Skapa och hantera Active Directory-anslutningar för Azure NetApp Files

  • Artikel
  • 12 minuter för att läsa

Flera funktioner i Azure NetApp Files kräver att du har en Active Directory-anslutning. Du måste till exempel ha en Active Directory-anslutninginnan du kan skapa en SMB-volym, en NFSv4.1 Kerberos-volymeller en volym med dubbla protokoll. Den här artikeln visar hur du skapar och hanterar Active Directory-anslutningar för Azure NetApp Files.

Innan du börjar

Krav och överväganden för Active Directory-anslutningar

  • Du kan bara konfigurera en Active Directory-anslutning (AD) per prenumeration och per region.

    Azure NetApp Files stöder inte flera AD-anslutningar i en enda region, även om AD-anslutningarna finns i olika NetApp-konton. Du kan dock ha flera AD-anslutningar i en enda prenumeration om AD-anslutningarna finns i olika regioner. Om du behöver flera AD-anslutningar i en enda region kan du använda separata prenumerationer för att göra det.

    AD-anslutningen visas bara via det NetApp-konto som den skapas i. Du kan dock aktivera funktionen Delad AD för att tillåta att NetApp-konton som finns i samma prenumeration och samma region använder en AD-server som skapats i ett av NetApp-kontona. Se Mappa flera NetApp-konton i samma prenumeration och region till en AD-anslutning. När du aktiverar den här funktionen visas AD-anslutningen i alla NetApp-konton som finns i samma prenumeration och i samma region.

  • Det administratörskonto som du använder måste ha möjlighet att skapa datorkonton i den organisationsenhetssökväg som du anger.

  • Om du ändrar lösenordet för det Active Directory-användarkonto som används i Azure NetApp Files måste du uppdatera lösenordet som konfigurerats i Active Directory-anslutningarna. Annars kommer du inte att kunna skapa nya volymer och din åtkomst till befintliga volymer kan också påverkas beroende på konfigurationen.

  • Rätt portar måste vara öppna på Windows Active Directory(AD)-servern.
    De portar som krävs är följande:

    Tjänst Port Protokoll
    AD-webbtjänster 9389 TCP
    DNS 53 TCP
    DNS 53 UDP
    ICMPv4 Ej tillämpligt Echo-svar
    Kerberos 464 TCP
    Kerberos 464 UDP
    Kerberos 88 TCP
    Kerberos 88 UDP
    LDAP 389 TCP
    LDAP 389 UDP
    LDAP 3268 TCP
    NetBIOS-namn 138 UDP
    SAM/LSA 445 TCP
    SAM/LSA 445 UDP
    W32time 123 UDP

  • Platstopologin för målnätverket Active Directory Domain Services följa riktlinjerna, särskilt det virtuella Azure-nätverk där Azure NetApp Files distribueras.

    Adressutrymmet för det virtuella nätverket där Azure NetApp Files har distribuerats måste läggas till på en ny eller befintlig Active Directory-plats (där en domänkontrollant kan nås av Azure NetApp Files är).

  • De angivna DNS-servrarna måste kunna nås från det delegerade undernätet för Azure NetApp Files.

    Se Riktlinjer för Azure NetApp Files nätverksplanering för nätverks topologier som stöds.

    Nätverkssäkerhetsgrupper (NSG: er) och brandväggar måste ha korrekt konfigurerade regler för att tillåta Active Directory- och DNS-trafikbegäranden.

  • Det Azure NetApp Files delegerade undernätet måste kunna nå alla Active Directory Domain Services -domänkontrollanter (ADDS) i domänen, inklusive alla lokala och fjärranslutna domänkontrollanter. Annars kan tjänstavbrott uppstå.

    Om du har domänkontrollanter som inte kan nås av det Azure NetApp Files delegerade undernätet kan du ange en Active Directory-plats när Du skapar Active Directory-anslutningen. Azure NetApp Files endast kommunicera med domänkontrollanter på den plats där det Azure NetApp Files delegerade undernätets adressutrymme finns.

    Se Designa platstopologin om AD-platser och -tjänster.

  • Du kan aktivera AES-kryptering för AD-autentisering genom att markera rutan AES-kryptering i fönstret Anslut Active Directory. Azure NetApp Files stöder krypteringstyperna DES, Kerberos AES 128 och Kerberos AES 256 (från den minst säkra till den säkraste). Om du aktiverar AES-kryptering måste de användarautentiseringsuppgifter som används för att ansluta till Active Directory ha det högsta motsvarande kontoalternativet aktiverat som matchar funktionerna som är aktiverade för Active Directory.

    Om din Active Directory till exempel bara har AES-128-funktionen måste du aktivera AES-128-kontoalternativet för autentiseringsuppgifterna för användaren. Om Active Directory har AES-256-funktionen måste du aktivera kontoalternativet AES-256 (som också stöder AES-128). Om Active Directory inte har någon Kerberos-krypteringsfunktion använder Azure NetApp Files DES som standard.

    Du kan aktivera kontoalternativen i egenskaperna för Active Directory - användare och datorer Microsoft Management Console (MMC):

    Active Directory - användare och datorer MMC

  • Azure NetApp Files stöder LDAP-signering, vilket möjliggör säker överföring av LDAP-trafik mellan Azure NetApp Files-tjänsten och de aktuella Active Directory-domänkontrollanterna. Om du följer riktlinjerna för Microsoft Advisory ADV190023 för LDAP-signering bör du aktivera LDAP-signeringsfunktionen i Azure NetApp Files genom att markera rutan LDAP-signering i fönstret Anslut Active Directory.

    LDAP-kanalbindningskonfigurationen har ingen effekt på Azure NetApp Files tjänsten. Men om du använder både LDAP-kanalbindning och säkert LDAP (till exempel LDAPS eller ), kommer start_tls SMB-volymskapandet att misslyckas.

  • För icke-AD-integrerad DNS bör du lägga till en DNS A/PTR-post för att Azure NetApp Files ska fungera med hjälp av ett "eget namn".

  • I följande tabell beskrivs Time to Live (TTL) för LDAP-cachen. Du måste vänta tills cachen uppdateras innan du försöker komma åt en fil eller katalog via en klient. Annars visas ett meddelande om nekad åtkomst eller behörighet på klienten.

    Feltillstånd Lösning
    Cache Standardvärde för tidsgräns
    Lista över gruppmedlemskap 24-timmars TTL
    Unix-grupper 24-timmars TTL, 1 minuts negativt TTL-värde
    Unix-användare 24-timmars TTL, 1 minuts negativt TTL-värde

    Cacheminnen har en specifik tidsgränsperiod som kallas Time to Live. Efter tidsgränsen blir posterna föråldrade så att inaktuella poster inte dröjer. Det negativa TTL-värdet är där en sökning som har misslyckats finns för att undvika prestandaproblem på grund av LDAP-frågor för objekt som kanske inte finns."

Bestäm vilka Domain Services som ska användas

Azure NetApp Files stöder både Active Directory Domain Services (ADDS) och Azure Active Directory Domain Services (AADDS) för AD-anslutningar. Innan du skapar en AD-anslutning måste du bestämma om du vill använda ADDS eller AADDS.

Mer information finns i Compare self-managed Active Directory Domain Services, Azure Active Directory, and managed Azure Active Directory Domain Services.

Active Directory Domain Services

Du kan använda önskat Active Directory-omfång för platser och tjänster för Azure NetApp Files. Med det här alternativet kan läsningar och skrivningar till Active Directory Domain Services-domänkontrollanter (ADDS) som kan nås av Azure NetApp Files. Det förhindrar också att tjänsten kommunicerar med domänkontrollanter som inte finns på den angivna Active Directory-platsen Platser och Tjänster.

Om du vill hitta ditt webbplatsnamn när du använder ADDS kan du kontakta den administrativa gruppen i din organisation som ansvarar för Active Directory Domain Services. I exemplet nedan visas plugin-programmet Active Directory Sites and Services där platsnamnet visas:

Active Directory-platser och -tjänster

När du konfigurerar en AD-Azure NetApp Files anger du platsnamnet i omfånget för fältet AD-platsnamn.

Azure Active Directory Domain Services

Konfiguration Azure Active Directory (AADDS) för Domain Services (AADDS) finns i Azure AD Domain Services dokumentationen.

Ytterligare AADDS-överväganden gäller för Azure NetApp Files:

  • Se till att det virtuella nätverket eller undernätet där AADDS har distribuerats finns i samma Azure-region som Azure NetApp Files distributionen.
  • Om du använder ett annat VNet i den region Azure NetApp Files har distribuerats bör du skapa en peering mellan de två virtuella nätverken.
  • Azure NetApp Files stöder user - och resource forest -typer.
  • För synkroniseringstyp kan du välja All eller Scoped .
    Om du väljer Scoped ser du till att rätt Azure AD-grupp har valts för åtkomst till SMB-resurser. Om du är osäker kan du använda All synkroniseringstypen.
  • Om du använder AADDS med en volym med dubbla protokoll måste du vara i en anpassad organisationsenhet för att kunna tillämpa POSIX-attribut. Mer information finns i Hantera LDAP POSIX-attribut.

När du skapar en Active Directory-anslutning bör du observera följande för AADDS:

  • Du hittar information om primär DNS, sekundär DNS och AD DNS-domännamn i AADDS-menyn.
    För DNS-servrar används två IP-adresser för att konfigurera Active Directory-anslutningen.

  • Organisationsenhetssökvägen är OU=AADDC Computers .
    Den här inställningen konfigureras i Active Directory-anslutningar under NetApp-konto:

    Organisationsenhetssökväg

  • Autentiseringsuppgifter för användarnamn kan vara alla användare som är medlemmar i Azure AD-gruppen Azure AD DC-administratörer.

Skapa en Active Directory-anslutning

  1. Från ditt NetApp-konto klickar du på Active Directory-anslutningar och sedan på Anslut.

    Azure NetApp Files stöder endast en Active Directory-anslutning inom samma region och samma prenumeration. Om Active Directory redan har konfigurerats av ett annat NetApp-konto i samma prenumeration och region kan du inte konfigurera och ansluta till en annan Active Directory från ditt NetApp-konto. Du kan dock aktivera funktionen Delad AD för att tillåta att en Active Directory-konfiguration delas av flera NetApp-konton inom samma prenumeration och i samma region. Se Mappa flera NetApp-konton i samma prenumeration och region till en AD-anslutning.

    Active Directory-anslutningar

  2. I fönstret Anslut till Active Directory anger du följande information, baserat på de Domain Services som du vill använda:

    Information som är specifik för de Domain Services som du använder finns i Bestämma vilka Domain Services som ska användas.

    • Primär DNS
      Det här är den DNS som krävs för Active Directory-domänkopplingen och SMB-autentiseringsåtgärder.

    • Sekundär DNS
      Det här är den sekundära DNS-servern för att säkerställa redundanta namntjänster.

    • AD DNS-domännamn
      Det här är domännamnet för den Active Directory Domain Services som du vill ansluta till.

    • AD-webbplatsnamn
      Det här är det platsnamn som domänkontrollantidentifiering begränsas till. Detta bör matcha platsnamnet i Active Directory-platser och -tjänster.

    • SMB-serverprefix (datorkonto)
      Det här är namnprefixet för datorkontot i Active Directory som Azure NetApp Files för att skapa nya konton.

      Om namngivningsstandarden som din organisation använder för filservrar till exempel är NAS-01, NAS-02..., NAS-045 anger du "NAS" som prefix.

      Tjänsten skapar ytterligare datorkonton i Active Directory efter behov.

      Viktigt

      Det kan vara störande att byta namn på SMB-serverprefixet när du har skapat Active Directory-anslutningen. Du måste montera om befintliga SMB-resurser när du har byta namn på SMB-serverprefixet.

    • Organisationsenhetssökväg
      Det här är LDAP-sökvägen för organisationsenheten (OU) där SMB-serverdatorkonton skapas. Det vill säga OU = andra nivån, OU = första nivån.

      Om du använder Azure NetApp Files med Azure Active Directory Domain Services är organisationsenhetssökvägen när du konfigurerar OU=AADDC Computers Active Directory för ditt NetApp-konto.

      Ansluta till Active Directory

    • AES-kryptering
      Markera den här kryssrutan om du vill aktivera AES-kryptering för AD-autentisering eller om du behöver kryptering för SMB-volymer.

      Se Krav för Active Directory-anslutningar för krav.

      Active Directory AES-kryptering

      Funktionen AES-kryptering är för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryption

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet Registering i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryption

      Du kan också använda Azure CLI-kommandon az feature register och för att registrera funktionen och visa az feature show registreringsstatus.

    • LDAP-signering
      Markera den här kryssrutan för att aktivera LDAP-signering. Den här funktionen möjliggör säkra LDAP-uppslag mellan Azure NetApp Files-tjänsten och de användar angivna Active Directory Domain Services-domänkontrollanterna. Mer information finns i ADV190023 | Microsofts vägledning för att aktivera LDAP-kanalbindning och LDAP-signering.

      Active Directory LDAP-signering

      LDAP-signeringsfunktionen är för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigning

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet Registering i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigning

      Du kan också använda Azure CLI-kommandon az feature register och för att registrera funktionen och visa az feature show registreringsstatus.

    • Användare med säkerhetsbehörighet
      Du kan bevilja säkerhetsbehörighet ( SeSecurityPrivilege ) till användare som kräver utökade privilegier för att få åtkomst Azure NetApp Files volymerna. De angivna användarkontona kommer att kunna utföra vissa åtgärder på Azure NetApp Files SMB-resurser som kräver säkerhetsbehörighet som inte tilldelas som standard till domänanvändare.

      Användarkonton som används för att installera SQL Server i vissa scenarier måste beviljas utökade säkerhetsbehörigheter. Om du använder ett icke-administratörskonto (domän) för att installera SQL Server och kontot inte har tilldelats säkerhetsbehörighet bör du lägga till säkerhetsbehörighet till kontot.

      Viktigt

      Om du använder funktionen Användare av säkerhetsbehörighet måste du skicka en begäran om väntelista via sidan för att skicka Azure NetApp Files SMB continuous availability shares public preview waitlist submission (SMB-kontinuerliga tillgänglighetsresurser för offentlig förhandsversion). Vänta tills en officiell bekräftelse skickas från Azure NetApp Files innan du använder den här funktionen.

      Den här funktionen är valfri och stöds endast för SQL Server. Domänkontot som används för att SQL Server måste redan finnas innan du lägger till det i fältet Säkerhetsprivilegier. När du lägger SQL Server installationsprogrammets konto till användare med säkerhetsbehörighet kan Azure NetApp Files-tjänsten verifiera kontot genom att kontakta domänkontrollanten. Kommandot kan misslyckas om det inte kan kontakta domänkontrollanten.

      Mer information om SeSecurityPrivilege och SQL Server finns i SQL Server installationen misslyckas om installationskontot inte har vissa användarrättigheter.

      Skärmbild som visar rutan Säkerhetsprivilegier i fönstret Active Directory-anslutningar.

    • Användare av säkerhetskopieringspolicy
      Du kan inkludera ytterligare konton som kräver utökade privilegier till datorkontot som skapats för användning med Azure NetApp Files. De angivna kontona kommer att kunna ändra NTFS-behörigheterna på fil- eller mappnivå. Du kan till exempel ange ett icke-privilegierat tjänstkonto som används för att migrera data till en SMB-filresurs i Azure NetApp Files.

      Användare av Active Directory-säkerhetskopieringspolicy

      Funktionen Användare av säkerhetskopieringspolicy finns för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperator

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet Registering i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperator

      Du kan också använda Azure CLI-kommandon az feature register och för att registrera funktionen och visa az feature show registreringsstatus.

    • Administratörer

      Du kan ange användare eller grupper som ska ges administratörsbehörighet på volymen.

      Skärmbild som visar rutan Administratörer i fönstret Active Directory-anslutningar.

      Funktionen Administratörer är för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministrators

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet Registering i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministrators

      Du kan också använda Azure CLI-kommandon az feature register och för att registrera funktionen och visa az feature show registreringsstatus.

    • Autentiseringsuppgifter, inklusive ditt användarnamn och lösenord

      Active Directory-autentiseringsuppgifter

  3. Klicka på Anslut.

    Den Active Directory-anslutning som du skapade visas.

    Skapade Active Directory-anslutningar

Mappa flera NetApp-konton i samma prenumeration och region till en AD-anslutning

Med funktionen Delad AD kan alla NetApp-konton dela en Active Directory-anslutning (AD) som skapats av ett av NetApp-kontona som tillhör samma prenumeration och samma region. Med den här funktionen kan till exempel alla NetApp-konton i samma prenumeration och region använda den gemensamma AD-konfigurationenför att skapa en SMB-volym, en NFSv4.1 Kerberos-volymeller en volym med dubbla protokoll. När du använder den här funktionen visas AD-anslutningen i alla NetApp-konton som finns under samma prenumeration och samma region.

Den här funktionen finns för närvarande som en förhandsversion. Du måste registrera funktionen innan du använder den för första gången. Efter registreringen aktiveras funktionen och fungerar i bakgrunden. Ingen ui-kontroll krävs.

  1. Registrera funktionen:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

  2. Kontrollera status för funktionsregistreringen:

    Anteckning

    RegistrationState kan vara i tillståndet Registering i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registrerad innan du fortsätter.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

Du kan också använda Azure CLI-kommandon az feature register och för att registrera funktionen och visa az feature show registreringsstatus.

Nästa steg