Erstellen eines Volumes mit dualem Protokoll für Azure NetApp Files

Azure NetApp Files unterstützt das Erstellen von Volumes mithilfe von NFS (NFSv3 oder NFSv4.1), SMB3 oder einem dualen Protokoll (NFSv3 und SMB, oder NFSv4.1 und SMB). In diesem Artikel wird beschrieben, wie Sie ein Volume erstellen, das ein Dual-Protokoll mit Unterstützung der LDAP-Benutzerzuordnung verwendet.

Informationen zum Erstellen von NFS-Volumes finden Sie unter Erstellen eines NFS-Volumes für Azure NetApp Files. Informationen zum Erstellen von SMB-Volumes finden Sie unter Erstellen eines SMB-Volumes für Azure NetApp Files.

Voraussetzungen

• Sie müssen bereits einen Kapazitätspool erstellt haben.
  Informationen dazu finden Sie unter Einrichten eines Kapazitätspools.
• Ein Subnetz muss an Azure NetApp Files delegiert werden.
  Siehe Delegieren eines Subnetzes an Azure NetApp Files.
• Die nicht durchsuchbaren Freigaben und die zugriffsbasierte Enumeration sind derzeit in der Vorschau. Sie müssen jedes Feature registrieren, bevor Sie es verwenden können:

1. Registrieren Sie die Funktion:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Überprüfen Sie den Status der Funktionsregistrierung:

   Hinweis

   Der RegistrationState kann bis zu 60 Minuten lang den Wert Registering aufweisen, bevor er sich in Registered ändert. Warten Sie, bis der Status Registriert lautet, bevor Sie fortfahren.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Sie können auch die Azure CLI-Befehleaz feature register und az feature show verwenden, um das Feature zu registrieren und den Registrierungsstatus anzuzeigen.

Überlegungen

• Achten Sie darauf, die Anforderungen für Active Directory-Verbindungen zu erfüllen.

• Erstellen Sie eine Reverse-Lookup-Zone auf dem DNS-Server, und fügen Sie dann einen Zeigereintrag (PTR) des AD-Hostcomputers in dieser Reverse-Lookup-Zone hinzu. Andernfalls kann das Volume mit dualem Protokoll nicht erstellt werden.

• Die Option Lokale NFS-Benutzer mit LDAP zulassen für Active Directory-Verbindungen dient dazu, lokalen Benutzern gelegentlichen und temporären Zugriff zu bieten. Wenn diese Option aktiviert ist, funktionieren die Benutzerauthentifizierung und die Suche über den LDAP-Server nicht mehr, und die Anzahl der Gruppenmitgliedschaften, die Azure NetApp Files unterstützt, ist auf 16 beschränkt. Daher sollten Sie diese Option für Active Directory-Verbindungen deaktivieren, außer wenn ein lokaler Benutzer auf LDAP-fähige Volumes zugreifen muss. In diesem Fall sollten Sie diese Option deaktivieren, sobald der lokale Benutzer keinen Zugriff mehr auf das Volume benötigt. Informationen zum Verwalten lokaler Benutzer finden Sie unter Lokalen NFS-Benutzern mit LDAP den Zugriff auf ein Doppelprotokollvolume gestatten.

• Stellen Sie sicher, dass der NFS-Client auf dem neuesten Stand ist, und führen Sie die neuesten Updates für das Betriebssystem aus.

• Volumes mit dualen Protokollen unterstützen sowohl Active Directory Domain Services (AD DS) als auch Microsoft Entra Domain Services.

• Die Verwendung von LDAP über TLS mit Microsoft Entra Domain Services wird von Volumes mit dualen Protokollen nicht unterstützt. LDAP über TLS wird mit Active Directory Domain Services (AD DS) unterstützt. Weitere Informationen finden Sie unter Überlegungen zu LDAP über TLS.

• Für ein Volume mit Dual-Protokoll kann als NFS-Version entweder NFSv3 oder NFSv4.1 verwendet werden. Die folgenden Überlegungen sind zu berücksichtigen:

  • Das duale Protokoll unterstützt die erweiterten Attribute set/get von Windows-ACLs von NFS-Clients nicht.

  • NFS-Clients können keine Berechtigungen für den NTFS-Sicherheitsstil ändern, und Windows-Clients können keine Berechtigungen für Doppelprotokollvolumes im UNIX-Format ändern.

    In der folgenden Tabelle werden die Sicherheitsstile und deren Auswirkungen beschrieben:

    Sicherheitsstil	Clients, die Berechtigungen ändern können	Berechtigungen, die von Clients verwendet werden können	Resultierender effektiver Sicherheitsstil	Clients, die auf Dateien zugreifen können
    Unix	NFS	NFSv3- oder NFSv4.1-Modusbits	UNIX	NFS und Windows
    Ntfs	Windows	NTFS-ACLs	NTFS	NFS und Windows

  • Die Richtung, in der die Namenszuordnung erfolgt (Windows zu UNIX oder UNIX zu Windows), hängt davon ab, welches Protokoll verwendet wird und welcher Sicherheitsstil auf ein Volume angewendet wird. Ein Windows-Client erfordert immer eine Windows-zu-UNIX-Namenszuordnung. Ob ein Benutzer zur Überprüfung von Berechtigungen zugewiesen ist, hängt vom Sicherheitsstil ab. Umgekehrt muss ein NFS-Client nur dann eine UNIX-zu-Windows-Namenszuordnung verwenden, wenn der NTFS-Sicherheitsstil verwendet wird.

    Die folgende Tabelle beschreibt die Namenszuordnungen und Sicherheitsstile:

    Protokoll	Sicherheitsstil	Richtung der Namenszuordnung	Angewendete Berechtigungen
    SMB	Unix	Windows zu UNIX	UNIX (Modusbits oder NFSv4.x-ACLs)
    SMB	Ntfs	Windows zu UNIX	NTFS-ACLs (basierend auf der Windows-SID, die auf die Freigabe zugreift)
    NFSv3	Unix	Keine	UNIX (Modusbits oder NFSv4.x-ACLs) NFSv4.x-ACLs können mit einem NFSv4.x-Administratorclient angewendet und von NFSv3-Clients berücksichtigt werden.
    NFS	Ntfs	UNIX zu Windows	NTFS-ACLs (basierend auf der zugeordneten Windows-Benutzer-SID)

• Das Feature „LDAP mit erweiterten Gruppen“ unterstützt das Dualprotokoll von [NFSv3 und SMB] sowie von [NFSv4.1 und SMB] mit dem Unix-Sicherheitsansatz. Weitere Informationen finden Sie unter Konfigurieren von AD DS LDAP mit erweiterten Gruppen für Zugriff auf NFS-Volumes.

• Wenn Sie über große Topologien verfügen und den Unix-Sicherheitsansatz mit einem Dualprotokoll-Volume oder LDAP mit erweiterten Gruppen verwenden, können Sie die Option LDAP-Suchbereich auf der Seite „Active Directory-Verbindungen“ verwenden, um Fehler vom Typ „Zugriff verweigert“ für Azure NetApp Files auf Linux-Clients zu vermeiden. Weitere Informationen finden Sie unter Konfigurieren von AD DS LDAP mit erweiterten Gruppen für Zugriff auf NFS-Volumes.

• Sie benötigen zum Erstellen eines Volumes mit dualem Protokoll kein Serverzertifikat von einer Stammzertifizierungsstelle. Dies ist nur erforderlich, wenn LDAP über TLS aktiviert ist.

• Informationen zu dualen Azure NetApp Files-Protokollen und zu verwandten Aspekten finden Sie im Artikel „Grundlegendes zu NAS-Protokollen in Azure NetApp Files“ Abschnitt Duale Protokolle.

Erstellen eines Dual-Protokoll-Volumes

1. Klicken Sie auf dem Blatt „Kapazitätspools“ auf das Blatt Volumes. Klicken Sie auf + Volume hinzufügen, um ein Volume zu erstellen.

   

2. Klicken Sie im Fenster „Volume erstellen“ auf Erstellen, und geben Sie auf der Registerkarte „Grundlagen“ Informationen in den folgenden Feldern an:

   • Volumename
     Geben Sie den Namen für das Volume an, das Sie erstellen möchten.

     Informationen zu Namenskonventionen für Volumes finden Sie unter Benennungsregeln und -einschränkungen für Azure-Ressourcen. Außerdem können Sie weder default noch bin als Volumenamen verwenden.

   • Kapazitätspool
     Geben Sie den Kapazitätspool an, in dem das Volume erstellt werden soll.

   • Kontingent
     Geben Sie die Menge an logischem Speicherplatz an, die dem Volume zugewiesen wird.

     Das Feld Verfügbares Kontingent zeigt den ungenutzten Speicherplatz im ausgewählten Kapazitätspool an, den Sie beim Erstellen eines neuen Volumes verwenden können. Die Größe des neuen Volumes darf das verfügbare Kontingent nicht überschreiten.

   • Großes Volume Für Volumes zwischen 50 TiB und 500 TiB wählen Sie Ja aus. Wenn das Volume nicht mehr als 100 TiB erfordert, wählen Sie Nein aus.

     Wichtig

     Große Volumes sind derzeit in der Vorschau. Wenn Sie zum ersten Mal große Volumes verwenden, müssen Sie zuerst das Feature registrieren und eine Erhöhung des regionalen Kapazitätskontingents anfordern.

     Volumes gelten als groß, wenn sie zwischen 50 TiB und 500 TiB groß sind. Normale Volumes können nicht in große Volumes konvertiert werden. Große Volumes können nicht auf weniger als 50 TiB angepasst werden. Informationen zu den Anforderungen und Überlegungen großer Volumes finden Sie unter Anforderungen und Überlegungen für große Volumes. Weitere Grenzwerte finden Sie unter Ressourcenbeschränkungen.

   • Durchsatz (MiB/s)
     Wenn das Volume in einem manuellen QoS-Kapazitätspool erstellt wird, geben Sie den für das Volume gewünschten Durchsatz an.

     Wenn das Volume in einem automatischen QoS-Kapazitätspool erstellt wird, lautet der in diesem Feld angezeigte Wert (Kontingent x Serviceleveldurchsatz).

   • Aktivieren Sie Cool Access, Coolness Period und Cool Access Retrieval Policy.
     Diese Felder konfigurieren Standardspeicher mit kaltem Zugriff in Azure NetApp Files. Beschreibungen finden Sie unter Verwalten des Standardspeichers von Azure NetApp Files mit kaltem Zugriff.

   • Virtuelles Netzwerk
     Geben Sie das virtuelle Azure-Netzwerk (VNET) an, von dem aus Sie auf das Volume zugreifen möchten.

     Das von Ihnen angegebene VNET muss über ein an Azure NetApp Files delegiertes Subnetz verfügen. Auf Azure NetApp Files kann nur vom gleichen VNet aus oder per VNet-Peering von einem VNet aus zugegriffen werden, das sich in der gleichen Region befindet wie das Volume. Sie können auch über ExpressRoute von Ihrem lokalen Netzwerk aus auf das Volume zugreifen.

   • Subnetz
     Geben Sie das Subnetz an, das Sie für das Volume verwenden möchten.
     Das von Ihnen angegebene Subnetz muss an Azure NetApp Files delegiert werden.

     Wenn Sie kein Subnetz delegiert haben, klicken Sie auf der Seite „Volume erstellen“ auf Neu erstellen. Geben Sie dann auf der Seite „Subnetz erstellen“ die Subnetzinformationen an, und wählen Sie Microsoft.NetApp/volumes aus, um das Subnetz für Azure NetApp Files zu delegieren. In jedem VNET kann nur ein Subnetz an Azure NetApp Files delegiert werden.

     

   • Netzwerkfunktionen
     In unterstützten Regionen können Sie angeben, ob Sie für das Volume Basic- oder Standard-Netzwerkfeatures verwenden möchten. Ausführlichere Informationen finden Sie unter Konfigurieren von Netzwerkfeatures für ein Volume und Richtlinien für die Azure NetApp Files-Netzwerkplanung.

   • Verschlüsselungsschlüsselquelle Sie können Microsoft Managed Key oder Customer Managed Key auswählen. Informationen zur Verwendung dieses Felds finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln für die Azure NetApp Files-Volumeverschlüsselung und Doppelte Verschlüsselung ruhender Dateien von Azure NetApp Files.

   • Verfügbarkeitszone
     Mit dieser Option können Sie das neue Volume in der logischen Verfügbarkeitszone bereitstellen, die Sie angeben. Wählen Sie eine Verfügbarkeitszone aus, in der Azure NetApp Files-Ressourcen vorhanden sind. Details finden Sie unter Verwalten der Volumeplatzierung von Verfügbarkeitszonen.

   • Wenn Sie eine vorhandene Momentaufnahmerichtlinie auf das Volume anwenden möchten, klicken Sie auf Abschnitt „Erweitert“ anzeigen, um den Bereich zu erweitern, geben Sie an, ob Sie den Momentaufnahmepfad ausblenden möchten, und wählen Sie im Pulldownmenü eine Momentaufnahmerichtlinie aus.

     Informationen zum Erstellen einer Momentaufnahmenrichtlinie finden Sie unter Verwalten von Momentaufnahmenrichtlinien.

     

3. Wählen Sie die Registerkarte Protokoll aus, und führen Sie anschließend die folgenden Aktionen aus:

   • Wählen Sie Dual-Protokoll als Protokolltyp für das Volume aus.

   • Geben Sie die zu verwendende Active Directory-Verbindung an.

   • Geben Sie einen eindeutigen Volumepfad an. Dieser Pfad wird verwendet, wenn Sie Einbindungsziele erstellen. Für den Pfad gelten die folgenden Anforderungen:

     • Für Volumes, die sich nicht in einer Verfügbarkeitszone oder nicht in der gleichen Verfügbarkeitszone befinden, muss der Volumepfad innerhalb jedes Subnetzes in der Region eindeutig sein.
     • Für Volumes in Verfügbarkeitszonen muss der Volumepfad innerhalb der jeweiligen Verfügbarkeitszone eindeutig sein. Dieses Feature befindet sich derzeit in der Vorschauphase und muss von Ihnen registriert werden. Weitere Informationen finden Sie unter Verwalten der Volumeplatzierung von Verfügbarkeitszonen.
     • Er muss mit einem Buchstaben beginnen.
     • Er darf nur Buchstaben, Ziffern oder Gedankenstriche (-) enthalten.
     • Er darf höchstens 80 Zeichen lang sein.

   • Geben Sie die zu verwendenden Versionen für das Dual-Protokoll an: NFSv4.1 und SMB oder NFSv3 und SMB.

   • Geben Sie unter Sicherheitsstil den zu verwendenden Sicherheitsstil an: NTFS (Standardeinstellung) oder UNIX.

   • Wenn Sie die SMB3-Protokollverschlüsselung für das Volume mit dualem Protokoll aktivieren möchten, wählen Sie SMB3-Protokollverschlüsselung aktivieren aus.

     Durch dieses Feature wird die Verschlüsselung nur für In-Flight-SMB3-Daten aktiviert. NfSv3-In-Flight-Daten werden nicht verschlüsselt. SMB-Clients ohne Verwendung der SMB3-Verschlüsselung können nicht auf dieses Volume zugreifen. Ruhende Daten werden unabhängig von dieser Einstellung verschlüsselt. Weitere Informationen finden Sie unter SMB-Verschlüsselung.

   • Wenn Sie NFSv4.1 und SMB als Versionen für das Volume mit Dual-Protokoll ausgewählt haben, geben Sie an, ob Sie die Kerberos-Verschlüsselung für das Volume aktivieren möchten.

     Für Kerberos sind zusätzliche Konfigurationen erforderlich. Befolgen Sie die Anweisungen unter Konfigurieren der NFSv4.1-Kerberos-Verschlüsselung.

   • Wenn Sie die zugriffsbasierte Enumeration aktivieren möchten, wählen Sie Zugriffsbasierte Enumeration aktivieren aus.

     Mit diesem Feature werden unter einer Freigabe erstellte Verzeichnisse und Dateien für Benutzer ohne Zugriffsberechtigungen ausgeblendet. Benutzer können die Freigabe weiterhin anzeigen. Die zugriffsbasierte Enumeration kann nur aktiviert werden, wenn das Volume mit dualen Protokollen den NTFS-Sicherheitsstil verwendet.

   • Sie können das Feature für nicht durchsuchbare Freigaben aktivieren.

     Dieses Feature verhindert, dass der Windows-Client die Freigabe durchsucht. Die Freigabe wird weder im Windows-Dateibrowser noch in der Liste der Freigaben angezeigt, wenn Sie den Befehl net view \\server /all ausführen.

   Wichtig

   Die zugriffsbasierte Enumeration und das Feature für nicht durchsuchbare Freigaben befinden sich derzeit in der Vorschauphase. Wenn Sie diese Features zum ersten Mal verwenden, gehen Sie wie unter Voraussetzungen beschrieben vor, um sie zu registrieren.

   • Passen Sie nach Bedarf die Unix-Berechtigungen an, um Änderungsberechtigungen für den Bereitstellungspfad anzugeben. Die Einstellung gilt nicht für die Dateien unter dem Einbindepfad. Die Standardeinstellung ist 0770. Diese Standardeinstellung gewährt dem Besitzer und der Gruppe Lese-, Schreib- und Ausführungsberechtigungen, anderen Benutzern werden jedoch keine Berechtigungen gewährt.
     Für das Festlegen von Unix-Berechtigungen gelten Registrierungsanforderungen und -überlegungen. Befolgen Sie die Anweisungen unter Konfigurieren von Unix-Berechtigungen und des Modus zum Ändern des Besitzers.

   • Optional können Sie die Exportrichtlinie für das Volume konfigurieren.

   

4. Klicken Sie auf Bewerten + erstellen, um die Volumedetails zu überprüfen. Klicken Sie dann auf Erstellen, um das Volume zu erstellen.

   Das von Ihnen erstellte Volume wird auf der Seite „Volumes“ angezeigt.

   Ein Volume erbt Abonnement-, Ressourcengruppen- und Standortattribute aus dem Kapazitätspool. Den Volumebereitstellungsstatus können Sie auf der Benachrichtigungsregisterkarte überwachen.

Lokalen NFS-Benutzern mit LDAP den Zugriff auf ein Doppelprotokollvolume gestatten

Mit der Option Lokale NFS-Benutzer mit LDAP zulassen für Active Directory-Verbindungen können lokale NFS-Clientbenutzer, die auf dem Windows-LDAP-Server nicht vorhanden sind, auf ein Volume mit zwei Protokollen zugreifen, für das LDAP mit aktivierten erweiterten Gruppen aktiviert ist.

Hinweis

Bevor Sie diese Option aktivieren, sollten Sie sich diese Überlegungen ansehen.
Die Option Lokale NFS-Benutzer mit LDAP zulassen ist Teil des Features LDAP mit erweiterten Gruppen und erfordert eine Registrierung. Weitere Informationen finden Sie unter Konfigurieren von AD DS LDAP mit erweiterten Gruppen für NFS-Volume-Zugriff.

1. Wählen Sie Active Directory-Verbindungen aus. Klicken Sie in einer vorhandenen Active Directory-Verbindung auf das Kontextmenü (die drei Punkte …), und wählen Sie Bearbeiten aus.

2. Wählen Sie im angezeigten Fenster Active Directory-Einstellungen bearbeiten die Option Lokale NFS-Benutzer mit LDAP zulassen aus.

   

Verwalten von LDAP-POSIX-Attributen

Sie können POSIX-Attribute wie z. B. UID, Basisverzeichnis und andere Werte über das MMC-Snap-In „Active Directory-Benutzer und -Computer“ verwalten. Im folgenden Beispiel ist der Active Directory-Attribut-Editor dargestellt:

Sie müssen die folgenden Attribute für LDAP-Benutzer und LDAP-Gruppen festlegen:

• Erforderliche Attribute für LDAP-Benutzer:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Erforderliche Attribute für LDAP-Gruppen:
  objectClass: group, posixGroup,
  gidNumber: 555
• Alle Benutzer und Gruppen müssen über eindeutige Werte für uidNumber und gidNumber verfügen.

Die für objectClass angegebenen Werte sind separate Einträge. Beispielsweise hätte im mehrwertigen String Editor objectClass getrennte Werte (user und posixAccount), für Benutzer von LDAP wie folgt bestimmt:

Microsoft Entra Domain Services ermöglicht es Ihnen nicht, das POSIX-Attribut „objectClass“ für Benutzer und Gruppen zu ändern, die in der Organisationseinheit für AADDC-Benutzer erstellt wurden. Zur Umgehung können Sie eine benutzerdefinierte Organisationseinheit einrichten und Benutzer und Gruppen in dieser benutzerdefinierten Organisationseinheit erstellen.

Wenn Sie die Benutzer und Gruppen in Ihrem Microsoft Entra-Mandanten mit Benutzern und Gruppen in der Organisationseinheit für AADDC-Benutzer synchronisieren, können Sie Benutzer und Gruppen nicht in eine benutzerdefinierte Organisationseinheit verschieben. Benutzer und Gruppen, die in der benutzerdefinierten Organisationseinheit erstellt wurden, werden nicht mit Ihrem AD-Mandanten synchronisiert. Weitere Informationen finden Sie unter Überlegungen und Einschränkungen zu benutzerdefinierten Organisationseinheiten.

Zugreifen auf den Active Directory-Attribut-Editor

Auf einem Windows-System können Sie wie folgt auf den Active Directory-Attribut-Editor zugreifen:

1. Klicken Sie auf Start, navigieren Sie zu Windows-Verwaltungsprogramme, und klicken Sie auf Active Directory-Benutzer und -Computer, um das Fenster „Active Directory-Benutzer und -Computer“ zu öffnen.
2. Klicken Sie auf den Domänennamen, den Sie anzeigen möchten, und erweitern Sie dann den Inhalt.
3. Um den erweiterten Attribut-Editor anzuzeigen, aktivieren Sie die Option Erweiterte Features im Menü Ansicht des Fensters „Active Directory-Benutzer und -Computer“.
   
4. Doppelklicken Sie im linken Bereich auf Benutzer, um die Liste der Benutzer anzuzeigen.
5. Doppelklicken Sie auf einen bestimmten Benutzer, um die zugehörige Registerkarte Attribut-Editor anzuzeigen.

Konfigurieren des NFS-Clients

Befolgen Sie die Anweisungen unter Konfigurieren eines NFS-Clients für Azure NetApp Files, um den NFS-Client zu konfigurieren.

Nächste Schritte

• Überlegungen für Azure NetApp Files-Volumes mit dualen Protokollen
• Verwalten der Volumeplatzierung von Verfügbarkeitszonen für Azure NetApp Files
• Anforderungen und Überlegungen für große Volumes
• Konfigurieren der NFSv4.1-Kerberos-Verschlüsselung
• Konfigurieren eines NFS-Clients für Azure NetApp Files
• Konfigurieren von Unix-Berechtigungen und des Modus zum Ändern des Besitzers.
• Konfigurieren von AD DS LDAP über TLS für Azure NetApp Files
• Konfigurieren Sie Active Directory Domain Services LDAP mit erweiterten Gruppen für den NFS-Volume-Zugriff
• Behandeln von Volumefehlern für Azure NetApp Files
• Häufig gestellte Fragen zur Anwendungsresilienz in Azure NetApp Files