Azure NetApp Files için Active Directory bağlantıları oluşturma ve yönetme
Bazı Azure NetApp Files Active Directory bağlantınız olması gerekir. Örneğin, bir SMBbirimi, NFSv4.1 Kerberosbirimi veya çift protokol birimi oluşturamadan önce bir Active Directory bağlantınız olmalıdır. Bu makalede, active directory bağlantıları oluşturma ve yönetme hakkında bilgi Azure NetApp Files.
Başlamadan önce
- Zaten bir kapasite havuzu ayarlamış olmalısınız. Bkz. Kapasite havuzu oluşturma.
- Bir alt ağ, Azure NetApp Files. Bkz. Azure NetApp Files için bir alt ağı temsilci olarak belirleme.
Active Directory bağlantıları için gereksinimler ve önemli noktalar
Abonelik başına ve bölge başına yalnızca bir Active Directory (AD) bağlantısı yapılandırabilirsiniz.
Azure NetApp Files, AD bağlantıları farklı NetApp hesaplarında olsa bile tek bir bölgede birden çok AD bağlantısı desteklemez. Ancak, AD bağlantıları farklı bölgelerde yer alan tek bir abonelikte birden çok AD bağlantınız olabilir. Tek bir bölgede birden çok AD bağlantısına ihtiyacınız varsa, bunu yapmak için ayrı abonelikler kullanabilirsiniz.
AD bağlantısı yalnızca içinde oluşturulan NetApp hesabı üzerinden görünür. Ancak, aynı abonelikte ve aynı bölgede yer alan NetApp hesaplarının NetApp hesaplarından biri içinde oluşturulan bir AD sunucusunu kullanmasına izin vermek için Paylaşılan AD özelliğini etkinleştirebilirsiniz. Bkz. Aynı abonelikte ve bölgede yer alan birden çok NetApp hesabını bir AD bağlantısıyla eşleme. Bu özelliği etkinleştiren AD bağlantısı, aynı abonelikte ve aynı bölgede yer alan tüm NetApp hesaplarında görünür hale gelir.
Kullanmakta olduğu yönetici hesabının, belirttiğiniz kuruluş birimi (OU) yolunda makine hesapları oluşturma yeteneğine sahip olması gerekir.
Azure NetApp Files'de kullanılan Active Directory kullanıcı hesabının parolasını değiştirirseniz, Active Directory Bağlantıları'Azure NetApp Files yapılandırılan parolayı güncelleştirin. Aksi takdirde, yeni birimler oluşturasınız ve var olan birimlere erişiminiz kuruluma bağlı olarak da etkilenebilir.
Uygun bağlantı noktalarının Active Directory (AD) Windows açık olması gerekir.
Gerekli bağlantı noktaları aşağıdaki gibidir:Hizmet Bağlantı noktası Protokol AD Web Hizmetleri 9389 TCP DNS 53 TCP DNS 53 UDP ICMPv4 Yok Yankı Yanıtı Kerberos 464 TCP Kerberos 464 UDP Kerberos 88 TCP Kerberos 88 UDP LDAP 389 TCP LDAP 389 UDP LDAP 3268 TCP NetBIOS adı 138 UDP SAM/LSA 445 TCP SAM/LSA 445 UDP w32time 123 UDP Hedeflenen sanal ağ için site topolojisi Active Directory Domain Services özellikle de sanal ağların dağıtılacağı Azure sanal ağı Azure NetApp Files uymalıdır.
Sanal ağın dağıtılacağı adres alanı Azure NetApp Files yeni veya mevcut bir Active Directory sitesine eklenmiştir (etki alanı denetleyicisine sanal ağ tarafından Azure NetApp Files gerekir).
Belirtilen DNS sunucularına, etki alanı için temsilci alt ağın Azure NetApp Files.
Desteklenen ağ topolojileri Azure NetApp Files ağ planlaması için yönergelere bakın.
Ağ Güvenlik Grupları (NSG'ler) ve güvenlik duvarları, Active Directory ve DNS trafik isteklerine izin verecek şekilde uygun şekilde yapılandırılmış kurallara sahip olmalıdır.
Temsilci Azure NetApp Files alt ağı, tüm yerel ve uzak etki alanı denetleyicileri dahil olmak Active Directory Domain Services etki alanı denetleyicilerinin (ADDS) tüm etki alanı denetleyicilerine ulaşmalıdır. Aksi takdirde hizmet kesintisi oluşabilir.
Temsilci alt ağı tarafından erişilememiş etki Azure NetApp Files etki alanı denetleyicileriniz varsa, Active Directory bağlantısının oluşturulması sırasında bir Active Directory sitesi belirtebilirsiniz. Azure NetApp Files alt ağ adres alanının temsilci olarak temsilci olarak seçen site Azure NetApp Files etki alanı denetleyicileriyle iletişim kurması gerekir.
Bkz. AD siteleri ve hizmetleri hakkında site topolojisi tasarlama.
Active Directory'ye Katıl penceresindeki AES Şifreleme kutusunu işaret ederek AD Kimlik Doğrulaması için AES şifrelemeyi etkinleştirebilirsiniz. Azure NetApp Files DES, Kerberos AES 128 ve Kerberos AES 256 şifreleme türlerini (en az güvenliden en güvenliye kadar) destekler. AES şifrelemeyi etkinleştirirseniz, Active Directory'ye katılmak için kullanılan kullanıcı kimlik bilgilerinin, Active Directory'niz için etkinleştirilen özelliklerle eşleşen en yüksek karşılık gelen hesap seçeneği etkin olmalıdır.
Örneğin, Active Directory'niz yalnızca AES-128 özelliğine sahipse, kullanıcı kimlik bilgileri için AES-128 hesabı seçeneğini etkinleştirmeniz gerekir. Active Directory'niz AES-256 özelliğine sahipse AES-256 hesap seçeneğini (AES-128'i de destekler) etkinleştirmeniz gerekir. Active Directory'niz herhangi bir Kerberos şifreleme özelliğine sahip Azure NetApp Files DES kullanır.
Hesap seçeneklerini, Active Directory Kullanıcıları ve Bilgisayarları Microsoft Yönetim Konsolu (MMC) Active Directory Kullanıcıları ve Bilgisayarları Microsoft Yönetim Konsolu etkinleştirebilirsiniz:
Azure NetApp Files, Azure NetApp Files hizmeti ile hedeflenen Active Directory etki alanı denetleyicileri arasında LDAP trafiğinin güvenli bir şekilde iletimini sağlayan LDAP imzalamasını destekler. LDAP imzalama için Microsoft Danışmanlık ADV190023'ü takip ediyorsanız, Active Directory'ye Katıl penceresinde LDAP İmzalama kutusunu işaretlayarak ldap imzalama özelliğini Azure NetApp Files'de etkinleştirmeniz gerekir.
LDAP kanalı bağlama yapılandırmasının tek başına Azure NetApp Files yoktur. Ancak, hem LDAP kanal bağlaması hem de güvenli LDAP (örneğin, LDAPS veya
start_tls) kullanırsanız, SMB birim oluşturma işlemi başarısız olur.AD ile tümleşik olmayan DNS'ler için, "kolay ad" kullanarak Azure NetApp Files bir DNS A/PTR kaydı eklemeniz gerekir.
Aşağıdaki tabloda LDAP önbelleği için Yaşam Süresi (TTL) ayarları açıklandı. İstemci aracılığıyla bir dosyaya veya dizine erişmeye çalışmadan önce önbelleğin yenilenmesine kadar beklemeniz gerekir. Aksi takdirde, istemcide bir erişim veya izin reddedildi iletisi görüntülenir.
Hata koşulu Çözüm Önbellek Varsayılan Zaman Aşımı Grup üyeliği listesi 24 saatlik TTL Unix grupları 24 saatlik TTL, 1 dakikalık negatif TTL Unix kullanıcıları 24 saatlik TTL, 1 dakikalık negatif TTL Önbelleklerin Yaşam Süresi adlı belirli bir zaman aşımı süresi vardır. Zaman aşımı süresi dolsa da girişler eskir ve bu nedenle eski girişler kalmaz. Negatif TTL değeri, mevcut olmayan nesneler için LDAP sorgularından dolayı performans sorunlarını önlemeye yardımcı olmak için başarısız olan bir aramanın bulunduğu yerdir."
Hangi Etki Alanı Hizmetleri'nin kullanımına karar verme
Azure NetApp Files AD bağlantıları Active Directory Domain Services (ADDS) ve Azure Active Directory Etki Alanı Hizmetleri'nin (AADDS) her ikisini de destekler. AD bağlantısı oluşturmadan önce ADDS veya AADDS kullanmaya karar verebilirsiniz.
Daha fazla bilgi için bkz. Etki Alanı Hizmetleri'Active Directory Domain Services, Azure Active Directory ve yönetilen Azure Active Directory karşılaştırma.
Active Directory Domain Services
Daha fazla bilgi için tercih ettiğiniz Active Directory Siteleri ve Hizmetleri Azure NetApp Files. Bu seçenek, Active Directory Domain Services tarafından erişilebilen Active Directory Domain Services (ADDS) etki alanı denetleyicilerine okuma ve yazma Azure NetApp Files. Ayrıca, hizmetin belirtilen Active Directory Siteleri ve Hizmetleri sitesinde yer alan etki alanı denetleyicileriyle iletişim kurmasını da önler.
ADDS'i kullanarak sitenizin adını bulmak için, kuruluşta bulunan ve bu işlemden sorumlu olan yönetim Active Directory Domain Services. Aşağıdaki örnekte site adının görüntüleniyor olduğu Active Directory Siteleri ve Hizmetleri eklentisi gösterilmiştir:
Bir ad bağlantısı Azure NetApp Files, AD Site Adı alanı için kapsam olarak site adını belirtirsiniz.
Azure Active Directory Domain Services
Etki Azure Active Directory (AADDS) yapılandırması ve rehberi için bkz. Azure AD Domain Services..
AADDS ile ilgili dikkat edilmesi gereken diğer noktalar Azure NetApp Files:
- AADDS'nin dağıtılacağı sanal ağın veya alt ağın dağıtımla aynı Azure bölgesinde olduğundan Azure NetApp Files olun.
- Sanal ağların dağıtılacağı bölgede başka bir Azure NetApp Files, iki sanal ağ arasında eşleme oluşturmanız gerekir.
- Azure NetApp Files ve
usertürleriniresource forestdestekler. - Eşitleme türü için veya öğesini
AllScopedseçin.
öğesiniScopedseçerse, SMB paylaşımlara erişmek için doğru Azure AD grubunun seçildiğinden emin olun. Kesin değilsanız eşitleme türünüAllkullanabilirsiniz. - Çift protokol birimiyle AADDS kullanıyorsanız POSIX özniteliklerini uygulamak için özel bir OU'da yer alasanız. Ayrıntılar için bkz. LDAP POSIX Özniteliklerini Yönetme.
Bir Active Directory bağlantısı oluşturdukta, AADDS için aşağıdaki özellikleri not edin:
Birincil DNS, İkincil DNS ve AD DNS Etki Alanı Adı bilgilerini AADDS menüsünde bulabilirsiniz.
DNS sunucuları için, Active Directory bağlantısını yapılandırmak için iki IP adresi kullanılır.Kuruluş birimi yolu:
OU=AADDC Computers.
Bu ayar, NetApp Hesabı altındaki Active Directory Bağlantıları'da yapılandırılır:
Kullanıcı adı kimlik bilgileri, Azure AD DC Yöneticileri Azure AD grubunun üyesi olan herhangi bir kullanıcı olabilir.
Active Directory bağlantısı oluşturma
NetApp hesabınızla Active Directory bağlantıları'nın ardından Katıl'a tıklayın.
Azure NetApp Files aynı bölge ve aynı abonelik içinde yalnızca bir Active Directory bağlantısını destekler. Active Directory aynı abonelikte ve bölgede başka bir NetApp hesabı tarafından zaten yapılandırılmışsa, NetApp hesabınızla farklı bir Active Directory yapılandıramaz ve buna katılamazsınız. Ancak, Bir Active Directory yapılandırmasının aynı abonelikte ve aynı bölgede yer alan birden çok NetApp hesabı tarafından paylaşılmasına izin vermek için Paylaşılan AD özelliğini etkinleştirebilirsiniz. Bkz. Aynı abonelikte ve bölgede yer alan birden çok NetApp hesabını bir AD bağlantısıyla eşleme.
Active Directory'ye Katıl penceresinde, kullanmak istediğiniz Etki Alanı Hizmetleri'ne göre aşağıdaki bilgileri sağlar:
Etki Alanı Hizmetleri'ne özgü bilgiler için bkz. Hangi Etki Alanı Hizmetleri'nin kullanımına karar verme.
Birincil DNS
Bu, Active Directory etki alanına katılma ve SMB kimlik doğrulama işlemleri için gereken DNS'tir.İkincil DNS
Bu, yedekli ad hizmetlerini sağlamaya yönelik ikincil DNS sunucusudur.AD DNS Etki Alanı Adı
Bu, katılmak istediğiniz Active Directory Domain Services etki alanı adıdır.AD Site Adı
Bu, etki alanı denetleyicisi bulmanın sınırlı olduğu site adıdır. Bu, Active Directory Siteleri ve Hizmetleri'nin site adıyla eşleşmeli.SMB sunucusu (bilgisayar hesabı) ön eki
Bu, Active Directory'de yeni hesap oluşturmak için Azure NetApp Files makine hesabının adlandırma ön ekidir.Örneğin, kuruluş dosya sunucuları için kullandığı adlandırma standardı NAS-01, NAS-02... ve NAS-045 ise ön ek için "NAS" girersiniz.
Hizmet gerektiğinde Active Directory'de ek makine hesapları oluşturacak.
Önemli
Active Directory bağlantısını oluşturduk sonra SMB sunucusu ön ekini yeniden adlandırarak kesintiye neden olur. SMB sunucusu ön eklerini yeniden adlandırdikten sonra mevcut SMB paylaşımlarını yeniden bağlamanız gerekir.
Kuruluş birimi yolu
Bu, SMB sunucu makinesi hesaplarının oluşturulacak kuruluş birimi (OU) için LDAP yoludur. Yani OU=ikinci düzey, OU=birinci düzey.Etki Alanı Hizmetleri'Azure NetApp Files Azure Active Directory kullanıyorsanız, kuruluş birimi yolu NetApp hesabınız için
OU=AADDC ComputersActive Directory'yi yapılandırıldığında olur.
AES Şifrelemesi
AD kimlik doğrulaması için AES şifrelemeyi etkinleştirmek veya SMB birimleri için şifrelemeye ihtiyaç ediyorsanız bu onay kutusunu işaretleyin.Gereksinimler için bkz. Active Directory bağlantıları için gereksinimler.
AES Şifrelemesi özelliği şu anda önizlemededir. Bu özelliği ilk kez kullanıyorsanız, kullanmadan önce özelliği kaydedin:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryptionÖzellik kaydının durumunu kontrol edin:
Not
RegistrationState, olarak değiştirmeden
Registeringönce 60 dakika kadar bu durumdaRegisteredolabilir. Devam etmeden önce durum olanaRegisteredkadar bekleyin.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAesEncryptionÖzelliği kaydetmek ve kayıt durumunu görüntülemek için Azure CLI
az feature registeraz feature showkomutlarını da kullanabilirsiniz.LDAP İmzalama
LDAP imzalamayı etkinleştirmek için bu onay kutusunu seçin. Bu işlevsellik, Azure NetApp Files hizmeti ile kullanıcı tarafından belirtilen etki alanı denetleyicileri arasında güvenli LDAP Active Directory Domain Services sağlar. Daha fazla bilgi için bkz. ADV190023 | LDAP Kanal Bağlama ve LDAP İmzalama'nın Etkinleştirilmesi için Microsoft Kılavuzu.
LDAP İmzalama özelliği şu anda önizlemededir. Bu özelliği ilk kez kullanıyorsanız, kullanmadan önce özelliği kaydedin:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigningÖzellik kaydının durumunu kontrol edin:
Not
RegistrationState, olarak değiştirmeden
Registeringönce 60 dakika kadar bu durumdaRegisteredolabilir. Devam etmeden önce durum olanaRegisteredkadar bekleyin.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFLdapSigningÖzelliği kaydetmek ve kayıt durumunu görüntülemek için Azure CLI
az feature registeraz feature showkomutlarını da kullanabilirsiniz.Güvenlik ayrıcalığı kullanıcıları
Bu birimlere erişmek için yükseltilmiş ayrıcalık gerektiren kullanıcılara güvenlikSeSecurityPrivilegeayrıcalığı ( ) Azure NetApp Files veebilirsiniz. Belirtilen kullanıcı hesaplarının, etki alanı kullanıcılarına varsayılan olarak Azure NetApp Files ayrıcalık gerektiren SMB paylaşımlarında belirli eylemleri gerçekleştirmesine izin verilir.Örneğin, belirli senaryolarda SQL Server için kullanılan kullanıcı hesaplarına yükseltilmiş güvenlik ayrıcalığı ver gerekir. SQL Server yüklemek için yönetici olmayan (etki alanı) hesabı kullanıyorsanız ve hesabın atanmış güvenlik ayrıcalığı yoksa, hesaba güvenlik ayrıcalığı eklemeniz gerekir.
Önemli
Güvenlik ayrıcalığı kullanıcıları özelliğini kullanmak için SMB Sürekli Kullanılabilirlik Paylaşımları Genel Önizleme bekleme Azure NetApp Files gönderme sayfasından bir bekleme listesi isteği göndermeniz gerekir. Bu özelliği kullanmadan önce Azure NetApp Files bir onay e-postası bekleyin.
Bu özelliğin kullanımı isteğe bağlıdır ve yalnızca SQL Server. Güvenlik ayrıcalığı kullanıcıları alanına SQL Server için kullanılan etki alanı hesabının zaten mevcut olması gerekir. SQL Server yükleyicinin hesabını Güvenlik ayrıcalığı kullanıcılarına eklerken, Azure NetApp Files hizmeti etki alanı denetleyicisiyle iletişim kurarak hesabı doğrular. Etki alanı denetleyicisiyle iletişim kuramazsa komut başarısız olabilir.
ve hakkında daha fazla SQL Server için, SQL Server hesabın belirli kullanıcı hakları yoksa yükleme başarısız
SeSecurityPrivilegeolur.
Yedekleme ilkesi kullanıcıları
Yükseltilmiş ayrıcalıklar gerektiren ek hesapları, kullanıcı hesabıyla kullanım için oluşturulan bilgisayar hesabına Azure NetApp Files. Belirtilen hesapların dosya veya klasör düzeyinde NTFS izinlerini değiştirmesine izin verilir. Örneğin, veri paylaşımında bir SMB dosya paylaşımına veri Azure NetApp Files.
Yedekleme ilkesi kullanıcıları özelliği şu anda önizlemededir. Bu özelliği ilk kez kullanıyorsanız, kullanmadan önce özelliği kaydedin:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperatorÖzellik kaydının durumunu kontrol edin:
Not
RegistrationState, olarak değiştirmeden
Registeringönce 60 dakika kadar bu durumdaRegisteredolabilir. Devam etmeden önce durum olanaRegisteredkadar bekleyin.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFBackupOperatorÖzelliği kaydetmek ve kayıt durumunu görüntülemek için Azure CLI
az feature registeraz feature showkomutlarını da kullanabilirsiniz.Yöneticiler
Birim üzerinde yönetici ayrıcalıkları verilecek kullanıcıları veya grupları belirtebilirsiniz.
Yöneticiler özelliği şu anda önizlemededir. Bu özelliği ilk kez kullanıyorsanız, kullanmadan önce özelliği kaydedin:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministratorsÖzellik kaydının durumunu kontrol edin:
Not
RegistrationState, olarak değiştirmeden
Registeringönce 60 dakika kadar bu durumdaRegisteredolabilir. Devam etmeden önce durum olanaRegisteredkadar bekleyin.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFAdAdministratorsÖzelliği kaydetmek ve kayıt durumunu görüntülemek için Azure CLI
az feature registeraz feature showkomutlarını da kullanabilirsiniz.Kullanıcı adınız ve parolanız da dahil olmak üzere kimlik bilgileri
Katıl’a tıklayın.
Oluşturduğunuz Active Directory bağlantısı görüntülenir.
Aynı abonelikte ve bölgede yer alan birden çok NetApp hesabını bir AD bağlantısına eşleme
Paylaşılan AD özelliği, tüm NetApp hesaplarının aynı aboneliğe ve aynı bölgeye ait NetApp hesaplarından biri tarafından oluşturulan bir Active Directory (AD) bağlantısını paylaşmalarına olanak sağlar. Örneğin, bu özelliği kullanarak, aynı abonelik ve bölgedeki tüm NetApp hesapları ortak AD yapılandırmasını kullanarak bir SMBbirimi, NFSv4.1 Kerberosbirimi veya çift protokol birimi oluşturabilir. Bu özelliği kullanırsanız, AD bağlantısı aynı abonelikte ve aynı bölgede yer alan tüm NetApp hesaplarında görünür.
Bu özellik şu anda önizleme sürümündedir. Özelliği ilk kez kullanmadan önce kaydetmelisiniz. Kayıt sonrasında özellik etkinleştirilir ve arka planda çalışır. Kullanıcı arabirimi denetimi gerekmez.
Özelliği kaydetme:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedADÖzellik kaydının durumunu kontrol edin:
Not
RegistrationState, olarak değiştirmeden
Registeringönce 60 dakika kadar bu durumdaRegisteredolabilir. Devam etmeden önce durum Kayıtlı olana kadar bekleyin.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
Özelliği kaydetmek ve kayıt durumunu görüntülemek için Azure CLI az feature register az feature show komutlarını da kullanabilirsiniz.