Megosztás a következőn keresztül:

Az Azure Files használata több Active Directory-erdővel

  • Cikk

Számos szervezet identitásalapú hitelesítést szeretne használni az SMB Azure-fájlmegosztásokhoz olyan környezetekben, amelyek több helyi Active Directory Tartományi szolgáltatások (AD DS) erdővel rendelkeznek. Ez egy gyakori informatikai forgatókönyv, különösen az egyesülések és felvásárlások után, ahol a beolvadt vállalat AD-erdői el vannak különítve az anyavállalat AD-erdőitől. Ez a cikk bemutatja az erdőmegbízhatósági kapcsolatok működését, és részletes útmutatást nyújt a többerdős beállításhoz és ellenőrzéshez.

Fontos

Ha az Azure szerepköralapú hozzáférés-vezérlést (RBAC) használó bizonyos Microsoft Entra-felhasználók vagy -csoportok megosztási szintű engedélyeit szeretné beállítani, akkor először szinkronizálnia kell a helyszíni AD-fiókokat a Microsoft Entra-azonosítóval a Microsoft Entra Connect használatával. Ellenkező esetben használhatja az alapértelmezett megosztási szintű engedélyt.

A következőre érvényes:

Fájlmegosztás típusa SMB NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS Igen Nem
Standard szintű fájlmegosztások (GPv2), GRS/GZRS Igen Nem
Prémium fájlmegosztások (FileStorage), LRS/ZRS Igen Nem

Előfeltételek

  • Két AD DS-tartományvezérlő különböző erdőkkel és különböző virtuális hálózatokon (VNET-eken)
  • Elegendő AD-engedély rendszergazdai feladatok végrehajtásához (például tartományadminisztrátor)
  • Az Azure RBAC használata esetén mindkét erdőnek elérhetőnek kell lennie egyetlen Microsoft Entra Connect Sync-kiszolgálóval

Az erdőmegbízhatósági kapcsolatok működése

Az Azure Files helyszíni AD DS-hitelesítése csak annak a tartományi szolgáltatásnak az AD-erdőjén támogatott, amelyen a tárfiók regisztrálva van. Az Azure-fájlmegosztásokat alapértelmezés szerint csak egyetlen erdőből érheti el AD DS hitelesítő adatokkal. Ha egy másik erdőből kell hozzáférnie az Azure-fájlmegosztáshoz, konfigurálnia kell egy erdőmegbízhatóságot.

Az erdőmegbízhatóság két AD-erdő közötti tranzitív megbízhatósági kapcsolat, amely lehetővé teszi, hogy az egyik erdő bármely tartományában lévő felhasználók hitelesíthetők legyenek a másik erdő bármelyik tartományában.

Többerdős telepítés

Többerdős beállítás konfigurálásához a következő lépéseket hajtjuk végre:

  • Tartományinformációk és virtuális hálózatok közötti kapcsolatok gyűjtése
  • Erdőszintű megbízhatóság létrehozása és konfigurálása
  • Identitásalapú hitelesítés és hibrid felhasználói fiókok beállítása

Tartományadatok gyűjtése

Ebben a gyakorlatban két helyszíni AD DS-tartományvezérlőt használunk két különböző erdővel és különböző VNET-ekkel.

Erdő Tartomány Virtuális hálózat
Erdő 1 onpremad1.com DomainServicesVNet WUS
Erdő 2 onpremad2.com vnet2/számítási feladatok

Megbízhatóság létrehozása és konfigurálása

Ahhoz, hogy az 1. erdőből származó ügyfelek hozzáférhessenek a 2. erdőben található Azure Files-tartományi erőforrásokhoz, megbízhatóságot kell létesítenünk a két erdő között. Kövesse az alábbi lépéseket a megbízhatóság létrehozásához.

Feljegyzés

Az Azure Files csak erdőmegbízhatóságokat támogat. Más megbízhatósági típusok, például külső megbízhatósági kapcsolatok nem támogatottak.

Ha már beállította a megbízhatósági kapcsolatot, a típust ellenőrizheti, ha bejelentkezik egy, a Forest 2-hez tartományhoz csatlakoztatott gépre, megnyitja a Active Directory-tartomány és megbízhatósági konzolt, kattintson a jobb gombbal a helyi tartományra onpremad2.com, majd válassza a Megbízhatósági kapcsolatok lehetőséget. tabulátor. Ha a meglévő megbízhatóság nem erdőszintű megbízhatósági kapcsolat, és ha egy erdőszintű megbízhatóság megfelel a környezet követelményeinek, el kell távolítania a meglévő megbízhatóságot, és újra létre kell hoznia egy erdőszintű megbízhatóságot a helyén. Ehhez kövesse az alábbi utasításokat.

  1. Jelentkezzen be egy, a Forest 2-hez tartományhoz csatlakoztatott gépre, és nyissa meg a Active Directory-tartomány és megbízhatósági konzolt.

  2. Kattintson a jobb gombbal a helyi tartományra onpremad2.com, majd válassza a Megbízhatóságok lapot.

  3. Válassza az Új megbízhatóságok lehetőséget az Új megbízhatóság varázsló elindításához.

  4. Adja meg azt a tartománynevet, amellyel megbízhatóságot szeretne létrehozni (ebben a példában onpremad1.com), majd válassza a Tovább gombot.

  5. Megbízhatósági típus esetén válassza az Erdő megbízhatósága lehetőséget, majd a Tovább lehetőséget.

  6. A Megbízhatóság iránya beállításnál válassza a Kétirányú, majd a Tovább lehetőséget.

    Képernyőkép a Active Directory-tartomány és megbízhatósági konzolról, amely bemutatja, hogyan választhat kétirányú irányt a megbízhatósághoz.

  7. A Megbízhatósági oldalak területen válassza a Csak ez a tartomány lehetőséget, majd válassza a Tovább gombot.

  8. A megadott erdő felhasználói hitelesíthetők a helyi erdő összes erőforrásának (erdőszintű hitelesítés) vagy csak a kiválasztott erőforrások (szelektív hitelesítés) használatára. Kimenő megbízhatósági hitelesítési szint esetén válassza az erdőszintű hitelesítést, amely akkor ajánlott, ha mindkét erdő ugyanahhoz a szervezethez tartozik. Válassza a Tovább lehetőséget.

  9. Adjon meg egy jelszót a megbízhatósághoz, majd válassza a Tovább gombot. Ugyanazt a jelszót kell használnia, amikor ezt a megbízhatósági kapcsolatot a megadott tartományban hozza létre.

    Képernyőkép a Active Directory-tartomány és megbízhatósági konzolról, amely bemutatja, hogyan adhat meg jelszót a megbízhatósághoz.

  10. Látnia kell egy üzenetet, amely szerint a megbízhatósági kapcsolat sikeresen létrejött. A megbízhatóság konfigurálásához válassza a Tovább gombot.

  11. Erősítse meg a kimenő megbízhatóságot, és válassza a Tovább gombot.

  12. Adja meg annak a felhasználónak a felhasználónevét és jelszavát, aki rendszergazdai jogosultságokkal rendelkezik a másik tartományból.

A hitelesítést követően létrejön a megbízhatósági kapcsolat, és látnia kell a megadott tartományt onpremad1.com a Megbízhatóságok lapon.

Identitásalapú hitelesítés és hibrid felhasználói fiókok beállítása

Miután létrejött a megbízhatóság, az alábbi lépéseket követve hozzon létre tárfiókot és SMB-fájlmegosztást minden tartományhoz, engedélyezze az AD DS-hitelesítést a tárfiókokon, és hozzon létre hibrid felhasználói fiókokat a Microsoft Entra-azonosítóval szinkronizálva.

  1. Jelentkezzen be az Azure Portalra, és hozzon létre két tárfiókot, például az onprem1sa-t és az onprem2sa-t. Az optimális teljesítmény érdekében javasoljuk, hogy a tárfiókokat ugyanabban a régióban helyezze üzembe, amelyből a megosztásokhoz hozzáférést kíván biztosítani.

    Feljegyzés

    Nincs szükség második tárfiók létrehozására. Ezek az utasítások egy példát mutatnak a különböző erdőkhöz tartozó tárfiókok elérésére. Ha csak egy tárfiókja van, figyelmen kívül hagyhatja a második tárfiók beállítási utasításait.

  2. Hozzon létre egy SMB Azure-fájlmegosztást minden tárfiókon.

  3. Szinkronizálja a helyszíni AD-t a Microsoft Entra ID-val a Microsoft Entra Connect Sync alkalmazással.

  4. Csatlakozzon tartományhoz egy Azure-beli virtuális géphez az 1 . erdőben a helyszíni AD DS-hez. A tartományhoz való csatlakozásról további információt a Számítógép csatlakoztatása tartományhoz című témakörben talál.

  5. Engedélyezze az AD DS-hitelesítést az 1. erdőhöz társított tárfiókon, például onprem1sa. Ezzel létrehoz egy onprem1sa nevű számítógépfiókot a helyszíni AD-ben, amely az Azure Storage-fiókot képviseli, és csatlakozik a tárfiókhoz a onpremad1.com tartományhoz. A tárfiókot jelképező AD-identitás létrehozásának ellenőrzéséhez keresse meg a onpremad1.com Active Directory - felhasználók és számítógépek. Ebben a példában egy onprem1sa nevű számítógépfiókot láthat.

  6. Hozzon létre egy felhasználói fiókot az Active Directory > onpremad1.com. Kattintson a jobb gombbal a Felhasználók elemre, válassza a Létrehozás lehetőséget, adjon meg egy felhasználónevet (például onprem1user), és jelölje be a Jelszó soha nem jár le jelölőnégyzetet (nem kötelező).

  7. Nem kötelező: Ha az Azure RBAC-t szeretné használni a megosztási szintű engedélyek hozzárendeléséhez, szinkronizálnia kell a felhasználót a Microsoft Entra-azonosítóval a Microsoft Entra Connect használatával. A Microsoft Entra Connect Sync általában 30 percenként frissül. Azonban kényszerítheti a szinkronizálást azonnal egy emelt szintű PowerShell-munkamenet megnyitásával és futtatásával Start-ADSyncSyncCycle -PolicyType Delta. Előfordulhat, hogy először telepítenie kell az ADSync modult a futtatással Import-Module ADSync. Ha ellenőrizni szeretné, hogy a felhasználó szinkronizálva lett-e a Microsoft Entra-azonosítóval, jelentkezzen be az Azure Portalra a többerdős bérlőhöz társított Azure-előfizetéssel, és válassza a Microsoft Entra-azonosítót. Válassza a Felhasználók kezelése > lehetőséget, és keresse meg a hozzáadott felhasználót (például onprem1user). A helyszíni szinkronizálás engedélyezésének igent kell mondania.

  8. Állítsa be a megosztási szintű engedélyeket az Azure RBAC-szerepkörök vagy egy alapértelmezett megosztási szintű engedély használatával.

    • Ha a felhasználó szinkronizálva van a Microsoft Entra-azonosítóval, megosztási szintű engedélyt (Azure RBAC-szerepkört) adhat a felhasználónak az onprem1user onprem1sa tárfiókon, hogy a felhasználó csatlakoztathassa a fájlmegosztást. Ehhez nyissa meg az onprem1sa-ban létrehozott fájlmegosztást, és kövesse a Megosztási szintű engedélyek hozzárendelése adott Microsoft Entra-felhasználókhoz vagy -csoportokhoz című témakörben található utasításokat.
    • Ellenkező esetben az összes hitelesített identitásra érvényes alapértelmezett megosztási szintű engedélyt használhatja.

Ismételje meg a 4–8. lépést a Forest2 tartomány onpremad2.com esetében (tárfiók onprem2sa/user onprem2user). Ha kétnál több erdővel rendelkezik, ismételje meg az egyes erdőkre vonatkozó lépéseket.

Címtár- és fájlszintű engedélyek konfigurálása (nem kötelező)

Többerdős környezetben az icacls parancssori segédprogrammal konfigurálhatja a címtár- és fájlszintű engedélyeket mindkét erdő felhasználói számára. Lásd: Windows ACL-ek konfigurálása icacl-ekkel.

Ha az icacls sikertelen , és az Access megtagadva van, az alábbi lépésekkel konfigurálhatja a címtár- és fájlszintű engedélyeket a tárfiók kulccsal való csatlakoztatásával.

  1. Törölje a meglévő megosztási csatlakoztatást: net use * /delete /y

  2. Csatlakoztassa újra a megosztást a tárfiók kulcsával:

    net use <driveletter> \\storageaccount.file.core.windows.net\sharename /user:AZURE\<storageaccountname> <storageaccountkey>

  3. Az icacls-engedélyek beállítása a Forest2-ben a Forest1-hez csatlakoztatott tárfiókhoz a Forest1-ügyféltől.

Feljegyzés

Nem javasoljuk, hogy Fájlkezelő használatával konfigurálja az ACL-eket többerdős környezetben. Bár a tárfiókhoz tartományhoz csatlakoztatott erdőhöz tartozó felhasználók fájl-/címtárszintű engedélyekkel rendelkezhetnek a Fájlkezelő keresztül, nem működnek azok a felhasználók, amelyek nem ugyanabba az erdőbe tartoznak, amely tartományhoz csatlakozik a tárfiókhoz.

Tartomány utótagok konfigurálása

A fentiekben ismertetett módon az Azure Files az AD DS-ben való regisztrálása szinte megegyezik a hagyományos fájlkiszolgálókkal, ahol létrehoz egy identitást (alapértelmezés szerint egy számítógépfiók is lehet szolgáltatás-bejelentkezési fiók), amely a tárfiókot jelöli az AD DS-ben a hitelesítéshez. Az egyetlen különbség az, hogy a tárfiók regisztrált egyszerű szolgáltatásneve (SPN) file.core.windows.net végződik, amely nem egyezik a tartomány utótagjával. A különböző tartomány-utótag miatt konfigurálnia kell egy utótag-útválasztási szabályzatot a többerdős hitelesítés engedélyezéséhez.

Mivel a file.core.windows.net utótag az összes Azure Files-erőforrás utótagja, és nem egy adott AD-tartomány utótagja, az ügyfél tartományvezérlője nem tudja, hogy melyik tartománynak kell továbbítania a kérést, ezért minden olyan kérés meghiúsul, amelyben az erőforrás nem található a saját tartományában.

Ha például az 1. erdő egyik tartományának felhasználói fájlmegosztást szeretnének elérni a 2. erdő egyik tartományában regisztrált tárfiókkal, ez nem fog automatikusan működni, mert a tárfiók szolgáltatásnévének nincs olyan utótagja, amely megfelel az 1. erdőben lévő tartomány utótagjának.

A tartomány utótagokat az alábbi módszerek egyikével konfigurálhatja:

Tárfióknév utótagjának módosítása és CNAME rekord hozzáadása

A tartomány útválasztási problémáját az Azure-fájlmegosztáshoz társított tárfióknév utótagjának módosításával, majd egy CNAME rekord hozzáadásával oldhatja meg, amely az új utótagot a tárfiók végpontjára irányítja. Ezzel a konfigurációval a tartományhoz csatlakoztatott ügyfelek hozzáférhetnek az erdőhöz csatlakoztatott tárfiókokhoz. Ez két vagy több erdőt tartalmazó környezetekben működik.

Példánkban a tartományok onpremad1.com és onpremad2.com, az onprem1sa és az onprem2sa pedig az adott tartományokban lévő SMB Azure-fájlmegosztásokhoz társított tárfiókok. Ezek a tartományok különböző erdőkben találhatók, amelyek megbíznak egymásban az egymás erdőiben található erőforrások elérésében. Engedélyezni szeretnénk mindkét tárfiók elérését az egyes erdőhöz tartozó ügyfelektől. Ehhez módosítani kell a tárfiók SPN-utótagját:

onprem1sa.onpremad1.com –> onprem1sa.file.core.windows.net

onprem2sa.onpremad2.com –> onprem2sa.file.core.windows.net

Ez lehetővé teszi, hogy az ügyfelek csatlakoztatják a megosztástnet use \\onprem1sa.onpremad1.com, mert az onpremad1 vagy az onpremad2 ügyfelek tudják, hogy keresnek onpremad1.com, hogy megtalálják a tárfiók megfelelő erőforrását.

A módszer használatához hajtsa végre a következő lépéseket:

  1. Győződjön meg arról, hogy megbízhatóságot létesített a két erdő között, és identitásalapú hitelesítést és hibrid felhasználói fiókokat állított be az előző szakaszokban leírtak szerint.

  2. Módosítsa a tárfiók egyszerű szolgáltatásnevét a setspn eszközzel. A következő Active Directory PowerShell-parancs futtatásával találhatja meg <DomainDnsRoot> : (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Adjon hozzá egy CNAME-bejegyzést az Active Directory DNS Managerrel, és kövesse az alábbi lépéseket a tárfiókhoz csatlakoztatott tartomány minden tárfiókja esetében. Ha privát végpontot használ, adja hozzá a CNAME bejegyzést a privát végpont nevére való leképezéshez.

    1. Nyissa meg az Active Directory DNS Managert.

    2. Lépjen a tartományára (például onpremad1.com).

    3. Lépjen a "Keresési zónák továbbítása" elemre.

    4. Válassza ki a tartománya után elnevezett csomópontot (például onpremad1.com), és kattintson a jobb gombbal az Új alias (CNAME) elemre.

    5. Az aliasnévhez adja meg a tárfiók nevét.

    6. A teljes tartománynévhez (FQDN) írja be <storage-account-name>a .<domain-name>, például mystorageaccount.onpremad1.com.

    7. A cél gazdagép teljes tartománynevéhez írja be <storage-account-name>a .file.core.windows.net

    8. Kattintson az OK gombra.

      Képernyőkép arról, hogyan vehet fel CNAME rekordot az utótag-útválasztáshoz az Active Directory DNS Managerrel.

Mostantól a tartományhoz csatlakoztatott ügyfelektől bármilyen erdőhöz csatlakoztatott tárfiókot használhat.

Feljegyzés

Győződjön meg arról, hogy a teljes tartománynév része megegyezik a tárfiók fent leírt nevével. Ellenkező esetben a hozzáférés megtagadása hibaüzenet jelenik meg: "A fájlnév, a könyvtárnév vagy a kötetcímke szintaxisa helytelen." A hálózati nyomkövetés STATUS_OBJECT_NAME_INVALID (0xc0000033) üzenetet jelenít meg az SMB-munkamenet beállítása során.

Egyéni név utótagjának és útválasztási szabályának hozzáadása

Ha már módosította a tárfióknév utótagját, és hozzáadott egy CNAME rekordot az előző szakaszban leírtak szerint, kihagyhatja ezt a lépést. Ha inkább nem szeretne DNS-módosításokat végezni, vagy módosítani szeretné a tárfiók nevének utótagját, konfigurálhat egy utótag-útválasztási szabályt az 1. erdőtől a 2. erdőig a file.core.windows.net egyéni utótagjára.

Feljegyzés

A név-utótag útválasztásának konfigurálása nem befolyásolja a helyi tartomány erőforrásainak elérését. Csak akkor kell engedélyeznie az ügyfélnek, hogy a kérést az utótagnak megfelelő tartományra továbbítsa, ha az erőforrás nem található a saját tartományában.

Először adjon hozzá egy új egyéni utótagot a Forest 2-ben. Győződjön meg arról, hogy rendelkezik a megfelelő rendszergazdai engedélyekkel a konfiguráció módosításához, és hogy megbízhatóságot hozott létre a két erdő között. Ezután a következő lépéseket kell követni:

  1. Jelentkezzen be egy olyan gépre vagy virtuális gépre, amely a 2. erdő egyik tartományához csatlakozik.
  2. Nyissa meg a Active Directory-tartomány és megbízhatósági konzolt.
  3. Kattintson a jobb gombbal a Active Directory-tartomány és megbízhatósági kapcsolatokra.
  4. Válassza a Tulajdonságok lehetőséget, majd a Hozzáadás lehetőséget.
  5. Adja hozzá a "file.core.windows.net"-t UPN-utótagként.
  6. Kattintson az Alkalmaz gombra, majd az OK gombra a varázsló bezárásához.

Ezután adja hozzá az 1. erdőhöz az utótag-útválasztási szabályt, hogy az a 2. erdőbe irányítja át.

  1. Jelentkezzen be egy olyan gépre vagy virtuális gépre, amely az 1. erdőben lévő tartományhoz csatlakozik.
  2. Nyissa meg a Active Directory-tartomány és megbízhatósági konzolt.
  3. Kattintson a jobb gombbal arra a tartományra, amelyhez hozzá szeretné férni a fájlmegosztást, majd válassza az Megbízhatóságok lapot, és válassza a Forest 2 tartományt a kimenő megbízhatósági kapcsolatokból.
  4. Válassza a Tulajdonságok, majd a Név utótag útválasztása lehetőséget.
  5. Ellenőrizze, hogy megjelenik-e a "*.file.core.windows.net" utótag. Ha nem, válassza a Frissítés lehetőséget.
  6. Válassza a "*.file.core.windows.net", majd az Engedélyezés és alkalmazás lehetőséget.

Ellenőrizze, hogy a megbízhatóság működik-e

Most ellenőrizni fogjuk, hogy a megbízhatóság működik-e. Ehhez futtassa a klist parancsot a Kerberos hitelesítőadat-gyorsítótár és a kulcstábla tartalmának megjelenítéséhez.

  1. Jelentkezzen be egy olyan gépre vagy virtuális gépre, amely csatlakozik egy tartományhoz az 1 . erdőben, és nyisson meg egy Windows parancssort.
  2. A tartományhoz csatlakoztatott tárfiók hitelesítőadat-gyorsítótárának a 2. erdőben való megjelenítéséhez futtassa az alábbi parancsok egyikét:
  3. Az alábbihoz hasonló kimenetnek kell megjelennie. A klist kimenete némileg eltér attól függően, hogy melyik metódust használta a tartomány utótagok konfigurálásához.
Client: onprem1user @ ONPREMAD1.COM
Server: cifs/onprem2sa.file.core.windows.net @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:45:02 (local)
End Time: 11/23/2022 4:45:02 (local)
Renew Time: 11/29/2022 18:45:02 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onprem2.onpremad2.com
  1. Jelentkezzen be egy olyan gépre vagy virtuális gépre, amely csatlakozik egy tartományhoz a Forest 2-ben, és nyisson meg egy Windows parancssort.
  2. A tartományhoz csatlakoztatott tárfiók hitelesítőadat-gyorsítótárának az 1. erdőben való megjelenítéséhez futtassa az alábbi parancsok egyikét:
  3. Az alábbihoz hasonló kimenetnek kell megjelennie. A klist kimenete némileg eltér attól függően, hogy melyik metódust használta a tartomány utótagok konfigurálásához.
Client: onprem2user @ ONPREMAD2.COM
Server: krbtgt/ONPREMAD2.COM @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -> PRIMARY
Kdc Called: onprem2

Client: onprem2user @ ONPREMAD2.COM    
Server: cifs/onprem1sa.file.core.windows.net @ ONPREMAD1.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onpremad1.onpremad1.com

Ha a fenti kimenet jelenik meg, akkor elkészült. Ha nem, kövesse az alábbi lépéseket, hogy alternatív UPN-utótagokat biztosítson a többerdős hitelesítés működéséhez.

Fontos

Ez a módszer csak két erdővel rendelkező környezetben működik. Ha kétnál több erdőt használ, a tartomány utótagjainak konfigurálásához használja a többi módszer egyikét.

Először adjon hozzá egy új egyéni utótagot az 1. erdőre.

  1. Jelentkezzen be egy olyan gépre vagy virtuális gépre, amely az 1. erdőben lévő tartományhoz csatlakozik.
  2. Nyissa meg a Active Directory-tartomány és megbízhatósági konzolt.
  3. Kattintson a jobb gombbal a Active Directory-tartomány és megbízhatósági kapcsolatokra.
  4. Válassza a Tulajdonságok lehetőséget, majd a Hozzáadás lehetőséget.
  5. Adjon hozzá egy másik UPN-utótagot, például a "onprem1sa.file.core.windows.net".
  6. Kattintson az Alkalmaz gombra, majd az OK gombra a varázsló bezárásához.

Ezután adja hozzá az utótag-útválasztási szabályt a Forest 2-ben.

  1. Jelentkezzen be egy olyan gépre vagy virtuális gépre, amely a 2. erdő egyik tartományához csatlakozik.
  2. Nyissa meg a Active Directory-tartomány és megbízhatósági konzolt.
  3. Kattintson a jobb gombbal arra a tartományra, amelyhez hozzá szeretné férni a fájlmegosztást, majd válassza az Megbízhatóságok lapot, és válassza ki a 2. erdő kimenő megbízhatóságát, ahol az utótag útválasztási neve lett hozzáadva.
  4. Válassza a Tulajdonságok, majd a Név utótag útválasztása lehetőséget.
  5. Ellenőrizze, hogy megjelenik-e a "onprem1sa.file.core.windows.net" utótag. Ha nem, válassza a Frissítés lehetőséget.
  6. Válassza a "onprem1sa.file.core.windows.net", majd az Engedélyezés és alkalmazás lehetőséget.

Következő lépések

További információkért tekintse meg az alábbi erőforrásokat: