio usati con Azure NetApp Files, è necessario usare i Criteri Network Security: Configure Encryption types allowed for Kerberosdi gruppo .

Non impostare la chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesdel Registro di sistema. Questa operazione interromperà l'autenticazione Kerberos con Azure NetApp Files per l'host Windows in cui è stata impostata manualmente questa chiave del Registro di sistema.

Nota

L'impostazione predefinita dei criteri per Network Security: Configure Encryption types allowed for Kerberos è Not Defined. Quando questa impostazione di criterio è impostata su Not Defined, tutti i tipi di crittografia tranne DES saranno disponibili per la crittografia Kerberos. È possibile abilitare il supporto solo per determinati tipi di crittografia Kerberos , ad esempio AES128_HMAC_SHA1 o AES256_HMAC_SHA1. Tuttavia, i criteri predefiniti devono essere sufficienti nella maggior parte dei casi quando si abilita il supporto della crittografia AES con Azure NetApp Files.

Per altre informazioni, vedere Sicurezza di rete: Configurare i tipi di crittografia consentiti per le configurazioni Kerberos o Windows per i tipi di crittografia supportati da Kerberos
Le query LDAP diventano effettive solo nel dominio specificato nelle connessioni di Active Directory (il campo Nome dominio DNS di Active Directory). Questo comportamento si applica ai volumi NFS, SMB e dual protocol.
Timeout delle query LDAP

Per impostazione predefinita, le query LDAP eseguono il timeout se non possono essere completate in modo tempestivo. Se una query LDAP non riesce a causa di un timeout, la ricerca dell'utente e/o del gruppo avrà esito negativo e l'accesso al volume di Azure NetApp Files potrebbe essere negato, a seconda delle impostazioni di autorizzazione del volume.

I timeout delle query possono verificarsi in ambienti LDAP di grandi dimensioni con molti oggetti utente e gruppo, su connessioni WAN lente e se un server LDAP viene sovrautilizzato con le richieste. L'impostazione di timeout di Azure NetApp Files per le query LDAP è impostata su 10 secondi. Valutare la possibilità di sfruttare le funzionalità DN utente e gruppo nel Connessione di Active Directory per il server LDAP per filtrare le ricerche in caso di problemi di timeout delle query LDAP.

Creare una connessione Active Directory

Dall'account NetApp selezionare Connessioni Active Directory e quindi aggiungi.

Nota

Azure NetApp Files supporta una sola connessione di Active Directory all'interno della stessa area e della stessa sottoscrizione.

Nella finestra Aggiungi Active Directory specificare le informazioni seguenti in base ai servizi di dominio che si vuole usare:

DNS primario (obbligatorio)
Questo è l'indirizzo IP del server DNS primario necessario per le operazioni di aggiunta al dominio active Directory, l'autenticazione SMB, Kerberos e LDAP.
DNS secondario
Questo è l'indirizzo IP del server DNS secondario necessario per le operazioni di aggiunta al dominio active Directory, l'autenticazione SMB, Kerberos e le operazioni LDAP.

Nota

È consigliabile configurare un server DNS secondario. Vedere Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files. Assicurarsi che la configurazione del server DNS soddisfi i requisiti per Azure NetApp Files. In caso contrario, le operazioni del servizio Azure NetApp Files, l'autenticazione SMB, le operazioni Kerberos o LDAP potrebbero non riuscire.

Se si usa Microsoft Entra Domain Services, è consigliabile utilizzare gli indirizzi IP dei controller di dominio di Microsoft Entra Domain Services rispettivamente per DNS primario e DNS secondario.
Nome di dominio DNS di Active Directory (obbligatorio)
Si tratta del nome di dominio completo di Servizi di dominio Active Directory che verrà usato con Azure NetApp Files (ad esempio, contoso.com).
Nome sito DI ACTIVE Directory (obbligatorio)
Si tratta del nome del sito di Active Directory Domain Services che verrà usato da Azure NetApp Files per l'individuazione del controller di dominio.

Il nome del sito predefinito per Servizi di dominio Active Directory e Microsoft Entra Domain Services è Default-First-Site-Name. Se si desidera rinominare il nome del sito, seguire le convenzioni di denominazione per i nomi dei siti.

Nota

Vedere Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files. Assicurarsi che la progettazione e la configurazione del sito di Active Directory Domain Services soddisfino i requisiti per Azure NetApp Files. In caso contrario, le operazioni del servizio Azure NetApp Files, l'autenticazione SMB, le operazioni Kerberos o LDAP potrebbero non riuscire.
Prefisso del server SMB (account computer) (obbligatorio)
Si tratta del prefisso di denominazione per i nuovi account computer creati in Servizi di dominio Active Directory per Azure NetApp Files SMB, doppio protocollo e volumi Kerberos NFSv4.1.

Ad esempio, se lo standard di denominazione usato dall'organizzazione per i servizi file è NAS-01, NAS-02e così via, si userà NAS per il prefisso .

Azure NetApp Files creerà account computer aggiuntivi in Servizi di dominio Active Directory in base alle esigenze.

Importante

La ridenominazione del prefisso del server SMB dopo la creazione della connessione Active Directory è un'operazione che comporta problemi. Sarà necessario rimontare le condivisioni SMB esistenti dopo aver rinominato il prefisso del server SMB.
Percorso unità organizzativa
Si tratta del percorso LDAP per l'unità organizzativa (OU) in cui verranno creati gli account computer server SMB. ovvero OU=second level, OU=first level. Ad esempio, se si vuole usare un'unità organizzativa denominata creata ANF nella radice del dominio, il valore sarà OU=ANF.

Se non viene specificato alcun valore, Azure NetApp Files userà il CN=Computers contenitore.

Se si usa Azure NetApp Files con Microsoft Entra Domain Services, il percorso dell'unità organizzativa è OU=AADDC Computers
Crittografia AES
Questa opzione abilita il supporto dell'autenticazione della crittografia AES per l'account amministratore della connessione AD.

Per i requisiti, vedere Requisiti per le connessioni di Active Directory.
Firma LDAP

Questa opzione abilita la firma LDAP. Questa funzionalità abilita la verifica dell'integrità per le associazioni LDAP SASL (Simple Authentication and Security Layer) da Azure NetApp Files e dai controller di dominio dei servizi di Dominio di Active Directory specificati dall'utente.

Azure NetApp Files supporta l'associazione di canali LDAP se le opzioni di firma LDAP e LDAP su TLS sono abilitate nella Connessione di Active Directory. Per altre informazioni, vedere ADV190023 | Linee guida Microsoft per l'abilitazione dell'associazione di canali LDAP e della firma LDAP.

Nota

I record PTR DNS per gli account computer di Active Directory Domain Services devono essere creati nell'unità organizzativa di Active Directory Domain Services specificata nella connessione ad Azure NetApp Files AD per consentire il funzionamento della firma LDAP.
Consenti agli utenti NFS locali con LDAP Questa opzione consente agli utenti client NFS locali di accedere ai volumi NFS. L'impostazione di questa opzione disabilita i gruppi estesi per i volumi NFS. Limita inoltre il numero di gruppi a 16. Per altre informazioni, vedere Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo.
LDAP su TLS

Questa opzione abilita LDAP su TLS per la comunicazione sicura tra un volume di Azure NetApp Files e il server LDAP di Active Directory. È possibile abilitare LDAP su TLS per volumi NFS, SMB e dual protocol di Azure NetApp Files.

Nota

LDAP su TLS non deve essere abilitato se si usa Microsoft Entra Domain Services. Microsoft Entra Domain Services usa LD piattaforma di strumenti analitici (porta 636) per proteggere il traffico LDAP anziché LDAP su TLS (porta 389).

Per altre informazioni, vedere Abilitare l'autenticazione LDAP di Dominio di Active Directory Services (AD DS) per i volumi NFS.
Certificato CA radice del server

Questa opzione carica il certificato CA usato con LDAP tramite TLS.

Per altre informazioni, vedere Abilitare l'autenticazione LDAP di Dominio di Active Directory Services (AD DS) per i volumi NFS. 
Ambito di ricerca LDAP, DN utente, DN gruppo e filtro appartenenza a gruppi

L'opzione ambito di ricerca LDAP ottimizza le query LDAP di archiviazione di Azure NetApp Files da usare con topologie di Active Directory Domain Services di grandi dimensioni e LDAP con gruppi estesi o stile di sicurezza Unix con un volume a doppio protocollo di Azure NetApp Files.

Le opzioni DN utente e DN gruppo consentono di impostare la base di ricerca in ACTIVE Directory Domain Services LDAP.

L'opzione Filtro appartenenza gruppo consente di creare un filtro di ricerca personalizzato per gli utenti membri di specifici gruppi di Active Directory Domain Services.

Per informazioni su queste opzioni, vedere Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso ai volumi NFS.
Server preferito per il client LDAP

L'opzione Server preferito per il client LDAP consente di inviare gli indirizzi IP di un massimo di due server AD come elenco delimitato da virgole. Anziché contattare in sequenza tutti i servizi AD individuati per un dominio, il client LDAP contatterà prima i server specificati.
Connessioni SMB crittografate al controller di dominio

Le connessioni SMB crittografate al controller di dominio specificano se la crittografia deve essere usata per la comunicazione tra un server SMB e un controller di dominio. Se abilitata, solo SMB3 verrà usato per le connessioni del controller di dominio crittografate.

Questa funzionalità è attualmente disponibile solo in anteprima. Se questa è la prima volta che si usano connessioni SMB crittografate al controller di dominio, è necessario registrarla:
```
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
Controllare lo stato della registrazione delle funzionalità:

Nota

RegistrationState può trovarsi nello Registering stato per un massimo di 60 minuti prima di passare aRegistered . Attendere fino a quando lo stato non viene Registered eseguito prima di continuare.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
È anche possibile usare iaz feature register comandi dell'interfaccia della riga di comando di Azure e az feature show per registrare la funzionalità e visualizzare lo stato di registrazione.

Utenti dei criteri di backup Questa opzione concede privilegi di sicurezza aggiuntivi a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi di backup elevati per supportare i flussi di lavoro di backup, ripristino e migrazione in Azure NetApp Files. Gli account utente o i gruppi di Active Directory Domain Services specificati avranno autorizzazioni NTFS elevate a livello di file o cartella.

Screenshot of the Backup policy users field showing an empty text input field.

Quando si usa l'impostazione Utenti dei criteri di backup, si applicano i privilegi seguenti:

Privilegio	Descrizione
`SeBackupPrivilege`	Eseguire il backup di file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
`SeRestorePrivilege`	Ripristinare file e directory, sovrascrivendo eventuali elenchi di controllo di accesso. Impostare qualsiasi SID utente o gruppo valido come proprietario del file.
`SeChangeNotifyPrivilege`	Ignorare il controllo dell'attraversamento. Gli utenti con questo privilegio non devono avere le autorizzazioni attraversate (`x`) per attraversare cartelle o collegamenti simbolici.

Utenti con privilegi di sicurezza
Questa opzione concede privilegi di sicurezza (SeSecurityPrivilege) a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi elevati per accedere ai volumi di Azure NetApp Files. Gli utenti o i gruppi di Servizi di dominio Active Directory specificati potranno eseguire determinate azioni nelle condivisioni SMB che richiedono privilegi di sicurezza non assegnati per impostazione predefinita agli utenti di dominio.

Quando si usa l'impostazione Utenti con privilegi di sicurezza, si applica il privilegio seguente:

Privilegio Descrizione

SeSecurityPrivilege Gestire le operazioni di log.

Questa funzionalità viene usata per l'installazione di SQL Server in determinati scenari in cui a un account di dominio di Active Directory Domain Services non amministratore è necessario concedere temporaneamente privilegi di sicurezza elevati.

Nota

L'uso della funzionalità Utenti con privilegi di sicurezza si basa sulla funzionalità Condivisioni di disponibilità continua SMB. La disponibilità continua SMB non è supportata nelle applicazioni personalizzate. È supportato solo per i carichi di lavoro che usano i contenitori di profili utente Citrix App, FSLogix e Microsoft SQL Server (non Linux SQL Server).

Importante

Per usare la funzionalità Utenti con privilegi di sicurezza è necessario inviare una richiesta di elenco di attesa tramite la pagina di invio dell'elenco di attesa anteprima pubblica di Condivisioni di disponibilità continua di Azure NetApp Files SMB. Attendere un messaggio di posta elettronica di conferma ufficiale dal team di Azure NetApp Files prima di usare questa funzionalità.
Questa funzionalità è facoltativa e supportata solo con SQL Server. L'account di dominio di Active Directory Domain Services usato per l'installazione di SQL Server deve esistere già prima di aggiungerlo all'opzione Utenti con privilegi di sicurezza. Quando si aggiunge l'account del programma di installazione di SQL Server all'opzione Utenti con privilegi di sicurezza, il servizio Azure NetApp Files potrebbe convalidare l'account contattando un controller di dominio di Active Directory Domain Services. Questa azione potrebbe non riuscire se Azure NetApp Files non può contattare il controller di dominio di Active Directory Domain Services.

Per altre informazioni su SeSecurityPrivilege e SQL Server, vedere Installazione di SQL Server non riuscita se l'account di installazione non dispone di determinati diritti utente.

Privilegio	Descrizione
`SeSecurityPrivilege`	Gestire le operazioni di log.

utenti con privilegi Amministrazione istrators

Questa opzione concede privilegi di sicurezza aggiuntivi a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi elevati per accedere ai volumi di Azure NetApp Files. Gli account specificati avranno autorizzazioni elevate a livello di file o cartella.

Nota

Gli amministratori di dominio vengono aggiunti automaticamente al gruppo di utenti con privilegi Amministrazione istrators.

Screenshot that shows the Administrators box of Active Directory connections window.

I privilegi seguenti si applicano quando si usa l'impostazione utenti con privilegi di Amministrazione istrators:

Privilegio	Descrizione
`SeBackupPrivilege`	Eseguire il backup di file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
`SeRestorePrivilege`	Ripristinare file e directory, sovrascrivendo eventuali elenchi di controllo di accesso. Impostare qualsiasi SID utente o gruppo valido come proprietario del file.
`SeChangeNotifyPrivilege`	Ignorare il controllo dell'attraversamento. Gli utenti con questo privilegio non devono avere le autorizzazioni di attraversamento (`x`) per attraversare cartelle o collegamenti simbolici.
`SeTakeOwnershipPrivilege`	Acquisire la proprietà di file o di altri oggetti.
`SeSecurityPrivilege`	Gestire le operazioni di log.
`SeChangeNotifyPrivilege`	Ignorare il controllo dell'attraversamento. Gli utenti con questo privilegio non devono avere le autorizzazioni di attraversamento (`x`) per attraversare cartelle o collegamenti simbolici.

Credenziali, inclusi nome utente e password

Importante

Anche se Active Directory supporta password di 256 caratteri, le password di Active Directory con Azure NetApp Files non possono superare i 64 caratteri.

Seleziona Partecipa.

Viene visualizzata la connessione Active Directory creata.

Eseguire il mapping di più account NetApp nella stessa sottoscrizione e nella stessa area a una connessione ad Active Directory

La funzionalità Active Directory condivisa consente a tutti gli account NetApp di condividere una connessione di Active Directory (AD) creata da uno degli account NetApp appartenenti alla stessa sottoscrizione e alla stessa area. Ad esempio, usando questa funzionalità, tutti gli account NetApp nella stessa sottoscrizione e area possono usare la configurazione di Active Directory comune per creare un volume SMB, un volume Kerberos NFSv4.1 o un volume a doppio protocollo. Quando si usa questa funzionalità, la connessione AD sarà visibile in tutti gli account NetApp che si trovano nella stessa sottoscrizione e nella stessa area.

Questa funzionalità è attualmente disponibile solo in anteprima. È necessario registrare la funzionalità prima di usarla per la prima volta. Dopo la registrazione, la funzionalità è abilitata e funziona in background. Non è necessario alcun controllo dell'interfaccia utente.

Registrare la funzionalità :

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

Controllare lo stato della registrazione delle funzionalità:

Nota

RegistrationState può trovarsi nello Registering stato per un massimo di 60 minuti prima di passare aRegistered . Attendere che lo stato sia Registrato prima di continuare.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
```

È anche possibile usare iaz feature register comandi dell'interfaccia della riga di comando di Azure e az feature show per registrare la funzionalità e visualizzare lo stato di registrazione.

Reimpostare la password dell'account computer di Active Directory

Se si reimposta accidentalmente la password dell'account del computer ACTIVE Directory nel server AD o il server AD non è raggiungibile, è possibile reimpostare in modo sicuro la password dell'account computer per mantenere la connettività ai volumi. Una reimpostazione influisce su tutti i volumi nel server SMB.

Registrare la funzionalità

La funzionalità di reimpostazione della password dell'account computer di Active Directory è attualmente in anteprima pubblica. Se si usa questa funzionalità per la prima volta, è necessario registrare prima la funzionalità.

Registrare la funzionalità di reimpostazione della password dell'account computer di Active Directory:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Verificare lo stato della registrazione della funzionalità. RegistrationState può trovarsi nello Registering stato per un massimo di 60 minuti prima di passare aRegistered . Attendere fino a quando lo stato non viene Registered eseguito prima di continuare.

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume