Creare e gestire connessioni Active Directory per Azure NetApp Files

Diverse funzionalità di Azure NetApp Files richiedono una connessione Active Directory. Ad esempio, è necessario avere una connessione Active Directory prima di creare un volume Kerberos SMB, un volume Kerberos NFSv4.1 o un volume dual-protocol. Questo articolo illustra come creare e gestire le connessioni Active Directory per Azure NetApp Files.

Requisiti e considerazioni per le connessioni Active Directory

• È necessario creare un account Azure NetApp Files nell'area in cui devono essere distribuiti i volumi Azure NetApp Files.

• Azure NetApp Files, per impostazione predefinita, consente una connessione Active Directory (AD) per sottoscrizione e account. È possibile modificare il valore predefinito creare una connessione Active Directory per ogni account NetApp.

• L'account amministratore di connessione di Azure NetApp Files AD deve avere le proprietà seguenti:

  • Deve essere un account utente di dominio Active Directory Domain Services nello stesso dominio in cui vengono creati gli account computer Azure NetApp Files.
  • Deve disporre di autorizzazione per creare account computer (ad esempio, aggiunta a un dominio di Active Directory) nel percorso dell'unità organizzativa di Active Directory Domain Services specificato nell'opzione Percorso unità organizzativa della connessione ad Active Directory.
  • Non può essere un account del servizio gestito di gruppo.

• L'account amministratore di connessione di Active Directory supporta i metodi di crittografia Kerberos AES-128 e Kerberos AES-256 per l'autenticazione con i Servizi di dominio di Active Directory per la creazione di account computer di Azure NetApp Files (ad esempio, operazioni di join del dominio AD).

• Per abilitare la crittografia AES, è necessario abilitare prima AES-128, AES-256, RC4 e DES sui tipi di crittografia Active Directory (AD) e quindi abilitare AES nel piano di controllo. È necessario abilitare prima la crittografia in Active Directory.

• Per abilitare il supporto della crittografia AES per l'account amministratore nella connessione AD, eseguire i comandi di PowerShell seguenti Active Directory:

  Get-ADUser -Identity <ANF AD connection account username>
  Set-ADUser -KerberosEncryptionType <encryption_type>
  

  KerberosEncryptionType è un parametro multivalore che supporta i valori DES, RC4, AES-128 e AES-256.

  Per altre informazioni, vedere la documentazione di Set-ADUser.

• Per abilitare la crittografia AES nell'account amministratore della connessione per Azure NetApp Files, è necessario usare un account utente di dominio di Active Directory membro di uno dei seguenti gruppi di Active Directory Domain Services:

  • Amministratori di Dominio
  • Amministratori aziendali
  • Administrators
  • Operatori account
  • Microsoft Entra Domain Services Administrators (solo Microsoft Entra Domain Services)
  • In alternativa, è anche possibile usare un account utente di dominio Active Directory con autorizzazione di scrittura msDS-SupportedEncryptionTypes per l'account amministratore della connessione AD per impostare la proprietà tipo di crittografia Kerberos nell'account amministratore della connessione AD.

  Note

  Quando si modifica l'impostazione per abilitare AES nell'account amministratore della connessione ad AD, è consigliabile usare un account utente con autorizzazione di scrittura per l'oggetto AD che non è l'amministratore di AD Azure NetApp Files. È possibile farlo con un altro account amministratore di dominio o delegando il controllo a un account. Per altre informazioni, vedere Delega dell'amministrazione tramite l'uso di oggetti OU.

  Se si imposta la crittografia Kerberos AES-128 e AES-256 nell'account amministratore della connessione AD, il client Windows negozia il livello di crittografia più elevato supportato da Active Directory Domain Services. Ad esempio, se sono supportati sia AES-128 che AES-256 e il client supporta AES-256, verrà usato AES-256.

• Se si modifica l'indirizzo IP del Centro di distribuzione Kerberos (KDC) o il nome del server AD, è necessario attendere che la durata del ticket Kerberos termini per montare il volume sullo stesso client NFS Linux. La durata del ticket Kerberos può essere configurata sia nel client che nel KDC. Per impostazione predefinita, Microsoft Active Directory imposta la durata del ticket Kerberos su 600 minuti (10 ore).
Per altre informazioni, vedere Durata massima per il ticket di servizio.

• Se è necessario abilitare e disabilitare determinati tipi di crittografia Kerberos per Active Directory account computer per gli host di Windows aggiunti a un dominio usati con Azure NetApp Files, è necessario usare i Criteri di gruppo Network Security: Configure Encryption types allowed for Kerberos.

  Non impostare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes. In questo modo l'autenticazione Kerberos verrà interrotta con Azure NetApp Files per l'host Windows in cui è stata impostata manualmente questa chiave del Registro di sistema.

  Note

  L'impostazione predefinita dei criteri per Network Security: Configure Encryption types allowed for Kerberos è Not Defined. Quando questa impostazione di criterio è impostata su Not Defined, tutti i tipi di crittografia tranne DES saranno disponibili per la crittografia Kerberos. È possibile abilitare il supporto solo per determinati tipi di crittografia Kerberos, ad esempio AES128_HMAC_SHA1 o AES256_HMAC_SHA1. Tuttavia, i criteri predefiniti devono essere sufficienti nella maggior parte dei casi quando si abilita il supporto della crittografia AES con Azure NetApp Files.

  Per altre informazioni, vedere Sicurezza: Configurare i tipi di crittografia consentiti per Kerberos o Configurazioni Windows per i tipi di crittografia supportati di Kerberos

• Le interrogazioni LDAP hanno effetto solo nel dominio specificato nelle connessioni di Active Directory (il campo Nome DNS AD). Questo comportamento si applica ai volumi NFS, SMB e dual protocol.

• Timeout delle query LDAP

  Per impostazione predefinita, le query LDAP vanno in timeout se non possono essere completate in modo tempestivo. Se una query LDAP non riesce a causa di un timeout, la ricerca dell'utente e/o del gruppo avrà esito negativo e l'accesso al volume Azure NetApp Files potrebbe essere negato, a seconda delle impostazioni di autorizzazione del volume.

  I timeout delle query possono verificarsi in ambienti LDAP di grandi dimensioni con molti oggetti utente e gruppo, su connessioni WAN lente e se un server LDAP viene sovrautilizzato con le richieste. Azure NetApp Files ha l'impostazione di timeout per le query LDAP fissata a 10 secondi. Valutare la possibilità di sfruttare le funzionalità DN utente e gruppo nella connessione Active Directory per il server LDAP per filtrare le ricerche se si verificano problemi di timeout delle query LDAP.

Account NetApp e tipo di Active Directory

È possibile usare la pagina di panoramica dell'account NetApp per confermare il tipo di account Active Directory. Esistono tre valori per il tipo di AD:

• NA: account NetApp esistente che supporta una sola configurazione di AD per sottoscrizione e area. La configurazione di AD non è condivisa con altri account NetApp nella sottoscrizione.

• Multi AD: l'account NetApp supporta una configurazione AD in ogni account NetApp nella sottoscrizione. Ciò consente di avere più di una connessione AD per ogni sottoscrizione quando si usano più account NetApp.

  Note

  Assicurarsi di usare l'API versione 2024-11-01 o successiva per usare Multi AD.

• AD condivisa: l'account NetApp supporta una sola configurazione di AD per sottoscrizione e area, ma la configurazione viene condivisa tra gli account NetApp nella sottoscrizione e nell'area.

Per altre informazioni sulla relazione tra account NetApp e sottoscrizioni, vedere Gerarchia di archiviazione di Azure NetApp Files.

Creare una connessione Active Directory

1. Dall'account NetApp selezionare connessioni Active Directory quindi Unisci.

   

   Note

   Per impostazione predefinita, Azure NetApp Files supporta una sola connessione Active Directory all'interno della stessa area e della stessa sottoscrizione. È possibile modificare questa impostazione per creare una connessione Active Directory per ogni account NetApp.

2. Nella finestra Join Active Directory specificare le informazioni seguenti, in base ai servizi di dominio che si desidera usare:

   • DNS primario (obbligatorio)
     Questo è l'indirizzo IP del server DNS primario necessario per Active Directory operazioni di aggiunta al dominio, autenticazione SMB, Kerberos e LDAP.

   • DNS secondario
     Questo è l'indirizzo IP del server DNS secondario necessario per le operazioni di aggiunta al dominio Active Directory, l'autenticazione SMB, Kerberos e le operazioni LDAP.

     Note

     È consigliabile configurare un server DNS secondario. Consulta Linee guida per comprendere la progettazione del sito e pianificazione per Active Directory Domain Services su Azure NetApp Files. Assicurarsi che la configurazione del server DNS soddisfi i requisiti per Azure NetApp Files. In caso contrario, le operazioni del servizio Azure NetApp Files, l'autenticazione SMB, Kerberos o LDAP potrebbero non riuscire.

     Se si usa Microsoft Entra Domain Services, usare rispettivamente gli indirizzi IP dei controller di dominio Microsoft Entra Domain Services per DNS primario e DNS secondario.

   • Nome di dominio DNS di AD (obbligatorio)
     Questo è il nome di dominio completo dei Servizi di dominio di Active Directory (AD DS) usati con Azure NetApp Files (ad esempio, contoso.com).

   • Nome sito AD (obbligatorio)
     Si tratta del nome del sito di Active Directory Domain Services usato Azure NetApp Files per l'individuazione del controller di dominio.

     Il nome del sito predefinito per Active Directory Domain Services e Microsoft Entra Domain Services è Default-First-Site-Name. Se si desidera rinominare del sito, seguire le convenzioni di denominazione per i nomi dei siti.

     Note

     Consulta Linee guida per comprendere la progettazione del sito e pianificazione per Active Directory Domain Services su Azure NetApp Files. Assicurarsi che la progettazione e la configurazione del sito di Active Directory Domain Services soddisfino i requisiti per Azure NetApp Files. In caso contrario, le operazioni del servizio Azure NetApp Files, l'autenticazione SMB, Kerberos o LDAP potrebbero non riuscire.

   • Prefisso del server SMB (account computer) (obbligatorio)
     Questo è il prefisso di denominazione per i nuovi account computer creati in AD DS per i volumi di Azure NetApp Files, SMB, protocollo duale e NFSv4.1 Kerberos.

     Ad esempio, se lo standard di denominazione usato dall'organizzazione per i servizi file è NAS-01, NAS-02 e così via, si userà NAS per il prefisso.

     Azure NetApp Files creerà account computer aggiuntivi in Servizi di dominio Active Directory in base alle esigenze.

     Important

     La rinominazione del prefisso del server SMB dopo la creazione della connessione Active Directory è problematica. È necessario montare nuovamente le condivisioni SMB esistenti dopo la ridenominazione del prefisso del server SMB.

   • Percorso unità organizzativa
     Si tratta del percorso LDAP per l'unità organizzativa (OU) in cui verranno creati gli account computer server SMB. ovvero OU=second level, OU=first level. Ad esempio, se si vuole usare un'unità organizzativa denominata ANF creata nella radice del dominio, il valore sarà OU=ANF.

     Se non viene specificato alcun valore, Azure NetApp Files usa il contenitore CN=Computers.

     Se si usa Azure NetApp Files con Microsoft Entra Domain Services, il percorso dell'unità organizzativa è OU=AADDC Computers

     

   • Crittografia AES
     Questa opzione abilita il supporto dell'autenticazione con crittografia AES per l'account amministratore della connessione AD.

     

     Per i requisiti, vedere Requirements per le connessioni Active Directory.

   • Firma LDAP

     Questa opzione abilita la firma LDAP. Questa funzionalità abilita la verifica dell'integrità per i binding LDAP SASL (Simple Authentication and Security Layer) sia da Azure NetApp Files sia dai controller di dominio dei Servizi di dominio Active Directory specificati dall'utente.

     Azure NetApp Files supporta l'associazione di canali LDAP se le opzioni di firma LDAP e LDAP su TLS sono abilitate nella connessione Active Directory. Per altre informazioni, vedere ADV190023 | Microsoft indicazioni per l'abilitazione dell'associazione di canali LDAP e della firma LDAP.

     Note

     I record DNS PTR per gli account computer AD DS devono essere creati nell'Organizational Unit specificata nella connessione di Azure NetApp Files a AD per il corretto funzionamento della firma LDAP.

     

   • Consenti agli utenti NFS locali con LDAP Questa opzione consente agli utenti client NFS locali di accedere ai volumi NFS. L'impostazione di questa opzione disabilita i gruppi estesi per i volumi NFS, che limitano il numero di gruppi supportati per un utente a 16. Se abilitata, i gruppi oltre il limite di 16 gruppi non vengono inclusi nelle autorizzazioni di accesso. Per altre informazioni, vedere Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo.

   • LDAP su TLS

     Questa opzione abilita LDAP su TLS per la comunicazione sicura tra un volume Azure NetApp Files e il server LDAP Active Directory. È possibile abilitare LDAP su TLS per volumi NFS, SMB e dual-protocol di Azure NetApp Files.

     Note

     Ldap su TLS non deve essere abilitato se si usa Microsoft Entra Domain Services. Microsoft Entra Domain Services usa LDAPS (porta 636) per proteggere il traffico LDAP anziché LDAP su TLS (porta 389).

     Per ulteriori informazioni, vedere abilitare l'autenticazione LDAP dei Servizi di Dominio Active Directory (AD DS) per i volumi NFS.

   • Certificato CA radice del server

     Questa opzione carica il certificato CA usato con LDAP tramite TLS.

     Per ulteriori informazioni, vedere abilitare l'autenticazione LDAP dei Servizi di Dominio Active Directory (AD DS) per i volumi NFS. 

   • Ambito di ricerca LDAP, DN utente, DN gruppo e Filtro appartenenza a gruppi

     L'opzione di ricerca LDAP ottimizza le query LDAP di Azure NetApp Files per l'archiviazione, da utilizzare con topologie di Active Directory Domain Services di grandi dimensioni, e LDAP con gruppi estesi o sicurezza in stile Unix, nel caso di un volume a doppio protocollo di Azure NetApp Files.

     Le opzioni DN utente e DN gruppo consentono di impostare la base di ricerca in Active Directory Domain Services LDAP. Queste opzioni limitano le aree di ricerca per le query LDAP, riducendo il tempo di ricerca e i timeout delle query LDAP.

     L'opzione Filtro appartenenza gruppo consente di creare un filtro di ricerca personalizzato per gli utenti membri di specifici gruppi di Active Directory Domain Services.

     

     Per informazioni su queste opzioni, vedere Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso ai volumi NFS.

   • Server preferito per il client LDAP

     L'opzione Server preferito per il client LDAP consente di inviare gli indirizzi IP di un massimo di due server AD come elenco delimitato da virgole. Anziché contattare in sequenza tutti i servizi AD individuati per un dominio, il client LDAP contatterà prima i server specificati.

   • Connessioni SMB crittografate al controller di dominio

     Connessioni SMB crittografate al controller di dominio specifica se la crittografia deve essere usata per la comunicazione tra un server SMB e un controller di dominio. Se abilitata, solo SMB3 verrà usato per le connessioni del controller di dominio crittografate.

     Questa funzionalità è attualmente in anteprima. Se si stanno usando connessioni SMB crittografate al controller di dominio per la prima volta, è necessario registrarla:

     Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     Verificare lo stato della registrazione della funzionalità:

     Note

     Il RegistrationState può trovarsi nello stato di Registering per un massimo di 60 minuti prima di passare a Registered. Attendere che lo stato sia Registered prima di continuare.

     Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     È anche possibile usare i comandi Azure CLIaz feature register e az feature show per registrare la funzionalità e visualizzare lo stato della registrazione.

   • Utenti dei criteri di Backup Questa opzione concede privilegi di sicurezza aggiuntivi a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi di backup elevati per supportare i flussi di lavoro di backup, ripristino e migrazione in Azure NetApp Files. Gli account utente o i gruppi di Active Directory Domain Services specificati avranno autorizzazioni NTFS elevate a livello di file o cartella.

     

     Quando si usa l'impostazione Utenti dei criteri di backup, si applicano i privilegi seguenti:

     Privilege	Description
     SeBackupPrivilege	Eseguire il backup di file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
     SeRestorePrivilege	Ripristinare file e directory, sovrascrivendo eventuali elenchi di controllo di accesso. Impostare qualsiasi SID utente o gruppo valido come proprietario del file.
     SeChangeNotifyPrivilege	Bypassare il controllo attraversato. Gli utenti con questo privilegio non devono avere autorizzazioni di attraversamento (x) per attraversare cartelle o collegamenti simbolici.

   • Utenti privilegio di sicurezza
     Questa opzione concede privilegi di sicurezza (SeSecurityPrivilege) a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi elevati per accedere ai volumi Azure NetApp Files. Gli utenti o i gruppi di Servizi di dominio Active Directory specificati potranno eseguire determinate azioni nelle condivisioni SMB che richiedono privilegi di sicurezza non assegnati per impostazione predefinita agli utenti di dominio.

     

     Quando si usa l'impostazione Utenti con privilegi di sicurezza, si applica il privilegio seguente:

     Privilege	Description
     SeSecurityPrivilege	Gestire le operazioni di log.

     Questa funzionalità viene usata per l'installazione di SQL Server in determinati scenari in cui a un account di dominio di Active Directory Domain Services non amministratore è necessario concedere temporaneamente privilegi di sicurezza elevati.

     Note

     L'uso della funzionalità Utenti con privilegi di sicurezza si basa sulla funzionalità Condivisioni di disponibilità continua SMB. La disponibilità continua SMB non è supportata nelle applicazioni personalizzate. È supportato solo per i carichi di lavoro che usano Citrix App Layering, FSLogix contenitori di profili utente e Microsoft SQL Server (non linux SQL Server).

     Important

     Questa funzionalità è facoltativa e supportata solo con SQL Server. L'account di dominio di Active Directory Domain Services usato per l'installazione di SQL Server deve essere già esistente prima di aggiungerlo all'opzione Utenti con privilegi di sicurezza. Quando si aggiunge l'account del programma di installazione di SQL Server all'opzione Utenti con privilegi di sicurezza, il servizio Azure NetApp Files potrebbe convalidare l'account contattando un controller di dominio di Active Directory Domain Services (AD DS). Questa azione potrebbe non riuscire se Azure NetApp Files non è in grado di contattare il controller di dominio di Active Directory Domain Services.

     Per altre informazioni su SeSecurityPrivilege e SQL Server, vedere SQL Server l'installazione non riesce se l'account di installazione non dispone di determinati diritti utente.

   • Utenti con privilegi amministratori

     Questa opzione concede privilegi di sicurezza aggiuntivi a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi elevati per accedere ai volumi Azure NetApp Files. Gli account specificati avranno autorizzazioni elevate a livello di file o cartella.

     Note

     Gli amministratori di dominio vengono aggiunti automaticamente al gruppo di utenti con privilegi Amministratori.

     

     Note

     Questo privilegio è utile per le migrazioni di dati.

     Con l'uso dell'impostazione Utenti con privilegi Amministratori, si applicano i privilegi seguenti:

     Privilege	Description
     SeBackupPrivilege	Eseguire il backup di file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
     SeRestorePrivilege	Ripristinare file e directory, sovrascrivendo eventuali elenchi di controllo di accesso. Impostare qualsiasi SID utente o gruppo valido come proprietario del file.
     SeChangeNotifyPrivilege	Bypassare il controllo attraversato. Gli utenti con questo privilegio non devono necessariamente disporre delle autorizzazioni di attraversamento (x) per attraversare cartelle o collegamenti simbolici.
     SeTakeOwnershipPrivilege	Acquisire la proprietà di file o di altri oggetti.
     SeSecurityPrivilege	Gestire le operazioni di log.
     SeChangeNotifyPrivilege	Bypassare il controllo attraversato. Gli utenti con questo privilegio non devono necessariamente disporre delle autorizzazioni di attraversamento (x) per attraversare cartelle o collegamenti simbolici.

   • Credenziali, inclusi nome utente e password

     

     Important

     Sebbene Active Directory supporti password di 256 caratteri, le password di Active Directory con Azure NetApp Files non possono superare i 64 caratteri.

3. Seleziona Partecipa.

   Viene visualizzata la connessione Active Directory creata.

   

Creare una connessione Active Directory per ogni account NetApp

Il comportamento predefinito corrente di Azure NetApp Files supporta una connessione AD per sottoscrizione e area. Abilitando questa funzionalità, si modifica il comportamento in modo che ogni account NetApp all'interno di una sottoscrizione Azure possa avere una propria connessione AD. Quando questa funzionalità è abilitata, gli account NetApp appena creati mantengono la propria connessione AD.

Dopo la configurazione, la connessione AD dell'account NetApp viene usata quando si crea un volume SMB, un volume Kerberos NFSv4.1 o un volume a doppio protocollo. Ciò significa che Azure NetApp Files supporta più di una connessione AD per ogni sottoscrizione Azure quando vengono usati più account NetApp.

Eseguire il mapping di più account NetApp nella stessa sottoscrizione e nella stessa area a una connessione ad Active Directory (anteprima)

La funzionalità Active Directory condivisa consente a tutti gli account NetApp di condividere una connessione ad Active Directory creata da uno degli account NetApp appartenenti alla stessa sottoscrizione e alla stessa area. Ad esempio, usando questa funzionalità, tutti gli account NetApp nella stessa sottoscrizione e area possono usare la configurazione di Active Directory comune per creare un volume SMB, un volume Kerberos NFSv4.1 o un volume a doppio protocollo. Quando si usa questa funzionalità, la connessione AD è visibile in tutti gli account NetApp che si trovano nella stessa sottoscrizione e nella stessa area.

Con l'introduzione della funzionalità per creare una connessione AD per ogni account NetApp, le nuove registrazioni di funzionalità per la funzionalità Di Active Directory condivisa non vengono accettate.

Reimpostare la password dell'account del computer di Active Directory

Se si reimposta accidentalmente la password dell'account del computer ACTIVE Directory nel server AD o il server AD non è raggiungibile, è possibile reimpostare in modo sicuro la password dell'account computer per mantenere la connettività ai volumi. Una reimpostazione influisce su tutti i volumi nel server SMB.

Registrare la funzionalità

La funzionalità di reimpostazione della password dell'account del computer in Active Directory è attualmente in anteprima pubblica. Se si usa questa funzionalità per la prima volta, è necessario prima registrarla.

1. Registrare la funzionalità reset della password dell'account computer di Active Directory:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

2. Verificare lo stato della registrazione della funzionalità. Il RegistrationState può trovarsi nello stato di Registering per un massimo di 60 minuti prima di passare a Registered. Attendere che lo stato sia Registered prima di continuare.

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

È anche possibile usare i comandi Azure CLIaz feature register e az feature show per registrare la funzionalità e visualizzare lo stato della registrazione.

Steps

1. Passare al menu Panoramica del volume. Selezionare Reset Active Directory Account. In alternativa, passare al menu Volumi. Identificare il volume per il quale si vuole reimpostare l'account Active Directory e selezionare i tre puntini (...) alla fine della riga. Selezionare Reset Active Directory Account.
2. Verrà visualizzato un messaggio di avviso che illustra le implicazioni di questa azione. Digitare sì nella casella di testo per continuare.

Passaggi successivi

• Linee guida per comprendere la progettazione e pianificazione del sito Active Directory Domain Services per Azure NetApp Files
• Modifica le connessioni di Active Directory
• Creare un volume SMB
• Creare un volume con doppio protocollo
• Configurare la crittografia Kerberos NFSv 4.1
• Installare una nuova foresta Active Directory usando Azure CLI
• Abilita l'autenticazione LDAP dei servizi di dominio di Active Directory (AD DS) per i volumi NFS
• LDAP di Active Directory Domain Services con gruppi estesi per l'accesso al volume NFS