A Azure NetApp Files Active Directory tartományi szolgáltatások webhelytervezési és -tervezési irányelveinek ismertetése
A megfelelő Active Directory tartományi szolgáltatások (AD DS) kialakítása és tervezése kulcsfontosságú a Azure NetApp Files köteteket használó megoldásarchitektúrákhoz. Azure NetApp Files olyan funkciók, mint az SMB-kötetek, a kettős protokollú kötetek és az NFSv4.1 Kerberos-kötetek az AD DS-hez való használatra lettek tervezve.
Ez a cikk javaslatokat nyújt az AD DS Azure NetApp Files való üzembehelyezési stratégiájának kidolgozásához. A cikk elolvasása előtt ismernie kell, hogyan működik az AD DS funkcionális szinten.
Az AD DS követelményeinek azonosítása Azure NetApp Files
A Azure NetApp Files kötetek üzembe helyezése előtt azonosítania kell a Azure NetApp Files AD DS-integrációs követelményeit, hogy Azure NetApp Files megfelelően csatlakozhasson az AD DS-hez. Az AD DS helytelen vagy hiányos integrációja Azure NetApp Files az SMB, kettős protokoll vagy Kerberos NFSv4.1 kötetek ügyfélhozzáférési megszakadását vagy kimaradását okozhatja.
A hálózatra vonatkozó követelmények
Azure NetApp Files SMB, kettős protokollal rendelkező és Kerberos NFSv4.1 kötetek megbízható és kis késleltetésű hálózati kapcsolatot igényelnek az AD DS-tartományvezérlőkhöz (kevesebb mint 10 ms RTT). A gyenge hálózati kapcsolat vagy a Azure NetApp Files és az AD DS tartományvezérlők közötti nagy hálózati késés az ügyfélhozzáférés megszakadását vagy az ügyfél időtúllépését okozhatja.
Győződjön meg arról, hogy megfelel a hálózati topológiával és konfigurációkkal kapcsolatos alábbi követelményeknek:
- Győződjön meg arról, hogy a Azure NetApp Files támogatott hálózati topológiája van használatban.
- Győződjön meg arról, hogy az AD DS-tartományvezérlők hálózati kapcsolattal rendelkeznek a Azure NetApp Files köteteket üzemeltető Azure NetApp Files delegált alhálózatról.
- Az AD DS-tartományvezérlőkkel társított virtuális hálózati topológiáknak megfelelően konfigurálva kell lenniük a társviszony-létesítéssel az AD DS-tartományvezérlő hálózati kapcsolatának támogatásához Azure NetApp Files.
- A hálózati biztonsági csoportoknak (NSG-knek) és az AD DS-tartományvezérlői tűzfalaknak megfelelően konfigurált szabályokkal kell rendelkezniük az AD DS-hez és a DNS-hez való Azure NetApp Files támogatásához.
- Győződjön meg arról, hogy a késés kisebb, mint 10 ms RTT a Azure NetApp Files és az AD DS tartományvezérlők között.
A szükséges hálózati portok a következők:
Szolgáltatás | Port | Protokoll |
---|---|---|
AD Web Services | 9389 | TCP |
DNS* | 53 | TCP |
DNS* | 53 | UDP |
ICMPv4 | N/A | Válasz visszhangja |
Kerberos | 464 | TCP |
Kerberos | 464 | UDP |
Kerberos | 88 | TCP |
Kerberos | 88 | UDP |
LDAP | 389 | TCP |
LDAP | 389 | UDP |
LDAP | 3268 | TCP |
NetBIOS-név | 138 | UDP |
SAM/LSA | 445 | TCP |
SAM/LSA | 445 | UDP |
*AD DS-tartományvezérlőn futó DNS
DNS-követelmények
Azure NetApp Files SMB-, kettős protokollal és Kerberos NFSv4.1-kötetekkel megbízható hozzáférést kell biztosítani a tartománynévrendszer- (DNS-) szolgáltatásokhoz és a naprakész DNS-rekordokhoz. A Azure NetApp Files és a DNS-kiszolgálók közötti gyenge hálózati kapcsolat az ügyfélhozzáférés megszakadását vagy az ügyfél időtúllépését okozhatja. Az AD DS vagy Azure NetApp Files hiányos vagy helytelen DNS-rekordjai az ügyfélhozzáférés megszakadását vagy az ügyfél időtúllépését okozhatják.
Azure NetApp Files támogatja az Active Directory integrált DNS- vagy önálló DNS-kiszolgálók használatát.
Győződjön meg arról, hogy megfelel a DNS-konfigurációkra vonatkozó alábbi követelményeknek:
- Ha önálló DNS-kiszolgálókat használ:
- Győződjön meg arról, hogy a DNS-kiszolgálók hálózati kapcsolatban vannak a Azure NetApp Files köteteket üzemeltető Azure NetApp Files delegált alhálózattal.
- Győződjön meg arról, hogy az UDP 53 és a TCP 53 hálózati portokat nem blokkolják tűzfalak vagy NSG-k.
- Győződjön meg arról, hogy az AD DS Net Logon szolgáltatás által regisztrált SRV rekordok létrejöttek a DNS-kiszolgálókon.
- Győződjön meg arról, hogy a Azure NetApp Files által használt AD DS-tartományvezérlők PTR-rekordjai létre lettek hozva a DNS-kiszolgálókon.
- Azure NetApp Files támogatja a standard és biztonságos dinamikus DNS-frissítéseket. Ha biztonságos dinamikus DNS-frissítésekre van szüksége, győződjön meg arról, hogy a biztonságos frissítések konfigurálva vannak a DNS-kiszolgálókon.
- Ha nem használ dinamikus DNS-frissítéseket, manuálisan létre kell hoznia egy A rekordot és egy PTR-rekordot az AD DS szervezeti egységben (az Azure NetApp Files AD-kapcsolatban meghatározott) A-rekordhoz és PTR-rekordhoz a Azure NetApp Files LDAP-aláírás, a TLS-en, SMB-n keresztüli LDAP-, kettős protokoll- vagy Kerberos NFSv4.1-kötetek támogatásához.
- Összetett vagy nagy AD DS-topológiák esetén a DNS-szabályzatok vagy a DNS-alhálózatok rangsorolása szükséges lehet az LDAP-kompatibilis NFS-kötetek támogatásához.
Időforrásra vonatkozó követelmények
Azure NetApp Files time.windows.com időforrásként használja. Győződjön meg arról, hogy a Azure NetApp Files által használt tartományvezérlők úgy vannak konfigurálva, hogy time.windows.com vagy más pontos, stabil gyökér (1. réteg) időforrást használjanak. Ha a Azure NetApp Files és az ügyfél vagy az AS DS tartományvezérlők között öt percnél hosszabb eltérés van, a hitelesítés sikertelen lesz; a Azure NetApp Files kötetekhez való hozzáférés is meghiúsulhat.
Döntse el, hogy melyik AD DS-t használja a Azure NetApp Files
Azure NetApp Files támogatja a Active Directory tartományi szolgáltatások (AD DS) és az Azure Active Directory tartományi szolgáltatások (Azure AD DS) AD-kapcsolatokhoz. Az AD-kapcsolat létrehozása előtt el kell döntenie, hogy az AD DS-t vagy Azure AD DS-t használja-e.
További információ: A saját kezelésű Active Directory tartományi szolgáltatások, az Azure Active Directory és a felügyelt Azure Active Directory tartományi szolgáltatások összehasonlítása.
Active Directory tartományi szolgáltatások szempontok
A Active Directory tartományi szolgáltatások (AD DS) a következő esetekben ajánlott:
- Olyan helyszíni AD DS-tartományban üzemeltetett AD DS-felhasználókat használ, akiknek hozzáférésre van szükségük Azure NetApp Files erőforrásokhoz.
- Részben a helyszínen és részben az Azure-ban üzemeltetett alkalmazásokkal rendelkezik, amelyek Azure NetApp Files erőforrásokhoz kell hozzáférniük.
- Nincs szükség Azure AD DS-integrációra egy Azure AD-bérlővel az előfizetésében, vagy Azure AD DS nem kompatibilis a műszaki követelményekkel.
Megjegyzés
Azure NetApp Files nem támogatja az AD DS írásvédett tartományvezérlők (RODC) használatát.
Ha úgy dönt, hogy az AD DS-t Azure NetApp Files használja, kövesse az AD DS azure-beli architektúrára való kiterjesztését ismertető útmutatót, és győződjön meg arról, hogy megfelel az AD DS Azure NetApp Files hálózati és DNS-követelményeinek.
Az Azure Active Directory tartományi szolgáltatások szempontjai
Az Azure Active Directory tartományi szolgáltatások (Azure AD DS) egy felügyelt AD DS-tartomány, amely szinkronizálva van a Azure AD-bérlővel. Az Azure AD DS használatának fő előnyei a következők:
- Azure AD DS önálló tartomány. Így nincs szükség a helyszíni és az Azure közötti hálózati kapcsolat beállítására.
- Egyszerűsített üzembe helyezési és felügyeleti élményt nyújt.
A Azure AD DS-t a következő esetekben kell használnia:
- Nem szükséges kiterjeszteni az AD DS-t a helyszíni környezetből az Azure-ba, hogy hozzáférést biztosítson Azure NetApp Files erőforrásokhoz.
- A biztonsági szabályzatok nem teszik lehetővé a helyszíni AD DS Azure-ba való kiterjesztését.
- Nem ismeri az AD DS-t. Azure AD DS javíthatja a jó eredmények valószínűségét Azure NetApp Files.
Ha úgy dönt, hogy Azure AD DS-t Azure NetApp Files használ, tekintse meg a Azure AD DS dokumentációját az architektúrával, az üzembe helyezéssel és a felügyeleti útmutatóval kapcsolatban. Győződjön meg arról, hogy a Azure NetApp Files hálózati és DNS-követelményeknek is megfelel.
AD DS-helytopológia tervezése Azure NetApp Files
Az AD DS helytopológiájának megfelelő kialakítása kritikus fontosságú minden olyan megoldásarchitektúra esetében, amely Azure NetApp Files SMB-t, kettős protokollt vagy NFSv4.1 Kerberos-köteteket tartalmaz.
Az AD DS helytelen helytopológiája vagy konfigurációja a következő viselkedést eredményezheti:
- Nem sikerült létrehozni Azure NetApp Files SMB-t, kettős protokollt vagy NFSv4.1 Kerberos-kötetet
- Nem sikerült módosítani az ANF AD-kapcsolat konfigurációját
- Gyenge LDAP-ügyfél lekérdezési teljesítménye
- Hitelesítési problémák
A Azure NetApp Files AD DS-helytopológiája a Azure NetApp Files hálózat logikai ábrázolása. Az AD DS-helytopológia Azure NetApp Files tervezése magában foglalja a tartományvezérlő elhelyezésének tervezését, a helyek, a DNS-infrastruktúra és a hálózati alhálózatok tervezését, hogy biztosítsa a jó kapcsolatot a Azure NetApp Files szolgáltatás, a Azure NetApp Files tárolóügyfelek és az AD DS tartományvezérlők között.
A Azure NetApp Files AD-helynévben konfigurált AD DS-helyhez rendelt több tartományvezérlőn kívül az Azure NetApp Files AD DS-helyhez egy vagy több alhálózat is hozzárendelhető.
Megjegyzés
Fontos, hogy az AD DS-hely Azure NetApp Files hozzárendelt összes tartományvezérlőnek és alhálózatnak jól csatlakoztatva kell lennie (10 ms-nél kisebb RTT-késéssel), és elérhetőnek kell lennie a Azure NetApp Files kötetek által használt hálózati adapterek számára.
Ha standard hálózati funkciókat használ, győződjön meg arról, hogy a felhasználó által megadott útvonalak (UDR-ek) vagy a hálózati biztonsági csoport (NSG) szabályai nem blokkolják Azure NetApp Files hálózati kommunikációt az AD DS Azure NetApp Files AD DS-helyhez rendelt tartományvezérlőkkel.
Ha hálózati virtuális berendezéseket vagy tűzfalakat (például Palo Alto Networks vagy Fortinet tűzfalakat) használ, azokat úgy kell konfigurálni, hogy ne blokkolják a hálózati forgalmat Azure NetApp Files és az AD DS-tartományvezérlők és az AD DS Azure NetApp Files AD DS-helyhez rendelt alhálózatok között.
Hogyan használja Azure NetApp Files az AD DS webhelyadatait?
Azure NetApp Files az Active Directory-kapcsolatokban konfigurált AD-helynév használatával deríti fel, hogy mely tartományvezérlők vannak jelen a hitelesítés, a tartományhoz való csatlakozás, az LDAP-lekérdezések és a Kerberos-jegyműveletek támogatásához.
Az AD DS-tartományvezérlő felderítése
Azure NetApp Files négy óránként kezdeményezi a tartományvezérlő felderítését. Azure NetApp Files lekérdezi a helyspecifikus DNS-szolgáltatás (SRV) erőforrásrekordját annak megállapításához, hogy mely tartományvezérlők találhatók a Azure NetApp Files AD-kapcsolat AD-helynév mezőjében megadott AD DS-helyen. Azure NetApp Files tartományvezérlő-kiszolgáló felderítése ellenőrzi a tartományvezérlőkön üzemeltetett szolgáltatások állapotát (például Kerberos, LDAP, Net Logon és LSA), és kiválasztja az optimális tartományvezérlőt a hitelesítési kérelmekhez.
A Azure NetApp Files AD-kapcsolat AD-helynév mezőjében megadott AD DS-hely DNS-szolgáltatási (SRV) erőforrásrekordjainak tartalmazniuk kell a Azure NetApp Files által használt AD DS-tartományvezérlők IP-címeinek listáját. A DNS-erőforrásrekord érvényességét a nslookup
segédprogrammal ellenőrizheti.
Megjegyzés
Ha módosítja a Azure NetApp Files által használt AD DS-helyen lévő tartományvezérlőket, várjon legalább négy órát az új AD DS-tartományvezérlők üzembe helyezése és a meglévő AD DS-tartományvezérlők kivonása között. Ez a várakozási idő lehetővé teszi, hogy Azure NetApp Files felderítse az új AD DS-tartományvezérlőket.
Győződjön meg arról, hogy a kivezetett AD DS-tartományvezérlőhöz társított elavult DNS-rekordok törlődnek a DNS-ből. Ezzel biztosítja, hogy Azure NetApp Files ne próbáljon meg kommunikálni a kivezetett tartományvezérlővel.
AD DS LDAP-kiszolgálófelderítés
Az AD DS LDAP-kiszolgálók külön felderítési folyamata akkor történik, ha az LDAP engedélyezve van egy Azure NetApp Files NFS-köteten. Amikor az LDAP-ügyfél Azure NetApp Files jön létre, Azure NetApp Files lekérdezi az AD DS tartományi szolgáltatás (SRV) erőforrásrekordját a tartományban lévő összes AD DS LDAP-kiszolgáló listájához, nem pedig az AD DS-kapcsolatban megadott AD DS-helyhez rendelt LDAP-kiszolgálók listájához.
Nagy vagy összetett AD DS-topológiák esetén előfordulhat, hogy DNS-szabályzatokat vagy DNS-alhálózati rangsorolást kell implementálnia, hogy a rendszer az AD DS-kapcsolatban megadott AD DS-helyhez rendelt AD DS LDAP-kiszolgálókat adja vissza.
Az AD DS LDAP-kiszolgálófelderítési folyamata felülbírálható úgy is, hogy legfeljebb két előnyben részesített AD-kiszolgálót ad meg az LDAP-ügyfélhez.
Fontos
Ha Azure NetApp Files nem tud elérni egy felderített AD DS LDAP-kiszolgálót a Azure NetApp Files LDAP-ügyfél létrehozása során, az LDAP-kompatibilis kötet létrehozása sikertelen lesz.
Az AD-helynév helytelen vagy hiányos konfigurációjának következményei
A helytelen vagy hiányos AD DS-helytopológia vagy -konfiguráció kötetlétrehozási hibákat, ügyféllekérdezésekkel kapcsolatos problémákat, hitelesítési hibákat és Azure NetApp Files AD-kapcsolatok módosításának sikertelenségét eredményezheti.
Fontos
A Azure NetApp Files AD-kapcsolat létrehozásához az AD-hely neve mező szükséges. A definiált AD DS-helynek léteznie kell, és megfelelően kell konfigurálnia.
Azure NetApp Files az AD DS-hely használatával felderíti az AD-helynévben meghatározott AD DS-helyhez rendelt tartományvezérlőket és alhálózatokat. Az AD DS-helyhez rendelt összes tartományvezérlőnek jó hálózati kapcsolattal kell rendelkeznie az ANF által használt Azure-beli virtuális hálózati adapterekről, és elérhetőnek kell lennie. A Azure NetApp Files által használt AD DS-helyhez rendelt AD DS-tartományvezérlő virtuális gépeket ki kell zárni a virtuális gépeket leállító költségkezelési szabályzatokból.
Ha Azure NetApp Files nem tud elérni az AD DS-helyhez rendelt tartományvezérlőket, a tartományvezérlő felderítési folyamata lekérdezi az AD DS-tartományt az összes tartományvezérlő listájáról. A lekérdezésből visszaadott tartományvezérlők listája rendezetlen lista. Ennek eredményeképpen előfordulhat, hogy Azure NetApp Files olyan tartományvezérlőket próbál használni, amelyek nem érhetők el vagy nincsenek megfelelően csatlakoztatva, ami kötetlétrehozási hibákat, ügyfél-lekérdezésekkel kapcsolatos problémákat, hitelesítési hibákat és Azure NetApp Files AD-kapcsolatok módosításának sikertelenségét okozhatja.
Frissítenie kell az AD DS-hely konfigurációját, amikor új tartományvezérlőket helyez üzembe az AD DS-helyhez rendelt alhálózaton, amelyet az Azure NetApp Files AD-kapcsolat használ. Győződjön meg arról, hogy a hely DNS SRV rekordjai tükrözik a Azure NetApp Files által használt AD DS-helyhez rendelt tartományvezérlők módosításait. A DNS-erőforrásrekord érvényességét a nslookup
segédprogrammal ellenőrizheti.
Megjegyzés
Azure NetApp Files nem támogatja az AD DS írásvédett tartományvezérlők (RODC) használatát. Ha meg szeretné akadályozni, hogy Azure NetApp Files írásvédett tartományvezérlőt használjon, ne konfigurálja az AD-kapcsolatok AD-helynév mezőjét írásvédett tartományvezérlővel.
Mintául szolgáló AD DS-helytopológia konfigurálása Azure NetApp Files
Az AD DS-helytopológia annak a hálózatnak a logikai ábrázolása, amelyben Azure NetApp Files van üzembe helyezve. Ebben a szakaszban az AD DS-helytopológia mintakonfigurációs forgatókönyve egy alapszintű AD DS-helytervet kíván megjeleníteni Azure NetApp Files. Nem ez az egyetlen módja annak, hogy hálózati vagy AD-helytopológiát tervezzen Azure NetApp Files.
Fontos
Összetett AD DS-t vagy összetett hálózati topológiákat tartalmazó forgatókönyvek esetén a Microsoft Azure CSA-nak át kell tekintenie a Azure NetApp Files hálózatkezelést és az AD-hely kialakítását.
Az alábbi ábrán egy hálózati topológiaminta látható: sample-network-topology.png
A mintahálózati topológiában a helyszíni AD DS-tartomány (anf.local
) ki van terjesztve egy Azure-beli virtuális hálózatra. A helyszíni hálózat egy Azure ExpressRoute-kapcsolatcsoporttal csatlakozik az Azure-beli virtuális hálózathoz.
Az Azure-beli virtuális hálózat négy alhálózattal rendelkezik: Átjáró-alhálózat, Azure Bastion-alhálózat, AD DS-alhálózat és egy Azure NetApp Files delegált alhálózat. A tartományhoz anf.local
csatlakoztatott redundáns AD DS-tartományvezérlők az AD DS alhálózatán lesznek üzembe helyezve. Az AD DS alhálózathoz a 10.0.0.0/24 IP-címtartomány van rendelve.
Azure NetApp Files csak egy AD DS-helyet használhat a hitelesítéshez, LDAP-lekérdezésekhez és Kerberoshoz használt tartományvezérlők meghatározásához. A mintaforgatókönyvben két alhálózati objektum jön létre és rendelhető hozzá egy nevű ANF
helyhez az Active Directory Helyek és szolgáltatások segédprogram használatával. Az egyik alhálózati objektum a 10.0.0.0/24 AD DS-alhálózatra van leképezve, a másik alhálózati objektum pedig a 10.0.2.0/24 ANF delegált alhálózatra van leképezve.
Az Active Directory helyek és szolgáltatások eszközben ellenőrizze, hogy az AD DS-alhálózaton üzembe helyezett AD DS-tartományvezérlők hozzá vannak-e rendelve a ANF
helyhez:
Az Azure-beli virtuális hálózat AD DS alhálózatához leképezett alhálózati objektum létrehozásához kattintson a jobb gombbal az Alhálózatok tárolóra az Active Directory Helyek és szolgáltatások segédprogramban, és válassza az Új alhálózat... lehetőséget.
Az Új objektum – Alhálózat párbeszédpanelen az AD DS-alhálózat 10.0.0.0/24 IP-címtartománya szerepel az Előtag mezőben. Válassza ki ANF
az alhálózat helyobjektumaként. Válassza az OK gombot az alhálózati objektum létrehozásához és a ANF
helyhez való hozzárendeléséhez.
Annak ellenőrzéséhez, hogy az új alhálózati objektum a megfelelő helyhez van-e rendelve, kattintson a jobb gombbal a 10.0.0.0/24 alhálózati objektumra, és válassza a Tulajdonságok parancsot. A Webhely mezőben a helyobjektumnak kell megjelennie ANF
:
Az Azure-beli virtuális hálózat Azure NetApp Files delegált alhálózatához leképezett alhálózati objektum létrehozásához kattintson a jobb gombbal az Alhálózatok tárolóra az Active Directory Helyek és szolgáltatások segédprogramban, és válassza az Új alhálózat... lehetőséget.
Régiók közötti replikációval kapcsolatos szempontok
Azure NetApp Files régiók közötti replikáció lehetővé teszi Azure NetApp Files kötetek replikálását az egyik régióból egy másikba az üzleti folytonosság és a vészhelyreállítás (BC/DR) követelményeinek támogatása érdekében.
Azure NetApp Files SMB, kettős protokoll és NFSv4.1 Kerberos-kötetek támogatják a régiók közötti replikációt. Ezeknek a köteteknek a replikálásához a következők szükségesek:
- A forrás- és célrégiókban létrehozott NetApp-fiók.
- Egy Azure NetApp Files Active Directory-kapcsolat a forrás- és célrégiókban létrehozott NetApp-fiókban.
- Az AD DS-tartományvezérlők a célrégióban vannak üzembe helyezve és futnak.
- A megfelelő Azure NetApp Files hálózatot, DNS-t és AD DS-helytervet kell üzembe helyezni a célrégióban, hogy lehetővé tegye a Azure NetApp Files és a célrégió AD DS-tartományvezérlői közötti megfelelő hálózati kommunikációt.
- A célrégióban lévő Active Directory-kapcsolatot úgy kell konfigurálni, hogy a célrégióban lévő DNS- és AD-helyerőforrásokat használja.