Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A megfelelő Active Directory tartományi szolgáltatások (AD DS) tervezése és tervezése kulcsfontosságú az Azure NetApp Files-köteteket használó megoldásarchitektúrákhoz. Az Azure NetApp Files olyan funkcióit, mint az SMB-kötetek, a kétprotokollos kötetek és az NFSv4.1 Kerberos-kötetek az AD DS-hez való használatra lettek tervezve.
Ez a cikk javaslatokat tartalmaz az Azure NetApp Files AD DS-alapú üzembehelyezési stratégiájának fejlesztéséhez. A cikk elolvasása előtt jól ismernie kell az AD DS működését funkcionális szinten.
Az Azure NetApp fájlok AD DS követelményeinek azonosítása
Az Azure NetApp Files-kötetek üzembe helyezése előtt azonosítania kell az Azure NetApp Files AD DS-integrációs követelményeit, hogy az Azure NetApp Files megfelelően csatlakozhasson az AD DS-hez. Az Azure NetApp Files helytelen vagy hiányos AD DS-integrációja SMB-, kettős protokoll- vagy Kerberos NFSv4.1-kötetek ügyfélhozzáférési megszakadását vagy kimaradását okozhatja.
Támogatott hitelesítési forgatókönyvek
Az Azure NetApp Files az alábbi módszerekkel támogatja az identitásalapú hitelesítést SMB-en keresztül.
- AD DS-hitelesítés: Az AD DS-hez csatlakoztatott Windows-gépek hozzáférhetnek az Active Directory hitelesítő adataival rendelkező Azure NetApp Files-megosztásokhoz az SMB-n keresztül. Az ügyfélnek látnia kell az AD DS-t. Ha már beállította az AD DS-t a helyszíni vagy az Azure-beli virtuális gépen, ahol az eszközei tartományhoz vannak csatlakoztatva az AD DS-hez, az AD DS-t kell használnia az Azure NetApp Files fájlmegosztási hitelesítéséhez.
- Microsoft Entra Domain Services-hitelesítés: A felhőalapú, Microsoft Entra Domain Serviceshez csatlakoztatott Windows rendszerű virtuális gépek hozzáférhetnek az Azure NetApp Files fájlmegosztásaihoz a Microsoft Entra Domain Services hitelesítő adataival. Ebben a megoldásban a Microsoft Entra Domain Services egy hagyományos Windows Server AD-tartományt futtat az ügyfél nevében.
- AD Kerberos-hitelesítés Linux-ügyfelekhez: A Linux-ügyfelek az AD DS használatával használhatják a Kerberos-hitelesítést az Azure NetApp Files SMB-n keresztül.
Hálózati követelmények
Az Azure NetApp Files-kötetekkel végzett kiszámítható Active Directory tartományi szolgáltatások műveletek esetében erősen ajánlott megbízható és alacsony késésű hálózati kapcsolat (egyenlő vagy kevesebb, mint 10 ezredmásodperc [ms] kerekítési idő [RTT]) az AD DS-tartományvezérlőkkel. Az Azure NetApp Files és az AD DS tartományvezérlők közötti gyenge hálózati kapcsolat vagy magas hálózati késés az ügyfélhozzáférés megszakadását vagy az ügyfél időtúllépését okozhatja.
Feljegyzés
A 10ms javaslat a webhelytervek létrehozásával kapcsolatos útmutatást követi: Annak eldöntése, hogy mely helyek lesznek webhelyek.
Győződjön meg arról, hogy megfelel a hálózati topológiával és konfigurációkkal kapcsolatos alábbi követelményeknek:
- Győződjön meg arról, hogy az Azure NetApp Fileshoz támogatott hálózati topológia van használatban.
- Győződjön meg arról, hogy az AD DS-tartományvezérlők hálózati kapcsolattal rendelkeznek az Azure NetApp Files-köteteket üzemeltető delegált Alhálózatról.
- Az AD DS-tartományvezérlőkkel társviszonyban lévő virtuális hálózati topológiáknak megfelelően konfigurálva kell lenniük a társviszony-létesítéssel az Azure NetApp Files és az AD DS tartományvezérlő hálózati kapcsolatainak támogatásához.
- A hálózati biztonsági csoportoknak (NSG-knek) és az AD DS-tartományvezérlői tűzfalaknak megfelelően konfigurált szabályokkal kell rendelkezniük az Azure NetApp Files AD DS-hez és DNS-hez való kapcsolódásának támogatásához.
- Az optimális élmény érdekében győződjön meg arról, hogy a hálózati késés legalább 10 ms RTT az Azure NetApp Files és az AD DS tartományvezérlők között. A 10 m-nél nagyobb RTT-k csökkent alkalmazás- vagy felhasználói élményt eredményezhetnek a késésre érzékeny alkalmazásokban/környezetekben. Ha az RTT túl magas a kívánt felhasználói élményhez, fontolja meg replika tartományvezérlők üzembe helyezését az Azure NetApp Files-környezetben. Lásd még Active Directory tartományi szolgáltatások szempontokat.
A Nagy kiterjedésű hálózatok hálózati késésére vonatkozó Microsoft Active Directory-követelményekről további információt a Webhelyterv létrehozása című témakörben talál.
A szükséges hálózati portok a következők:
| Szolgáltatás | Portok | Protokollok |
|---|---|---|
| ICMPv4 (ping) | n/a | Válasz visszhangja |
| DNS* | 53 | TCP, UDP |
| Kerberos | 88. | TCP, UDP |
| NetBIOS Datagram Szolgáltatás | 138 | Felhasználói Datagram Protokoll (UDP) |
| NetBIOS | 139 | Felhasználói Datagram Protokoll (UDP) |
| LDAP** | 389 | TCP, UDP |
| Security Account Manager (SAM)/Helyi Biztonsági Hatóság (LSA)/SMB | 445 | TCP, UDP |
| Kerberos (kpasswd) | 464 | TCP, UDP |
| Active Directory globális katalógus | 3268 | TCP |
| Az Active Directory biztonságos globális katalógusa | 3269 | TCP |
| Active Directory webszolgáltatás | 9389 | TCP |
* Csak Active Directory DNS
** Az SSL-en (636-os porton) keresztüli LDAP jelenleg nem támogatott. Ehelyett használja az LDAP-t a StartTLS-en keresztül (389-ös port) az LDAP-forgalom titkosításához.
A DNS-ről további információt az Azure NetApp Files tartománynévrendszereinek ismertetése című témakörben talál.
Az időforrás követelményei
Az Azure NetApp Files time.windows.com használ időforrásként. Győződjön meg arról, hogy az Azure NetApp Files által használt tartományvezérlők time.windows.com vagy más pontos, stabil gyökér (1. réteg) időforrás használatára vannak konfigurálva. Ha az Azure NetApp Files és az ügyfél vagy az AS DS tartományvezérlők között több mint öt perces eltérés van, a hitelesítés sikertelen lesz; Előfordulhat, hogy az Azure NetApp Files-kötetekhez való hozzáférés is meghiúsul.
Döntse el, hogy melyik AD DS-t használja az Azure NetApp Files
Az Azure NetApp Files támogatja a Active Directory tartományi szolgáltatások (AD DS) és a Microsoft Entra Domain Services for AD-kapcsolatokat. Az AD-kapcsolat létrehozása előtt el kell döntenie, hogy az AD DS-t vagy a Microsoft Entra Domain Servicest használja-e.
További információ: A saját kezelésű Active Directory tartományi szolgáltatások, a Microsoft Entra ID és a felügyelt Microsoft Entra Domain Services összehasonlítása.
Active Directory tartományi szolgáltatások szempontok
A Active Directory tartományi szolgáltatások (AD DS) a következő forgatókönyvekben használható:
- Az AD DS-felhasználók egy helyszíni AD DS-tartományban vannak üzemeltetve, és hozzáférésre van szükségük az Azure NetApp Files-erőforrásokhoz.
- Részben a helyszínen, részben pedig az Azure-ban üzemeltetett alkalmazásokkal rendelkezik, amelyeknek hozzá kell férnie az Azure NetApp Files-erőforrásokhoz.
- Nem szükséges a Microsoft Entra Domain Services integrálása egy Microsoft Entra-bérlővel az előfizetésében, vagy a Microsoft Entra Domain Services nem kompatibilis a műszaki követelményekkel.
Feljegyzés
Az Azure NetApp Files nem támogatja az AD DS írásvédett tartományvezérlők (RODC) használatát. Az írható tartományvezérlők támogatottak, és az Azure NetApp Files-kötetekkel való hitelesítéshez szükségesek. További információkért tekintse meg az Active Directory replikációs fogalmait.
Ha az AD DS és az Azure NetApp Files használata mellett dönt, kövesse az AD DS azure-beli architektúra-útmutatóban található útmutatást, és győződjön meg arról, hogy megfelel az Azure NetApp Files hálózati és DNS-követelményeinek az AD DS-hez.
A Microsoft Entra Domain Services szempontjai
A Microsoft Entra Domain Services egy felügyelt AD DS-tartomány, amely szinkronizálva van a Microsoft Entra-bérlővel. A Microsoft Entra Domain Services használatának fő előnyei a következők:
- A Microsoft Entra Domain Services önálló tartomány. Ezért nincs szükség a helyszíni és az Azure közötti hálózati kapcsolat beállítására.
- Egyszerűsített üzembe helyezési és felügyeleti élményt nyújt.
A Microsoft Entra Domain Servicest a következő esetekben érdemes használnia:
- Az Azure NetApp Files-erőforrásokhoz való hozzáférés biztosításához nem szükséges kiterjeszteni az AD DS-t a helyszíniről az Azure-ba.
- A biztonsági szabályzatok nem teszik lehetővé a helyszíni AD DS Azure-ba való kiterjesztését.
- Nem ismeri az AD DS-t. A Microsoft Entra Domain Services javíthatja a jó eredmények valószínűségét az Azure NetApp Files használatával.
Ha a Microsoft Entra Domain Services és az Azure NetApp Files használata mellett dönt, tekintse meg a Microsoft Entra Domain Services architektúrával, üzembe helyezéssel és felügyeleti útmutatóval kapcsolatos dokumentációját. Győződjön meg arról, hogy megfelel az Azure NetApp Files Network és a DNS követelményeinek is.
AD DS-webhelytopológia tervezése az Azure NetApp Fileshoz való használatra
Az AD DS-webhelytopológia megfelelő kialakítása kritikus fontosságú minden olyan megoldásarchitektúra esetében, amely azure NetApp Files SMB-t, kettős protokollt vagy NFSv4.1 Kerberos-köteteket tartalmaz.
Helytelen AD DS-webhelytopológia vagy -konfiguráció a következő viselkedést eredményezheti:
- Nem sikerült létrehozni az Azure NetApp Files SMB-t, kettős protokollt vagy NFSv4.1 Kerberos-köteteket
- Az ANF AD-kapcsolat konfigurációjának módosítása sikertelen
- Gyenge LDAP-ügyfél-lekérdezési teljesítmény
- Hitelesítési problémák
Az Azure NetApp Files AD DS-webhelytopológiája az Azure NetApp Files hálózat logikai ábrázolása. Az Azure NetApp Files AD DS-webhelytopológiájának megtervezése magában foglalja a tartományvezérlők elhelyezésének tervezését, a webhelyek, a DNS-infrastruktúra és a hálózati alhálózatok tervezését az Azure NetApp Files szolgáltatás, az Azure NetApp Files storage-ügyfelek és az AD DS-tartományvezérlők közötti jó kapcsolat biztosítása érdekében.
Az Azure NetApp Files AD-helynévben konfigurált AD DS-webhelyhez hozzárendelt több tartományvezérlő mellett az Azure NetApp Files AD DS-webhelyhez egy vagy több alhálózat is hozzárendelhető.
Feljegyzés
Alapvető fontosságú, hogy az Azure NetApp Files AD DS-helyhez rendelt összes tartományvezérlőnek és alhálózatnak megfelelően kell kapcsolódnia (kevesebb mint 10 mS RTT késéssel), és elérhetőnek kell lennie az Azure NetApp Files-kötetek által használt hálózati adapterek számára.
Ha standard hálózati funkciókat használ, győződjön meg arról, hogy a felhasználó által definiált útvonalak (UDR-ek) vagy a hálózati biztonsági csoport (NSG) szabályai nem blokkolják az Azure NetApp Files hálózati kommunikációját az Azure NetApp Files AD DS-helyhez rendelt AD DS-tartományvezérlőkkel.
Ha hálózati virtuális berendezéseket vagy tűzfalakat (például Palo Alto Networks vagy Fortinet-tűzfalakat) használ, azokat úgy kell konfigurálni, hogy ne tiltsa le a hálózati forgalmat az Azure NetApp Files és az Azure NetApp Files AD DS-helyhez rendelt AD DS-tartományvezérlők és alhálózatok között.
Hogyan használja az Azure NetApp Files az AD DS-webhelyadatokat?
Az Azure NetApp Files az Active Directory-kapcsolatokban konfigurált AD-helynév használatával deríti fel, hogy mely tartományvezérlők támogatják a hitelesítést, a tartományhoz való csatlakozást, az LDAP-lekérdezéseket és a Kerberos-jegyműveleteket.
AD DS tartományvezérlő felderítése
Az Azure NetApp Files négy óránként kezdeményezi a tartományvezérlő felderítését. Az Azure NetApp Files lekérdezi a helyspecifikus DNS-szolgáltatás erőforrás (SRV) rekordját annak megállapításához, hogy mely tartományvezérlők találhatók az Azure NetApp Files AD-kapcsolat AD-helynév mezőjében megadott AD DS-webhelyen. Az Azure NetApp Files tartományvezérlő kiszolgálófelderítése ellenőrzi a tartományvezérlőken (például Kerberos, LDAP, Net Logon és LSA) üzemeltetett szolgáltatások állapotát, és kiválasztja az optimális tartományvezérlőt a hitelesítési kérelmekhez.
Az Azure NetApp Files AD-kapcsolat AD-helynév mezőjében megadott AD DS-hely DNS SRV-rekordjainak tartalmazniuk kell az Azure NetApp Files által használt AD DS-tartományvezérlők IP-címeinek listáját. A segédprogrammal ellenőrizheti a DNS SRV rekord érvényességét nslookup .
Feljegyzés
Ha az Azure NetApp Files által használt AD DS-webhelyen módosítja a tartományvezérlőket, várjon legalább négy órát az új AD DS-tartományvezérlők üzembe helyezése és a meglévő AD DS-tartományvezérlők kivonása között. Ez a várakozási idő lehetővé teszi az Azure NetApp Files számára az új AD DS-tartományvezérlők felderítését.
Győződjön meg arról, hogy a kivont AD DS tartományvezérlőhöz társított elavult DNS-rekordok törlődnek a DNS-ből. Ezzel biztosítja, hogy az Azure NetApp Files ne próbáljon meg kommunikálni a kivezetett tartományvezérlővel.
AD DS LDAP-kiszolgáló keresése
Az AD DS LDAP-kiszolgálók külön felderítési folyamata akkor történik, ha az LDAP engedélyezve van egy Azure NetApp Files NFS-kötethez. Amikor az LDAP-ügyfél létrejön az Azure NetApp Filesban, az Azure NetApp Files lekérdezi az AD DS SRV rekordot a tartomány összes AD DS LDAP-kiszolgálójának listájához, és nem az AD DS LDAP-kiszolgálókhoz rendelt AD DS LDAP-kiszolgálókhoz, amelyeket az AD-kapcsolatban megadott.
Nagy vagy összetett AD DS-topológiák esetén előfordulhat, hogy DNS-szabályzatokat vagy DNS-alhálózat-rangsorolást kell implementálnia annak érdekében, hogy a rendszer visszaadja az AD-kapcsolatban megadott AD DS-helyhez rendelt AD DS LDAP-kiszolgálókat.
Másik lehetőségként az AD DS LDAP-kiszolgáló felderítési folyamata felülbírálható, ha legfeljebb két előnyben részesített AD-kiszolgálót ad meg az LDAP-ügyfélhez.
Fontos
Ha az Azure NetApp Files nem tud elérni egy felderített AD DS LDAP-kiszolgálót az Azure NetApp Files LDAP-ügyfél létrehozása során, az LDAP-kompatibilis kötet létrehozása sikertelen lesz.
Az AD-helynév helytelen vagy hiányos konfigurációjának következményei
A helytelen vagy hiányos AD DS-webhelytopológia vagy konfiguráció kötetlétrehozási hibákat, ügyféllekérdezésekkel kapcsolatos problémákat, hitelesítési hibákat és az Azure NetApp Files AD-kapcsolatok módosításának sikertelenségét eredményezheti.
Fontos
Az Azure NetApp Files AD-kapcsolat létrehozásához az AD-helynév mező szükséges. A definiált AD DS-webhelynek léteznie kell, és megfelelően kell konfigurálnia.
Az Azure NetApp Files az AD DS-webhely használatával felderíti az AD-helynévben meghatározott AD DS-helyhez rendelt tartományvezérlőket és alhálózatokat. Az AD DS-helyhez rendelt összes tartományvezérlőnek jó hálózati kapcsolattal kell rendelkeznie az ANF által használt Azure-beli virtuális hálózati adapterekről, és elérhetőnek kell lennie. Az Azure NetApp Files által használt AD DS-webhelyhez rendelt AD DS-tartományvezérlő virtuális gépeket ki kell zárni a virtuális gépeket leállítani kívánó költségkezelési szabályzatokból.
Ha az Azure NetApp Files nem tudja elérni az AD DS-helyhez rendelt tartományvezérlőket, a tartományvezérlő felderítési folyamata lekérdezi az AD DS-tartományt az összes tartományvezérlő listájához. A lekérdezésből visszaadott tartományvezérlők listája rendezetlen lista. Ennek eredményeképpen előfordulhat, hogy az Azure NetApp Files olyan tartományvezérlőket próbál használni, amelyek nem érhetők el vagy nincsenek megfelelően csatlakoztatva, ami kötetlétrehozási hibákat, ügyfél-lekérdezésekkel kapcsolatos problémákat, hitelesítési hibákat és az Azure NetApp Files AD-kapcsolatok módosításának hibáit okozhatja.
Frissítenie kell az AD DS-hely konfigurációját, amikor új tartományvezérlőket helyez üzembe az Azure NetApp Files AD-kapcsolat által használt AD DS-helyhez rendelt alhálózaton. Győződjön meg arról, hogy a webhely DNS SRV-rekordjai tükrözik az Azure NetApp Files által használt AD DS-helyhez rendelt tartományvezérlők módosításait. A segédprogrammal ellenőrizheti a DNS SRV-erőforrásrekord érvényességét nslookup .
Feljegyzés
Az Azure NetApp Files nem támogatja az AD DS írásvédett tartományvezérlők (RODC) használatát. Ha meg szeretné akadályozni, hogy az Azure NetApp Files RODC-t használjon, ne konfigurálja az AD-kapcsolatok AD-helynév mezőjét egy RODC-vel. Az írható tartományvezérlők támogatottak, és az Azure NetApp Files-kötetekkel való hitelesítéshez szükségesek. További információkért tekintse meg az Active Directory replikációs fogalmait.
Minta AD DS-webhelytopológia konfigurálása az Azure NetApp Fileshoz
Az AD DS-helyek topológiája annak a hálózatnak a logikai ábrázolása, amelyben az Azure NetApp Files üzembe van helyezve. Ebben a szakaszban az AD DS-webhelytopológia mintakonfigurációs forgatókönyve egy alapszintű AD DS-webhelytervet kíván megjeleníteni az Azure NetApp Fileshoz. Nem ez az egyetlen módja annak, hogy hálózati vagy AD-helytopológiát tervezzen az Azure NetApp Fileshoz.
Fontos
Összetett AD DS-t vagy összetett hálózati topológiákat tartalmazó forgatókönyvek esetén a Microsoft Azure felhőmegoldásokat tervező CSA-val érdemes áttekintenie az Azure NetApp Files hálózatkezelését és az AD-webhely kialakítását.
Az alábbi diagram egy minta hálózati topológiát mutat be:
A minta hálózati topológiában a helyszíni AD DS-tartomány (anf.local) ki van terjesztve egy Azure-beli virtuális hálózatra. A helyszíni hálózat egy Azure ExpressRoute-kapcsolatcsoport használatával csatlakozik az Azure-beli virtuális hálózathoz.
Az Azure-beli virtuális hálózat négy alhálózattal rendelkezik: átjáróalhálózattal, Azure Bastion-alhálózattal, AD DS-alhálózattal és egy Delegált Azure NetApp Files-alhálózattal. A tartományhoz anf.local csatlakoztatott redundáns AD DS-tartományvezérlők az AD DS alhálózatban lesznek üzembe helyezve. Az AD DS alhálózat a 10.0.0.0/24 IP-címtartományhoz van rendelve.
Az Azure NetApp Files csak egy AD DS-webhelyet használhat annak meghatározásához, hogy mely tartományvezérlőket fogja használni a hitelesítéshez, LDAP-lekérdezésekhez és Kerberoshoz. A mintaforgatókönyvben a rendszer két alhálózati objektumot hoz létre és rendel hozzá az Active Directory Helyek és szolgáltatások segédprogrammal hívott ANF webhelyhez. Az egyik alhálózati objektum az AD DS alhálózatra van leképezve, a 10.0.0.0/24, a másik alhálózati objektum pedig a 10.0.2.0/24 ANF delegált alhálózatra van leképezve.
Az Active Directory Helyek és szolgáltatások eszközben ellenőrizze, hogy az AD DS alhálózatban üzembe helyezett AD DS-tartományvezérlők hozzá vannak-e rendelve a ANF helyhez.
Ha nincsenek hozzárendelve, hozza létre azt az alhálózati objektumot, amely leképezi őket az Azure-beli virtuális hálózat AD DS alhálózatára. Kattintson a jobb gombbal az Alhálózatok tárolóra az Active Directory Helyek és szolgáltatások segédprogramban, és válassza az Új alhálózat... lehetőséget. Az Új objektum – Alhálózat párbeszédpanelen az AD DS-alhálózat 10.0.0.0/24 IP-címtartománya be van írva az Előtag mezőbe. Válassza ki ANF az alhálózat helyobjektumaként. Kattintson az OK gombra az alhálózati objektum létrehozásához és a ANF helyhez való hozzárendeléséhez.
Annak ellenőrzéséhez, hogy az új alhálózati objektum a megfelelő helyhez van-e rendelve, kattintson a jobb gombbal a 10.0.0.0/24 alhálózati objektumra, és válassza a Tulajdonságok lehetőséget. A Hely mezőnek meg kell jelennie a ANF helyobjektumnak:
Az Azure-beli virtuális hálózaton az Azure NetApp Files delegált alhálózatához leképezett alhálózati objektum létrehozásához kattintson a jobb gombbal az Alhálózatok tárolóra az Active Directory Helyek és szolgáltatások segédprogramban, és válassza az Új alhálózat... lehetőséget.
Régiók közötti replikáció szempontjai
Az Azure NetApp Files régiók közötti replikációja lehetővé teszi, hogy azure NetApp Files-köteteket replikáljon egy régióból egy másik régióba az üzleti folytonossági és vészhelyreállítási (BC/DR) követelmények támogatása érdekében.
Az Azure NetApp Files SMB, a kettős protokoll és az NFSv4.1 Kerberos-kötetek támogatják a régiók közötti replikációt. Ezeknek a köteteknek a replikációja a következőt igényli:
- A forrás- és a célrégióban létrehozott NetApp-fiók.
- Azure NetApp Files Active Directory-kapcsolat a forrás- és célrégióban létrehozott NetApp-fiókban.
- Az AD DS-tartományvezérlők a célrégióban vannak üzembe helyezve és futnak.
- A célrégióban üzembe kell helyezni a megfelelő Azure NetApp Files-hálózatot, DNS-t és AD DS-webhelyet, hogy az Azure NetApp Files és a célrégió AD DS-tartományvezérlői közötti megfelelő hálózati kommunikációt lehessen lehetővé tenni.
- A célrégióban lévő Active Directory-kapcsolatot úgy kell konfigurálni, hogy a célrégióban lévő DNS- és AD-helyerőforrásokat használja.