Creación y administración de conexiones de Active Directory para Azure NetApp Files

Varias características de Azure NetApp Files requieren que tenga una conexión de Active Directory. Por ejemplo, debe tener una conexión de Active Directory para poder crear un volumen SMB, un volumen NFSv4.1 de Kerberos o un volumen de protocolo dual. En este artículo se muestra cómo crear y administrar conexiones de Active Directory para Azure NetApp Files.

Requisitos y consideraciones de las conexiones de Active Directory

Importante

Debe seguir las instrucciones que se describen en Descripción de las directrices para el diseño de Active Directory Domain Services y el planeamiento de sitios para Azure NetApp Files para los Active Directory Domain Services (AD DS) o Azure Active Directory Domain Services (AAD DS) que se usan con Azure NetApp Files. Además, antes de crear la conexión de AD, revise Modificar conexiones de Active Directory para Azure NetApp Files para comprender el impacto de realizar cambios en las opciones de configuración de conexión de AD después de crear la conexión de AD. Los cambios en las opciones de configuración de conexión de AD perjudican el acceso del cliente y algunas opciones no se pueden cambiar en absoluto.

  • Se debe crear una cuenta de Azure NetApp Files en la región donde se implementan los volúmenes de Azure NetApp Files.

  • Solo puede configurar una conexión de Active Directory (AD) por suscripción y región.

    Azure NetApp Files no admite varias conexiones de AD en una única región, incluso si las conexiones de AD se encuentran en distintas cuentas de NetApp. Sin embargo, puede tener varias conexiones de AD en una única suscripción, si las conexiones de AD se encuentran en regiones diferentes. Si necesita varias conexiones de AD en una sola región, puede usar suscripciones independientes para ello.

    La conexión de AD solo es visible a través de la cuenta de NetApp en la que se crea. Sin embargo, puede habilitar la característica de AD compartido para permitir que las cuentas de NetApp que están en la misma suscripción y la misma región usen la misma conexión de AD. Consulte Asignación de varias cuentas de NetApp de la misma suscripción y región a una conexión de AD.

  • La cuenta de administrador de conexión de AD Azure NetApp Files debe tener las siguientes propiedades:

    • Debe ser una cuenta de usuario de dominio de AD DS en el mismo dominio donde se crean las cuentas de equipo de Azure NetApp Files.
    • Debe tener el permiso para crear cuentas de equipo (por ejemplo, unión a un dominio de AD) en la ruta de acceso de la unidad organizativa de AD DS especificada en la opción Ruta de acceso de unidad organizativa de la conexión de AD.
    • No puede ser una cuenta de servicio administrada de grupo.
  • La cuenta de administrador de conexión de AD admite los tipos de cifrado Kerberos AES-128 y Kerberos AES-256 para la autenticación con AD DS para la creación de cuentas de equipo de Azure NetApp Files (por ejemplo, operaciones de unión a un dominio de AD).

  • Para habilitar el cifrado AES en la cuenta de administrador de conexión de AD Azure NetApp Files, debe usar una cuenta de usuario de dominio de AD que sea miembro de uno de los siguientes grupos de AD DS:

    • Admins. del dominio
    • Administradores de empresas
    • Administradores
    • Operadores de cuentas
    • Administradores de Azure AD DC (solo Azure AD DS)
    • Como alternativa, también se puede usar una cuenta de usuario de dominio de AD con msDS-SupportedEncryptionTypes permiso de escritura en la cuenta de administrador de conexión de AD para establecer la propiedad de tipo de cifrado Kerberos en la cuenta de administrador de conexión de AD.

    Nota

    No se recomienda ni es necesario agregar la cuenta de administrador de Azure NetApp Files AD a los grupos de dominio de AD enumerados anteriormente. Tampoco se recomienda ni se requiere conceder msDS-SupportedEncryptionTypes permiso de escritura a la cuenta de administrador de Azure NetApp Files AD.

    Si establece el cifrado Kerberos AES-128 y AES-256 en la cuenta de administrador de la conexión de AD, se usará el nivel más alto de cifrado admitido por AD DS.

  • Para habilitar la compatibilidad con el cifrado AES para la cuenta de administrador en la conexión de AD, ejecute los siguientes comandos de PowerShell de Active Directory:

    Get-ADUser -Identity <ANF AD connection account username>
    Set-ADUser -KerberosEncryptionType <encryption_type>
    

    KerberosEncryptionType es un parámetro multivalor que admite valores AES-128 y AES-256.

    Para obtener más información, consulte la documentación de Set-ADUser.

  • Si tiene un requisito a fin de habilitar y deshabilitar determinados tipos de cifrado Kerberos para cuentas de equipo de Active Directory para hosts de Windows unidos a un dominio que se usan con Azure NetApp Files, debe usar el directiva de grupo Network Security: Configure Encryption types allowed for Kerberos.

    No establezca la clave del Registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes. Esto interrumpirá la autenticación Kerberos con Azure NetApp Files para el host de Windows donde se estableció manualmente esta clave del Registro.

    Nota

    La configuración de directiva predeterminada para Network Security: Configure Encryption types allowed for Kerberos es Not Defined. Cuando esta configuración de directiva se establece en Not Defined, todos los tipos de cifrado, excepto DES, estarán disponibles para el cifrado Kerberos. Tiene la opción de habilitar la compatibilidad solo con determinados tipos de cifrado Kerberos (por ejemplo, AES128_HMAC_SHA1 o AES256_HMAC_SHA1). Pero la directiva predeterminada debe ser suficiente en la mayoría de los casos al habilitar la compatibilidad del cifrado AES con Azure NetApp Files.

    Para obtener más información, consulte Seguridad de red: configuración de tipos de cifrado permitidos para Kerberos o Configuraciones de Windows para tipos de cifrado compatibles con Kerberos.

Creación de una conexión de Active Directory

  1. En la cuenta de NetApp, seleccione Conexiones de Active Directory y, a continuación, seleccione Unir.

    Captura de pantalla que muestra el menú de conexiones del Active Directory. El botón de unirse está resaltado.

    Nota

    Azure NetApp Files solo admite una conexión de Active Directory dentro de la misma región y la misma suscripción.

  2. En la ventana Unir Active Directory, especifique la siguiente información según los servicios de dominio que desee utilizar:

    • DNS principal (obligatorio)
      Esta es la dirección IP del servidor DNS principal que se requiere para las operaciones de unión a un dominio de Active Directory, la autenticación SMB, Kerberos y las operaciones LDAP.

    • DNS secundario
      Esta es la dirección IP del servidor DNS secundario que se requiere para las operaciones de unión a un dominio de Active Directory, la autenticación SMB, Kerberos y las operaciones LDAP.

      Nota

      Se recomienda configurar un servidor DNS secundario. Consulte Descripción de las directrices para el diseño de Active Directory Domain Services y planeamiento de sitios para Azure NetApp Files. Asegúrese de que la configuración del servidor DNS cumple los requisitos de Azure NetApp Files. De lo contrario, las operaciones de servicio de Azure NetApp Files, la autenticación SMB, Kerberos o las operaciones LDAP podrían producir un error.

      Si usa Azure AD DS (AAD DS), debe usar las direcciones IP de los controladores de dominio de AAD DS para el DNS principal y el DNS secundario, respectivamente.

    • Nombre de dominio de AD DNS (obligatorio)
      Este es el nombre de dominio completo del AD DS que se usará con Azure NetApp Files (por ejemplo, contoso.com).

    • Nombre de sitio de AD (obligatorio)
      Este es el nombre del sitio de AD DS que usará Azure NetApp Files para la detección de controladores de dominio.

      El nombre de sitio predeterminado para ADDS y AADDS es Default-First-Site-Name. Siga las convenciones de nomenclatura para los nombres de sitio si desea cambiar el nombre del sitio.

      Nota

      Consulte Descripción de las directrices para el diseño de Active Directory Domain Services y planeamiento de sitios para Azure NetApp Files. Asegúrese de que el diseño y la configuración del sitio AD DS cumplen los requisitos de Azure NetApp Files. De lo contrario, las operaciones de servicio de Azure NetApp Files, la autenticación SMB, Kerberos o las operaciones LDAP podrían producir un error.

    • Prefijo del servidor SMB (cuenta de equipo) (obligatorio)
      Este es el prefijo de nomenclatura para las nuevas cuentas de equipo creadas en AD DS para Azure NetApp Files volúmenes SMB, protocolo dual y NFSv4.1 Kerberos.

      Por ejemplo, si el estándar de nomenclatura que su organización usa para los servidores de archivos es NAS-01,NAS-02 y así, escribiría NAS para el prefijo.

      Azure NetApp Files creará cuentas de equipo adicionales en AD DS según sea necesario.

      Importante

      El cambio de nombre del prefijo del servidor de SMB después de crear la conexión de Active Directory es perjudicial. Tendrá que volver a montar los recursos compartidos de SMB existentes después de cambiar el nombre del prefijo del servidor de SMB.

    • Ruta de acceso de unidad organizativa
      Esta es la ruta de acceso LDAP de la unidad organizativa (OU) donde se crearán las cuentas de equipo del servidor SMB. Es decir, OU=second level, OU=first level. Por ejemplo, si desea usar una unidad organizativa denominada ANF creada en la raíz del dominio, el valor sería OU=ANF.

      Si no se proporciona ningún valor, Azure NetApp Files usará el contenedor CN=Computers.

      Si usa Azure NetApp Files con Azure Active Directory Domain Services (AAD DS), la ruta de acceso de la unidad organizativa es OU=AADDC Computers

      Captura de pantalla de los campos de entrada de Unirse a Active Directory.

    • Cifrado AES
      Esta opción habilita la compatibilidad con la autenticación de cifrado AES para la cuenta de administrador de la conexión de AD.

      Captura de pantalla del campo de descripción AES. El campo es una casilla de verificación.

      Consulte Requisitos para las conexiones de Active Directory para ver los requisitos.

    • Firma LDAP

      Esta opción habilita la firma LDAP. Esta funcionalidad permite la comprobación de integridad de los enlaces LDAP de la autenticación simple y capa de seguridad (SASL) desde Azure NetApp Files y los controladores de dominio de Active Directory Domain Services especificados por el usuario.

      Azure NetApp Files admite el enlace de canal LDAP si las opciones de firma de LDAP y LDAP a través de TLS están habilitadas en la conexión de Active Directory. Para más información, consulte ADV190023 | Guía de Microsoft para habilitar el enlace de canal LDAP y la firma LDAP.

      Nota

      Los registros PTR de DNS para las cuentas de equipo de AD DS deben crearse en la unidad organizativa de AD DS especificada en la Azure NetApp Files conexión de AD para que la firma LDAP funcione.

      Captura de pantalla de la firma de LDAP.

    • Permitir usuarios NFS locales con LDAP Esta opción permite a los usuarios de cliente NFS locales acceder a volúmenes NFS. Al establecer esta opción, se deshabilitan los grupos extendidos para los volúmenes NFS. También limita el número de grupos a 16. Para más información, consulte Habilitación de los usuarios de NFS locales con LDAP para acceder a un volumen de dos protocolos.

    • LDAP sobre TLS

      Esta opción habilita LDAP sobre TLS para una comunicación segura entre un volumen Azure NetApp Files y el servidor LDAP de Active Directory. Puede habilitar LDAP sobre TLS para volúmenes de protocolo dual, SMB y NFS de Azure NetApp Files.

      Nota

      LDAP a través de TLS no se debe habilitar si usa Azure Active Directory Domain Services (AAD DS). AAD DS usa LDAPS (puerto 636) para proteger el tráfico LDAP en lugar de LDAP sobre TLS (puerto 389).

      Para más información, consulte Habilitación de la autenticación LDAP de Active Directory Domain Services (AD DS) para volúmenes NFS.

    • Certificado de CA raíz del servidor

      Esta opción carga el certificado de entidad de certificación usado con LDAP a través de TLS.

      Para más información, consulte Habilitación de la autenticación LDAP de Active Directory Domain Services (AD DS) para volúmenes NFS. 

    • Ámbito de búsqueda LDAP, DN de usuario, DN de grupo y filtro de pertenencia a grupos

      La opción de ámbito de búsqueda LDAP optimiza las consultas del almacenamiento LDAP de Azure NetApp Files para su uso con topologías de AD DS grandes y LDAP con grupos extendidos o estilo de seguridad de Unix con un volumen de protocolo dual Azure NetApp Files.

      Las opciones DN de usuario y DN de grupo permiten establecer la base de búsqueda en LDAP de AD DS.

      La opción Filtro de pertenencia a grupos permite crear un filtro de búsqueda personalizado para los usuarios que son miembros de grupos de AD DS específicos.

      Captura de pantalla del campo de ámbito de búsqueda LDAP, que muestra una casilla marcada.

      Consulte Configuración de LDAP de AD DS con grupos extendidos para el acceso a volúmenes NFS para más información sobre estas opciones.

    • Conexiones SMB al controlador de dominio

      Conexiones SMB cifradas al controlador de dominio: especifica si se debe usar el cifrado para la comunicación entre un servidor SMB y un controlador de dominio. Cuando se habilita, solo se usará SMB3 para las conexiones cifradas del controlador de dominio.

      Esta funcionalidad actualmente está en su versión preliminar. Si es la primera vez que usa conexiones SMB cifradas al controlador de dominio, debe registrarlas:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      Compruebe el estado del registro de la característica:

      Nota

      RegistrationState puede estar en el estado Registering hasta 60 minutos antes de cambiar a Registered. Espere hasta que el estado sea Registered antes de continuar.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      También puede usar los comandos de la CLI de Azureaz feature register y az feature show para registrar la característica y mostrar el estado del registro.

    • Usuarios de directivas de copia de seguridad Esta opción concede privilegios de seguridad adicionales a usuarios o grupos de dominio de AD DS que requieren privilegios de copia de seguridad elevados para admitir flujos de trabajo de copia de seguridad, restauración y migración en Azure NetApp Files. Los grupos o cuentas de usuario de AD DS especificados tendrán permisos NTFS elevados en el nivel de archivo o carpeta.

      Captura de pantalla del campo de la política de copia de seguridad de los usuarios que muestra un campo de entrada de texto vacío.

      Los siguientes privilegios se aplican cuando se usa la opción Usuarios de la directiva de copia de seguridad:

      Privilegio Descripción
      SeBackupPrivilege Hacer copias de seguridad de archivos y directorios, reemplazando cualquier lista de control de acceso.
      SeRestorePrivilege Restaurar archivos y directorios, reemplazando cualquier lista de control de acceso.
      Establecer cualquier identificador de seguridad de grupos o usuarios válido como propietario del archivo.
      SeChangeNotifyPrivilege Omitir la comprobación transversal.
      No es necesario que los usuarios con este privilegio tengan permisos de recorrido (x) para recorrer carpetas o vínculos simbólicos.
    • Usuarios con privilegios de seguridad
      Puede conceder privilegios de seguridad (SeSecurityPrivilege) a los usuarios o grupos de AD DS que requieran privilegios elevados para acceder a los volúmenes de Azure NetApp Files. Se permitirá que los usuarios o grupos de AD DS especificados realicen determinadas acciones en recursos compartidos de SMB que requieren privilegios de seguridad no asignados de forma predeterminada a los usuarios del dominio.

      Captura de pantalla que muestra el cuadro de usuarios con privilegios de seguridad de la ventana de conexiones de Active Directory.

      El siguiente privilegio se aplica cuando se usa la opción Usuarios con privilegios de seguridad:

      Privilegio Descripción
      SeSecurityPrivilege Administrar operaciones de registro.

      Esta característica se usa para instalar SQL Server en determinados escenarios en los que una cuenta de dominio de AD DS no administradora debe conceder temporalmente privilegios de seguridad elevados.

      Nota

      El uso de la característica Usuarios con privilegios de seguridad requiere que envíe una solicitud de lista de espera desde la página de envío de la lista de espera de la versión preliminar pública de recursos compartidos con disponibilidad continua de SMB para Azure NetApp Files . Para poder usar esta característica, espere hasta recibir un correo electrónico de confirmación oficial del equipo de Azure NetApp Files. La disponibilidad continua de SMB no se admite en aplicaciones personalizadas. Solo se admite para cargas de trabajo que usan contenedores de perfiles de usuario de FSLogix, Citrix App Laying y Microsoft SQL Server (no para Linux SQL Server).

      Importante

      El uso de la característica Usuarios con privilegios de seguridad requiere que envíe una solicitud de lista de espera desde la página de envío de la lista de espera de la versión preliminar pública de recursos compartidos con disponibilidad continua de SMB para Azure NetApp Files . Para poder usar esta característica, espere hasta recibir un correo electrónico de confirmación oficial del equipo de Azure NetApp Files.
      El uso de esta característica es opcional y solo se admite para SQL Server. La cuenta de dominio de AD DS usada para instalar SQL Server debe existir antes de agregarla al campo Usuarios con privilegios de seguridad. Al agregar la cuenta del instalador de SQL Server a la opción Usuarios con privilegios de seguridad, el servicio Azure NetApp Files podría validar la cuenta poniéndose en contacto con el controlador de dominio AD DS. Esta acción puede producir un error si Azure NetApp Files no puede ponerse en contacto con el controlador de dominio de AD DS.

      Para más información sobre SeSecurityPrivilege y SQL Server, consulte Error en la instalación de SQL Server si la cuenta de configuración no tiene determinados permisos del usuario.

    • Usuarios con privilegios de administrador

      Esta opción concede privilegios de seguridad adicionales a usuarios o grupos de AD DS que requieran privilegios elevados para acceder a los volúmenes de Azure NetApp Files. Las cuentas especificadas tendrán permisos elevados en el nivel de archivo o carpeta.

      Captura de pantalla que muestra el cuadro Administradores de la ventana de conexiones de Active Directory.

      Los siguientes privilegios se aplican cuando se usa la opción Usuarios con privilegios de administrador:

      Privilegio Descripción
      SeBackupPrivilege Hacer copias de seguridad de archivos y directorios, reemplazando cualquier lista de control de acceso.
      SeRestorePrivilege Restaurar archivos y directorios, reemplazando cualquier lista de control de acceso.
      Establecer cualquier identificador de seguridad de grupos o usuarios válido como propietario del archivo.
      SeChangeNotifyPrivilege Omitir la comprobación transversal.
      No es necesario que los usuarios con este privilegio tengan permisos de recorrido (x) para recorrer carpetas o vínculos simbólicos.
      SeTakeOwnershipPrivilege Tomar posesión de archivos y otros objetos.
      SeSecurityPrivilege Administrar operaciones de registro.
      SeChangeNotifyPrivilege Omitir la comprobación transversal.
      No es necesario que los usuarios con este privilegio tengan permisos de recorrido (x) para recorrer carpetas o vínculos simbólicos.
    • Las credenciales, incluidos el nombre de usuario y la contraseña

      Captura de pantalla que muestra los campos de credenciales de Active Directory donde aparecen el nombre de usuario, contraseña y el campo de confirmación de contraseña.

      Importante

      Aunque Active Directory admite contraseñas de 256 caracteres, las contraseñas de Active Directory con Azure NetApp Files no pueden superar los 64 caracteres.

  3. Seleccione Combinar.

    Aparece la conexión de Active Directory que creó.

    Captura de pantalla del menú de conexiones de Active Directory que muestra una conexión creada con éxito.

Asignación de varias cuentas de NetApp de la misma suscripción y región a una conexión de AD

La característica de AD compartido permite que todas las cuentas de NetApp compartan una conexión de AD creada por una de las cuentas de NetApp que pertenecen a la misma suscripción y región. Por ejemplo, con esta característica, todas las cuentas de NetApp de la misma suscripción y región pueden usar la configuración común de AD para crear un volumen SMB, un volumen NFSv4.1 de Kerberos o un volumen de protocolo dual. Cuando se use esta característica, la conexión de AD será visible en todas las cuentas de NetApp que estén en la misma suscripción y región.

Esta funcionalidad actualmente está en su versión preliminar. Antes de usar esta característica por primera vez, debe registrarla. Después del registro, la característica está habilitada y funciona en segundo plano. No se requiere ningún control de la interfaz de usuario.

  1. Registre la característica:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    
  2. Compruebe el estado del registro de la característica:

    Nota

    RegistrationState puede estar en el estado Registering hasta 60 minutos antes de cambiar a Registered. Espere hasta que el estado sea Registrado antes de continuar.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    

También puede usar los comandos de la CLI de Azureaz feature register y az feature show para registrar la característica y mostrar el estado del registro.

Restablecimiento de la contraseña de la cuenta de equipo de Active Directory

Si restablece accidentalmente la contraseña de la cuenta de equipo de AD en el servidor de AD o el servidor de AD no es accesible, puede restablecer de forma segura la contraseña de la cuenta de equipo para conservar la conectividad con sus volúmenes. Un restablecimiento afecta a todos los volúmenes del servidor SMB.

Registrar la característica

Actualmente, la característica para restablecer la contraseña de la cuenta de equipo de Active Directory se encuentra en versión preliminar pública. Si va a usar esta característica por primera vez, debe registrarla primero.

  1. Registre la característica restablecer la contraseña de la cuenta de equipo de Active Directory:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Compruebe el estado del registro de la característica. RegistrationState puede estar en el estado Registering hasta 60 minutos antes de cambiar a Registered. Espere hasta que el estado sea Registered antes de continuar.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

También puede usar los comandos de la CLI de Azureaz feature register y az feature show para registrar la característica y mostrar el estado del registro.

Pasos

  1. Vaya al menú Información general del volumen. Seleccione restablecer la cuenta de Active Directory. Interfaz de información general del volumen de Azure con el botón de restablecer la cuenta de Active Directory resaltado. De forma alternativa, puede navegar al menú de Volúmenes. Identifique el volumen para el que quiere restablecer la cuenta de Active Directory y seleccione el menú de tres puntos (...) al final de la fila. Seleccione restablecer la cuenta de Active Directory. Lista de volumen de Azure con el botón de restablecer la cuenta de Active Directory resaltado.
  2. Aparecerá un mensaje de advertencia explicando las implicaciones de esta acción. Escriba en el cuadro de texto para continuar. Mensaje de advertencia al restablecer la cuenta de Active Directory que dice: ¡Advertencia! Esta acción restablecerá la cuenta de Active Directory para el volumen. Esta acción está destinada a que los usuarios recuperen el acceso a los volúmenes que están a su disposición y puede hacer que los datos sean inaccesibles si se ejecutan cuando no son necesarios.

Pasos siguientes