Skapa en volym med dubbla protokoll för Azure NetApp Files

Azure NetApp Files stöder skapande av volymer med NFS (NFSv3 eller NFSv4.1), SMB3 eller dubbla protokoll (NFSv3 och SMB eller NFSv4.1 och SMB). Den här artikeln visar hur du skapar en volym som använder dubbla protokoll med stöd för LDAP-användarmappning.

Information om hur du skapar NFS-volymer finns i Skapa en NFS-volym. Information om hur du skapar SMB-volymer finns i Skapa en SMB-volym.

Innan du börjar

Överväganden

  • Se till att du uppfyller kraven för Active Directory-anslutningar.

  • Skapa ett pcuser konto i Active Directory (AD) och se till att kontot är aktiverat. Det här kontot fungerar som standardanvändare. Den används för att mappa UNIX användare för åtkomst till en volym med dubbla protokoll som konfigurerats med NTFS-säkerhetsstil. Kontot pcuser används endast när det inte finns någon användare i AD. Om en användare har ett konto i AD med POSIX-attributen angivna är det kontot det som används för autentisering och det mappas inte till pcuser kontot.

  • Skapa en omvänd uppslagszon på DNS-servern och lägg sedan till en pekarpost (PTR) för AD-värddatorn i den omvända uppslagszonen. Annars misslyckas volymskapandet med dubbla protokoll.

  • Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar avser att ge tillfällig och tillfällig åtkomst till lokala användare. När det här alternativet är aktiverat slutar användarautentisering och sökning från LDAP-servern att fungera, och antalet gruppmedlemskap som Azure NetApp Files kommer att stödja begränsas till 16. Därför bör du behålla det här alternativet inaktiverat för Active Directory-anslutningar, förutom när en lokal användare behöver komma åt LDAP-aktiverade volymer. I så fall bör du inaktivera det här alternativet så snart lokal användaråtkomst inte längre krävs för volymen. Se Tillåt lokala NFS-användare med LDAP att få åtkomst till en volym med dubbla protokoll om att hantera lokal användaråtkomst.

  • Kontrollera att NFS-klienten är uppdaterad och att de senaste uppdateringarna för operativsystemet används.

  • Volymer med dubbla protokoll stöder både Active Directory Domain Services (ADDS) och Azure Active Directory Domain Services (AADDS).

  • Volymer med dubbla protokoll stöder inte användning av LDAP över TLS med AADDS. Se LDAP över TLS-överväganden.

  • NFS-versionen som används av en volym med dubbla protokoll kan vara NFSv3 eller NFSv4.1. Följande gäller:

    • Dubbla protokoll stöder inte Windows utökade ACLS-attribut set/get från NFS-klienter.

    • NFS-klienter kan inte ändra behörigheter för NTFS-säkerhetsstilen och Windows klienter kan inte ändra behörigheter för volymer med UNIX dubbla protokoll.

      I följande tabell beskrivs säkerhetsformaten och deras effekter:

      Säkerhetsformat Klienter som kan ändra behörigheter Behörigheter som klienter kan använda Resulterande effektiv säkerhetsstil Klienter som har åtkomst till filer
      Unix NFS NFSv3- eller NFSv4.1-lägesbitar UNIX NFS och Windows
      Ntfs Windows ACL:er för NTFS NTFS NFS och Windows
    • I vilken riktning namnmappningen sker (Windows till UNIX eller UNIX till Windows) beror på vilket protokoll som används och vilket säkerhetsformat som tillämpas på en volym. En Windows-klient kräver alltid en Windows-till-UNIX namnmappning. Om en användare tillämpas för att granska behörigheter beror på säkerhetsstilen. Omvänt behöver en NFS-klient bara använda en UNIX-till-Windows namnmappning om NTFS-säkerhetsstilen används.

      I följande tabell beskrivs namnmappningar och säkerhetsformat:

      Protokoll Säkerhetsformat Namnmappningsriktning Behörigheter som tillämpas
      SMB Unix Windows till UNIX UNIX (lägesbitar eller NFSv4.x-ACL:er)
      SMB Ntfs Windows till UNIX ACL:er för NTFS (baserat på Windows SID-åtkomstresurs)
      NFSv3 Unix Ingen UNIX (lägesbitar eller NFSv4.x-ACL:er)

      NFSv4.x-ACL:er kan tillämpas med hjälp av en administrativ NFSv4.x-klient och hanteras av NFSv3-klienter.
      NFS Ntfs UNIX till Windows ACL:er för NTFS (baserat på mappade Windows användar-SID)
  • Funktionen LDAP med utökade grupper stöder dubbla protokoll för både [NFSv3 och SMB] och [NFSv4.1 och SMB] med Unix-säkerhetsstilen. Mer information finns i Konfigurera ADDS LDAP med utökade grupper för NFS-volymåtkomst .

  • Om du har stora topologier och använder Unix-säkerhetsstilen med en volym med dubbla protokoll eller LDAP med utökade grupper bör du använda alternativet LDAP-sökomfång på sidan Active Directory-anslutningar för att undvika "åtkomst nekad"-fel på Linux-klienter för Azure NetApp Files. Mer information finns i Konfigurera ADDS LDAP med utökade grupper för NFS-volymåtkomst .

  • Du behöver inte ett serverrotcertifikatutfärdarcertifikat för att skapa en volym med dubbla protokoll. Det krävs endast om LDAP över TLS är aktiverat.

Skapa en volym med dubbla protokoll

  1. Klicka på bladet Volymer på bladet Kapacitetspooler. Klicka på + Lägg till volym för att skapa en volym.

    Navigate to Volumes

  2. I fönstret Skapa en volym klickar du på Skapa och anger information för följande fält under fliken Grundläggande:

    • Volymnamn
      Ange namnet på den volym du skapar.

      Ett volymnamn måste vara unikt i varje kapacitetspool. Det måste innehålla minst tre tecken. Namnet måste börja med en bokstav. Den kan endast innehålla bokstäver, siffror, understreck ('_') och bindestreck (-).

      Du kan inte använda default eller bin som volymnamn.

    • Kapacitetspool
      Ange den kapacitetspool där du vill att volymen ska skapas.

    • Kvot
      Ange mängden logisk lagring som tilldelas till volymen.

      Fältet Tillgänglig kvot visar mängden outnyttjat utrymme i kapacitetspoolen, som du kan använda för att skapa en ny volym. Storleken på den nya volymen får inte överskrida den tillgängliga kvoten.

    • Dataflöde (MiB/S)
      Om volymen skapas i en manuell QoS-kapacitetspool anger du önskat dataflöde för volymen.

      Om volymen skapas i en automatisk QoS-kapacitetspool är värdet som visas i det här fältet (dataflöde på kvot x servicenivå).

    • Virtuellt nätverk
      Ange det virtuella Azure-nätverk (VNet) som du vill komma åt volymen från.

      Det virtuella nätverk som du anger måste ha ett undernät delegerat till Azure NetApp Files. Azure NetApp Files kan endast nås från samma virtuella nätverk eller från ett virtuellt nätverk som finns i samma region som volymen via VNet-peering. Du kan också komma åt volymen från ditt lokala nätverk via Express Route.

    • Undernät
      Ange det undernät som du vill använda för volymen.
      Det undernät som du anger måste delegeras till Azure NetApp Files.

      Om du inte har delegerat ett undernät kan du klicka på Skapa nytt på sidan Skapa en volym. På sidan Skapa undernät anger du sedan undernätsinformationen och väljer Microsoft.NetApp/volumes för att delegera undernätet för Azure NetApp Files. I varje virtuellt nätverk kan endast ett undernät delegeras till Azure NetApp Files.

      Create a volume

      Create subnet

    • Nätverksfunktioner
      I regioner som stöds kan du ange om du vill använda grundläggande eller standardnätverksfunktioner för volymen. Mer information finns i Konfigurera nätverksfunktioner för en volym och riktlinjer för Azure NetApp Files nätverksplanering.

    • Om du vill tillämpa en befintlig princip för ögonblicksbilder på volymen klickar du på Visa avancerat avsnitt för att expandera den, anger om du vill dölja sökvägen till ögonblicksbilden och väljer en princip för ögonblicksbilder i den nedrullningsfria menyn.

      Information om hur du skapar en princip för ögonblicksbilder finns i Hantera principer för ögonblicksbilder.

      Show advanced selection

  3. Klicka på fliken Protokoll och slutför sedan följande åtgärder:

    • Välj Dubbelprotokoll som protokolltyp för volymen.

    • Ange den Active Directory-anslutning som ska användas.

    • Ange en unik volymsökväg. Den här sökvägen används när du skapar monteringsmål. Kraven för sökvägen är följande:

      • Den måste vara unik i varje undernät i regionen.
      • Den måste börja med ett alfabetiskt tecken.
      • Den kan endast innehålla bokstäver, siffror eller bindestreck (-).
      • Längden får inte överstiga 80 tecken.
    • Ange vilka versioner som ska användas för dubbla protokoll: NFSv4.1 och SMB, eller NFSv3 och SMB.

    • Ange det säkerhetsformat som ska användas: NTFS (standard) eller UNIX.

    • Om du vill aktivera SMB3-protokollkryptering för volymen med dubbla protokoll väljer du Aktivera SMB3-protokollkryptering.

      Den här funktionen möjliggör kryptering endast för SMB3-data under flygning. Den krypterar inte NFSv3-data under flygning. SMB-klienter som inte använder SMB3-kryptering kommer inte att kunna komma åt den här volymen. Vilande data krypteras oavsett den här inställningen. Mer information finns i SMB-kryptering .

    • Om du har valt NFSv4.1 och SMB för volymversionerna med dubbla protokoll anger du om du vill aktivera Kerberos-kryptering för volymen.

      Ytterligare konfigurationer krävs för Kerberos. Följ anvisningarna i Konfigurera NFSv4.1 Kerberos-kryptering.

    • Anpassa Unix-behörigheter efter behov för att ange ändringsbehörigheter för monteringssökvägen. Inställningen gäller inte för filerna under monteringssökvägen. Standardinställningen är 0770. Den här standardinställningen ger läs-, skriv- och körningsbehörigheter till ägaren och gruppen, men inga behörigheter beviljas andra användare.
      Krav och överväganden för registrering gäller för att ange Unix-behörigheter. Följ anvisningarna i Konfigurera Unix-behörigheter och ändra ägarskapsläge.

    • Du kan också konfigurera exportprincipen för volymen.

    Specify dual-protocol

  4. Klicka på Granska + Skapa för att granska volyminformationen. Klicka sedan på Skapa för att skapa volymen.

    Volymen som du skapade visas på sidan Volymer.

    En volym ärver prenumeration, resursgrupp och platsattribut från kapacitetspoolen. Du kan övervaka volymdistributionsstatusen via fliken Meddelanden.

Tillåt lokala NFS-användare med LDAP att få åtkomst till en volym med dubbla protokoll

Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar gör det möjligt för lokala NFS-klientanvändare som inte finns på Windows LDAP-servern att få åtkomst till en volym med dubbla protokoll som har LDAP med utökade grupper aktiverade.

Anteckning

Innan du aktiverar det här alternativet bör du förstå övervägandena.
Alternativet Tillåt lokala NFS-användare med LDAP är en del av funktionen LDAP med utökade grupper och kräver registrering. Mer information finns i Konfigurera ADDS LDAP med utökade grupper för NFS-volymåtkomst .

  1. Klicka på Active Directory-anslutningar. På en befintlig Active Directory-anslutning klickar du på snabbmenyn (de tre punkterna ) och väljer Redigera.

  2. I fönstret Redigera Active Directory-inställningar som visas väljer du alternativet Tillåt lokala NFS-användare med LDAP .

    Screenshot that shows the Allow local NFS users with LDAP option

Hantera LDAP POSIX-attribut

Du kan hantera POSIX-attribut som UID, Home Directory och andra värden med hjälp av Active Directory - användare och datorer MMC-snapin-modul. I följande exempel visas Active Directory-attributredigeraren:

Active Directory Attribute Editor

Du måste ange följande attribut för LDAP-användare och LDAP-grupper:

  • Obligatoriska attribut för LDAP-användare:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Obligatoriska attribut för LDAP-grupper:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Alla användare och grupper måste ha unika uidNumbergidNumberrespektive .

De värden som anges för objectClass är separata poster. I Strängredigeraren objectClass med flera värden skulle till exempel separata värden (user och posixAccount) anges på följande sätt för LDAP-användare:

Screenshot of Multi-valued String Editor that shows multiple values specified for Object Class.

Azure Active Directory Domain Services (AADDS) tillåter inte att du ändrar POSIX-attribut för användare och grupper som skapats i organisationens AADDC Users OU. Som en lösning kan du skapa en anpassad organisationsenhet och skapa användare och grupper i den anpassade organisationsenheten.

Om du synkroniserar användare och grupper i din Azure AD-innehavare till användare och grupper i organisationsenheten för AADDC-användare kan du inte flytta användare och grupper till en anpassad organisationsenhet. Användare och grupper som skapats i den anpassade organisationsenheten synkroniseras inte med din AD-innehavare. Mer information finns i AADDS Custom OU Considerations and Limitations (AADDS Custom OU Considerations and Limitations).

Åtkomst till Active Directory-attributredigeraren

I ett Windows system kan du komma åt Active Directory-attributredigeraren på följande sätt:

  1. Klicka på Start, gå till Windows Administrationsverktyg och klicka sedan på Active Directory - användare och datorer för att öppna fönstret Active Directory - användare och datorer.
  2. Klicka på det domännamn som du vill visa och expandera sedan innehållet.
  3. Om du vill visa den avancerade attributredigeraren aktiverar du alternativet Avancerade funktioner på menyn Visa Active Directory-användares datorer.
    Screenshot that shows how to access the Attribute Editor Advanced Features menu.
  4. Dubbelklicka på Användare i det vänstra fönstret för att se listan över användare.
  5. Dubbelklicka på en viss användare för att se fliken Attributredigerare .

Konfigurera NFS-klienten

Följ anvisningarna i Konfigurera en NFS-klient för Azure NetApp Files för att konfigurera NFS-klienten.

Nästa steg