Skapa och hantera služba Active Directory anslutningar för Azure NetApp Files

Flera funktioner i Azure NetApp Files kräver att du har en služba Active Directory anslutning. Du måste till exempel ha en služba Active Directory-anslutning innan du kan skapa en SMB-volym, en NFSv4.1 Kerberos-volym eller en dual-protocol-volym. Den här artikeln visar hur du skapar och hanterar služba Active Directory anslutningar för Azure NetApp Files.

Krav och överväganden för služba Active Directory anslutningar

• Ett Azure NetApp Files konto måste skapas i den region där de Azure NetApp Files volymerna ska distribueras.

• Azure NetApp Files stöder en AD-anslutning per NetApp-konto. Mer information finns i fältet služba Active Directory type på kontosidan.

• Det Azure NetApp Files AD-anslutningsadministratörskontot måste ha följande egenskaper:

  • Det måste vara ett AD DS-domänanvändarkonto i samma domän där Azure NetApp Files datorkonton skapas.
  • Den måste ha behörighet att skapa datorkonton (till exempel AD-domänanslutning) i den AD DS-organisationsenhetssökväg som anges i alternativet Organisationsenhetssökväg för AD-anslutningen.
  • Det kan inte vara ett grupphanterat tjänstkonto.

• AD-anslutningsadministratörskontot har stöd för krypteringstyperna Kerberos AES-128 och Kerberos AES-256 för autentisering med AD DS för Azure NetApp Files skapande av datorkonto (till exempel AD-domänanslutningsåtgärder).

• För att aktivera AES-kryptering bör du först aktivera krypteringstyperna AES-128, AES-256, RC4 och DES på služba Active Directory (AD) och sedan aktivera AES på kontrollplanet. Du måste aktivera kryptering i služba Active Directory först.

• Om du vill aktivera AES-krypteringsstöd för administratörskontot i AD-anslutningen kör du följande služba Active Directory PowerShell-kommandon:

  Get-ADUser -Identity <ANF AD connection account username>
  Set-ADUser -KerberosEncryptionType <encryption_type>
  

  KerberosEncryptionType är en flervärdesparameter som stöder värdena DES, RC4, AES-128 och AES-256.

  Mer information finns i dokumentationen för Set-ADUser.

• Om du vill aktivera AES-kryptering på Azure NetApp Files AD-anslutningsadministratörskontot måste du använda ett AD-domänanvändarkonto som är medlem i någon av följande AD DS-grupper:

  • Domänadministratörer
  • Företagsadministratörer
  • Administrators
  • Kontoansvariga
  • Microsoft Entra Domain Services Administratörer (endast Microsoft Entra Domain Services)
  • Alternativt kan ett AD-domänanvändarkonto med msDS-SupportedEncryptionTypes skrivbehörighet för AD-anslutningsadministratörskontot också användas för att ange egenskapen Kerberos-krypteringstyp på AD-anslutningsadministratörskontot.

  Note

  När du ändrar inställningen för att aktivera AES på AD-anslutningsadministratörskontot är det bästa praxis att använda ett användarkonto som har skrivbehörighet till AD-objektet som inte är Azure NetApp Files AD-administratör. Du kan göra det med ett annat domänadministratörskonto eller genom att delegera kontrollen till ett konto. Mer information finns i Delegera administration med hjälp av OU-objekt.

  Om du ställer in både AES-128- och AES-256 Kerberos-kryptering på AD-anslutningens administratörskonto förhandlar Windows-klienten om den högsta krypteringsnivån som stöds av AD DS. Om till exempel både AES-128 och AES-256 stöds och klienten stöder AES-256 används AES-256.

• Om du ändrar Kerberos Distribution Center (KDC) IP-adress eller AD Server-namn måste du vänta tills giltighetstiden för Kerberos-biljetten har löpt ut innan du kan montera volymen på samma NFS Linux-klient. Kerberos-biljettens livslängd kan konfigureras på både klienten och KDC. Som standard anger Microsoft služba Active Directory Kerberos-biljettens livslängd till 600 minuter (10 timmar).
Mer information finns i Maximal livslängd för serviceticket.

• Om du har ett krav på att aktivera och inaktivera vissa Kerberos-krypteringstyper för služba Active Directory datorkonton för domänanslutna Windows värdar som används med Azure NetApp Files, måste du använda grupprincipen Network Security: Configure Encryption types allowed for Kerberos.

  Ange inte registernyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes. Om du gör detta bryts Kerberos-autentiseringen med Azure NetApp Files för den Windows värd där registernyckeln angavs manuellt.

  Note

  Standardprincipinställningen för Network Security: Configure Encryption types allowed for Kerberos är Not Defined. När den här principinställningen är inställd på Not Definedär alla krypteringstyper utom DES tillgängliga för Kerberos-kryptering. Du har möjlighet att aktivera stöd för endast vissa Kerberos-krypteringstyper (till exempel AES128_HMAC_SHA1 eller AES256_HMAC_SHA1). Standardprincipen bör dock vara tillräcklig i de flesta fall när du aktiverar stöd för AES-kryptering med Azure NetApp Files.

  Mer information finns i Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos eller Windows Konfigurationer för Kerberos-krypteringstyper som stöds

• LDAP-frågor träder endast i kraft i domänen som anges i fältet služba Active Directory anslutningar (fältet AD DNS Domain Name). Det här beteendet gäller för volymer med NFS, SMB och dubbla protokoll.

• Tidsgränser för LDAP-frågor

  LDAP-frågor överskrider som standard tidsgränsen om de inte kan slutföras i tid. Om en LDAP-fråga misslyckas på grund av en tidsgräns misslyckas användaren och/eller gruppsökningen och åtkomsten till den Azure NetApp Files volymen kan nekas, beroende på volymens behörighetsinställningar.

  Tidsgränser för frågor kan inträffa i stora LDAP-miljöer med många användar- och gruppobjekt, över långsamma WAN-anslutningar och om en LDAP-server är överutnyttjad med begäranden. Azure NetApp Files tidsgränsinställning för LDAP-frågor är inställd på 10 sekunder. Överväg att använda funktionerna för användar- och grupp-DN på služba Active Directory-anslutningen för LDAP-servern för att filtrera sökningar om du har problem med tidsgränsen för LDAP-frågor.

NetApp-konton och služba Active Directory typ

Du kan använda översiktssidan för NetApp-kontot för att bekräfta služba Active Directory kontotyp (AD-typ). Det finns två värden för AD-typ:

• Multi AD: NetApp-kontot stöder en AD-konfiguration i varje NetApp-konto i prenumerationen. Den här inställningen tillåter mer än en AD-anslutning per prenumeration när du använder flera NetApp-konton.
• Delad AD: NetApp-kontot stöder endast en AD-konfiguration per prenumeration och region, men konfigurationen delas mellan NetApp-konton i prenumerationen och regionen. Den här typen är endast tillgänglig på NetApp-konton som skapades under förhandsversionen av Delad AD.

Mer information om relationen mellan NetApp-konton och prenumerationer finns i Lagringshierarki för Azure NetApp Files.

Skapa en služba Active Directory anslutning

1. Från ditt NetApp-konto väljer du služba Active Directory anslutningar och sedan Join.

   

2. I fönstret Anslut služba Active Directory anger du följande information baserat på de Domäntjänster som du vill använda:

   • Primär DNS (krävs)
     Det här är IP-adressen för den primära DNS-servern som krävs för služba Active Directory domänanslutningsåtgärder, SMB-autentisering, Kerberos och LDAP-åtgärder.

   • Sekundär DNS
     Det här är IP-adressen för den sekundära DNS-servern som krävs för služba Active Directory domänanslutningsåtgärder, SMB-autentisering, Kerberos och LDAP-åtgärder.

     Note

     Vi rekommenderar att du konfigurerar en sekundär DNS-server. Se Förstå riktlinjer för Doménové služby Active Directory webbplatsdesign och planering för Azure NetApp Files. Kontrollera att DNS-serverkonfigurationen uppfyller kraven för Azure NetApp Files. Annars kan Azure NetApp Files tjänståtgärder, SMB-autentisering, Kerberos- eller LDAP-åtgärder misslyckas.

     Om du använder Microsoft Entra Domain Services använder du IP-adresserna för Microsoft Entra Domain Services domänkontrollanter för primär DNS respektive sekundär DNS.

   • AD DNS-domännamn (krävs)
     Det här är det fullständigt kvalificerade domännamnet för AD DS som används med Azure NetApp Files (till exempel contoso.com).

   • AD-webbplatsnamn (krävs)
     Det här är AD DS-webbplatsnamnet som Azure NetApp Files använder för domänkontrollantidentifiering.

     Standardwebbplatsnamnet för både AD DS och Microsoft Entra Domain Services är Default-First-Site-Name. Följ namngivningskonventionerna för webbplatsnamn om du vill byta namn på webbplatsnamnet.

     Note

     Se Förstå riktlinjer för Doménové služby Active Directory webbplatsdesign och planering för Azure NetApp Files. Se till att din AD DS-webbplatsdesign och konfiguration uppfyller kraven för Azure NetApp Files. Annars kan Azure NetApp Files tjänståtgärder, SMB-autentisering, Kerberos- eller LDAP-åtgärder misslyckas.

   • SMB-serverprefix (datorkonto) (krävs)
     Det här är namnprefixet för nya datorkonton som skapats i AD DS för Azure NetApp Files SMB, dubbla protokoll och NFSv4.1 Kerberos-volymer.

     Om den namngivningsstandard som din organisation använder för filtjänster till exempel är NAS-01, NAS-02och så vidare, använder NAS du för prefixet.

     Azure NetApp Files skapar ytterligare datorkonton i AD DS efter behov.

     Important

     Det är störande att byta namn på SMB-serverprefixet när du har skapat služba Active Directory anslutningen. Du måste montera om befintliga SMB-resurser när du har bytt namn på SMB-serverprefixet.

   • Organisationsenhetssökväg
     Det här är LDAP-sökvägen för organisationsenheten (OU) där SMB-serverdatorkonton skapas. Det är, OU=second level, OU=first level. Om du till exempel vill använda en organisationsenhet som heter ANF skapad i domänens rot blir OU=ANFvärdet .

     Om inget värde anges använder Azure NetApp Files containern CN=Computers.

     Om du använder Azure NetApp Files med Microsoft Entra Domain Services är sökvägen för organisationsenheten OU=AADDC Computers

     

   • AES-kryptering
     Det här alternativet aktiverar stöd för AES-krypteringsautentisering för AD-anslutningens administratörskonto.

     

     Se Krav för služba Active Directory anslutningar för krav.

   • LDAP-signering

     Det här alternativet aktiverar LDAP-signering. Den här funktionen möjliggör integritetsverifiering för SASL(Simple Authentication and Security Layer) LDAP-bindningar från Azure NetApp Files och användardefinierade Doménové služby Active Directory domänkontrollanter.

     Azure NetApp Files stöder LDAP-kanalbindning om både LDAP-signering och LDAP över TLS-inställningar är aktiverade i služba Active Directory-anslutningen. Mer information finns i ADV190023 | Microsoft vägledning för aktivering av LDAP-kanalbindning och LDAP-signering.

     Note

     DNS PTR-poster för AD DS-datorkontot måste skapas i den AD DS Organizational Unit som anges i Azure NetApp Files AD-anslutningen för att LDAP-signering kan fungera.

     

   • Tillåt lokala NFS-användare med LDAP Det här alternativet gör att lokala NFS-klientanvändare kan komma åt NFS-volymer. Om du anger det här alternativet inaktiveras utökade grupper för NFS-volymer, vilket begränsar antalet grupper som stöds för en användare till 16. När det är aktiverat respekteras inte grupper som överskrider 16-gruppgränsen i åtkomstbehörigheter. Mer information finns i Tillåt lokala NFS-användare med LDAP att få åtkomst till en volym med dubbla protokoll.

   • LDAP över TLS

     Det här alternativet aktiverar LDAP över TLS för säker kommunikation mellan en Azure NetApp Files volym och služba Active Directory LDAP-servern. Du kan aktivera LDAP över TLS för NFS-, SMB- och dubbelprotokollvolymer med Azure NetApp Files.

     Note

     LDAP över TLS får inte aktiveras om du använder Microsoft Entra Domain Services. Microsoft Entra Domain Services använder LDAPS (port 636) för att skydda LDAP-trafik i stället för LDAP över TLS (port 389).

     För mer information, se Aktivera Doménové služby Active Directory (AD DS) LDAP-autentisering för NFS-volymer.

   • Ca-certifikat för serverrot

     Det här alternativet laddar upp ca-certifikatet som används med LDAP via TLS.

     För mer information, se Aktivera Doménové služby Active Directory (AD DS) LDAP-autentisering för NFS-volymer. 

   • LDAP-sökomfång, användar-DN, grupp-DN och gruppmedlemskapsfilter

     LDAP-sökomfånget optimerar LDAP-frågor för lagring i Azure NetApp Files för användning med stora AD DS-topologier och LDAP med utökade grupper eller Unix-säkerhetsstil med en Azure NetApp Files-volym med dubbla protokoll.

     Med alternativen Användar-DN och Grupp-DN kan du ange sökbasen i AD DS LDAP. De här alternativen begränsar sökområdena för LDAP-frågor, minskar söktiden och minskar tidsgränserna för LDAP-frågor.

     Med alternativet Filter för gruppmedlemskap kan du skapa ett anpassat sökfilter för användare som är medlemmar i specifika AD DS-grupper.

     

     Mer information om dessa alternativ finns i Konfigurera AD DS LDAP med utökade grupper för NFS-volymåtkomst .

   • Önskad server för LDAP-klienten

     Med alternativet Prioriterad server för LDAP-klient kan du skicka IP-adresserna för upp till två AD-servrar som en kommaavgränsad lista. I stället för att sekventiellt kontakta alla identifierade AD-tjänster för en domän kontaktar LDAP-klienten de angivna servrarna först.

   • Krypterade SMB-anslutningar till domänkontrollant

     Krypterade SMB-anslutningar till domänkontrollanten anger om kryptering ska användas för kommunikation mellan en SMB-server och domänkontrollant. När det är aktiverat används endast SMB3 för krypterade domänkontrollantanslutningar.

     Den här funktionen finns i förhandsgranskning. Om det här är första gången du använder krypterade SMB-anslutningar till domänkontrollanten måste du registrera det:

     Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     Kontrollera status för funktionsregistreringen:

     Note

     RegistrationState kan befinna sig i tillståndet Registering i upp till 60 minuter innan det ändras till Registered. Vänta tills statusen är Registered innan du fortsätter.

     Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     Du kan också använda kommandona Azure CLIaz feature register och az feature show för att registrera funktionen och visa registreringsstatusen.

   • Backup-principanvändare Det här alternativet ger ytterligare säkerhetsbehörigheter till AD DS-domänanvändare eller grupper som kräver utökade behörigheter för säkerhetskopiering för att stödja arbetsflöden för säkerhetskopiering, återställning och migrering i Azure NetApp Files. De angivna AD DS-användarkontona eller grupperna har utökade NTFS-behörigheter på fil- eller mappnivå.

     

     Följande behörigheter gäller när du använder inställningen Säkerhetskopieringsprincipanvändare :

     Privilege	Description
     SeBackupPrivilege	Säkerhetskopiera filer och kataloger och åsidosätta eventuella ACL:er.
     SeRestorePrivilege	Återställ filer och kataloger och åsidosätta eventuella ACL:er. Ange en giltig användare eller grupp-SID som filägare.
     SeChangeNotifyPrivilege	Kringgå traverseringskontroll. Användare med den här behörigheten behöver inte ha traverserade (x) behörigheter för att traversera mappar eller symlänkar.

   • Användare av säkerhetsbehörigheter
     Det här alternativet ger säkerhetsbehörighet (SeSecurityPrivilege) till AD DS-domänanvändare eller -grupper som kräver utökade behörigheter för åtkomst Azure NetApp Files volymer. De angivna AD DS-användarna eller grupperna kommer att tillåtas utföra vissa åtgärder på SMB-resurser som kräver säkerhetsprivilegier som inte tilldelas domänanvändare som standard.

     

     Följande behörighet gäller när du använder inställningen Användare av säkerhetsbehörighet :

     Privilege	Description
     SeSecurityPrivilege	Hantera loggåtgärder.

     Den här funktionen används för att installera SQL Server i vissa scenarier där ett AD DS-domänkonto som inte är administratör tillfälligt måste beviljas utökade säkerhetsbehörigheter.

     Note

     Om du använder funktionen Säkerhetsprivilegier förlitar du dig på funktionen SMB-resurser för kontinuerlig tillgänglighet. Kontinuerlig SMB-tillgänglighet stöds inte i anpassade program. Det stöds bara för arbetsbelastningar som använder Citrix App Layering, FSLogix användarprofilcontainrar och Microsoft SQL Server (inte Linux-SQL Server).

     Important

     Den här funktionen är valfri och stöds endast med SQL Server. AD DS-domänkontot som används för att installera SQL-servern måste redan finnas innan du lägger till det i alternativet Användare av säkerhetsbehörighet . När du lägger till SQL Server installationskonto till Säkerhetsbehörighetsanvändare alternativet kan Azure NetApp Files-tjänsten verifiera kontot genom att kontakta en AD DS-domänkontrollant. Den här åtgärden kan misslyckas om Azure NetApp Files inte kan kontakta AD DS-domänkontrollanten.

     Mer information om SeSecurityPrivilege och SQL Server finns i SQL Server installation misslyckas om installationskontot inte har vissa användarrättigheter.

   • Administratörsbehörighetsanvändare

     Det här alternativet ger ytterligare säkerhetsbehörigheter till AD DS-domänanvändare eller grupper som kräver utökade privilegier för att få åtkomst till Azure NetApp Files volymer. De angivna kontona har utökade behörigheter på fil- eller mappnivå.

     Note

     Domänadministratörerna läggs automatiskt till i gruppen Administratörsbehörighetsanvändare.

     

     Note

     Den här behörigheten är användbar för datamigreringar.

     Följande behörigheter gäller när du använder inställningen Administratörsbehörighetsanvändare :

     Privilege	Description
     SeBackupPrivilege	Säkerhetskopiera filer och kataloger och åsidosätta eventuella ACL:er.
     SeRestorePrivilege	Återställ filer och kataloger och åsidosätta eventuella ACL:er. Ange en giltig användare eller grupp-SID som filägare.
     SeChangeNotifyPrivilege	Kringgå traverseringskontroll. Användare med den här behörigheten behöver inte ha blädderingsbehörigheter (x) för att bläddra i mappar eller symlänkar.
     SeTakeOwnershipPrivilege	Ta över ägarskapet för filer eller andra objekt.
     SeSecurityPrivilege	Hantera loggåtgärder.
     SeChangeNotifyPrivilege	Kringgå traverseringskontroll. Användare med den här behörigheten behöver inte ha blädderingsbehörigheter (x) för att bläddra i mappar eller symlänkar.

   • Autentiseringsuppgifter, inklusive ditt användarnamn och lösenord

     

     Important

     Även om služba Active Directory stöder lösenord med 256 tecken, kan služba Active Directory-lösenord med Azure NetApp Files inte överskrida 64 tecken.

3. Välj Registrera dig.

   Den služba Active Directory anslutning som du skapade visas.

   

Mappa flera NetApp-konton i samma prenumeration och region till en AD-anslutning (förhandsversion)

Med funktionen Delad AD kan alla NetApp-konton dela en AD-anslutning som skapats av ett av NetApp-kontona som tillhör samma prenumeration och samma region. Med den här funktionen kan till exempel alla NetApp-konton i samma prenumeration och region använda den gemensamma AD-konfigurationen för att skapa en SMB-volym, en NFSv4.1 Kerberos-volym eller en volym med dubbla protokoll. När du använder den här funktionen visas AD-anslutningen i alla NetApp-konton som är under samma prenumeration och samma region, och AD-typen av NetApp-konton är Delad AD.

Återställa lösenord för služba Active Directory datorkonto

Om du av misstag återställer lösenordet för AD-datorkontot på AD-servern eller om AD-servern inte kan nås kan du återställa lösenordet för datorkontot på ett säkert sätt för att bevara anslutningen till dina volymer. En återställning påverkar alla volymer på SMB-servern.

Registrera funktionen

Funktionen återställ služba Active Directory lösenord för datorkontot finns för närvarande i offentlig förhandsversion. Om du använder den här funktionen för första gången måste du registrera funktionen först.

1. Registrera funktionen återställ lösenordet för datorens konto i služba Active Directory:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

2. Kontrollera status för funktionsregistreringen. RegistrationState kan befinna sig i tillståndet Registering i upp till 60 minuter innan det ändras till Registered. Vänta tills statusen är Registered innan du fortsätter.

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Du kan också använda kommandona Azure CLIaz feature register och az feature show för att registrera funktionen och visa registreringsstatusen.

Steps

1. Gå till volymens översiktsmeny . Välj Reset služba Active Directory Account. Alternativt navigerar du till menyn Volumes. Identifiera volymen som du vill återställa služba Active Directory kontot för och välj de tre punkterna (...) i slutet av raden. Välj Reset služba Active Directory Account.
2. Ett varningsmeddelande som förklarar konsekvenserna av den här åtgärden visas. Skriv ja i textrutan för att fortsätta.

Nästa steg

• Förstå riktlinjer för Doménové služby Active Directory webbplatsdesign och planering för Azure NetApp Files
• Ändra služba Active Directory-kopplingar
• Skapa en SMB-volym
• Skapa en volym med dubbla protokoll
• Konfigurera NFSv4.1 Kerberos-kryptering
• Installera en ny služba Active Directory skog med hjälp av Azure CLI
• Aktivera Doménové služby Active Directory (AD DS) LDAP-autentisering för NFS-volymer
• AD DS LDAP med utökade grupper för NFS-volymåtkomst