Descripción de las directrices para el diseño de Active Directory Domain Services y planeamiento de sitios para Azure NetApp Files
Un diseño y planeamiento adecuados de Active Directory Domain Services (AD DS) son clave para aquellas arquitecturas de soluciones que usan volúmenes de Azure NetApp Files. Características de Azure NetApp Files tales como volúmenes SMB, volúmenes de protocolo dual y volúmenes NFSv4.1 de Kerberos están diseñadas para su uso con AD DS.
En este artículo se proporcionan recomendaciones para ayudarle a desarrollar una estrategia de implementación de AD DS para Azure NetApp Files. Antes de leer este artículo, debe conocer bien cómo trabaja AD DS en un nivel funcional.
Identificación de los requisitos de AD DS para Azure NetApp Files
Antes de implementar los volúmenes de Azure NetApp Files, debe identificar los requisitos de integración de AD DS para Azure NetApp Files a fin de asegurarse de que Azure NetApp Files está bien conectado a AD DS. La integración incorrecta o incompleta de AD DS con Azure NetApp Files puede provocar interrupciones o interrupciones en el acceso de clientes o en los volúmenes SMB, de protocolo dual o NFSv4.1 de Kerberos.
Escenarios de autenticación admitidos
Azure NetApp Files admite la autenticación basada en la identidad en SMB mediante los métodos siguientes.
- Autenticación de AD DS: las máquinas Windows unidas a AD DS pueden acceder a recursos compartidos de Azure NetApp Files con credenciales de Active Directory a través de SMB. El cliente debe tener una línea de visión en la instancia de AD DS. Si ya tiene AD DS configurado en el entorno local o en una máquina virtual en Azure donde los dispositivos están unidos a un dominio de AD DS, debe usar AD DS para la autenticación en los recursos compartidos de archivos de Azure NetApp Files.
- autenticación de Microsoft Entra Domain Services: máquinas virtuales basadas en la nube de Windows unidas a Microsoft Entra Domain Services pueden acceder a recursos compartidos de archivos de Azure NetApp Files con credenciales de Microsoft Entra DS. En esta solución, Microsoft Entra Domain Services ejecuta un dominio tradicional de Windows Server AD en nombre del cliente.
- Kerberos de Microsoft Entra para identidades híbridas: el uso de Microsoft Entra ID para la autenticación de identidades híbridas de usuario permite a los usuarios de Microsoft Entra acceder a recursos compartidos de archivos de Azure NetApp Files mediante la autenticación Kerberos. Esto significa que los usuarios finales pueden acceder a recursos compartidos de archivos de Azure NetApp Files sin necesidad de una línea de visión a los controladores de dominio de Microsoft Entra híbrido unido a Microsoft Entra y a máquinas virtuales Windows o Linux unidas a Microsoft Entra. Las identidades solo en la nube no se admiten actualmente.
- Autenticación Kerberos de AD para clientes Linux: los clientes de Linux pueden usar la autenticación Kerberos a través de SMB para Azure NetApp Files mediante AD DS.
Requisitos de red
Los volúmenes de SMB, de protocolo dual y de Kerberos NFSv4.1 de Azure NetApp Files requieren conectividad de red confiable y de baja latencia (menos de 10 ms de RTT) a controladores de dominio de AD DS. Una conectividad de red deficiente o una latencia de red alta entre Azure NetApp Files y los controladores de dominio de AD DS pueden provocar interrupciones en el acceso de clientes o agotamientos de los tiempos de espera del cliente.
Asegúrese de cumplir los siguientes requisitos sobre las configuraciones y la topología de red:
- Asegúrese de que se usa una topología de red compatible para Azure NetApp Files.
- Asegúrese de que los controladores de dominio de AD DS tienen conectividad de red desde la subred delegada de Azure NetApp Files que hospeda los volúmenes de Azure NetApp Files.
- Las topologías de red virtual emparejada con controladores de dominio de AD DS deben tener el emparejamiento configurado correctamente para admitir la conectividad de red entre Azure NetApp Files y el controlador de dominio de AD DS.
- Los grupos de seguridad de red (NSG) y los firewalls de controlador de dominio de AD DS deben tener reglas configuradas correctamente para admitir la conectividad de Azure NetApp Files a AD DS y DNS.
- Asegúrese de que la latencia es inferior a 10 ms de RTT entre los controladores de dominio de AD DS y Azure NetApp Files.
Los puertos de red necesarios son los siguientes:
| Service | Port | Protocolo |
|---|---|---|
| Servicios web de AD | 9389 | TCP |
| DNS* | 53 | TCP |
| DNS* | 53 | UDP |
| ICMPv4 | N/D | Echo Reply |
| Kerberos | 464 | TCP |
| Kerberos | 464 | UDP |
| Kerberos | 88 | TCP |
| Kerberos | 88 | UDP |
| LDAP | 389 | TCP |
| LDAP | 389 | UDP |
| LDAP | 389 | TLS |
| LDAP | 3268 | TCP |
| Nombre NetBIOS | 138 | UDP |
| SAM/LSA | 445 | TCP |
| SAM/LSA | 445 | UDP |
*DNS que se ejecuta en el controlador de dominio de AD DS
Requisitos de DNS
Los volúmenes SMB, de protocolo dual y NFSv4.1 de Kerberos de Azure NetApp Files requieren acceso confiable a los servicios del Sistema de nombres de dominio (DNS) y registros DNS actualizados. Una conectividad de red deficiente entre Azure NetApp Files y servidores DNS puede provocar interrupciones en el acceso de clientes o agotamientos de los tiempos de espera del cliente. Los registros DNS incompletos o incorrectos para AD DS o Azure NetApp Files pueden provocar interrupciones en el acceso de clientes o agotamientos de los tiempos de espera del cliente.
Azure NetApp Files admite el uso de servidores DNS integrados en Active Directory o independientes.
Asegúrese de cumplir los siguientes requisitos sobre las configuraciones de DNS:
- Si usa servidores DNS independientes:
- Asegúrese de que los servidores DNS tienen conectividad de red a la subred delegada de Azure NetApp Files que hospeda los volúmenes de Azure NetApp Files.
- Asegúrese de que los puertos de red UDP 53 y TCP 53 no estén bloqueados por firewalls o grupos de seguridad de red.
- Asegúrese de que los registros SRV registrados por el servicio de Net Logon de AD DS se han creado en los servidores DNS.
- Asegúrese de que los registros PTR de los controladores de dominio de AD DS usados por Azure NetApp Files se hayan creado en los servidores DNS en el mismo dominio que el de la configuración de Azure NetApp Files.
- Azure NetApp Files no elimina automáticamente los registros de puntero (PTR) asociados a entradas DNS cuando se elimina un volumen. Los registros PTR se usan para búsquedas inversas de DNS, que asignan direcciones IP a nombres de host. Normalmente se administran mediante el administrador del servidor DNS. Al crear un volumen en Azure NetApp Files, puede asociarlo a un nombre DNS. Sin embargo, la administración de registros DNS, incluidos los registros PTR, está fuera del ámbito de Azure NetApp Files. Azure NetApp Files proporciona la opción de asociar un volumen a un nombre DNS para facilitar el acceso, pero no administra los registros DNS asociados a ese nombre. Si elimina un volumen en Azure NetApp Files, los registros DNS asociados (como los registros A para reenviar búsquedas DNS) deben administrarse y eliminarse del servidor DNS o del servicio DNS que está usando.
- Azure NetApp Files admite actualizaciones de DNS dinámico seguras y estándar. Si necesita actualizaciones de DNS dinámico seguras, asegúrese de que las actualizaciones seguras están configuradas en los servidores DNS.
- Si no se usan actualizaciones dinámicas de DNS, debe crear manualmente un registro A y un registro PTR para las cuentas de equipo de AD DS creadas en la unidad organizativa de AD DS (especificada en la conexión AD de Azure NetApp Files) para admitir la firma LDAP de Azure NetApp Files, LDAP a través de TLS, Volúmenes SMB, doble protocolo o NFSv4.1 de Kerberos.
- Para topologías de AD DS complejas o grandes, es posible que la priorización de subredes DNS o directivas de DNS deba admitir volúmenes NFS habilitados para LDAP.
Requisitos de origen de hora
Azure NetApp Files usa time.windows.com como origen de hora. Asegúrese de que los controladores de dominio usados por Azure NetApp Files están configurados para usar time.windows.com u otro origen de hora raíz (capa 1) estable y preciso. Si hay más de un sesgo de más de cinco minutos entre Azure NetApp Files y los controladores de dominio de AS DS o del cliente, se producirá un error en la autenticación; también se puede producir un error en el acceso a los volúmenes de Azure NetApp Files.
Decisión de qué AD DS usar con Azure NetApp Files
Azure NetApp Files admite Active Directory Domain Services (AD DS) y Microsoft Entra Domain Services para conexiones de AD. Antes de crear una conexión de AD, debe decidir si va a usar AD DS o Microsoft Entra Domain Services.
Para obtener más información, consulte Comparación de Active Directory Domain Services autoadministrado, Microsoft Entra ID y Microsoft Entra Domain Services administrado.
Consideraciones de Servicios de dominio de Active Directory
Debe usar Active Directory Domain Services (AD DS) en los escenarios siguientes:
- Tiene usuarios de AD DS hospedados en un dominio de AD DS local que necesita acceso a los recursos de Azure NetApp Files.
- Tiene aplicaciones hospedadas parcialmente en el entorno local y parcialmente en Azure que necesitan acceso a los recursos de Azure NetApp Files.
- No necesita la integración de Microsoft Entra Domain Services con un inquilino de Microsoft Entra en su suscripción o Microsoft Entra Domain Services no es compatible con sus requisitos técnicos.
Nota:
Azure NetApp Files no admite el uso de controladores de dominio de solo lectura (RODC) de AD DS.
Si decide usar AD DS con Azure NetApp Files, siga las instrucciones de la guía de extensión de AD DS en la arquitectura de Azure y asegúrese de que cumple los requisitos de red y DNS de Azure NetApp Files para AD DS.
Consideraciones de Microsoft Entra Domain Services
Microsoft Entra Domain Services es un dominio de AD DS administrado que se sincroniza con el inquilino de Microsoft Entra. Las principales ventajas de usar Microsoft Entra Domain Services son las siguientes:
- Microsoft Entra Domain Services es un dominio independiente. Por lo tanto, no es necesario configurar la conectividad de red entre el entorno local y Azure.
- Proporciona una experiencia de implementación y administración simplificada.
Debe usar Microsoft Entra Domain Services en los escenarios siguientes:
- No es necesario ampliar AD DS desde el entorno local a Azure para proporcionar acceso a los recursos de Azure NetApp Files.
- Las directivas de seguridad no permiten la ampliación de AD DS local a Azure.
- No tiene conocimientos sólidos de AD DS. Microsoft Entra Domain Services puede mejorar la probabilidad de buenos resultados con Azure NetApp Files.
Si decide usar Microsoft Entra Domain Services con Azure NetApp Files, consulte documentación de Microsoft Entra Domain Services para arquitectura, implementación e instrucciones de administración. Asegúrese de que también cumple los requisitos de red y DNS de Azure NetApp Files.
Diseño de la topología de sitio de AD DS para su uso con Azure NetApp Files
Un diseño adecuado de la topología de sitio de AD DS es fundamental para cualquier arquitectura de la solución que incluya los volúmenes SMB, de protocolo dual o NFSv4.1 de Kerberos de Azure NetApp Files.
Una configuración o topología de sitio de AD DS incorrecta puede dar lugar a los comportamientos siguientes:
- Error al crear los volúmenes SMB, de protocolo dual o NFSv4.1 de Kerberos de Azure NetApp Files
- Error al modificar la configuración de la conexión ANF AD
- Rendimiento de consultas de cliente LDAP deficiente
- Problemas de autenticación
Una topología de sitio de AD DS para Azure NetApp Files es una representación lógica de la red de Azure NetApp Files. El diseño de una topología de sitio de AD DS para Azure NetApp Files implica planear la ubicación del controlador de dominio, diseñar sitios, una infraestructura DNS y subredes de red para garantizar una buena conectividad entre el servicio Azure NetApp Files, los clientes de almacenamiento de Azure NetApp Files y los controladores de dominio de AD DS.
Además de varios controladores de dominio asignados al sitio de AD DS configurado en el nombre del sitio de AD de Azure NetApp Files, el sitio de AD DS de Azure NetApp Files puede tener una o varias subredes asignadas.
Nota:
Es esencial que todos los controladores de dominio y las subredes asignados al sitio de AD DS de Azure NetApp Files estén bien conectados (una latencia inferior a 10 ms de RTT) y que las interfaces de red usadas por los volúmenes de Azure NetApp Files puedan acceder a ellos.
Si usa características de red estándar, debe asegurarse de que las reglas de rutas definidas por el usuario (UDR) o grupo de seguridad de red (NSG) no bloquean Azure NetApp Files comunicación de red con controladores de dominio de AD DS asignados al sitio Azure NetApp Files de AD DS.
Si usa firewalls o aplicaciones virtuales de red (como Palo Alto Networks o firewalls de Fortinet), deben configurarse para no bloquear el tráfico de red entre Azure NetApp Files y los controladores de dominio y las subredes de AD DS asignados al sitio de AD DS de Azure NetApp Files.
Cómo usa Azure NetApp Files la información del sitio de AD DS
Azure NetApp Files usa el nombre de sitio de AD configurado en las conexiones de Active Directory para detectar qué controladores de dominio están presentes para admitir la autenticación, la unión a un dominio, las consultas LDAP y las operaciones de vales Kerberos.
Detección de controlador de dominio de AD DS
Azure NetApp Files inicia la detección de controlador de dominio cada cuatro horas. Azure NetApp Files consulta el registro de recursos de servicio DNS específico del sitio (SRV) para determinar qué controladores de dominio se encuentran en el sitio de AD DS especificado en el campo Nombre de sitio de AD de la conexión de AD de Azure NetApp Files. La detección de servidores del controlador de dominio de Azure NetApp Files comprueba el estado de los servicios hospedados en los controladores de dominio (como Kerberos, LDAP, Net Logon y LSA) y selecciona el controlador de dominio óptimo para las solicitudes de autenticación.
Los registros de recursos del servicio DNS (SRV) para el sitio de AD DS especificado en el campo Nombre de sitio de AD de la conexión de AD de Azure NetApp Files deben contener la lista de direcciones IP de los controladores de dominio de AD DS que usará Azure NetApp Files. La validez del registro de recursos DNS (SRV) se puede comprobar mediante la utilidad nslookup.
Nota:
Si realiza cambios en los controladores de dominio del sitio de AD DS que usa Azure NetApp Files, espere al menos cuatro horas entre la implementación de nuevos controladores de dominio de AD DS y la retirada de los controladores de dominio de AD DS existentes. Este tiempo de espera permite a Azure NetApp Files detectar los nuevos controladores de dominio de AD DS.
Asegúrese de que los registros DNS obsoletos asociados al controlador de dominio de AD DS retirado se quitan de DNS. Esto garantiza que Azure NetApp Files no intentará comunicarse con el controlador de dominio retirado.
Detección de servidores LDAP de AD DS
Se produce un proceso de detección independiente de servidores LDAP de AD DS cuando LDAP está habilitado para un volumen NFS de Azure NetApp Files. Cuando el cliente LDAP se crea en Azure NetApp Files, Azure NetApp Files consulta el registro de recursos de servicio (SRV) de dominio de AD DS para obtener una lista de todos los servidores LDAP de AD DS del dominio y no los servidores LDAP de AD DS asignados al sitio de AD DS especificado en la conexión de AD.
En topologías de AD DS grandes o complejas, es posible que tenga que implementar directivas de DNS o la priorización de subredes DNS para asegurarse de que se devuelven los servidores LDAP de AD DS asignados al sitio de AD DS especificado en la conexión de AD.
Como alternativa, el proceso de detección de servidores LDAP de AD DS se puede invalidar especificando hasta dos servidores de AD preferidos para el cliente LDAP.
Importante
Si Azure NetApp Files no puede tener acceso a ningún servidor LDAP de AD DS detectado durante la creación del cliente LDAP de Azure NetApp Files, se producirá un error en la creación del volumen habilitado para LDAP.
Consecuencias de la configuración de nombre de sitio de AD incorrecta o incompleta
Una configuración o topología de sitio de AD DS incorrecta o incompleta puede provocar errores al crear los volúmenes, problemas con las consultas de cliente, errores de autenticación y errores al modificar las conexiones de AD Azure NetApp Files.
Importante
El campo Nombre del sitio de AD es necesario para crear una conexión de AD de Azure NetApp Files. El sitio de AD DS definido debe existir y debe estar configurado correctamente.
Azure NetApp Files usa el sitio de AD DS para detectar los controladores de dominio y las subredes asignados al sitio de AD DS definido en Nombre del sitio de AD. Todos los controladores de dominio asignados al sitio de AD DS deben tener una buena conectividad de red desde las interfaces de red virtual de Azure que usa ANF y deben ser accesibles. Las máquinas virtuales del controlador de dominio de AD DS asignadas al sitio de AD DS que usa Azure NetApp Files deben excluirse de las directivas de administración de costos que apagan máquinas virtuales.
Si Azure NetApp Files no puede acceder a los controladores de dominio asignados al sitio de AD DS, el proceso de detección de controladores de dominio consultará el dominio de AD DS para obtener una lista de todos los controladores de dominio. La lista de controladores de dominio que devuelve esta consulta es una lista desordenada. Como resultado, Azure NetApp Files pueden intentar usar controladores de dominio a los que no se puede acceder o que no están bien conectados, lo que puede provocar errores de creación de volúmenes, problemas con las consultas del cliente, errores de autenticación y errores para modificar conexiones de AD de Azure NetApp Files.
Debe actualizar la configuración del sitio de AD DS siempre que se implementen nuevos controladores de dominio en una subred asignada al sitio de AD DS que usa la conexión de AD de Azure NetApp Files. Asegúrese de que los registros SRV de DNS del sitio reflejan los cambios en los controladores de dominio asignados al sitio de AD DS que usa Azure NetApp Files. La validez del registro de recursos DNS (SRV) se puede comprobar mediante la utilidad nslookup.
Nota:
Azure NetApp Files no admite el uso de controladores de dominio de solo lectura (RODC) de AD DS. Para evitar que Azure NetApp Files use un RODC, no configure el campo Nombre de sitio de AD de las conexiones de AD con un RODC.
Configuración de la topología de sitio de AD DS de ejemplo para Azure NetApp Files
Una topología de sitio de AD DS es una representación lógica de la red donde se implementa Azure NetApp Files. En esta sección, el escenario de configuración de ejemplo para la topología de sitio de AD DS pretende mostrar un diseño del sitio de AD DS básico para Azure NetApp Files. No es la única manera de diseñar la topología de sitio de AD DS o red para Azure NetApp Files.
Importante
Para escenarios que implican topologías complejas de red y de AD DS, debe hacer que un CSA de Microsoft Azure revise el diseño del sitio de AD y de redes de Azure NetApp Files.
En el diagrama siguiente se muestra una topología de red de ejemplo: sample-network-topology.png 
En la topología de red de ejemplo, un dominio de AD DS local (anf.local) se amplía a una red virtual de Azure. La red local está conectada a la red virtual de Azure mediante un circuito Azure ExpressRoute.
La red virtual de Azure tiene cuatro subredes: subred de puerta de enlace, subred de Azure Bastion, subred de AD DS y una subred delegada de Azure NetApp Files. Los controladores de dominio de AD DS redundantes unidos al dominio anf.local se implementan en la subred de AD DS. A la subred de AD DS se le asigna el intervalo de direcciones IP 10.0.0.0/24.
Azure NetApp Files solo puede usar un sitio de AD DS para determinar qué controladores de dominio se usarán para la autenticación, las consultas LDAP y Kerberos. En el escenario de ejemplo, se crean dos objetos de subred y se asignan a un sitio denominado ANF mediante la utilidad Sitios y servicios de Active Directory. Un objeto de subred se asigna a la subred de AD DS, 10.0.0.0/24 y el otro objeto de subred se asigna a la subred delegada de ANF, 10.0.2.0/24.
En la herramienta Sitios y servicios de Active Directory, compruebe que los controladores de dominio de AD DS implementados en la subred de AD DS están asignados al sitio de ANF:
Para crear el objeto de subred que se asigna a la subred de AD DS en la red virtual de Azure, haga clic con el botón derecho en el contenedor Subredes de la utilidad Sitios y servicios de Active Directory y seleccione Nueva subred....
En el cuadro de diálogo Nuevo objeto : Subred, el intervalo de direcciones IP 10.0.0.0/24 de la subred de AD DS se escribe en el campo Prefijo. Seleccione ANF como objeto de sitio de la subred. Seleccione Aceptar para crear el objeto de subred y asignarlo al sitio de ANF.
Para comprobar que el nuevo objeto de subred está asignado al sitio correcto, haga clic con el botón derecho en el objeto de subred 10.0.0.0/24 y seleccione Propiedades. El campo Sitio debe mostrar el objeto de sitio de ANF:
Para crear el objeto de subred que se asigna a la subred delegada de Azure NetApp Files de la red virtual de Azure, haga clic con el botón derecho en el contenedor Subredes de la utilidad Sitios y servicios de Active Directory y seleccione Nueva subred....
Consideraciones sobre la replicación entre regiones
La replicación entre regiones de Azure NetApp Files permite replicar volúmenes de Azure NetApp Files de una región a otra para admitir los requisitos de continuidad empresarial y recuperación ante desastres (BC/DR).
Los volúmenes SMB, de protocolo dual y NFSv4.1 de Kerberos de Azure NetApp Files admiten la replicación entre regiones. La replicación de estos volúmenes requiere:
- Una cuenta de NetApp creada en las regiones de origen y destino.
- Una conexión de Active Directory de Azure NetApp Files en la cuenta de NetApp creada en las regiones de origen y destino.
- Los controladores de dominio de AD DS se implementan y ejecutan en la región de destino.
- Un diseño de la red de Azure NetApp Files, DNS y el sitio de AD DS adecuado debe implementarse en la región de destino para permitir una buena comunicación de red de Azure NetApp Files con los controladores de dominio de AD DS en la región de destino.
- La conexión de Active Directory en la región de destino debe configurarse para usar los recursos DNS y del sitio de AD en la región de destino.
Pasos siguientes
- Creación y administración de conexiones de Active Directory
- Modificación de las conexiones de Active Directory
- Habilitación de la autenticación LDAP de AD DS para volúmenes NFS
- Creación de un volumen SMB
- Creación de un volumen de protocolo dual
- Errores de volúmenes SMB y de protocolo dual
- Acceso a volúmenes SMB desde máquinas virtuales Windows unidas a Microsoft Entra