Skapa och hantera Active Directory-anslutningar för Azure NetApp Files

Flera funktioner i Azure NetApp Files kräver att du har en Active Directory-anslutning. Du måste till exempel ha en Active Directory-anslutninginnan du kan skapa en SMB-volym,en NFSv4.1 Kerberos-volymeller en volym med dubbla protokoll. Den här artikeln visar hur du skapar och hanterar Active Directory-anslutningar för Azure NetApp Files.

Innan du börjar

Krav och överväganden för Active Directory-anslutningar

  • Du kan bara konfigurera en Active Directory-anslutning (AD) per prenumeration och per region.

    Azure NetApp Files stöder inte flera AD-anslutningar i en enda region, även om AD-anslutningarna finns i olika NetApp-konton. Du kan dock ha flera AD-anslutningar i en enda prenumeration om AD-anslutningarna finns i olika regioner. Om du behöver flera AD-anslutningar i en enda region kan du använda separata prenumerationer för att göra det.

    AD-anslutningen visas bara via det NetApp-konto som den skapas i. Du kan dock aktivera funktionen Delad AD för att tillåta att NetApp-konton som finns under samma prenumeration och samma region använder en AD-server som skapats i ett av NetApp-kontona. Se Mappa flera NetApp-konton i samma prenumeration och region till en AD-anslutning. När du aktiverar den här funktionen visas AD-anslutningen i alla NetApp-konton som finns under samma prenumeration och samma region.

  • Det administratörskonto som du använder måste ha möjlighet att skapa datorkonton i den organisationsenhetssökväg som du anger.

  • Om du ändrar lösenordet för det Active Directory-användarkonto som används i Azure NetApp Files måste du uppdatera lösenordet som konfigurerats i Active Directory-anslutningarna. Annars kommer du inte att kunna skapa nya volymer och din åtkomst till befintliga volymer kan också påverkas beroende på konfigurationen.

  • Rätt portar måste vara öppna på Windows Active Directory-server (AD).
    De portar som krävs är följande:

    Tjänst Port Protokoll
    AD-webbtjänster 9389 TCP
    DNS 53 TCP
    DNS 53 UDP
    ICMPv4 Ej tillämpligt Echo-svar
    Kerberos 464 TCP
    Kerberos 464 UDP
    Kerberos 88 TCP
    Kerberos 88 UDP
    LDAP 389 TCP
    LDAP 389 UDP
    LDAP 3268 TCP
    NetBIOS-namn 138 UDP
    SAM/LSA 445 TCP
    SAM/LSA 445 UDP
    W32time 123 UDP
  • Platstopologin för målnätverket Active Directory Domain Services följa riktlinjerna, särskilt det virtuella Azure-nätverk där Azure NetApp Files distribueras.

    Adressutrymmet för det virtuella nätverket där Azure NetApp Files distribueras måste läggas till på en ny eller befintlig Active Directory-plats (där en domänkontrollant kan nås av Azure NetApp Files finns).

  • De angivna DNS-servrarna måste kunna nås från det delegerade undernätet Azure NetApp Files.

    Se Riktlinjer för Azure NetApp Files nätverksplanering för nätverks topologier som stöds.

    Nätverkssäkerhetsgrupper (NSG: er) och brandväggar måste ha korrekt konfigurerade regler för att tillåta Active Directory- och DNS-trafikbegäranden.

  • Det Azure NetApp Files delegerade undernätet måste kunna nå alla Active Directory Domain Services-domänkontrollanter (ADDS) i domänen, inklusive alla lokala och fjärranslutna domänkontrollanter. Annars kan tjänstavbrott uppstå.

    Om du har domänkontrollanter som inte kan nås av det Azure NetApp Files delegerade undernätet kan du ange en Active Directory-plats när Du skapar Active Directory-anslutningen. Azure NetApp Files bara kommunicera med domänkontrollanter på den plats där Azure NetApp Files delegerade undernätets adressutrymme finns.

    Se Utforma platstopologin om AD-platser och -tjänster.

  • Du kan aktivera AES-kryptering för AD-autentisering genom att markera rutan AES-kryptering i fönstret Anslut Active Directory. Azure NetApp Files stöder krypteringstyperna DES, Kerberos AES 128 och Kerberos AES 256 (från den minst säkra till den säkraste). Om du aktiverar AES-kryptering måste de användarautentiseringsuppgifter som används för att ansluta till Active Directory ha det högsta motsvarande kontoalternativet aktiverat som matchar funktionerna som har aktiverats för Active Directory.

    Om din Active Directory till exempel bara har AES-128-funktionen måste du aktivera AES-128-kontoalternativet för autentiseringsuppgifterna. Om din Active Directory har AES-256-funktionen måste du aktivera kontoalternativet AES-256 (som också stöder AES-128). Om Active Directory inte har någon Kerberos-krypteringsfunktion använder Azure NetApp Files DES som standard.

    Du kan aktivera kontoalternativen i egenskaperna för Active Directory - användare och datorer Microsoft Management Console (MMC):

    Active Directory Users and Computers MMC

  • Azure NetApp Files stöder LDAP-signering,vilket möjliggör säker överföring av LDAP-trafik mellan Azure NetApp Files-tjänsten och de aktuella Active Directory-domänkontrollanterna. Om du följer riktlinjerna i Microsoft Advisory ADV190023 för LDAP-signering bör du aktivera LDAP-signeringsfunktionen i Azure NetApp Files genom att markera rutan LDAP-signering i fönstret Anslut Till Active Directory.

    LDAP-kanalbindningskonfigurationen har ingen effekt på Azure NetApp Files tjänsten. Men om du använder både LDAP-kanalbindning och säker LDAP (till exempel LDAPS eller ), misslyckas skapandet av start_tls SMB-volymen.

  • För icke-AD-integrerad DNS bör du lägga till en DNS A/PTR-post för att Azure NetApp Files ska fungera med ett “ eget namn".

  • I följande tabell beskrivs Time to Live (TTL) för LDAP-cachen. Du måste vänta tills cachen uppdateras innan du försöker komma åt en fil eller katalog via en klient. Annars visas ett meddelande om nekad åtkomst eller behörighet på klienten.

    Feltillstånd Lösning
    Cache Standardvärde för tidsgräns
    Lista över gruppmedlemskap 24-timmars TTL
    Unix-grupper 24-timmars TTL, 1 minuts negativt TTL-värde
    Unix-användare 24-timmars TTL, 1 minuts negativt TTL-värde

    Cacheminnen har en specifik tidsgränsperiod som kallas Time to Live. Efter tidsgränsen blir posterna föråldrade så att inaktuella poster inte dröjer. Det negativa TTL-värdet är när en sökning som har misslyckats finns för att undvika prestandaproblem på grund av LDAP-frågor för objekt som kanske inte finns.

Bestäm vilka Domain Services som ska användas

Azure NetApp Files stöder både Active Directory Domain Services (ADDS) och Azure Active Directory Domain Services (AADDS) för AD-anslutningar. Innan du skapar en AD-anslutning måste du bestämma om du vill använda ADDS eller AADDS.

Mer information finns i Jämför själv hanterade Active Directory Domain Services, Azure Active Directory och hanterade Azure Active Directory Domain Services.

Active Directory Domain Services

Du kan använda önskat Active Directory-omfång för platser och tjänster för Azure NetApp Files. Med det här alternativet kan läsningar och skrivningar till Active Directory Domain Services-domänkontrollanter (ADDS) som är tillgängliga för Azure NetApp Files. Det förhindrar också att tjänsten kommunicerar med domänkontrollanter som inte finns på den angivna Active Directory-platsen Platser och Tjänster.

Om du vill hitta ditt webbplatsnamn när du använder ADDS kan du kontakta den administrativa grupp i din organisation som ansvarar för Active Directory Domain Services. I exemplet nedan visas plugin-programmet Active Directory Sites and Services där platsnamnet visas:

Active Directory Sites and Services

När du konfigurerar en AD-Azure NetApp Files anger du platsnamnet i omfånget för fältet AD-platsnamn.

Azure Active Directory Domain Services

Konfiguration Azure Active Directory (AADDS) och vägledning för Domain Services finns i Azure AD Domain Services dokumentationen.

Ytterligare AADDS-överväganden gäller för Azure NetApp Files:

  • Se till att det virtuella nätverket eller undernätet där AADDS har distribuerats finns i samma Azure-region som Azure NetApp Files distributionen.
  • Om du använder ett annat VNet i den region där Azure NetApp Files har distribuerats bör du skapa en peering mellan de två virtuella nätverken.
  • Azure NetApp Files stöder user - och resource forest -typer.
  • För synkroniseringstyp kan du välja All eller Scoped .
    Om du väljer Scoped ser du till att rätt Azure AD-grupp har valts för åtkomst till SMB-resurser. Om du är osäker kan du använda All synkroniseringstypen.
  • Om du använder AADDS med en volym med dubbla protokoll måste du vara i en anpassad organisationsenhet för att kunna tillämpa POSIX-attribut. Mer information finns i Hantera LDAP POSIX-attribut.

När du skapar en Active Directory-anslutning bör du observera följande för AADDS:

  • Du hittar information om primär DNS,sekundär DNSoch AD DNS-domännamn i AADDS-menyn.
    För DNS-servrar används två IP-adresser för att konfigurera Active Directory-anslutningen.

  • Organisationsenhetssökvägen är .
    Den här inställningen konfigureras i Active Directory-anslutningar under NetApp-konto:

    Organizational unit path

  • Autentiseringsuppgifter för användarnamn kan vara alla användare som är medlemmar i Azure AD-gruppen Azure AD DC-administratörer.

Skapa en Active Directory-anslutning

  1. Från ditt NetApp-konto klickar du på Active Directory-anslutningaroch sedan på Anslut.

    Azure NetApp Files stöder endast en Active Directory-anslutning inom samma region och samma prenumeration. Om Active Directory redan har konfigurerats av ett annat NetApp-konto i samma prenumeration och region kan du inte konfigurera och ansluta till en annan Active Directory från ditt NetApp-konto. Du kan dock aktivera funktionen Delad AD för att tillåta att en Active Directory-konfiguration delas av flera NetApp-konton inom samma prenumeration och i samma region. Se Mappa flera NetApp-konton i samma prenumeration och region till en AD-anslutning.

    Active Directory Connections

  2. I fönstret Anslut till Active Directory anger du följande information, baserat på de Domain Services som du vill använda:

    Information som är specifik för de Domain Services som du använder finns i Bestämma vilka Domain Services som ska användas.

    • Primär DNS
      Det här är den DNS som krävs för Active Directory-domänkopplingen och SMB-autentiseringsåtgärder.

    • Sekundär DNS
      Det här är den sekundära DNS-servern för att säkerställa redundanta namntjänster.

    • AD DNS-domännamn
      Det här är domännamnet för den Active Directory Domain Services som du vill ansluta till.

    • AD-webbplatsnamn
      Det här är det platsnamn som domänkontrollantidentifiering begränsas till. Detta bör matcha platsnamnet i Active Directory-platser och -tjänster.

    • SMB-serverprefix (datorkonto)
      Det här är namnprefixet för datorkontot i Active Directory som Azure NetApp Files ska använda för att skapa nya konton.

      Om namngivningsstandarden som din organisation använder för filservrar till exempel är NAS-01, NAS-02..., NAS-045 anger du "NAS" som prefix.

      Tjänsten skapar ytterligare datorkonton i Active Directory efter behov.

      Viktigt

      Det kan vara störande att byta namn på SMB-serverprefixet när du har skapat Active Directory-anslutningen. Du måste montera om befintliga SMB-resurser när du har byta namn på SMB-serverprefixet.

    • Organisationsenhetssökväg
      Det här är LDAP-sökvägen för organisationsenheten (OU) där SMB-serverdatorkonton skapas. Det vill säga OU=andra nivån, OU=första nivån.

      Om du använder Azure NetApp Files med Azure Active Directory Domain Services är organisationsenhetssökvägen när du konfigurerar OU=AADDC Computers Active Directory för ditt NetApp-konto.

      Join Active Directory

    • AES-kryptering
      Markera den här kryssrutan om du vill aktivera AES-kryptering för AD-autentisering eller om du behöver kryptering för SMB-volymer.

      Se Krav för Active Directory-anslutningar för krav.

      Active Directory AES encryption

      Funktionen AES-kryptering är för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryption
      

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryption
      

      Du kan också använda Azure CLI-kommandon och för att registrera funktionen och visa az feature show registreringsstatus.

    • LDAP-signering
      Markera den här kryssrutan för att aktivera LDAP-signering. Den här funktionen möjliggör säkra LDAP-uppslag mellan Azure NetApp Files-tjänsten och de användar angivna Active Directory Domain Services-domänkontrollanterna. Mer information finns i ADV190023 | Microsofts vägledning för att aktivera LDAP-kanalbindning och LDAP-signering.

      Active Directory LDAP signing

      LDAP-signeringsfunktionen är för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigning
      

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigning
      

      Du kan också använda Azure CLI-kommandon och för att registrera funktionen och visa az feature show registreringsstatus.

    • Användare med säkerhetsbehörighet
      Du kan bevilja säkerhetsbehörighet ( SeSecurityPrivilege ) till användare som kräver utökade privilegier för att få åtkomst Azure NetApp Files volymerna. De angivna användarkontona kommer att kunna utföra vissa åtgärder på Azure NetApp Files SMB-resurser som kräver säkerhetsbehörighet som inte tilldelas som standard till domänanvändare.

      Användarkonton som används för att installera SQL Server i vissa scenarier måste beviljas utökade säkerhetsbehörigheter. Om du använder ett icke-administratörskonto (domän) för att installera SQL Server och kontot inte har tilldelats säkerhetsbehörighet bör du lägga till säkerhetsbehörighet till kontot.

      Viktigt

      Om du använder funktionen Användare av säkerhetsbehörighet måste du skicka en begäran om väntelista via sidan för att skicka Azure NetApp Files SMB Continuous Availability Shares Public Preview. Vänta på ett officiellt bekräftelsemeddelande från Azure NetApp Files innan du använder den här funktionen.

      Den här funktionen är valfri och stöds endast för SQL Server. Domänkontot som används för att SQL Server måste redan finnas innan du lägger till det i fältet Säkerhetsprivilegier. När du lägger SQL Server installationsprogrammets konto till användare med säkerhetsbehörighet kanAzure NetApp Files-tjänsten verifiera kontot genom att kontakta domänkontrollanten. Kommandot kan misslyckas om det inte kan kontakta domänkontrollanten.

      Mer information om och SQL Server finns i SQL Server installationen misslyckas om installationskontot SeSecurityPrivilegeSeSecurityPrivilege

      Screenshot showing the Security privilege users box of Active Directory connections window.

    • Användare av säkerhetskopieringspolicy
      Du kan inkludera ytterligare konton som kräver utökade privilegier till datorkontot som skapats för användning med Azure NetApp Files. De angivna kontona kommer att kunna ändra NTFS-behörigheterna på fil- eller mappnivå. Du kan till exempel ange ett icke-privilegierat tjänstkonto som används för att migrera data till en SMB-filresurs i Azure NetApp Files.

      Active Directory backup policy users

      Funktionen Användare av säkerhetskopieringspolicy finns för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperator
      

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperator
      

      Du kan också använda Azure CLI-kommandon och för att registrera funktionen och visa az feature show registreringsstatus.

    • Administratörer

      Du kan ange användare eller grupper som ska ges administratörsbehörighet på volymen.

      Screenshot that shows the Administrators box of Active Directory connections window.

      Funktionen Administratörer är för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministrators
      

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministrators
      

      Du kan också använda Azure CLI-kommandon och för att registrera funktionen och visa az feature show registreringsstatus.

    • Autentiseringsuppgifter, inklusive ditt användarnamn och lösenord

      Active Directory credentials

  3. Klicka på Anslut.

    Den Active Directory-anslutning som du skapade visas.

    Created Active Directory connections

Mappa flera NetApp-konton i samma prenumeration och region till en AD-anslutning

Med funktionen Delad AD kan alla NetApp-konton dela en Active Directory-anslutning (AD) som skapats av ett av NetApp-kontona som tillhör samma prenumeration och samma region. Med den här funktionen kan till exempel alla NetApp-konton i samma prenumeration och region använda den gemensamma AD-konfigurationenför att skapa en SMB-volym,en NFSv4.1 Kerberos-volymeller en volym med dubbla protokoll. När du använder den här funktionen visas AD-anslutningen i alla NetApp-konton som finns under samma prenumeration och samma region.

Den här funktionen finns för närvarande som en förhandsversion. Du måste registrera funktionen innan du använder den för första gången. Efter registreringen aktiveras funktionen och fungerar i bakgrunden. Ingen ui-kontroll krävs.

  1. Registrera funktionen:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    
  2. Kontrollera status för funktionsregistreringen:

    Anteckning

    RegistrationState kan vara i tillståndet i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registrerad innan du fortsätter.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    

Du kan också använda Azure CLI-kommandon och för att registrera funktionen och visa az feature show registreringsstatus.

Nästa steg