Membuat dan mengelola koneksi Direktori Aktif untuk Azure NetApp Files

Artikel
11/07/2023

Beberapa fitur Azure NetApp Files mengharuskan Anda memiliki koneksi Direktori Aktif. Misalnya, Anda harus memiliki koneksi Direktori Aktif sebelum Anda dapat membuat volume SMB, , volume NFSv4.1 Kerberos, atau volume protokol ganda. Artikel ini memperlihatkan kepada Anda cara membuat dan mengelola koneksi Direktori Aktif untuk Azure NetApp Files.

Persyaratan dan pertimbangan untuk koneksi Direktori Aktif

Penting

Anda harus mengikuti panduan yang dijelaskan dalam Memahami panduan untuk desain dan perencanaan situs Active Directory Domain Services untuk Azure NetApp Files for Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services yang digunakan dengan Azure NetApp Files.

Sebelum membuat koneksi AD, tinjau Mengubah koneksi Direktori Aktif untuk Azure NetApp Files untuk memahami dampak membuat perubahan pada opsi konfigurasi koneksi AD setelah koneksi AD dibuat. Perubahan pada opsi konfigurasi koneksi AD mengganggu akses klien dan beberapa opsi tidak dapat diubah sama sekali.

Akun Azure NetApp Files harus dibuat di wilayah tempat volume Azure NetApp Files disebarkan.
Anda hanya dapat mengonfigurasi satu koneksi Direktori Aktif (AD) per langganan per wilayah.

Azure NetApp Files tidak mendukung beberapa koneksi AD dalam satu wilayah, meskipun koneksi AD dibuat di akun NetApp yang berbeda. Namun, Anda dapat memiliki beberapa koneksi AD dalam satu langganan jika koneksi AD berada di wilayah yang berbeda. Jika Anda memerlukan beberapa koneksi AD dalam satu wilayah, Anda bisa menggunakan langganan terpisah untuk melakukannya.

Koneksi AD hanya terlihat melalui akun NetApp tempat koneksi dibuat. Namun, Anda dapat mengaktifkan fitur AD Bersama untuk mengizinkan akun NetApp yang berada di bawah langganan yang sama dan wilayah yang sama untuk menggunakan koneksi AD yang sama. Lihat Memetakan beberapa akun NetApp di langganan dan wilayah yang sama ke koneksi AD.
Akun admin koneksi Azure NetApp Files AD harus memiliki properti berikut:
- Ini harus merupakan akun pengguna domain AD DS di domain yang sama tempat akun komputer Azure NetApp Files dibuat.
- Ini harus memiliki izin untuk membuat akun komputer (misalnya, gabungan domain AD) di jalur unit organisasi AD DS yang ditentukan dalam opsi Jalur unit organisasi koneksi AD.
- Ini tidak dapat menjadi Akun Layanan Terkelola Grup.
Akun admin koneksi AD mendukung jenis enkripsi Kerberos AES-128 dan Kerberos AES-256 untuk autentikasi dengan AD DS untuk pembuatan akun komputer Azure NetApp Files (misalnya, operasi gabungan domain AD).
Untuk mengaktifkan enkripsi AES di akun admin koneksi Azure NetApp Files AD, Anda harus menggunakan akun pengguna domain AD yang merupakan anggota dari salah satu grup AD DS berikut:
- Admin Domain
- Admin Perusahaan
- Administrator
- Operator Akun
- Microsoft Entra Domain Services Administrators _ (Microsoft Entra Domain Services Only)_
- Atau, akun pengguna domain AD dengan msDS-SupportedEncryptionTypes izin tulis di akun admin koneksi AD juga dapat digunakan untuk mengatur properti jenis enkripsi Kerberos di akun admin koneksi AD.
Catatan

Saat Anda mengubah pengaturan untuk mengaktifkan AES pada akun admin koneksi AD, ini adalah praktik terbaik untuk menggunakan akun pengguna yang memiliki izin tulis ke objek AD yang bukan admin Azure NetApp Files AD. Anda dapat melakukannya dengan akun admin domain lain atau dengan mendelegasikan kontrol ke akun. Untuk informasi selengkapnya, lihat Mendelegasikan Administrasi dengan Menggunakan Objek OU.

Jika Anda mengatur enkripsi Kerberos AES-128 dan AES-256 pada akun admin koneksi AD, tingkat enkripsi tertinggi yang didukung oleh AD DS Anda akan digunakan.
Untuk mengaktifkan dukungan enkripsi AES untuk akun admin di koneksi AD, jalankan perintah PowerShell Direktori Aktif berikut:
```
Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>
```
KerberosEncryptionType adalah parameter multinilai yang mendukung nilai AES-128 dan AES-256.

Untuk informasi selengkapnya, lihat dokumentasi Set-ADUser.
Jika Anda memiliki persyaratan untuk mengaktifkan dan menonaktifkan jenis enkripsi Kerberos tertentu untuk akun komputer Direktori Aktif untuk host Windows yang bergabung dengan domain yang digunakan dengan Azure NetApp Files, Anda harus menggunakan Kebijakan Network Security: Configure Encryption types allowed for KerberosGrup .

Jangan atur kunci HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesregistri . Melakukan ini akan merusak autentikasi Kerberos dengan Azure NetApp Files untuk host Windows tempat kunci registri ini diatur secara manual.

Catatan

Pengaturan kebijakan default untuk Network Security: Configure Encryption types allowed for Kerberos adalah Not Defined. Ketika pengaturan kebijakan ini diatur ke Not Defined, semua jenis enkripsi kecuali DES akan tersedia untuk enkripsi Kerberos. Anda memiliki opsi untuk mengaktifkan dukungan hanya untuk jenis enkripsi Kerberos tertentu (misalnya, AES128_HMAC_SHA1 atau AES256_HMAC_SHA1). Namun, kebijakan default harus cukup dalam banyak kasus saat mengaktifkan dukungan enkripsi AES dengan Azure NetApp Files.

Untuk informasi selengkapnya, lihat Keamanan jaringan: Mengonfigurasi jenis enkripsi yang diizinkan untuk Konfigurasi Kerberos atau Windows untuk Jenis Enkripsi yang Didukung Kerberos
Kueri LDAP hanya berlaku di domain yang ditentukan dalam koneksi Direktori Aktif ( bidang Nama Domain DNS AD). Perilaku ini berlaku untuk volume NFS, SMB, dan protokol ganda.
Batas waktu kueri LDAP

Secara default, kueri LDAP kehabisan waktu jika tidak dapat diselesaikan secara tepat waktu. Jika kueri LDAP gagal karena waktu habis, pencarian pengguna dan/atau grup akan gagal dan akses ke volume Azure NetApp Files dapat ditolak, tergantung pada pengaturan izin volume.

Batas waktu kueri dapat terjadi di lingkungan LDAP besar dengan banyak objek pengguna dan grup, melalui koneksi WAN lambat, dan jika server LDAP terlalu banyak digunakan dengan permintaan. Pengaturan batas waktu Azure NetApp Files untuk kueri LDAP diatur ke 10 detik. Pertimbangkan untuk memanfaatkan fitur DN pengguna dan grup pada Koneksi ion Direktori Aktif untuk server LDAP untuk memfilter pencarian jika Anda mengalami masalah batas waktu kueri LDAP.

Membuat sambungan Direktori Aktif

Dari akun NetApp Anda, pilih Koneksi Direktori Aktif, lalu pilih Gabung.

Catatan

Azure NetApp Files hanya mendukung satu koneksi Direktori Aktif dalam wilayah yang sama dan langganan yang sama.

Di jendela Bergabung dengan Direktori Aktif, berikan informasi berikut ini, berdasarkan Layanan Domain yang ingin Anda gunakan:

DNS Utama (diperlukan)
Ini adalah alamat IP server DNS utama yang diperlukan untuk operasi gabungan domain Direktori Aktif, autentikasi SMB, Kerberos, dan operasi LDAP.
DNS Sekunder
Ini adalah alamat IP server DNS sekunder yang diperlukan untuk operasi gabungan domain Direktori Aktif, autentikasi SMB, Kerberos, dan operasi LDAP.

Catatan

Disarankan agar Anda mengonfigurasi server DNS Sekunder. Lihat Memahami panduan untuk desain dan perencanaan situs Active Directory Domain Services untuk Azure NetApp Files. Pastikan konfigurasi server DNS Anda memenuhi persyaratan untuk Azure NetApp Files. Jika tidak, operasi layanan Azure NetApp Files, autentikasi SMB, Kerberos, atau operasi LDAP mungkin gagal.

Jika Anda menggunakan Microsoft Entra Domain Services, Anda harus menggunakan alamat IP pengendali domain Microsoft Entra Domain Services untuk DNS Utama dan DNS Sekunder.
Nama Domain DNS AD (diperlukan)
Ini adalah nama domain ad DS yang sepenuhnya memenuhi syarat yang akan digunakan dengan Azure NetApp Files (misalnya, contoso.com).
Nama Situs AD (diperlukan)
Ini adalah nama situs AD DS yang akan digunakan oleh Azure NetApp Files untuk penemuan pengendali domain.

Nama situs default untuk AD DS dan Microsoft Entra Domain Services adalah Default-First-Site-Name. Ikuti konvensi penamaan untuk nama situs jika Anda ingin mengganti nama situs.

Catatan

Lihat Memahami panduan untuk desain dan perencanaan situs Active Directory Domain Services untuk Azure NetApp Files. Pastikan desain dan konfigurasi situs AD DS Anda memenuhi persyaratan untuk Azure NetApp Files. Jika tidak, operasi layanan Azure NetApp Files, autentikasi SMB, Kerberos, atau operasi LDAP mungkin gagal.
Awalan server SMB (akun komputer) (diperlukan)
Ini adalah awalan penamaan untuk akun komputer baru yang dibuat di AD DS untuk Azure NetApp Files SMB, protokol ganda, dan volume NFSv4.1 Kerberos.

Misalnya, jika standar penamaan yang digunakan organisasi Anda untuk layanan file adalah NAS-01, , NAS-02dan sebagainya, maka Anda akan menggunakan NAS untuk awalan.

Azure NetApp Files akan membuat akun komputer tambahan di AD DS sesuai kebutuhan.

Penting

Mengganti nama awalan server SMB setelah Anda membuat koneksi Direktori Aktif akan mengganggu. Anda perlu memasang kembali berbagi SMB yang ada setelah mengganti nama awalan server SMB.
Jalur Unit Organisasi
Ini adalah jalur LDAP untuk unit organisasi (OU) tempat akun komputer server SMB akan dibuat. Artinya, OU=second level, OU=first level. Misalnya, jika Anda ingin menggunakan unit organisasi yang disebut ANF dibuat di akar domain, nilainya adalah OU=ANF.

Jika tidak ada nilai yang disediakan, Azure NetApp Files akan menggunakan CN=Computers kontainer.

Jika Anda menggunakan Azure NetApp Files dengan Microsoft Entra Domain Services, jalur unit organisasi adalah OU=AADDC Computers
Enkripsi AES
Opsi ini memungkinkan dukungan autentikasi enkripsi AES untuk akun admin koneksi AD.

Lihat Persyaratan untuk koneksi Direktori Aktif untuk persyaratan.
Penandatanganan LDAP

Opsi ini memungkinkan penandatanganan LDAP. Fungsionalitas ini memungkinkan verifikasi integritas untuk pengikatan LDAP Simple Authentication and Security Layer (SASL) dari Azure NetApp Files dan pengendali domain Active Directory Domain Services yang ditentukan pengguna.

Azure NetApp Files mendukung Pengikatan Saluran LDAP jika penandatanganan LDAP dan LDAP melalui opsi pengaturan TLS diaktifkan di Koneksi ion Direktori Aktif. Untuk informasi selengkapnya, lihat ADV190023 | Panduan Microsoft untuk Mengaktifkan LDAP Channel Binding dan Penandatanganan LDAP.

Catatan

Catatan DNS PTR untuk akun komputer AD DS harus dibuat di Unit Organisasi AD DS yang ditentukan dalam koneksi Azure NetApp Files AD agar Penandatanganan LDAP berfungsi.
Izinkan pengguna NFS lokal dengan LDAP Opsi ini memungkinkan pengguna klien NFS lokal untuk mengakses volume NFS. Mengatur opsi ini menonaktifkan grup yang diperluas untuk volume NFS. Ini juga membatasi jumlah grup menjadi 16. Untuk informasi selengkapnya, lihat Mengizinkan pengguna NFS lokal dengan LDAP untuk mengakses volume protokol ganda.
LDAP melalui TLS

Opsi ini memungkinkan LDAP melalui TLS untuk komunikasi yang aman antara volume Azure NetApp Files dan server LDAP Direktori Aktif. Anda dapat mengaktifkan LDAP melalui TLS untuk NFS, SMB, dan volume protokol ganda Azure NetApp Files.

Catatan

LDAP melalui TLS harus diaktifkan jika Anda menggunakan Layanan Domain Microsoft Entra. Microsoft Entra Domain Services menggunakan LDAPS (port 636) untuk mengamankan lalu lintas LDAP alih-alih LDAP melalui TLS (port 389).

Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS.
Sertifikat OS akar server

Opsi ini mengunggah sertifikat CA yang digunakan dengan LDAP melalui TLS.

Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi LDAP Active Directory Domain Services (AD DS) untuk volume NFS. 
Lingkup Pencarian LDAP, DN Pengguna, Grup DN, dan Filter Keanggotaan Grup

Opsi cakupan pencarian LDAP mengoptimalkan kueri LDAP penyimpanan Azure NetApp Files untuk digunakan dengan topologi AD DS besar dan LDAP dengan grup yang diperluas atau gaya keamanan Unix dengan volume protokol ganda Azure NetApp Files.

Opsi DN Pengguna dan Grup DN memungkinkan Anda mengatur basis pencarian di AD DS LDAP.

Opsi Filter Keanggotaan Grup memungkinkan Anda membuat filter pencarian kustom untuk pengguna yang merupakan anggota grup AD DS tertentu.

Lihat Mengonfigurasi AD DS LDAP dengan grup yang diperluas untuk akses volume NFS untuk informasi tentang opsi ini.
Server pilihan untuk klien LDAP

Opsi Server pilihan untuk klien LDAP memungkinkan Anda mengirimkan alamat IP hingga dua server AD sebagai daftar yang dipisahkan koma. Daripada secara berurutan menghubungi semua layanan AD yang ditemukan untuk domain, klien LDAP akan menghubungi server yang ditentukan terlebih dahulu.
Koneksi SMB terenkripsi ke Pengendali Domain

Koneksi SMB terenkripsi ke Pengendali Domain menentukan apakah enkripsi harus digunakan untuk komunikasi antara server SMB dan pengontrol domain. Saat diaktifkan, hanya SMB3 yang akan digunakan untuk koneksi pengontrol domain terenkripsi.

Fitur ini masih dalam mode pratinjau. Jika ini pertama kalinya Anda menggunakan koneksi SMB Terenkripsi ke pengendali domain, Anda harus mendaftarkannya:
```
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
Periksa status pendaftaran fitur:

Catatan

RegistrationState mungkin berada dalan Registering status hingga 60 menit sebelum berubah menjadi Registered. Tunggu hingga statusnya Registered sebelum melanjutkan.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
Anda juga dapat menggunakan perintahaz feature register Azure CLI dan az feature show untuk mendaftarkan fitur dan menampilkan status pendaftaran.

Pengguna kebijakan pencadangan Opsi ini memberikan hak istimewa keamanan tambahan kepada pengguna atau grup domain AD DS yang memerlukan hak istimewa pencadangan yang ditinggikan untuk mendukung alur kerja pencadangan, pemulihan, dan migrasi di Azure NetApp Files. Akun atau grup pengguna AD DS yang ditentukan akan memiliki izin NTFS yang ditingkatkan pada tingkat file atau folder.

Screenshot of the Backup policy users field showing an empty text input field.

Hak istimewa berikut berlaku saat Anda menggunakan pengaturan Pengguna kebijakan Pencadangan:

Hak Istimewa	Deskripsi
`SeBackupPrivilege`	Mencadangkan file dan direktori, mengambil alih ACL apa pun.
`SeRestorePrivilege`	Pulihkan file dan direktori, ambil alih ACL apa pun. Atur SID pengguna atau grup yang valid sebagai pemilik file.
`SeChangeNotifyPrivilege`	Lalui pemeriksaan transversal. Pengguna dengan hak istimewa ini tidak diharuskan untuk melintasi (`x`) izin untuk melintasi folder atau symlink.

Pengguna hak istimewa keamanan
Opsi ini memberikan hak istimewa keamanan (SeSecurityPrivilege) kepada pengguna domain AD DS atau grup yang memerlukan hak istimewa yang ditinggikan untuk mengakses volume Azure NetApp Files. Pengguna atau grup AD DS yang ditentukan akan diizinkan untuk melakukan tindakan tertentu pada berbagi SMB yang memerlukan hak istimewa keamanan yang tidak ditetapkan secara default kepada pengguna domain.

Hak istimewa berikut berlaku saat Anda menggunakan pengaturan Pengguna hak istimewa keamanan:

Hak Istimewa Deskripsi

SeSecurityPrivilege Mengelola operasi log.

Fitur ini digunakan untuk menginstal SQL Server dalam skenario tertentu di mana akun domain AD DS non-administrator harus diberikan hak istimewa keamanan yang ditinggikan untuk sementara waktu.

Catatan

Menggunakan fitur Pengguna hak istimewa keamanan bergantung pada fitur Berbagi Ketersediaan Berkelanjutan SMB. Ketersediaan Berkelanjutan SMB tidak didukung pada aplikasi kustom. Ini hanya didukung untuk beban kerja menggunakan Lapisan Aplikasi Citrix, kontainer profil pengguna FSLogix, dan Microsoft SQL Server (bukan Linux SQL Server).

Penting

Menggunakan fitur Pengguna hak istimewa Kamanan mengharuskan Anda mengirimkan permintaan daftar tunggu melalui halaman pengiriman daftar tunggu Azure NetApp Files SMB Continuous Availability Shares Public Preview. Tunggu email konfirmasi resmi dari tim Azure NetApp Files sebelum menggunakan fitur ini.
Fitur ini bersifat opsional dan hanya didukung dengan server SQL. Akun domain AD DS yang digunakan untuk menginstal server SQL harus sudah ada sebelum Anda menambahkannya ke opsi Pengguna hak istimewa keamanan. Saat Anda menambahkan akun penginstal SQL Server ke opsi Pengguna hak istimewa keamanan, layanan Azure NetApp Files mungkin memvalidasi akun dengan menghubungi pengontrol domain AD DS. Tindakan ini mungkin gagal jika Azure NetApp Files tidak dapat menghubungi pengendali domain AD DS.

Untuk informasi selengkapnya tentang SeSecurityPrivilege dan SQL Server, lihat Instalasi SQL Server gagal jika akun Penyetelan tidak memiliki hak pengguna tertentu.

Hak Istimewa	Deskripsi
`SeSecurityPrivilege`	Mengelola operasi log.

Pengguna hak istimewa administrator

Opsi ini memberikan hak istimewa keamanan tambahan kepada pengguna domain AD DS atau grup yang memerlukan hak istimewa yang ditinggikan untuk mengakses volume Azure NetApp Files. Akun yang ditentukan akan memiliki izin yang ditingkatkan pada tingkat file atau folder.

Catatan

Admin domain secara otomatis ditambahkan ke grup pengguna hak istimewa Administrator.

Screenshot that shows the Administrators box of Active Directory connections window.

Hak istimewa berikut berlaku saat Anda menggunakan pengaturan pengguna hak istimewa Administrator:

Hak Istimewa	Deskripsi
`SeBackupPrivilege`	Mencadangkan file dan direktori, mengambil alih ACL apa pun.
`SeRestorePrivilege`	Pulihkan file dan direktori, ambil alih ACL apa pun. Atur SID pengguna atau grup yang valid sebagai pemilik file.
`SeChangeNotifyPrivilege`	Lalui pemeriksaan transversal. Pengguna dengan hak istimewa ini tidak diharuskan memiliki izin melintasi (`x`) untuk melintasi folder atau symlink.
`SeTakeOwnershipPrivilege`	Ambil kepemilikan file atau objek lainnya.
`SeSecurityPrivilege`	Mengelola operasi log.
`SeChangeNotifyPrivilege`	Lalui pemeriksaan transversal. Pengguna dengan hak istimewa ini tidak diharuskan memiliki izin melintasi (`x`) untuk melintasi folder atau symlink.

Kredensial, termasuk nama pengguna dan Kata sandi Anda

Penting

Meskipun Active Directory mendukung kata sandi 256 karakter, kata sandi Direktori Aktif dengan Azure NetApp Files tidak boleh melebihi 64 karakter.

Pilih Gabung.

Sambungan Direktori Aktif yang Anda buat muncul.

Memetakan beberapa akun NetApp di langganan dan wilayah yang sama ke koneksi AD

Fitur Shared AD baru memungkinkan semua akun NetApp untuk berbagi koneksi Direktori Aktif (AD) yang dibuat oleh salah satu akun NetApp yang termasuk dalam langganan yang sama dan wilayah yang sama. Misalnya, menggunakan fitur ini, semua akun NetApp dalam langganan dan wilayah yang sama dapat menggunakan konfigurasi AD umum untuk membuat volume SMB, volume NFSv4.1 Kerberos, atau volume protokol ganda. Saat Anda menggunakan fitur ini, koneksi AD akan terlihat di semua akun NetApp yang berada di bawah langganan yang sama dan wilayah yang sama.

Fitur ini masih dalam mode pratinjau. Anda perlu mendaftarkan fitur sebelum menggunakannya untuk pertama kalinya. Setelah pendaftaran, fitur diaktifkan dan berfungsi di latar belakang. Tidak diperlukan kontrol UI.

Daftarkan fitur:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

Periksa status pendaftaran fitur:

Catatan

RegistrationState mungkin berada dalan Registering status hingga 60 menit sebelum berubah menjadi Registered. Tunggu hingga status Terdaftar sebelum melanjutkan.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
```

Anda juga dapat menggunakan perintahaz feature register Azure CLI dan az feature show untuk mendaftarkan fitur dan menampilkan status pendaftaran.

Reset kata sandi akun komputer Direktori Aktif

Jika Anda secara tidak sengaja mengatur ulang kata sandi akun komputer AD di server AD atau server AD tidak dapat dijangkau, Anda dapat mengatur ulang kata sandi akun komputer dengan aman untuk mempertahankan konektivitas ke volume Anda. Reset memengaruhi semua volume di server SMB.

Daftarkan fitur

Fitur reset kata sandi akun komputer Direktori Aktif saat ini dalam pratinjau publik. Jika Anda menggunakan fitur ini untuk pertama kalinya, Anda perlu mendaftarkan fitur terlebih dahulu.

Daftarkan fitur reset kata sandi akun komputer Direktori Aktif:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Periksa status pendaftaran fitur. RegistrationState mungkin berada dalan Registering status hingga 60 menit sebelum berubah menjadi Registered. Tunggu hingga statusnya Registered sebelum melanjutkan.

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume