Share via

Použití služby Azure Files s více doménovými strukturami Active Directory

  • Článek

Mnoho organizací chce pro sdílené složky Azure SMB používat ověřování založené na identitě v prostředích s více doménovou strukturou místní Active Directory Domain Services (AD DS). Jedná se o běžný scénář IT, zejména po fúzích a akvizicích, kdy jsou doménové struktury AD získané společnosti izolované od doménových struktur AD nadřazené společnosti. Tento článek vysvětluje, jak fungují vztahy důvěryhodnosti doménové struktury, a obsahuje podrobné pokyny pro nastavení a ověření více doménových struktur.

Důležité

Pokud chcete nastavit oprávnění na úrovni sdílené složky pro konkrétní uživatele nebo skupiny Microsoft Entra pomocí řízení přístupu na základě role Azure (RBAC), musíte nejprve synchronizovat místní účty AD s Microsoft Entra ID pomocí Microsoft Entra Připojení. Jinak můžete použít výchozí oprávnění na úrovni sdílené složky.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Yes No

Požadavky

  • Dva řadiče domény SLUŽBY AD DS s různými doménovými strukturami a v různých virtuálních sítích
  • Dostatečná oprávnění AD k provádění úloh správy (například Doména Správa)
  • Pokud používáte Azure RBAC, obě doménové struktury musí být dostupné jedním serverem Microsoft Entra Připojení Sync.

Jak fungují vztahy důvěryhodnosti doménové struktury

Místní ověřování AD DS ve službě Azure Files je podporováno pouze v doménové struktuře AD doménové služby, do které je účet úložiště zaregistrovaný. Ve výchozím nastavení můžete k přístupu ke sdíleným složkám Azure použít přihlašovací údaje AD DS z jedné doménové struktury. Pokud potřebujete získat přístup ke sdílené složce Azure z jiné doménové struktury, musíte nakonfigurovat vztah důvěryhodnosti doménové struktury.

Vztah důvěryhodnosti doménové struktury je tranzitivní vztah důvěryhodnosti mezi dvěma doménovými strukturami AD, které uživatelům v jakékoli doméně v jedné doménové struktuře umožňují ověření v kterékoli z domén v druhé doménové struktuře.

Nastavení více doménových struktur

Pokud chcete nakonfigurovat nastavení více doménových struktur, provedeme následující kroky:

  • Shromažďování informací o doméně a připojení virtuální sítě mezi doménami
  • Vytvoření a konfigurace vztahu důvěryhodnosti doménové struktury
  • Nastavení ověřování na základě identit a hybridních uživatelských účtů

Shromažďování informací o doméně

V tomto cvičení máme dva místní řadiče domény služby AD DS se dvěma různými doménovými strukturami a v různých virtuálních sítích.

Doménové struktury Domény Virtuální síť
Les 1 onpremad1.com DomainServicesVNet WUS
Les 2 onpremad2.com virtuální síť 2/ úlohy

Vytvoření a konfigurace vztahu důvěryhodnosti

Abychom klientům z doménové struktury 1 umožnili přístup k prostředkům domény služby Azure Files v doménové struktuře 2, musíme mezi těmito dvěma doménovými strukturami vytvořit vztah důvěryhodnosti. Podle těchto kroků vytvořte vztah důvěryhodnosti.

  1. Přihlaste se k počítači připojenému k doméně doménové struktury 2 a otevřete konzolu Doména služby Active Directory a důvěryhodnosti.

  2. Klikněte pravým tlačítkem myši na místní doménu onpremad2.com a pak vyberte kartu Vztahy důvěryhodnosti .

  3. Výběrem možnosti Nové vztahy důvěryhodnosti spusťte Průvodce vytvořením nového vztahu důvěryhodnosti.

  4. Zadejte název domény, se kterou chcete vytvořit vztah důvěryhodnosti (v tomto příkladu onpremad1.com) a pak vyberte Další.

  5. V části Typ důvěryhodnosti vyberte Vztah důvěryhodnosti doménové struktury a pak vyberte Další.

    Poznámka:

    Azure Files podporuje jenom vztahy důvěryhodnosti doménové struktury. Jiné typy důvěryhodnosti, například externí vztahy důvěryhodnosti, nejsou podporovány.

  6. V části Směr důvěryhodnosti vyberte Obousměrný a pak vyberte Další.

    Screenshot of Active Directory Domains and Trusts console showing how to select a two-way direction for the trust.

  7. V části Strany důvěryhodnosti vyberte Pouze tato doména a pak vyberte Další.

  8. Uživatelé v zadané doménové struktuře se dají ověřit tak, aby používali všechny prostředky v místní doménové struktuře (ověřování na úrovni doménové struktury) nebo jenom ty prostředky, které vyberete (selektivní ověřování). U úrovně ověřování odchozí důvěryhodnosti vyberte ověřování pro celou doménovou strukturu, což je upřednostňovaná možnost, když obě doménové struktury patří do stejné organizace. Vyberte Další.

  9. Zadejte heslo pro vztah důvěryhodnosti a pak vyberte Další. Stejné heslo musí být použito při vytváření tohoto vztahu důvěryhodnosti v zadané doméně.

    Screenshot of Active Directory Domains and Trusts console showing how to enter a password for the trust.

  10. Měla by se zobrazit zpráva, že vztah důvěryhodnosti byl úspěšně vytvořen. Pokud chcete nakonfigurovat vztah důvěryhodnosti, vyberte Další.

  11. Potvrďte odchozí vztah důvěryhodnosti a vyberte Další.

  12. Zadejte uživatelské jméno a heslo uživatele, který má oprávnění správce z druhé domény.

Po ověření se vytvoří vztah důvěryhodnosti a měli byste být schopni zobrazit zadanou doménu onpremad1.com uvedenou na kartě Vztahy důvěryhodnosti.

Nastavení ověřování na základě identit a hybridních uživatelských účtů

Po vytvoření vztahu důvěryhodnosti vytvořte účet úložiště a sdílenou složku SMB pro každou doménu, povolte ověřování ad DS v účtech úložiště a vytvořte hybridní uživatelské účty synchronizované s Microsoft Entra ID.

  1. Přihlaste se k webu Azure Portal a vytvořte dva účty úložiště, jako je onprem1sa a onprem2sa. Pro zajištění optimálního výkonu doporučujeme nasadit účty úložiště ve stejné oblasti jako klienti, ze kterých chcete získat přístup ke sdíleným složkám.

    Poznámka:

    Vytvoření druhého účtu úložiště není nutné. Tyto pokyny představují příklad přístupu k účtům úložiště, které patří do různých doménových struktur. Pokud máte jenom jeden účet úložiště, můžete ignorovat druhé pokyny k nastavení účtu úložiště.

  2. Vytvořte sdílenou složku Azure SMB pro každý účet úložiště.

  3. Synchronizujte místní AD s ID Microsoft Entra pomocí aplikace Microsoft Entra Připojení Sync.

  4. Připojení virtuálního počítače Azure v doménové struktuře 1 k místní službě AD DS Informace o připojení k doméně najdete v tématu Připojení počítače k doméně.

  5. Povolte ověřování AD DS u účtu úložiště přidruženého k doménové struktuře 1, například onprem1sa. Tím se ve vaší místní službě AD vytvoří účet počítače s názvem onprem1sa , který bude představovat účet úložiště Azure a připojí účet úložiště k onpremad1.com doméně. Identitu AD představující účet úložiště můžete ověřit vyhledáním Uživatelé a počítače služby Active Directory pro onpremad1.com. V tomto příkladu byste viděli účet počítače s názvem onprem1sa.

  6. Vytvořte uživatelský účet tak, že přejdete do služby Active Directory > onpremad1.com. Klikněte pravým tlačítkem na Uživatelé, vyberte Vytvořit, zadejte uživatelské jméno (například onprem1user) a zaškrtněte políčko Heslo nikdy nevyprší (volitelné).

  7. Volitelné: Pokud chcete k přiřazení oprávnění na úrovni sdílené složky použít Azure RBAC, musíte synchronizovat uživatele s Microsoft Entra ID pomocí Microsoft Entra Připojení. Microsoft Entra Připojení Sync se obvykle aktualizuje každých 30 minut. Synchronizaci ale můžete vynutit okamžitě otevřením relace PowerShellu se zvýšenými oprávněními a spuštěním Start-ADSyncSyncCycle -PolicyType Delta. Možná budete muset nejprve nainstalovat modul ADSync spuštěním Import-Module ADSyncpříkazu . Pokud chcete ověřit, že se uživatel synchronizoval s ID Microsoft Entra, přihlaste se k webu Azure Portal pomocí předplatného Azure přidruženého k vašemu tenantovi s více doménovými strukturami a vyberte ID Microsoft Entra. Vyberte Spravovat > uživatele a vyhledejte uživatele, který jste přidali (například onprem1user). Povolená místní synchronizace by měla být ano.

  8. Nastavte oprávnění na úrovni sdílené složky pomocí rolí Azure RBAC nebo výchozího oprávnění na úrovni sdílené složky.

    • Pokud je uživatel synchronizovaný s Microsoft Entra ID, můžete uživateli na úrovni sdílené složky (roli Azure RBAC) udělit oprávnění onprem1user v účtu úložiště onprem1sa , aby uživatel mohl připojit sdílenou složku. Uděláte to tak, že přejdete do sdílené složky, kterou jste vytvořili v nástroji onprem1sa , a postupujte podle pokynů v části Přiřazení oprávnění na úrovni sdílené složky pro konkrétní uživatele nebo skupiny Microsoft Entra.
    • V opačném případě můžete použít výchozí oprávnění na úrovni sdílené složky, které platí pro všechny ověřené identity.

Opakujte kroky 4 až 8 pro onpremad2.com domény Doménové struktury2 (účet úložiště onprem2sa/user onprem2user). Pokud máte více než dvě doménové struktury, opakujte kroky pro každou doménovou strukturu.

Konfigurace oprávnění na úrovni adresáře a souboru (volitelné)

V prostředí s více doménovými strukturami použijte nástroj příkazového řádku icacls ke konfiguraci oprávnění na úrovni adresáře a souborů pro uživatele v obou doménových strukturách. Viz Konfigurace seznamů ACL systému Windows s icacls.

Pokud oprávnění icacls selže s chybou Přístup byl odepřen , pomocí následujícího postupu nakonfigurujte oprávnění na úrovni adresáře a souboru připojením sdílené složky s klíčem účtu úložiště.

  1. Odstraňte existující připojení sdílené složky: net use * /delete /y

  2. Znovu připojit sdílenou složku pomocí klíče účtu úložiště:

    net use <driveletter> \\storageaccount.file.core.windows.net\sharename /user:AZURE\<storageaccountname> <storageaccountkey>

  3. Nastavte oprávnění icacls pro uživatele ve struktuře2 v účtu úložiště připojeném k Doménové struktuře1 z klienta ve Struktuře1.

Poznámka:

Nedoporučujeme používat Průzkumník souborů ke konfiguraci seznamů ACL v prostředí s více doménovými strukturami. I když uživatelé, kteří patří do doménové struktury připojené k účtu úložiště, můžou mít nastavená oprávnění na úrovni souboru nebo adresáře prostřednictvím Průzkumník souborů, nebudou fungovat pro uživatele, kteří nepatří do stejné doménové struktury připojené k účtu úložiště.

Konfigurace přípon domény

Jak je vysvětleno výše, způsob, jakým se služba Azure Files registruje ve službě AD DS, je téměř stejná jako běžný souborový server, kde vytvoří identitu (ve výchozím nastavení účet počítače může být také přihlašovacím účtem služby), který představuje účet úložiště ve službě AD DS pro ověřování. Jediným rozdílem je, že zaregistrovaný hlavní název služby (SPN) účtu úložiště končí file.core.windows.net, který se neshoduje s příponou domény. Vzhledem k jiné příponě domény budete muset nakonfigurovat zásady směrování přípon pro povolení ověřování ve více doménových strukturách.

Vzhledem k tomu, že přípona file.core.windows.net je přípona pro všechny prostředky Azure Files, nikoli příponu pro konkrétní doménu AD, řadič domény klienta neví, na kterou doménu se má požadavek předat, a proto selže všechny požadavky, ve kterých se prostředek nenajde ve své vlastní doméně.

Když například uživatelé v doméně doménové struktury 1 chtějí získat přístup ke sdílené složce s účtem úložiště zaregistrovaným v doméně v doménové struktuře 2, nebude to fungovat automaticky, protože instanční objekt účtu úložiště nemá příponu odpovídající příponě žádné domény v doménové struktuře 1.

Přípony domény můžete nakonfigurovat pomocí jedné z následujících metod:

Úprava přípony názvu účtu úložiště a přidání záznamu CNAME

Problém se směrováním domény můžete vyřešit úpravou přípony názvu účtu úložiště přidruženého ke sdílené složce Azure a následným přidáním záznamu CNAME pro směrování nové přípony do koncového bodu účtu úložiště. Díky této konfiguraci mají klienti připojené k doméně přístup k účtům úložiště připojeným k jakékoli doménové struktuře. To funguje pro prostředí, která mají dvě nebo více doménových struktur.

V našem příkladu máme domény onpremad1.com a onpremad2.com a jako účty úložiště přidružené ke sdíleným složkám SMB Azure v příslušných doménách máme onprem1sa a onprem2sa . Tyto domény jsou v různých doménových strukturách, které vzájemně důvěřují přístupu k prostředkům v doménových strukturách jednotlivých doménových struktur. Chceme povolit přístup k oběma účtům úložiště z klientů, kteří patří do každé doménové struktury. K tomu je potřeba upravit přípony hlavního názvu služby (SPN) účtu úložiště:

onprem1sa.onpremad1.com –> onprem1sa.file.core.windows.net

onprem2sa.onpremad2.com –> onprem2sa.file.core.windows.net

To klientům umožní připojit sdílenou složku net use \\onprem1sa.onpremad1.com , protože klienti v onpremad1 nebo onpremad2 budou vědět, že prohledávají onpremad1.com najít správný prostředek pro tento účet úložiště.

Pokud chcete použít tuto metodu, proveďte následující kroky:

  1. Ujistěte se, že jste mezi těmito dvěma doménovými strukturami vytvořili vztah důvěryhodnosti a nastavili ověřování na základě identit a hybridní uživatelské účty, jak je popsáno v předchozích částech.

  2. Upravte hlavní název služby (SPN) účtu úložiště pomocí nástroje setspn. Najdete <DomainDnsRoot> ho spuštěním následujícího příkazu Active Directory PowerShellu: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Přidejte položku CNAME pomocí Správce DNS služby Active Directory a postupujte podle následujících kroků pro každý účet úložiště v doméně, ke které je účet úložiště připojený. Pokud používáte privátní koncový bod, přidejte položku CNAME, která se mapuje na název privátního koncového bodu.

    1. Otevřete Správce DNS služby Active Directory.

    2. Přejděte do své domény (například onpremad1.com).

    3. Přejděte do části "Dopředné zóny vyhledávání".

    4. Vyberte uzel pojmenovaný po vaší doméně (například onpremad1.com) a klikněte pravým tlačítkem na Nový alias (CNAME).

    5. Jako název aliasu zadejte název účtu úložiště.

    6. Jako plně kvalifikovaný název domény (FQDN) zadejte <storage-account-name>.<domain-name>, například mystorageaccount.onpremad1.com.

    7. Jako plně kvalifikovaný název domény cílového hostitele zadejte <storage-account-name>.file.core.windows.net

    8. Vyberte OK.

      Screenshot showing how to add a CNAME record for suffix routing using Active Directory DNS Manager.

Teď byste z klientů připojených k doméně měli být schopni používat účty úložiště připojené k jakékoli doménové struktuře.

Poznámka:

Ujistěte se, že část názvu hostitele plně kvalifikovaného názvu domény odpovídá názvu účtu úložiště, jak je popsáno výše. Jinak se zobrazí chyba odepření přístupu: Název souboru, název adresáře nebo syntaxe popisku svazku není správná. Během nastavení relace SMB se v trasování sítě zobrazí zpráva STATUS_OBJECT_NAME_INVALID (0xc0000033).

Přidání vlastní přípony názvu a pravidla směrování

Pokud jste už změnili příponu názvu účtu úložiště a přidali záznam CNAME, jak je popsáno v předchozí části, můžete tento krok přeskočit. Pokud nechcete raději provádět změny DNS nebo upravovat příponu názvu účtu úložiště, můžete nakonfigurovat pravidlo směrování přípon z doménové struktury 1 do doménové struktury 2 pro vlastní příponu file.core.windows.net.

Poznámka:

Konfigurace směrování přípon názvů nemá vliv na schopnost přistupovat k prostředkům v místní doméně. Vyžaduje se, aby klient mohl požadavek předat doméně, která odpovídá příponě, jen když prostředek nebyl nalezen ve vlastní doméně.

Nejprve přidejte novou vlastní příponu ve struktuře 2. Ujistěte se, že máte příslušná oprávnění správce ke změně konfigurace a že jste mezi těmito dvěma doménovými strukturami vytvořili vztah důvěryhodnosti. Poté postupujte následovně:

  1. Přihlaste se k počítači nebo virtuálnímu počítači, který je připojený k doméně ve struktuře 2.
  2. Otevřete konzolu Doména služby Active Directory a důvěryhodnosti.
  3. Klikněte pravým tlačítkem na Doména služby Active Directory a vztahy důvěryhodnosti.
  4. Vyberte Vlastnosti a pak vyberte Přidat.
  5. Jako příponu hlavního názvu uživatele (UPN) přidejte "file.core.windows.net".
  6. Chcete-li průvodce zavřít, vyberte Použít a pak ok .

Dále přidejte pravidlo směrování přípony ve struktuře 1, aby se přesměrovává na Doménovou strukturu 2.

  1. Přihlaste se k počítači nebo virtuálnímu počítači připojenému k doméně ve struktuře 1.
  2. Otevřete konzolu Doména služby Active Directory a důvěryhodnosti.
  3. Klikněte pravým tlačítkem myši na doménu, ke které chcete získat přístup ke sdílené složce, a pak vyberte kartu Vztahy důvěryhodnosti a vyberte doména doménové struktury 2 z odchozích vztahů důvěryhodnosti.
  4. Vyberte vlastnosti a pak směrování přípon názvů.
  5. Zkontrolujte, jestli se zobrazí přípona *.file.core.windows.net. Pokud ne, vyberte Aktualizovat.
  6. Vyberte *.file.core.windows.net a pak vyberte Povolit a použít.

Ověřte, že vztah důvěryhodnosti funguje.

Teď ověříme, že důvěryhodnost funguje, spuštěním příkazu klist zobrazte obsah mezipaměti přihlašovacích údajů Kerberos a tabulky klíčů.

  1. Přihlaste se k počítači nebo virtuálnímu počítači, který je připojený k doméně ve struktuře 1 , a otevřete příkazový řádek Windows.
  2. Pokud chcete zobrazit mezipaměť přihlašovacích údajů pro účet úložiště připojeného k doméně ve struktuře 2, spusťte jeden z následujících příkazů:
  3. Zobrazený výstup by měl vypadat přibližně takto: Výstup klist se mírně liší podle toho, jakou metodu jste použili ke konfiguraci přípon domény.
Client: onprem1user @ ONPREMAD1.COM
Server: cifs/onprem2sa.file.core.windows.net @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:45:02 (local)
End Time: 11/23/2022 4:45:02 (local)
Renew Time: 11/29/2022 18:45:02 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onprem2.onpremad2.com
  1. Přihlaste se k počítači nebo virtuálnímu počítači připojenému k doméně ve struktuře 2 a otevřete příkazový řádek Windows.
  2. Pokud chcete zobrazit mezipaměť přihlašovacích údajů pro účet úložiště připojeného k doméně ve struktuře 1, spusťte jeden z následujících příkazů:
  3. Zobrazený výstup by měl vypadat přibližně takto: Výstup klist se mírně liší podle toho, jakou metodu jste použili ke konfiguraci přípon domény.
Client: onprem2user @ ONPREMAD2.COM
Server: krbtgt/ONPREMAD2.COM @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -> PRIMARY
Kdc Called: onprem2

Client: onprem2user @ ONPREMAD2.COM    
Server: cifs/onprem1sa.file.core.windows.net @ ONPREMAD1.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onpremad1.onpremad1.com

Pokud vidíte výše uvedený výstup, máte hotovo. Pokud to neuděláte, postupujte podle těchto kroků a poskytněte alternativní přípony hlavního názvu uživatele (UPN), aby ověřování s více doménovými strukturami fungovalo.

Důležité

Tato metoda bude fungovat pouze v prostředích se dvěma doménovými strukturami. Pokud máte více než dvě doménové struktury, pomocí jedné z dalších metod nakonfigurujte přípony domény.

Nejprve přidejte novou vlastní příponu v doménové struktuře 1.

  1. Přihlaste se k počítači nebo virtuálnímu počítači připojenému k doméně ve struktuře 1.
  2. Otevřete konzolu Doména služby Active Directory a důvěryhodnosti.
  3. Klikněte pravým tlačítkem na Doména služby Active Directory a vztahy důvěryhodnosti.
  4. Vyberte Vlastnosti a pak vyberte Přidat.
  5. Přidejte alternativní příponu hlavního názvu uživatele (UPN), například "onprem1sa.file.core.windows.net".
  6. Chcete-li průvodce zavřít, vyberte Použít a pak ok .

Dále přidejte pravidlo směrování přípony ve struktuře 2.

  1. Přihlaste se k počítači nebo virtuálnímu počítači, který je připojený k doméně ve struktuře 2.
  2. Otevřete konzolu Doména služby Active Directory a důvěryhodnosti.
  3. Klikněte pravým tlačítkem myši na doménu, ke které chcete získat přístup ke sdílené složce, vyberte kartu Vztahy důvěryhodnosti a vyberte odchozí vztah důvěryhodnosti doménové struktury 2 , do které byl přidán název směrování přípony.
  4. Vyberte vlastnosti a pak směrování přípon názvů.
  5. Zkontrolujte, jestli se zobrazí přípona onprem1sa.file.core.windows.net. Pokud ne, vyberte Aktualizovat.
  6. Vyberte onprem1sa.file.core.windows.net a pak vyberte Povolit a použít.

Další kroky

Další informace najdete v těchto zdrojích: