Active Directory-verbindingen maken en beheren voor Azure NetApp Files
Verschillende functies van Azure NetApp Files vereisen dat u een Active Directory-verbinding hebt. U moet bijvoorbeeld een Active Directory-verbindinghebben voordat u een SMB-volume, een NFSv4.1 Kerberos-volumeof een volume met dubbele protocollen kunt maken. In dit artikel wordt beschreven hoe u Active Directory-verbindingen maakt en beheert voor Azure NetApp Files.
Voordat u begint
- U dient al een capaciteitspool te hebben ingesteld. Zie Een capaciteitspool maken.
- Er moet een subnet zijn gedelegeerd aan Azure NetApp Files. Raadpleeg Een subnet delegeren naar Azure NetApp Files.
Vereisten en overwegingen voor Active Directory-verbindingen
U kunt slechts één Ad-verbinding (Active Directory) per abonnement en per regio configureren.
Azure NetApp Files biedt geen ondersteuning voor meerdere AD-verbindingen in één regio, zelfs niet als de AD-verbindingen zich in verschillende NetApp-accounts hebben. U kunt echter meerdere AD-verbindingen in één abonnement hebben als de AD-verbindingen zich in verschillende regio's hebben. Als u meerdere AD-verbindingen in één regio nodig hebt, kunt u afzonderlijke abonnementen gebruiken om dit te doen.
De AD-verbinding is alleen zichtbaar via het NetApp-account waarin deze is gemaakt. U kunt de functie Gedeelde AD echter zo inschakelen dat NetApp-accounts die onder hetzelfde abonnement en dezelfde regio vallen, een AD-server kunnen gebruiken die is gemaakt in een van de NetApp-accounts. Zie Meerdere NetApp-accounts in hetzelfde abonnement en dezelfde regio aan een AD-verbinding koppelen. Wanneer u deze functie inschakelen, wordt de AD-verbinding zichtbaar in alle NetApp-accounts die zich onder hetzelfde abonnement en dezelfde regio.
Het beheerdersaccount dat u gebruikt, moet de mogelijkheid hebben om computeraccounts te maken in het organisatie-eenheidspad dat u opgeeft.
Als u het wachtwoord wijzigt van het Active Directory-gebruikersaccount dat wordt gebruikt in Azure NetApp Files, moet u het wachtwoord bijwerken dat is geconfigureerd in Active Directory Connections. Anders kunt u geen nieuwe volumes maken en kan uw toegang tot bestaande volumes ook worden beïnvloed, afhankelijk van de installatie.
De juiste poorten moeten zijn geopend op de Windows Active Directory-server (AD).
De vereiste poorten zijn als volgt:Service Poort Protocol AD-webservices 9389 TCP DNS 53 TCP DNS 53 UDP ICMPv4 N.v.t. Echoantwoord Kerberos 464 TCP Kerberos 464 UDP Kerberos 88 TCP Kerberos 88 UDP LDAP 389 TCP LDAP 389 UDP LDAP 3268 TCP NetBIOS-naam 138 UDP SAM/LSA 445 TCP SAM/LSA 445 UDP W32time 123 UDP De sitetopologie voor de doel-Active Directory Domain Services moeten voldoen aan de richtlijnen, met name het Azure VNet Azure NetApp Files is geïmplementeerd.
De adresruimte voor het virtuele netwerk waar Azure NetApp Files wordt geïmplementeerd, moet worden toegevoegd aan een nieuwe of bestaande Active Directory-site (waar een domeincontroller bereikbaar is Azure NetApp Files is).
De opgegeven DNS-servers moeten bereikbaar zijn vanaf het gedelegeerde subnet van Azure NetApp Files.
Zie Guidelines for Azure NetApp Files network planning for supported network topologies (Richtlijnen voor Azure NetApp Files netwerkplanning voor ondersteunde netwerkologieën).
De netwerkbeveiligingsgroepen (NSG's) en firewalls moeten op de juiste wijze regels hebben geconfigureerd om Active Directory- en DNS-verkeersaanvragen toe te staan.
Het Azure NetApp Files gedelegeerd subnet moet alle Active Directory Domain Services -domeincontrollers in het domein kunnen bereiken, met inbegrip van alle lokale en externe domeincontrollers. Anders kan er een onderbreking van de service optreden.
Als u domeincontrollers hebt die niet bereikbaar zijn voor het Azure NetApp Files gedelegeerd subnet, kunt u een Active Directory-site opgeven tijdens het maken van de Active Directory-verbinding. Azure NetApp Files hoeft alleen te communiceren met domeincontrollers in de site waar Azure NetApp Files gedelegeerde subnetadresruimte is.
Zie De sitetopologie ontwerpen over AD-sites en -services.
U kunt AES-versleuteling inschakelen voor AD-verificatie door het selectievakje AES-versleuteling in te schakelen in het venster Active Directory toevoegen. Azure NetApp Files ondersteunt de versleutelingstypen DES, Kerberos AES 128 en Kerberos AES 256 (van de minst veilige naar de veiligste). Als u AES-versleuteling inschakelen, moet voor de gebruikersreferenties die worden gebruikt om lid te worden van Active Directory de hoogste overeenkomstige accountoptie zijn ingeschakeld die overeenkomt met de mogelijkheden die zijn ingeschakeld voor uw Active Directory.
Als uw Active Directory bijvoorbeeld alleen de mogelijkheid AES-128 heeft, moet u de optie AES-128-account inschakelen voor de gebruikersreferenties. Als uw Active Directory de mogelijkheid AES-256 heeft, moet u de optie AES-256-account inschakelen (die ook AES-128 ondersteunt). Als uw Active Directory geen Kerberos-versleutelingsfunctie heeft, Azure NetApp Files standaard DES gebruikt.
U kunt de accountopties inschakelen in de eigenschappen van de Active Directory: gebruikers en computers Microsoft Management Console (MMC):
Azure NetApp Files biedt ondersteuning voor LDAP-ondertekening,waarmee beveiligde overdracht van LDAP-verkeer tussen de Azure NetApp Files-service en de beoogde Active Directory-domeincontrollers mogelijk is. Als u de richtlijnen van Microsoft Advisory ADV190023 voor LDAP-ondertekening volgt, moet u de LDAP-ondertekeningsfunctie inschakelen in Azure NetApp Files door het vak LDAP-ondertekening in te checken in het venster Deelnemen aan Active Directory.
De configuratie van LDAP-kanaalbinding heeft alleen geen invloed op de Azure NetApp Files service. Als u echter zowel LDAP-kanaalbinding als Secure LDAP (bijvoorbeeld LDAPS of ) gebruikt, mislukt het maken van het
start_tlsSMB-volume.Voor niet-AD geïntegreerde DNS moet u een DNS A/PTR-record toevoegen om ervoor te zorgen dat Azure NetApp Files werkt met behulp van een 'gebruiksvriendelijke naam'.
In de volgende tabel worden de Time to Live (TTL) voor de LDAP-cache beschreven. U moet wachten totdat de cache is vernieuwd voordat u via een client toegang probeert te krijgen tot een bestand of map. Anders wordt een bericht over geweigerde toegang of machtiging weergegeven op de client.
Foutvoorwaarde Oplossing Cache Standaardtime-out Lijst met groepslidmaatschap 24-uurs TTL Unix-groepen 24-uurs TTL, 1 minuut negatieve TTL Unix-gebruikers 24-uurs TTL, 1 minuut negatieve TTL Caches hebben een specifieke time-outperiode met de naam Time to Live. Na de time-outperiode verouderen vermeldingen zodat verouderde vermeldingen niet blijvend. De negatieve TTL-waarde is waar een mislukte zoekopdracht zich bevindt om prestatieproblemen te voorkomen vanwege LDAP-query's voor objecten die mogelijk niet bestaan.
Bepalen welke Domain Services u wilt gebruiken
Azure NetApp Files ondersteunt Active Directory Domain Services (ADDS) en Azure Active Directory Domain Services (AADDS) voor AD-verbindingen. Voordat u een AD-verbinding maakt, moet u beslissen of u ADDS of AADDS wilt gebruiken.
Zie Compare self-managed Active Directory Domain Services, Azure Active Directory, and managed Azure Active Directory Domain Services(Zelf-beheerde Active Directory Domain Services, Azure Active Directory en beheerde Azure Active Directory Domain Services) voor meer informatie.
Active Directory Domain Services
U kunt uw voorkeursbereik voor Active Directory-sites en -services gebruiken voor Azure NetApp Files. Met deze optie worden lees- en schrijf- Active Directory Domain Services domeincontrollers (ADDS) die toegankelijk zijn voor Azure NetApp Files. Het voorkomt ook dat de service communiceert met domeincontrollers die zich niet in de opgegeven Active Directory Sites and Services-site.
Als u de sitenaam wilt vinden wanneer u ADDS gebruikt, kunt u contact opnemen met de beheergroep in uw organisatie die verantwoordelijk is voor Active Directory Domain Services. In het onderstaande voorbeeld ziet u de invoeg-app Active Directory Sites and Services waar de sitenaam wordt weergegeven:
Wanneer u een AD-verbinding voor Azure NetApp Files configureert, geeft u de sitenaam op in het bereik voor het veld AD-sitenaam.
Azure Active Directory Domain Services
Zie Azure Active Directory domain services (AADDS)-configuratie en -richtlijnen voor Azure AD Domain Services.
Aanvullende AADDS-overwegingen zijn van toepassing op Azure NetApp Files:
- Zorg ervoor dat het VNet of subnet waarin AADDS is geïmplementeerd zich in dezelfde Azure-regio als de Azure NetApp Files implementatie.
- Als u een ander VNet gebruikt in de regio Azure NetApp Files is geïmplementeerd, moet u een peering tussen de twee VNets maken.
- Azure NetApp Files ondersteunt
userenresource foresttypen. - Als synchronisatietype kunt u of
AllScopedselecteren.
Als uScopedselecteert, controleert u of de juiste Azure AD-groep is geselecteerd voor toegang tot SMB-shares. Als u het niet zeker weet, kunt u hetAllsynchronisatietype gebruiken. - Als u AADDS gebruikt met een dual-protocol volume, moet u zich in een aangepaste OE hebben om POSIX-kenmerken toe te passen. Zie Manage LDAP POSIX Attributes (LDAP POSIX-kenmerken beheren) voor meer informatie.
Wanneer u een Active Directory-verbinding maakt, moet u rekening houden met de volgende specifieke informatie voor AADDS:
U vindt informatie voor primaire DNS, secundaire DNS en AD DNS-domeinnaam in het menu AADDS.
Voor DNS-servers worden twee IP-adressen gebruikt voor het configureren van de Active Directory-verbinding.Het pad van de organisatie-eenheid is
OU=AADDC Computers.
Deze instelling is geconfigureerd in de Active Directory-verbindingen onder NetApp-account:
Gebruikersnaamreferenties kunnen elke gebruiker zijn die lid is van de Azure AD-groep Azure AD DC-beheerders.
Een Active Directory-verbinding maken
Klik vanuit uw NetApp-account op Active Directory-verbindingen en klik vervolgens op Deelnemen.
Azure NetApp Files ondersteunt slechts één Active Directory-verbinding binnen dezelfde regio en hetzelfde abonnement. Als Active Directory al is geconfigureerd door een ander NetApp-account in hetzelfde abonnement en dezelfde regio, kunt u geen andere Active Directory configureren en toevoegen aan uw NetApp-account. U kunt echter de functie Gedeelde AD inschakelen zodat een Active Directory-configuratie kan worden gedeeld door meerdere NetApp-accounts binnen hetzelfde abonnement en dezelfde regio. Zie Meerdere NetApp-accounts in hetzelfde abonnement en dezelfde regio aan een AD-verbinding koppelen.
Geef in het venster Join Active Directory de volgende informatie op op basis van de Domain Services die u wilt gebruiken:
Zie Bepalen welke domeinservices u wilt gebruiken voor informatie die specifiek is voor de Domain Services die u gebruikt.
Primaire DNS
Dit is de DNS die vereist is voor de bewerkingen Active Directory Domain Join en SMB-verificatie.Secundaire DNS
Dit is de secundaire DNS-server voor redundante naamservices.AD DNS-domeinnaam
Dit is de domeinnaam van uw Active Directory Domain Services u wilt toevoegen.AD-sitenaam
Dit is de sitenaam die wordt beperkt tot de detectie van de domeincontroller. Dit moet overeenkomen met de sitenaam in Active Directory Sites and Services.Voorvoegsel van SMB-server (computeraccount)
Dit is het naamgevings prefix voor het computeraccount in Active Directory dat Azure NetApp Files gebruikt voor het maken van nieuwe accounts.Als de naamgevingsstandaard die uw organisatie bijvoorbeeld gebruikt voor bestandsservers NAS-01, NAS-02..., NAS-045 is, voert u NAS in als voorvoegsel.
De service maakt zo nodig extra computeraccounts in Active Directory.
Belangrijk
Het wijzigen van de naam van het voorvoegsel van de SMB-server nadat u de Active Directory-verbinding hebt gemaakt, is verstorend. U moet bestaande SMB-shares opnieuw monteren nadat u de naam van het voorvoegsel van de SMB-server hebt hernoemd.
Pad naar organisatie-eenheid
Dit is het LDAP-pad voor de organisatie-eenheid (OE) waar SMB-servermachineaccounts worden gemaakt. Dat wil zeggen, OE = tweede niveau, OE = eerste niveau.Als u een Azure NetApp Files met Azure Active Directory Domain Services, is het pad naar de organisatie-eenheid wanneer u Active Directory configureert
OU=AADDC Computersvoor uw NetApp-account.
AES-versleuteling
Schakel dit selectievakje in als u AES-versleuteling wilt inschakelen voor AD-verificatie of als u versleuteling voor SMB-volumes nodig hebt.Zie Vereisten voor Active Directory-verbindingen voor vereisten.
De functie AES-versleuteling is momenteel beschikbaar als preview-versie. Als dit de eerste keer is dat u deze functie gebruikt, registreert u de functie voordat u deze gebruikt:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryptionControleer de status van de functieregistratie:
Notitie
De RegistrationState kan maximaal 60 minuten in de status zijn
Registeringvoordat u in verandert inRegistered. Wacht totdat de status isRegisteredvoordat u doorgaat.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryptionU kunt ook Azure CLI-opdrachten en gebruiken om de functie te registreren en de
az feature registeraz feature showregistratiestatus weer te geven.LDAP-ondertekening
Schakel dit selectievakje in om LDAP-ondertekening in teschakelen. Deze functionaliteit maakt beveiligde LDAP-zoekactie mogelijk tussen de Azure NetApp Files-service en de door de gebruiker opgegeven Active Directory Domain Services domeincontrollers. Zie ADV190023 voor meer | Microsoft-richtlijnen voor het inschakelen van LDAP-kanaalbinding en LDAP-ondertekening.
De functie LDAP-ondertekening is momenteel beschikbaar als preview-versie. Als dit de eerste keer is dat u deze functie gebruikt, registreert u de functie voordat u deze gebruikt:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigningControleer de status van de functieregistratie:
Notitie
De RegistrationState kan maximaal 60 minuten in de status zijn
Registeringvoordat u in verandert inRegistered. Wacht totdat de status isRegisteredvoordat u doorgaat.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigningU kunt ook Azure CLI-opdrachten en gebruiken om de functie te registreren en de
az feature registeraz feature showregistratiestatus weer te geven.Gebruikers met beveiligingsrechten
U kunt beveiligingsrechten ( ) verlenen aan gebruikers die verhoogde bevoegdheden nodig hebben om toegang te krijgen totSeSecurityPrivilegede Azure NetApp Files volumes. De opgegeven gebruikersaccounts mogen bepaalde acties uitvoeren op Azure NetApp Files SMB-shares waarvoor geen beveiligingsrechten zijn vereist die niet standaard zijn toegewezen aan domeingebruikers.Gebruikersaccounts die worden gebruikt voor het installeren van SQL Server in bepaalde scenario's, moeten bijvoorbeeld verhoogde beveiligingsrechten krijgen. Als u een niet-beheerdersaccount (domein) gebruikt om SQL Server te installeren en aan het account niet de beveiligingsrechten zijn toegewezen, moet u beveiligingsrechten toevoegen aan het account.
Belangrijk
Als u de functie Gebruikers met beveiligingsrechten wilt gebruiken, moet u een aanvraag voor een wachtlijst indienen via de Azure NetApp Files SMB Continuous Availability Shares Public Preview waitlist submission page. Wacht op een officiële bevestigingsmail van het Azure NetApp Files voordat u deze functie gebruikt.
Het gebruik van deze functie is optioneel en wordt alleen ondersteund voor SQL Server. Het domeinaccount dat wordt gebruikt voor het installeren SQL Server moet al bestaan voordat u het toevoegt aan het veld Gebruikers met beveiligingsrechten. Wanneer u het SQL Server van het installatieprogramma toevoegt aan gebruikers met beveiligingsrechten, kan de Azure NetApp Files-service het account valideren door contact op te nemen met de domeincontroller. De opdracht kan mislukken als er geen contact kan worden opgenomen met de domeincontroller.
Zie Voor meer informatie over en SQL Server, SQL Server installatie mislukt als het installatieaccount niet over bepaalde
SeSecurityPrivilegegebruikersrechten heeft.
Back-upbeleidsgebruikers
U kunt extra accounts opnemen waarvoor verhoogde bevoegdheden zijn vereist voor het computeraccount dat is gemaakt voor gebruik met Azure NetApp Files. Met de opgegeven accounts kunnen de NTFS-machtigingen op bestands- of mapniveau worden gewijzigd. U kunt bijvoorbeeld een niet-gemachtigd serviceaccount opgeven dat wordt gebruikt voor het migreren van gegevens naar een SMB-bestandsshare in Azure NetApp Files.
De functie Gebruikers van back-upbeleid is momenteel beschikbaar als preview-versie. Als dit de eerste keer is dat u deze functie gebruikt, registreert u de functie voordat u deze gebruikt:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperatorControleer de status van de functieregistratie:
Notitie
De RegistrationState kan maximaal 60 minuten in de status zijn
Registeringvoordat u in verandert inRegistered. Wacht totdat de status isRegisteredvoordat u doorgaat.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperatorU kunt ook Azure CLI-opdrachten en gebruiken om de functie te registreren en de
az feature registeraz feature showregistratiestatus weer te geven.Beheerders
U kunt gebruikers of groepen opgeven die beheerdersbevoegdheden op het volume krijgen.
De functie Administrators is momenteel beschikbaar als preview-versie. Als dit de eerste keer is dat u deze functie gebruikt, registreert u de functie voordat u deze gebruikt:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministratorsControleer de status van de functieregistratie:
Notitie
De RegistrationState kan maximaal 60 minuten in de status zijn
Registeringvoordat u in verandert inRegistered. Wacht totdat de status isRegisteredvoordat u doorgaat.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministratorsU kunt ook Azure CLI-opdrachten en gebruiken om de functie te registreren en de
az feature registeraz feature showregistratiestatus weer te geven.Referenties, inclusief uw gebruikersnaam en wachtwoord
Klik op Deelnemen.
De Active Directory-verbinding die u hebt gemaakt, wordt weergegeven.
Meerdere NetApp-accounts in hetzelfde abonnement en dezelfde regio aan een AD-verbinding koppelen
Met de functie Gedeelde AD kunnen alle NetApp-accounts een Active Directory-verbinding (AD) delen die is gemaakt door een van de NetApp-accounts die deel uitmaken van hetzelfde abonnement en dezelfde regio. Als u deze functie bijvoorbeeld gebruikt, kunnen alle NetApp-accounts in hetzelfde abonnement en dezelfde regio de algemene AD-configuratiegebruiken om een SMB-volume, een NFSv4.1 Kerberos-volumeof een volume met dubbele protocollen te maken. Wanneer u deze functie gebruikt, is de AD-verbinding zichtbaar in alle NetApp-accounts die onder hetzelfde abonnement en dezelfde regio vallen.
Deze functie is momenteel beschikbaar als preview-product. U moet de functie registreren voordat u deze voor de eerste keer gebruikt. Na de registratie is de functie ingeschakeld en werkt deze op de achtergrond. Er is geen ui-besturingselement vereist.
Registreer de functie:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedADControleer de status van de functieregistratie:
Notitie
De RegistrationState kan maximaal 60 minuten in de status zijn
Registeringvoordat u in verandert inRegistered. Wacht totdat de status Geregistreerd is voordat u doorgaat.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
U kunt ook Azure CLI-opdrachten en gebruiken om de functie te registreren en de az feature register az feature show registratiestatus weer te geven.