Azure Files gebruiken met meerdere Active Directory-forests

  • Artikel

Veel organisaties willen verificatie op basis van identiteiten gebruiken voor SMB Azure-bestandsshares in omgevingen met meerdere on-premises Active Directory-domein Services-forests (AD DS). Dit is een veelvoorkomend IT-scenario, met name na fusies en overnames, waarbij de AD-forests van het overgenomen bedrijf worden geïsoleerd van de AD-forests van het moederbedrijf. In dit artikel wordt uitgelegd hoe forestvertrouwensrelaties werken en vindt u stapsgewijze instructies voor het instellen en valideren van meerdere forests.

Belangrijk

Als u machtigingen op shareniveau wilt instellen voor specifieke Microsoft Entra-gebruikers of -groepen met behulp van op rollen gebaseerd toegangsbeheer van Azure (RBAC), moet u eerst de on-premises AD-accounts synchroniseren met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken. Anders kunt u een standaardmachtiging op shareniveau gebruiken.

Van toepassing op

Bestands sharetype SMB NFS
Standaardbestandsshares (GPv2), LRS/ZRS Yes No
Standaardbestandsshares (GPv2), GRS/GZRS Yes No
Premium bestandsshares (FileStorage), LRS/ZRS Yes No

Vereisten

  • Twee AD DS-domeincontrollers met verschillende forests en op verschillende virtuele netwerken (VNET's)
  • Voldoende AD-machtigingen voor het uitvoeren van beheertaken (bijvoorbeeld Domein Beheer)
  • Als u Azure RBAC gebruikt, moeten beide forests bereikbaar zijn via één Microsoft Entra Verbinding maken Sync-server

Hoe forestvertrouwensrelaties werken

Azure Files on-premises AD DS-verificatie wordt alleen ondersteund voor het AD-forest van de domeinservice waaraan het opslagaccount is geregistreerd. U hebt standaard alleen toegang tot Azure-bestandsshares met de AD DS-aanmeldingsgegevens van één forest. Als u toegang nodig hebt tot uw Azure-bestandsshare vanuit een ander forest, moet u een forestvertrouwensrelatie configureren.

Een forestvertrouwensrelatie is een transitieve vertrouwensrelatie tussen twee AD-forests waarmee gebruikers in een van de domeinen in één forest kunnen worden geverifieerd in een van de domeinen in het andere forest.

Installatie van meerdere forests

Als u een installatie met meerdere forests wilt configureren, voert u de volgende stappen uit:

  • Domeingegevens en VNET-verbindingen tussen domeinen verzamelen
  • Een forestvertrouwensrelatie tot stand brengen en configureren
  • Verificatie op basis van identiteit en hybride gebruikersaccounts instellen

Domeingegevens verzamelen

Voor deze oefening hebben we twee on-premises AD DS-domeincontrollers met twee verschillende forests en in verschillende VNET's.

Forest Domein VNET
Forest 1 onpremad1.com DomainServicesVNet WUS
Bos 2 onpremad2.com vnet2/workloads

Vertrouwensrelatie tot stand brengen en configureren

Om clients van Forest 1 toegang te geven tot Azure Files-domeinbronnen in Forest 2, moeten we een vertrouwensrelatie tot stand brengen tussen de twee forests. Volg deze stappen om de vertrouwensrelatie tot stand te brengen.

  1. Meld u aan bij een computer die lid is van forest 2 en open de console Active Directory-domein s en vertrouwensrelaties.

  2. Klik met de rechtermuisknop op het lokale domein onpremad2.com en selecteer vervolgens het tabblad Vertrouwensrelaties.

  3. Selecteer Nieuwe vertrouwensrelaties om de wizard Nieuwe vertrouwensrelatie te starten.

  4. Geef de domeinnaam op waarmee u een vertrouwensrelatie wilt bouwen (in dit voorbeeld onpremad1.com) en selecteer vervolgens Volgende.

  5. Selecteer Voor Vertrouwenstype forestvertrouwen en selecteer vervolgens Volgende.

    Notitie

    Alleen forestvertrouwensrelaties worden ondersteund voor Azure Files. Andere vertrouwenstypen, zoals externe vertrouwensrelaties, worden niet ondersteund.

  6. Voor Richting van vertrouwen selecteert u Tweerichting en selecteert u vervolgens Volgende.

    Screenshot of Active Directory Domains and Trusts console showing how to select a two-way direction for the trust.

  7. Selecteer voor Zijden van vertrouwen alleen dit domein en selecteer vervolgens Volgende.

  8. Gebruikers in het opgegeven forest kunnen worden geverifieerd voor het gebruik van alle resources in het lokale forest (forestbrede verificatie) of alleen de resources die u selecteert (selectieve verificatie). Voor verificatieniveau uitgaande vertrouwen selecteert u verificatie voor het hele forest. Dit is de voorkeursoptie wanneer beide forests deel uitmaken van dezelfde organisatie. Selecteer Volgende.

  9. Voer een wachtwoord in voor de vertrouwensrelatie en selecteer Vervolgens. Hetzelfde wachtwoord moet worden gebruikt bij het maken van deze vertrouwensrelatie in het opgegeven domein.

    Screenshot of Active Directory Domains and Trusts console showing how to enter a password for the trust.

  10. U ziet nu een bericht dat de vertrouwensrelatie is gemaakt. Als u de vertrouwensrelatie wilt configureren, selecteert u Volgende.

  11. Bevestig de uitgaande vertrouwensrelatie en selecteer Volgende.

  12. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met beheerdersbevoegdheden van het andere domein.

Zodra de verificatie is geslaagd, wordt de vertrouwensrelatie tot stand gebracht en moet u het opgegeven domein kunnen zien onpremad1.com vermeld op het tabblad Vertrouwensrelaties .

Verificatie op basis van identiteit en hybride gebruikersaccounts instellen

Zodra de vertrouwensrelatie tot stand is gebracht, volgt u deze stappen om een opslagaccount en SMB-bestandsshare voor elk domein te maken, AD DS-verificatie in te schakelen voor de opslagaccounts en hybride gebruikersaccounts te maken die zijn gesynchroniseerd met Microsoft Entra-id.

  1. Meld u aan bij Azure Portal en maak twee opslagaccounts, zoals onprem1sa en onprem2sa. Voor optimale prestaties raden we u aan de opslagaccounts in dezelfde regio te implementeren als de clients van waaruit u toegang wilt krijgen tot de shares.

    Notitie

    Het maken van een tweede opslagaccount is niet nodig. Deze instructies zijn bedoeld om een voorbeeld weer te geven van hoe u toegang krijgt tot opslagaccounts die deel uitmaken van verschillende forests. Als u slechts één opslagaccount hebt, kunt u de installatie-instructies voor het tweede opslagaccount negeren.

  2. Maak een SMB Azure-bestandsshare voor elk opslagaccount.

  3. Synchroniseer uw on-premises AD met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken Sync-toepassing.

  4. Een Azure-VM in Forest 1 toevoegen aan uw on-premises AD DS. Raadpleeg een computer toevoegen aan een domein voor informatie over het toevoegen van een domein.

  5. Schakel AD DS-verificatie in voor het opslagaccount dat is gekoppeld aan Forest 1, bijvoorbeeld onprem1sa. Hiermee maakt u een computeraccount in uw on-premises AD met de naam onprem1sa om het Azure-opslagaccount te vertegenwoordigen en koppelt u het opslagaccount aan het onpremad1.com domein. U kunt controleren of de AD-identiteit die het opslagaccount vertegenwoordigt, is gemaakt door te zoeken in Active Directory voor onpremad1.com. In dit voorbeeld ziet u een computeraccount met de naam onprem1sa.

  6. Maak een gebruikersaccount door naar Active Directory > onpremad1.com te navigeren. Klik met de rechtermuisknop op Gebruikers, selecteer Maken, voer een gebruikersnaam in (bijvoorbeeld onprem1user) en schakel het selectievakje Wachtwoord verloopt nooit in (optioneel).

  7. Optioneel: Als u Azure RBAC wilt gebruiken om machtigingen op shareniveau toe te wijzen, moet u de gebruiker synchroniseren met Microsoft Entra-id met behulp van Microsoft Entra Verbinding maken. Normaal gesproken werkt Microsoft Entra Verbinding maken Sync elke 30 minuten bij. U kunt deze echter onmiddellijk synchroniseren door een PowerShell-sessie met verhoogde bevoegdheid te openen en uit te voeren Start-ADSyncSyncCycle -PolicyType Delta. Mogelijk moet u eerst de ADSync-module installeren door deze uit te voeren Import-Module ADSync. Als u wilt controleren of de gebruiker is gesynchroniseerd met Microsoft Entra ID, meldt u zich aan bij Azure Portal met het Azure-abonnement dat is gekoppeld aan uw tenant met meerdere forests en selecteert u Microsoft Entra-id. Selecteer Gebruikers beheren > en zoek naar de gebruiker die u hebt toegevoegd (bijvoorbeeld onprem1user). On-premises synchronisatie ingeschakeld moet Ja zeggen.

  8. Stel machtigingen op shareniveau in met behulp van Azure RBAC-rollen of een standaardmachtiging op shareniveau.

Herhaal stap 4-8 voor Forest2-domeinonpremad2.com (opslagaccount onprem2sa/user onprem2user). Als u meer dan twee forests hebt, herhaalt u de stappen voor elk forest.

Machtigingen op map- en bestandsniveau configureren (optioneel)

Gebruik in een omgeving met meerdere forests het opdrachtregelprogramma icacls om machtigingen op map- en bestandsniveau te configureren voor gebruikers in beide forests. Zie Windows ACL's configureren met icacls.

Als icacls mislukt met een fout met toegang, volgt u deze stappen om machtigingen op map- en bestandsniveau te configureren door de share te koppelen aan de sleutel van het opslagaccount.

  1. Verwijder de bestaande sharekoppeling: net use * /delete /y

  2. Koppel de share opnieuw met behulp van de sleutel van het opslagaccount:

    net use <driveletter> \\storageaccount.file.core.windows.net\sharename /user:AZURE\<storageaccountname> <storageaccountkey>

  3. Stel icacls-machtigingen in voor de gebruiker in Forest2 op een opslagaccount dat is gekoppeld aan Forest1 vanaf de client in Forest1.

Notitie

Het wordt afgeraden om Bestandenverkenner te gebruiken om ACL's te configureren in een omgeving met meerdere forests. Hoewel gebruikers die deel uitmaken van het forest dat lid is van een domein aan het opslagaccount machtigingen op bestand/mapniveau kunnen hebben ingesteld via Bestandenverkenner, werkt het niet voor gebruikers die niet behoren tot hetzelfde forest dat lid is van een domein dat lid is van het opslagaccount.

Domeinachtervoegsels configureren

Zoals hierboven is uitgelegd, is de manier waarop Azure Files zich registreert in AD DS bijna hetzelfde als een gewone bestandsserver, waar een identiteit wordt gemaakt (standaard een computeraccount, kan ook een serviceaanmeldingsaccount zijn) dat het opslagaccount in AD DS vertegenwoordigt voor verificatie. Het enige verschil is dat de naam van de geregistreerde service-principal (SPN) van het opslagaccount eindigt op file.core.windows.net, wat niet overeenkomt met het domeinachtervoegsel. Vanwege het verschillende domeinachtervoegsel moet u een routeringsbeleid voor achtervoegsels configureren om verificatie met meerdere forests in te schakelen.

Omdat het achtervoegsel file.core.windows.net het achtervoegsel is voor alle Azure Files-resources in plaats van een achtervoegsel voor een specifiek AD-domein, weet de domeincontroller van de client niet welk domein de aanvraag moet doorsturen en mislukt daarom alle aanvragen waarvoor de resource niet in zijn eigen domein wordt gevonden.

Wanneer gebruikers in een domein in Forest 1 bijvoorbeeld een bestandsshare willen bereiken met het opslagaccount dat is geregistreerd bij een domein in Forest 2, werkt dit niet automatisch omdat de service-principal van het opslagaccount geen achtervoegsel heeft dat overeenkomt met het achtervoegsel van een domein in Forest 1.

U kunt domeinachtervoegsels configureren met behulp van een van de volgende methoden:

Achtervoegsel voor opslagaccountnaam wijzigen en CNAME-record toevoegen

U kunt het probleem met domeinroutering oplossen door het achtervoegsel van de naam van het opslagaccount dat is gekoppeld aan de Azure-bestandsshare te wijzigen en vervolgens een CNAME-record toe te voegen om het nieuwe achtervoegsel naar het eindpunt van het opslagaccount te routeren. Met deze configuratie hebben clients die lid zijn van een domein toegang tot opslagaccounts die zijn gekoppeld aan elk forest. Dit werkt voor omgevingen met twee of meer forests.

In ons voorbeeld hebben we de domeinen onpremad1.com en onpremad2.com, en hebben we onprem1sa en onprem2sa als opslagaccounts die zijn gekoppeld aan SMB Azure-bestandsshares in de respectieve domeinen. Deze domeinen bevinden zich in verschillende forests die elkaar vertrouwen om toegang te krijgen tot resources in elkaars forests. We willen toegang verlenen tot beide opslagaccounts van clients die tot elk forest behoren. Hiervoor moeten we de SPN-achtervoegsels van het opslagaccount wijzigen:

onprem1sa.onpremad1.com -> onprem1sa.file.core.windows.net

onprem2sa.onpremad2.com -> onprem2sa.file.core.windows.net

Hiermee kunnen clients de share net use \\onprem1sa.onpremad1.com koppelen omdat clients in onpremad1 of onpremad2 weten te zoeken onpremad1.com om de juiste resource voor dat opslagaccount te vinden.

Voer de volgende stappen uit om deze methode te gebruiken:

  1. Zorg ervoor dat u een vertrouwensrelatie tot stand hebt gebracht tussen de twee forests en stel verificatie op basis van identiteit en hybride gebruikersaccounts in, zoals beschreven in de vorige secties.

  2. Wijzig de SPN van het opslagaccount met behulp van het hulpprogramma setspn. U kunt deze vinden <DomainDnsRoot> door de volgende Active Directory PowerShell-opdracht uit te voeren: (Get-AdDomain).DnsRoot

    setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>

  3. Voeg een CNAME-vermelding toe met Active Directory DNS Manager en volg de onderstaande stappen voor elk opslagaccount in het domein waaraan het opslagaccount is toegevoegd. Als u een privé-eindpunt gebruikt, voegt u de CNAME-vermelding toe om toe te wijzen aan de naam van het privé-eindpunt.

    1. Open Active Directory DNS Manager.

    2. Ga naar uw domein (bijvoorbeeld onpremad1.com).

    3. Ga naar 'Zones voor forward lookup'.

    4. Selecteer het knooppunt met de naam van uw domein (bijvoorbeeld onpremad1.com) en klik met de rechtermuisknop op Nieuwe alias (CNAME).

    5. Voer de naam van uw opslagaccount in als aliasnaam.

    6. Voer <storage-account-name>voor de FQDN (Fully Qualified Domain Name) .<domain-name>in, zoals mystorageaccount.onpremad1.com.

    7. Voer .file.core.windows.net in <storage-account-name>voor de FQDN van de doelhost

    8. Selecteer OK.

      Screenshot showing how to add a CNAME record for suffix routing using Active Directory DNS Manager.

Vanaf clients die lid zijn van een domein, moet u nu opslagaccounts kunnen gebruiken die zijn gekoppeld aan elk forest.

Notitie

Zorg ervoor dat het hostnaamgedeelte van de FQDN overeenkomt met de naam van het opslagaccount, zoals hierboven beschreven. Anders krijgt u de foutmelding 'De syntaxis van de bestandsnaam, mapnaam of volumelabel is onjuist'. Een netwerktracering geeft STATUS_OBJECT_NAME_INVALID (0xc0000033) bericht weer tijdens de installatie van de SMB-sessie.

Aangepaste naamachtervoegsel en routeringsregel toevoegen

Als u het achtervoegsel van de naam van het opslagaccount al hebt gewijzigd en een CNAME-record hebt toegevoegd zoals beschreven in de vorige sectie, kunt u deze stap overslaan. Als u liever geen DNS-wijzigingen aanbrengt of het achtervoegsel van de naam van het opslagaccount wijzigt, kunt u een regel voor routering van achtervoegsels van Forest 1 naar Forest 2 configureren voor een aangepast achtervoegsel van file.core.windows.net.

Notitie

Het configureren van achtervoegselroutering heeft geen invloed op de mogelijkheid om toegang te krijgen tot resources in het lokale domein. Het is alleen vereist dat de client de aanvraag doorstuurt naar het domein dat overeenkomt met het achtervoegsel wanneer de resource niet in zijn eigen domein wordt gevonden.

Voeg eerst een nieuw aangepast achtervoegsel toe aan Forest 2. Zorg ervoor dat u over de juiste beheerdersmachtigingen beschikt om de configuratie te wijzigen en dat u vertrouwensrelatie tussen de twee forests hebt ingesteld. Volg nu deze stappen:

  1. Meld u aan bij een machine of VM die is gekoppeld aan een domein in Forest 2.
  2. Open de console Active Directory-domein s en vertrouwensrelaties.
  3. Klik met de rechtermuisknop op Active Directory-domein s en vertrouwensrelaties.
  4. Selecteer Eigenschappen en selecteer Vervolgens Toevoegen.
  5. Voeg 'file.core.windows.net' toe als het UPN-achtervoegsel.
  6. Selecteer Toepassen en vervolgens OK om de wizard te sluiten.

Voeg vervolgens de regel voor routering van achtervoegsels toe aan Forest 1, zodat deze wordt omgeleid naar Forest 2.

  1. Meld u aan bij een machine of VM die is gekoppeld aan een domein in Forest 1.
  2. Open de console Active Directory-domein s en vertrouwensrelaties.
  3. Klik met de rechtermuisknop op het domein dat u wilt openen tot de bestandsshare, selecteer vervolgens het tabblad Vertrouwensrelaties en selecteer Forest 2-domein van uitgaande vertrouwensrelaties.
  4. Selecteer Eigenschappen en geef achtervoegselroutering een naam.
  5. Controleer of het achtervoegsel *.file.core.windows.net wordt weergegeven. Als dat niet het is, selecteert u Vernieuwen.
  6. Selecteer *.file.core.windows.net en selecteer vervolgens Inschakelen en Toepassen.

Controleer of de vertrouwensrelatie werkt

Nu gaan we controleren of de vertrouwensrelatie werkt door de klist-opdracht uit te voeren om de inhoud van de Kerberos-referentiescache en sleuteltabel weer te geven.

  1. Meld u aan bij een computer of VM die is gekoppeld aan een domein in Forest 1 en open een Windows-opdrachtprompt.
  2. Voer een van de volgende opdrachten uit om de referentiescache voor het aan een domein gekoppelde opslagaccount in Forest 2 weer te geven:
    • Als u het achtervoegsel Naam van het opslagaccount wijzigen hebt gebruikt en CNAME-recordmethode hebt toegevoegd, voert u het volgende uit:klist get cifs/onprem2sa.onpremad2.com
    • Als u het achtervoegsel voor aangepaste naam en routeringsregel toevoegen hebt gebruikt, voert u het volgende uit:klist get cifs/onprem2sa.file.core.windows.net
  3. De uitvoer ziet er als volgt uit. De klist-uitvoer verschilt enigszins op basis van welke methode u hebt gebruikt voor het configureren van domeinachtervoegsels.
Client: onprem1user @ ONPREMAD1.COM
Server: cifs/onprem2sa.file.core.windows.net @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:45:02 (local)
End Time: 11/23/2022 4:45:02 (local)
Renew Time: 11/29/2022 18:45:02 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onprem2.onpremad2.com
  1. Meld u aan bij een computer of VM die is gekoppeld aan een domein in Forest 2 en open een Windows-opdrachtprompt.
  2. Voer een van de volgende opdrachten uit om de referentiescache voor het aan een domein gekoppelde opslagaccount in Forest 1 weer te geven:
    • Als u het achtervoegsel Naam van het opslagaccount wijzigen hebt gebruikt en CNAME-recordmethode hebt toegevoegd, voert u het volgende uit:klist get cifs/onprem1sa.onpremad1.com
    • Als u het achtervoegsel voor aangepaste naam en routeringsregel toevoegen hebt gebruikt, voert u het volgende uit:klist get cifs/onprem1sa.file.core.windows.net
  3. De uitvoer ziet er als volgt uit. De klist-uitvoer verschilt enigszins op basis van welke methode u hebt gebruikt voor het configureren van domeinachtervoegsels.
Client: onprem2user @ ONPREMAD2.COM
Server: krbtgt/ONPREMAD2.COM @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -> PRIMARY
Kdc Called: onprem2

Client: onprem2user @ ONPREMAD2.COM    
Server: cifs/onprem1sa.file.core.windows.net @ ONPREMAD1.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onpremad1.onpremad1.com

Als u de bovenstaande uitvoer ziet, bent u klaar. Als u dit niet doet, volgt u deze stappen om alternatieve UPN-achtervoegsels te bieden om verificatie met meerdere forests te laten werken.

Belangrijk

Deze methode werkt alleen in omgevingen met twee forests. Als u meer dan twee forests hebt, gebruikt u een van de andere methoden om domeinachtervoegsels te configureren.

Voeg eerst een nieuw aangepast achtervoegsel toe aan Forest 1.

  1. Meld u aan bij een machine of VM die is gekoppeld aan een domein in Forest 1.
  2. Open de console Active Directory-domein s en vertrouwensrelaties.
  3. Klik met de rechtermuisknop op Active Directory-domein s en vertrouwensrelaties.
  4. Selecteer Eigenschappen en selecteer Vervolgens Toevoegen.
  5. Voeg een alternatief UPN-achtervoegsel toe, zoals 'onprem1sa.file.core.windows.net'.
  6. Selecteer Toepassen en vervolgens OK om de wizard te sluiten.

Voeg vervolgens de regel voor routering van achtervoegsels toe aan Forest 2.

  1. Meld u aan bij een machine of VM die is gekoppeld aan een domein in Forest 2.
  2. Open de console Active Directory-domein s en vertrouwensrelaties.
  3. Klik met de rechtermuisknop op het domein dat u wilt openen tot de bestandsshare, selecteer vervolgens het tabblad Vertrouwensrelaties en selecteer de uitgaande vertrouwensrelatie van Forest 2 waar de routeringsnaam van het achtervoegsel is toegevoegd.
  4. Selecteer Eigenschappen en geef achtervoegselroutering een naam.
  5. Controleer of het achtervoegsel 'onprem1sa.file.core.windows.net' wordt weergegeven. Als dat niet het is, selecteert u Vernieuwen.
  6. Selecteer onprem1sa.file.core.windows.net en selecteer vervolgens Inschakelen en Toepassen.

Volgende stappen

Raadpleeg deze hulpbronnen voor meer informatie: