Freigeben über

Azure Files mit mehreren Active Directory-Gesamtstrukturen verwenden

Gilt für: ✔️ SMB-Dateifreigaben

Viele Organisationen möchten die identitätsbasierte Authentifizierung für SMB-Azure Dateifreigaben in Umgebungen verwenden, in denen mehrere lokale Active Directory Domain Services-Gesamtstrukturen (AD DS) vorhanden sind. Dies ist ein gängiges IT-Szenario, insbesondere nach Fusionen und Übernahmen, bei denen die AD-Gesamtstrukturen des übernommenen Unternehmens von den AD-Gesamtstrukturen der Muttergesellschaft isoliert sind. In diesem Artikel wird erläutert, wie Gesamtstruktur-Vertrauensstellungen funktionieren. Außerdem erhalten Sie ausführliche Anweisungen zum Konfigurieren und Überprüfen eines Setups mit mehreren Gesamtstrukturen.

Wichtig

Um Berechtigungen auf Freigabeebene für bestimmte Microsoft Entra ID Benutzer oder Gruppen mithilfe der Azure rollenbasierten Zugriffssteuerung (RBAC) festzulegen, synchronisieren Sie zunächst die lokalen AD-Konten mit Entra ID mithilfe von Microsoft Entra Connect Sync. Verwenden Sie andernfalls eine standardmäßige Berechtigung auf Freigabeebene.

Voraussetzungen

  • Zwei AD DS-Domänencontroller mit unterschiedlichen Gesamtstrukturen und in verschiedenen virtuellen Netzwerken
  • Ausreichende AD-Berechtigungen zum Ausführen von Verwaltungsaufgaben (z. B. Domänenadministrator)
  • Wenn sie Azure RBAC verwenden, müssen beide Gesamtstrukturen über einen einzelnen Microsoft Entra Connect-Synchronisierungsserver erreichbar sein.

Wie Wald-Vertrauensstellungen funktionieren

Azure Files lokale AD DS-Authentifizierung unterstützt nur die AD-Gesamtstruktur des Domänendiensts, für den das Speicherkonto registriert ist. Standardmäßig können Sie nur auf Azure Datei-Freigaben mit den Anmeldeinformationen von AD DS aus einer einzigen Gesamtstruktur zugreifen. Wenn Sie von einer anderen Gesamtstruktur aus auf Ihre Azure-Dateifreigabe zugreifen müssen, konfigurieren Sie ein Gesamtstrukturvertrauen.

Eine Gesamtstruktur-Vertrauensstellung ist eine transitive Vertrauensstellung zwischen zwei AD-Gesamtstrukturen, die Benutzern in jeder der Domänen in einer Gesamtstruktur die Authentifizierung in jeder der Domänen der anderen Gesamtstruktur ermöglicht.

Setup mit mehreren Gesamtstrukturen

Führen Sie die folgenden Schritte aus, um ein Setup mit mehreren Forests zu konfigurieren:

  • Sammeln von Domäneninformationen und virtuellen Netzwerkverbindungen zwischen Domänen
  • Einrichten und Konfigurieren einer Gesamtstruktur-Vertrauensstellung
  • Einrichten der identitätsbasierten Authentifizierung und von Hybridbenutzerkonten

Sammeln von Domäneninformationen

Für diese Übung verwenden wir zwei lokale AD DS-Domänencontroller, die zu zwei unterschiedlichen Gesamtstrukturen gehören und sich in verschiedenen virtuellen Netzwerken befinden.

Gesamtstruktur Domäne Virtuelles Netzwerk
Gesamtstruktur 1 onpremad1.com DomainServicesVNet WUS
Wald 2 onpremad2.com vnet2/workloads

Einrichten und Konfigurieren einer Vertrauensstellung

Damit Clients von Forest 1 auf Azure Files-Domänenressourcen in Forest 2 zugreifen können, müssen Sie eine Vertrauensstellung zwischen den beiden Gesamtstrukturen einrichten. Führen Sie die folgenden Schritte aus, um die Vertrauensstellung einzurichten.

Hinweis

Azure Files unterstützt nur Gesamtstrukturvertrauensstellungen. Es unterstützt keine anderen Vertrauenstypen wie externe Vertrauensstellungen.

Wenn Sie bereits eine Vertrauensstellung eingerichtet haben, können Sie den Typ überprüfen, indem Sie sich bei einem Computer anmelden, der mit der Domäne der Gesamtstruktur 2 verbunden ist. Öffnen Sie die Active Directory-Domänen und -Vertrauensstellungen-Konsole, klicken Sie mit der rechten Maustaste auf die lokale Domäne onpremad2.com und wählen Sie die Registerkarte Vertrauensstellungen aus. Wenn Ihre vorhandene Vertrauensstellung keine Gesamtstrukturvertrauensstellung ist und eine solche den Anforderungen Ihrer Umgebung entspricht, müssen Sie die bestehende Vertrauensstellung entfernen und eine Gesamtstrukturvertrauensstellung neu erstellen. Folgen Sie dazu den folgenden Anweisungen.

  1. Melden Sie sich bei einem Computer an, der mit Forest 2 verbunden ist, und öffnen Sie die Konsole Active Directory Domains and Trusts.

  2. Klicken Sie mit der rechten Maustaste auf die lokale Domäne onpremad2.com, und wählen Sie dann die Registerkarte Vertrauensstellungen aus.

  3. Wählen Sie Neue Vertrauensstellung aus, um den Assistenten für neue Vertrauensstellungen zu starten.

  4. Geben Sie den Namen der Domäne an, mit der Sie eine Vertrauensstellung einrichten möchten (in diesem Beispiel onpremad1.com), und wählen Sie dann Weiter aus.

  5. Wählen Sie unter Vertrauenstyp die Option Gesamtstruktur-Vertrauensstellung und dann Weiter aus.

  6. Wählen Sie unter Richtung der Vertrauensstellung die Option Bidirektional und dann Weiter aus.

    Screenshot der Konsole

  7. Wählen Sie unter Vertrauensstellungsseiten die Option Nur diese Domäne und dann Weiter aus.

  8. Benutzer in der angegebenen Gesamtstruktur können zur Verwendung aller Ressourcen in der lokalen Gesamtstruktur (gesamtstrukturweite Authentifizierung) oder nur zur Verwendung der von Ihnen ausgewählten Ressourcen (selektive Authentifizierung) authentifiziert werden. Wählen Sie unter Authentifizierungsebene für ausgehende Vertrauensstellung die Option Gesamtstrukturweite Authentifizierung aus. Dies ist die bevorzugte Option, wenn beide Gesamtstrukturen derselben Organisation angehören. Wählen Sie Weiter aus.

  9. Geben Sie ein Kennwort für die Vertrauensstellung ein, und wählen Sie dann "Weiter" aus. Sie müssen dasselbe Kennwort verwenden, wenn Sie diese Vertrauensstellung in der angegebenen Domäne erstellen.

    Screenshot der Active Directory-Domänen- und -Vertrauensstellungen-Konsole, der zeigt, wie ein Kennwort für die Vertrauensstellung eingegeben wird.

  10. Es sollte eine Meldung angezeigt werden, dass die Vertrauensstellung erfolgreich erstellt wurde. Wählen Sie zum Konfigurieren der Vertrauensstellung Weiter aus.

  11. Bestätigen Sie die ausgehende Vertrauensstellung, und wählen Sie Weiter aus.

  12. Geben Sie den Benutzernamen und das Kennwort eines Benutzers ein, der Über Administratorrechte von der anderen Domäne verfügt.

Nachdem die Authentifizierung bestanden wurde, ist das Vertrauen etabliert. Die angegebene Domäne onpremad1.com sollte auf der Registerkarte „Vertrauensstellungen“ aufgeführt sein.

Einrichten der identitätsbasierten Authentifizierung und von Hybridbenutzerkonten

Nachdem Sie die Vertrauensstellung eingerichtet haben, führen Sie die folgenden Schritte aus, um ein Speicherkonto und eine SMB-Dateifreigabe für jede Domäne zu erstellen, die AD DS-Authentifizierung für die Speicherkonten zu aktivieren und hybride Benutzerkonten zu erstellen, die mit entra ID synchronisiert wurden.

  1. Melden Sie sich beim Azure-Portal an, und erstellen Sie zwei Speicherkonten, z. B. onprem1sa und onprem2sa. Für eine optimale Leistung sollten die Speicherkonten in derselben Region bereitgestellt werden wie die Clients, von denen aus Sie auf die Freigaben zugreifen möchten.

    Hinweis

    Sie müssen kein zweites Speicherkonto erstellen. Diese Anleitungen zeigen ein Beispiel für den Zugriff auf Speicherkonten, die zu verschiedenen Gesamtstrukturen gehören. Wenn Sie nur über ein Speicherkonto verfügen, können Sie die Einrichtungsanweisungen für das zweite Speicherkonto ignorieren.

  2. Erstellen Sie ein SMB-Azure-Dateifreigabe und weisen Sie Berechtigungen auf Freigabeebene für jedes Speicherkonto zu.

  3. Syncen Sie Ihr lokales AD mit Microsoft Entra ID, indem Sie die Microsoft Entra Connect Sync-Anwendung verwenden.

  4. Verbinden Sie eine Azure VM in Forest 1 mit Ihrem lokalen AD DS. Weitere Informationen zum Domänenbeitritt finden Sie unter Hinzufügen eines Computers zu einer Domäne.

  5. Aktivieren Sie die AD DS-Authentifizierung für das Speicherkonto, das mit Forest 1 verknüpft ist, z. B. onprem1sa. In diesem Schritt wird ein Computerkonto in Ihrem lokalen AD namens onprem1sa erstellt, um das Azure Speicherkonto darzustellen und das Speicherkonto mit der Domäne onpremad1.com zu verknüpfen. Sie können überprüfen, ob die AD-Identität, die das Speicherkonto darstellt, erstellt wurde, indem Sie in Active Directory Users and Computers nach onpremad1.com suchen. In diesem Beispiel wird ein Computerkonto mit dem Namen "onprem1sa" angezeigt.

  6. Erstellen Sie ein Benutzerkonto, indem Sie zu Active Directory > onpremad1.com navigieren. Klicken Sie mit der rechten Maustaste auf Benutzer, wählen Sie Erstellen aus, geben Sie einen Benutzernamen ein (z. B. onprem1user), und aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab (optional).

  7. Optional: Wenn Sie Azure RBAC verwenden möchten, um Berechtigungen auf Freigabeebene zuzuweisen, müssen Sie den Benutzer mithilfe von Microsoft Entra Connect mit entra ID synchronisieren. Normalerweise werden alle 30 Minuten Microsoft Entra Connect-Synchronisierungsupdates aktualisiert. Sie können jedoch eine sofortige Synchronisierung erzwingen, indem Sie eine PowerShell-Sitzung mit erhöhten Rechten öffnen und Start-ADSyncSyncCycle -PolicyType Delta ausführen. Möglicherweise müssen Sie zuerst das ADSynch-Modul installieren, indem Sie Import-Module ADSync ausführen. Um zu überprüfen, ob der Benutzer mit Entra ID synchronisiert ist, melden Sie sich beim Azure-Portal mit dem Azure-Abonnement an, das Ihrem Multi-Forest-Tenant zugeordnet ist, und wählen Sie Microsoft Entra ID aus. Wählen Sie Benutzer > Verwalten aus, und suchen Sie nach dem hinzugefügten Benutzer (z. B onprem1user). Für Lokale Synchronisierung aktiviert sollte Ja angezeigt werden.

  8. Legen Sie Berechtigungen auf Freigabeebene fest, indem Sie entweder die Azure RBAC-Rollen oder eine Standardberechtigung auf Freigabeebene verwenden.

Wiederholen Sie die Schritte 4 bis 8 für Forest 2-Domäne onpremad2.com (Speicherkonto onprem2sa/Benutzer onprem2user). Wenn Sie über mehr als zwei Gesamtstrukturen verfügen, wiederholen Sie die Schritte für jede Gesamtstruktur.

Konfigurieren von Berechtigungen auf Verzeichnis- und Dateiebene (optional)

Verwenden Sie in einer Umgebung mit mehreren Gesamtstrukturen das Befehlszeilenhilfsprogramm icacls, um in beiden Gesamtstrukturen Berechtigungen auf Verzeichnis- und Dateiebene für Benutzende zu konfigurieren. Siehe Configure Windows ACLs mit Icacls.

Wenn icacls mit einem Zugriff verweigert-Fehler ausfällt, führen Sie die folgenden Schritte aus, um die Berechtigungen auf Verzeichnis- und Dateiebene zu konfigurieren:

  1. Löschen Sie die vorhandene Freigabeeinbindung: net use * /delete /y

  2. Stellen Sie die Freigabe erneut ein, indem Sie entweder das Berechtigungsmodell Windows für SMB-Administrator oder den Speicherkontoschlüssel verwenden (nicht empfohlen). Siehe Mount SMB Azure Dateifreigabe auf Windows.

  3. Legen Sie icacls-Berechtigungen für einen Benutzer in Gesamtstruktur 2 auf dem Speicherkonto fest, das mit Gesamtstruktur 1 verknüpft ist, vom Client in Gesamtstruktur 1.

Hinweis

Verwenden Sie den Datei-Explorer nicht, um ACLs in einer Multi-Forest-Umgebung zu konfigurieren. Benutzer, die zu der mit dem Speicherkonto verbundenen Gesamtstruktur gehören, können zwar Datei- und Verzeichnisberechtigungen über den Datei-Explorer festlegen, doch funktioniert dies nicht für Benutzer, die nicht zur gleichen mit dem Speicherkonto verbundenen Gesamtstruktur gehören.

Konfigurieren von Domänensuffixen

Azure Files wird in AD DS fast identisch wie ein regulärer Dateiserver registriert, wie weiter oben erläutert. Es erstellt eine Identität (standardmäßig ein Computerkonto, kann aber auch ein Dienstanmeldungskonto sein), das das Speicherkonto in AD DS für die Authentifizierung darstellt. Der einzige Unterschied besteht darin, dass der registrierte Dienstprinzipalname (Service Principal Name, SPN) des Speicherkontos auf file.core.windows.net endet, was nicht mit dem Domänensuffix übereinstimmt. Aufgrund des unterschiedlichen Domänensuffixes müssen Sie eine Suffix-Routing-Richtlinie konfigurieren, um die Authentifizierung mit mehreren Gesamtstrukturen zu ermöglichen.

Da das Suffix file.core.windows.net das Suffix für alle Azure Files Ressourcen und kein Suffix für eine bestimmte AD-Domäne ist, weiß der Domänencontroller des Clients nicht, an welche Domäne die Anforderung weitergeleitet werden soll. Es schlägt daher alle Anforderungen fehl, bei denen die Ressource nicht in ihrer eigenen Domäne gefunden wird.

Wenn beispielsweise Benutzer in einer Domäne in Gesamtstruktur 1 mit dem Speicherkonto, das für eine Domäne in Gesamtstruktur 2 registriert ist, auf eine Dateifreigabe zugreifen möchten, funktioniert dies nicht automatisch, da der Dienstprinzipal des Speicherkontos kein Suffix aufweist, das dem Suffix einer Domäne in Gesamtstruktur 1 entspricht.

Sie können Domänensuffixe mithilfe einer der folgenden Methoden konfigurieren:

Ändern des SPN-Suffix des Speicherkontos und Hinzufügen eines CNAME-Eintrags

Sie können das Problem mit dem Domänenrouting beheben, indem Sie das SPN-Suffix des Speicherkontos ändern, das der Azure Dateifreigabe zugeordnet ist, und dann einen CNAME-Eintrag hinzufügen, um das neue Suffix an den Endpunkt des Speicherkontos weiterzuleiten. Bei dieser Konfiguration können domänenverbundene Clients auf Speicherkonten zugreifen, die mit einem beliebigen Forest verknüpft sind. Diese Lösung funktioniert für Umgebungen mit zwei oder mehr Gesamtstrukturen.

In diesem Beispiel haben die Domänen onpremad1.com und onpremad2.com die Speicherkonten onprem1sa und onprem2sa, die den SMB Azure-Dateifreigaben in den jeweiligen Domänen zugeordnet sind. Diese Domänen befinden sich in verschiedenen Gesamtstrukturen, die sich für den Zugriff auf Ressourcen in der jeweils anderen Gesamtstruktur gegenseitig vertrauen. Sie sollten den Zugriff auf beide Speicherkonten von Clients aus zulassen, die zu jeder Gesamtstruktur gehören. Dazu müssen Sie die SPN-Suffixe des Speicherkontos ändern:

onprem1sa.onpremad1.com -> onprem1sa.file.core.windows.net

onprem2sa.onpremad2.com > onprem2sa.file.core.windows.net

Diese Änderung ermöglicht es Clients, die Freigabe über net use \\onprem1sa.onpremad1.com zu mounten, da Clients in onpremad1 oder onpremad2 wissen, dass sie onpremad1.com durchsuchen müssen, um die korrekte Ressource für das Speicherkonto zu finden.

Führen Sie die folgenden Schritte aus, um diese Methode zu verwenden:

  1. Stellen Sie sicher, dass Sie eine Vertrauensstellung zwischen den beiden Gesamtstrukturen eingerichtet haben und die identitätsbasierte Authentifizierung sowie die Hybrid-Benutzerkonten eingerichtet haben, wie in den vorherigen Abschnitten beschrieben.

  2. Ändern Sie den SPN des Speicherkontos mithilfe des Setspn-Tools. Sie finden <DomainDnsRoot>, indem Sie den folgenden Active Directory PowerShell-Befehl ausführen: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Fügen Sie einen CNAME-Eintrag mithilfe von Active Directory DNS-Manager hinzu, und führen Sie die folgenden Schritte für jedes Speicherkonto in der Domäne aus, dem das Speicherkonto beigetreten ist. Wenn Sie einen privaten Endpunkt verwenden, fügen Sie den CNAME-Eintrag hinzu, der dem Namen des privaten Endpunkts zugeordnet werden soll.

    1. Öffnen Sie Active Directory DNS-Manager.

    2. Wechseln Sie zu Ihrer Domäne (z. B. onpremad1.com).

    3. Navigieren Sie zu „Forward-Lookupzonen“.

    4. Wählen Sie den Knoten aus, der nach Ihrer Domäne benannt ist (z. B. onpremad1.com), und klicken Sie mit der rechten Maustaste auf Neuer Alias (CNAME).

    5. Geben Sie als Aliasname den Namen Ihres Speicherkontos ein.

    6. Geben Sie für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) <storage-account-name>.<domain-name> ein, z. B. mystorageaccount.onpremad1.com.

    7. Geben Sie als FQDN des Zielhosts <storage-account-name>.file.core.windows.net ein.

    8. Klicken Sie auf OK.

      Screenshot zeigt, wie man einen CNAME-Eintrag für Suffix Routing mithilfe des Active Directory DNS Manager hinzufügt.

Von in die Domäne eingebundenen Clients aus können Sie jetzt Speicherkonten nutzen, die mit einer der Gesamtstrukturen verbunden sind.

Hinweis

Stellen Sie sicher, dass der Hostnamenteil des FQDN dem Namen des Speicherkontos entspricht, wie zuvor beschrieben. Andernfalls wird der Zugang mit der Fehlermeldung: „Dateiname, Verzeichnisname oder Volumenbezeichnungssyntax ist inkorrekt.“ verweigert. Eine Netzwerkablaufverfolgung zeigt während des SMB-Sitzungsaufbaus die Meldung STATUS_OBJECT_NAME_INVALID (0xc0000033) an.

Hinzufügen eines benutzerdefinierten Namenssuffixes und einer Routingregel

Wenn Sie das Suffix des Speicherkontonamens bereits geändert und wie im vorherigen Abschnitt beschrieben einen CNAME-Eintrag hinzugefügt haben, können Sie diesen Schritt überspringen. Wenn Sie keine DNS-Änderungen vornehmen oder das Suffix des Speicherkontonamens ändern möchten, können Sie für ein benutzerdefiniertes Suffix von file.core.windows.net eine Suffix-Routing-Regel von Forest 1 zu Forest 2 konfigurieren.

Hinweis

Das Konfigurieren des Namenssuffixroutings hat keine Auswirkung auf die Möglichkeit, auf Ressourcen in der lokalen Domäne zuzugreifen. Es ist nur erforderlich, um dem Client das Weiterleiten der Anforderung an die mit dem Suffix übereinstimmende Domäne zu ermöglichen, wenn die Ressource nicht in seiner eigenen Domäne gefunden wird.

Fügen Sie zunächst ein neues benutzerdefiniertes Suffix auf Forest 2 hinzu. Stellen Sie sicher, dass Sie über die entsprechenden Administratorberechtigungen verfügen, um die Konfiguration zu ändern und die Vertrauensstellung zwischen den beiden Gesamtstrukturen einzurichten. Führen Sie dann die folgenden Schritte durch:

  1. Melden Sie sich bei einem Computer oder virtuellen Computer an, der einer Domäne in Forest 2 beigetreten ist.
  2. Öffnen Sie die Konsole Active Directory Domains and Trusts.
  3. Klicken Sie mit der rechten Maustaste auf Active Directory Domains and Trusts.
  4. Wählen Sie Eigenschaften und dann Hinzufügen aus.
  5. Fügen Sie "file.core.windows.net" als UPN-Suffix hinzu.
  6. Wählen Sie Anwenden und dann OK aus, um den Assistenten zu schließen.

Fügen Sie als Nächstes die Suffix-Routing-Regel für Gesamtstruktur 1 hinzu, damit eine Weiterleitung an Gesamtstruktur 2 erfolgt.

  1. Melden Sie sich bei einem Computer oder virtuellen Computer an, der einer Domäne in Forest 1 beigetreten ist.
  2. Öffnen Sie die Konsole Active Directory Domains and Trusts.
  3. Klicken Sie mit der rechten Maustaste auf die Domäne, auf die Sie zugreifen möchten, um die Dateifreigabe zu erreichen. Wählen Sie die Registerkarte "Vertrauensstellungen" aus. Wählen Sie die Domäne "Forest 2" aus den ausgehenden Vertrauensstellungen.
  4. Wählen Sie Eigenschaften und dann Namensuffix-Routing aus.
  5. Überprüfen Sie, ob das Suffix „*.file.core.windows.net“ angezeigt wird. Wählen Sie andernfalls Aktualisieren aus.
  6. Wählen Sie „*.file.core.windows.net“ und dann Aktivieren und Anwenden aus.

Validieren, ob die Vertrauensstellung funktioniert

Überprüfen Sie, ob die Vertrauensstellung funktioniert, indem Sie den Befehl klist ausführen, um den Inhalt des Kerberos-Anmeldeinformationscaches und der Schlüsseltabelle anzuzeigen.

  1. Melden Sie sich bei einem Computer oder virtuellen Computer an, der einer Domäne in Forest 1 beigetreten ist, und öffnen Sie eine Windows Eingabeaufforderung.

  2. Führen Sie einen der folgenden Befehle aus, um den Anmeldeinformations-Cache für das domänengebundene Speicherkonto in Gesamtstruktur 2 anzuzeigen:

  3. Eine Ausgabe ähnlich der folgenden sollte angezeigt werden. Die klist-Ausgabe unterscheidet sich geringfügig, je nachdem, welche Methode Sie zum Konfigurieren von Domänensuffixen verwendet haben.

    Client: onprem1user @ ONPREMAD1.COM
Server: cifs/onprem2sa.file.core.windows.net @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:45:02 (local)
End Time: 11/23/2022 4:45:02 (local)
Renew Time: 11/29/2022 18:45:02 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onprem2.onpremad2.com

  4. Melden Sie sich bei einem Computer oder virtuellen Computer an, der einer Domäne in Forest 2 beigetreten ist, und öffnen Sie eine Windows Eingabeaufforderung.

  5. Führen Sie einen der folgenden Befehle aus, um den Anmeldeinformationscache für das domänengebundene Speicher-Account in Gesamtstruktur 1 anzuzeigen:

  6. Eine Ausgabe ähnlich der folgenden sollte angezeigt werden. Die klist-Ausgabe unterscheidet sich geringfügig, je nachdem, welche Methode Sie zum Konfigurieren von Domänensuffixen verwendet haben.

    Client: onprem2user @ ONPREMAD2.COM
Server: krbtgt/ONPREMAD2.COM @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -> PRIMARY
Kdc Called: onprem2

Client: onprem2user @ ONPREMAD2.COM    
Server: cifs/onprem1sa.file.core.windows.net @ ONPREMAD1.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onpremad1.onpremad1.com

Wenn die vorherige Ausgabe angezeigt wird, sind Sie fertig. Führen Sie andernfalls die folgenden Schritte aus, um alternative UPN-Suffixe anzugeben, damit die Authentifizierung mit mehreren Gesamtstrukturen funktioniert.

Wichtig

Das Hinzufügen eines benutzerdefinierten Namenssuffixes und einer Routingregel funktioniert nur in Umgebungen mit zwei Gesamtstrukturen. Wenn Sie über mehr als zwei Gesamtstrukturen verfügen, ändern Sie das SPN-Suffix des Speicherkontos und fügen Sie stattdessen einen CNAME-Eintrag hinzu.

Fügen Sie zunächst ein neues benutzerdefiniertes Suffix für Gesamtstruktur 1 hinzu.

  1. Melden Sie sich bei einem Computer oder virtuellen Computer an, der einer Domäne in Forest 1 beigetreten ist.
  2. Öffnen Sie die Konsole Active Directory Domains and Trusts.
  3. Klicken Sie mit der rechten Maustaste auf Active Directory Domains and Trusts.
  4. Wählen Sie Eigenschaften und dann Hinzufügen aus.
  5. Fügen Sie ein alternatives UPN-Suffix wie „onprem1sa.file.core.windows.net“ hinzu.
  6. Wählen Sie Anwenden und dann OK aus, um den Assistenten zu schließen.

Fügen Sie als Nächstes die Suffixroutingregel für Gesamtstruktur 2 hinzu.

  1. Melden Sie sich bei einem Computer oder virtuellen Computer an, der einer Domäne in Forest 2 beigetreten ist.
  2. Öffnen Sie die Konsole Active Directory Domains and Trusts.
  3. Klicken Sie mit der rechten Maustaste auf die Domäne, die auf die Dateifreigabe zugreifen soll. Wählen Sie anschließend die Registerkarte Vertrauensstellungen und dann die ausgehende Vertrauensstellung von Gesamtstruktur 2 aus, in der das Namenssuffixrouting hinzugefügt wurde.
  4. Wählen Sie Eigenschaften und dann Namensuffix-Routing aus.
  5. Überprüfen Sie, ob das Suffix „onprem1sa.file.core.windows.net“ angezeigt wird. Wählen Sie andernfalls Aktualisieren aus.
  6. Wählen Sie „onprem1sa.file.core.windows.net“ und dann Aktivieren und Anwenden aus.

Nächster Schritt

Weitere Informationen findest du unter:

  • Last updated on