Omówienie wytycznych dotyczących projektowania i planowania lokacji usług domena usługi Active Directory Services dla usługi Azure NetApp Files
Odpowiednie projektowanie i planowanie usług domena usługi Active Directory Services (AD DS) mają kluczowe znaczenie dla architektur rozwiązań korzystających z woluminów usługi Azure NetApp Files. Funkcje usługi Azure NetApp Files, takie jak woluminy SMB, woluminy z podwójnym protokołem i woluminy Kerberos NFSv4.1, są przeznaczone do użycia z usługami AD DS.
Ten artykuł zawiera zalecenia ułatwiające opracowanie strategii wdrażania usług AD DS dla usługi Azure NetApp Files. Przed przeczytaniem tego artykułu musisz mieć dobrą wiedzę na temat działania usług AD DS na poziomie funkcjonalności.
Identyfikacja wymagań AD DS dla usługi Azure NetApp Files
Przed wdrożeniem woluminów usługi Azure NetApp Files należy zidentyfikować wymagania dotyczące integracji usług AD DS dla usługi Azure NetApp Files, aby upewnić się, że usługa Azure NetApp Files jest dobrze połączona z usługami AD DS. Nieprawidłowa lub niekompletna integracja usług AD DS z usługą Azure NetApp Files może spowodować przerwy w dostępie klienta lub awarie dla woluminów SMB, podwójnych lub Kerberos NFSv4.1.
Obsługiwane scenariusze uwierzytelniania
Usługa Azure NetApp Files obsługuje uwierzytelnianie oparte na tożsamościach za pośrednictwem protokołu SMB przy użyciu następujących metod.
- Uwierzytelnianie usług AD DS: maszyny z systemem Windows przyłączone do usług AD DS mogą uzyskiwać dostęp do udziałów usługi Azure NetApp Files przy użyciu poświadczeń usługi Active Directory za pośrednictwem protokołu SMB. Klient musi mieć widok do usług AD DS. Jeśli masz już usługi AD DS skonfigurowane lokalnie lub na maszynie wirtualnej na platformie Azure, na której urządzenia są przyłączone do domeny usług AD DS, należy użyć usług AD DS do uwierzytelniania udziału plików usługi Azure NetApp Files.
- Uwierzytelnianie usług Microsoft Entra Domain Services: oparte na chmurze maszyny wirtualne z systemem Windows dołączone do usług Microsoft Entra Domain Services mogą uzyskiwać dostęp do udziałów plików usługi Azure NetApp Files przy użyciu poświadczeń usług Microsoft Entra Domain Services. W tym rozwiązaniu usługi Microsoft Entra Domain Services uruchamia tradycyjną domenę usługi AD systemu Windows Server w imieniu klienta.
- Microsoft Entra Kerberos dla tożsamości hybrydowych: używanie identyfikatora Entra firmy Microsoft do uwierzytelniania tożsamości użytkowników hybrydowych umożliwia użytkownikom firmy Microsoft Entra dostęp do udziałów plików usługi Azure NetApp Files przy użyciu uwierzytelniania Kerberos. Oznacza to, że użytkownicy końcowi mogą uzyskiwać dostęp do udziałów plików usługi Azure NetApp Files bez konieczności używania kontrolerów domeny z przyłączonych hybrydowo do firmy Microsoft Entra i maszyn wirtualnych z systemem Windows lub Linux dołączonych do firmy Microsoft Entra. Tożsamości tylko w chmurze nie są obecnie obsługiwane.
- Uwierzytelnianie Kerberos usługi AD dla klientów z systemem Linux: klienci systemu Linux mogą używać uwierzytelniania Kerberos za pośrednictwem protokołu SMB dla usługi Azure NetApp Files przy użyciu usług AD DS.
Wymagania dotyczące sieci
Woluminy SMB, dual-protocol i Kerberos NFSv4.1 usługi Azure NetApp Files wymagają niezawodnej i niskiej opóźnienia łączności sieciowej (mniej niż 10 ms RTT) do kontrolerów domeny usług AD DS. Niska łączność sieciowa lub duże opóźnienie sieci między usługami Azure NetApp Files i kontrolerami domeny usług AD DS może spowodować przerwy w dostępie klienta lub przekroczenia limitu czasu klienta.
Upewnij się, że spełniasz następujące wymagania dotyczące topologii sieci i konfiguracji:
- Upewnij się, że jest używana obsługiwana topologia sieci dla usługi Azure NetApp Files .
- Upewnij się, że kontrolery domeny usług AD DS mają łączność sieciową z delegowanej podsieci usługi Azure NetApp Files hostujących woluminy usługi Azure NetApp Files.
- Topologie równorzędnej sieci wirtualnej z kontrolerami domeny usług AD DS muszą mieć poprawnie skonfigurowaną komunikację równorzędną w celu obsługi łączności sieciowej kontrolera domeny usługi Azure NetApp Files z usługami AD DS.
- Sieciowe grupy zabezpieczeń i zapory kontrolera domeny usług AD DS muszą mieć odpowiednio skonfigurowane reguły do obsługi łączności usługi Azure NetApp Files z usługami AD DS i DNS.
- Upewnij się, że opóźnienie jest mniejsze niż 10 ms RTT między usługą Azure NetApp Files i kontrolerami domeny usług AD DS.
Wymagane porty sieciowe są następujące:
| Usługa | Port | Protokół |
|---|---|---|
| Usługi sieci Web usługi AD | 9389 | TCP |
| DNS* | 53 | TCP |
| DNS* | 53 | UDP |
| ICMPv4 | Nie dotyczy | Odpowiedź echo |
| Kerberos | 464 | TCP |
| Kerberos | 464 | UDP |
| Kerberos | 88 | TCP |
| Kerberos | 88 | UDP |
| LDAP | 389 | TCP |
| LDAP | 389 | UDP |
| LDAP | 389 | TLS |
| LDAP | 3268 | TCP |
| Nazwa NetBIOS | 138 | UDP |
| SAM/LSA | 445 | TCP |
| SAM/LSA | 445 | UDP |
*System DNS uruchomiony na kontrolerze domeny usług AD DS
Wymagania dotyczące systemu DNS
Woluminy SMB, dual-protocol i Kerberos NFSv4.1 usługi Azure NetApp Files wymagają niezawodnego dostępu do usług systemu nazw domen (DNS) i aktualnych rekordów DNS. Niska łączność sieciowa między usługą Azure NetApp Files i serwerami DNS może spowodować przerwy w dostępie klienta lub przekroczenia limitu czasu klienta. Niekompletne lub nieprawidłowe rekordy DNS dla usług AD DS lub Azure NetApp Files mogą powodować przerwy w dostępie klienta lub przekroczenia limitu czasu klienta.
Usługa Azure NetApp Files obsługuje używanie zintegrowanych serwerów DNS lub autonomicznych serwerów DNS usługi Active Directory.
Upewnij się, że spełnisz następujące wymagania dotyczące konfiguracji DNS:
- Jeśli używasz autonomicznych serwerów DNS:
- Upewnij się, że serwery DNS mają łączność sieciową z deleganą podsiecią usługi Azure NetApp Files hostujących woluminy usługi Azure NetApp Files.
- Upewnij się, że porty sieciowe UDP 53 i TCP 53 nie są blokowane przez zapory ani sieciowe grupy zabezpieczeń.
- Upewnij się, że rekordy SRV zarejestrowane przez usługę logowania net usług AD DS zostały utworzone na serwerach DNS.
- Upewnij się, że rekordy PTR dla kontrolerów domeny usług AD DS używanych przez usługę Azure NetApp Files zostały utworzone na serwerach DNS w tej samej domenie co konfiguracja usługi Azure NetApp Files.
- Usługa Azure NetApp Files nie usuwa automatycznie rekordów wskaźnika (PTR) skojarzonych z wpisami DNS po usunięciu woluminu. Rekordy PTR są używane do wyszukiwania wstecznego DNS, które mapują adresy IP na nazwy hostów. Są one zwykle zarządzane przez administratora serwera DNS. Podczas tworzenia woluminu w usłudze Azure NetApp Files można skojarzyć go z nazwą DNS. Jednak zarządzanie rekordami DNS, w tym rekordami PTR, wykracza poza zakres usługi Azure NetApp Files. Usługa Azure NetApp Files umożliwia skojarzenie woluminu z nazwą DNS w celu ułatwienia dostępu, ale nie zarządza rekordami DNS skojarzonymi z tą nazwą. Jeśli usuniesz wolumin w usłudze Azure NetApp Files, skojarzone rekordy DNS (takie jak rekordy A do przekazywania odnośników DNS) muszą być zarządzane i usunięte z serwera DNS lub używanej usługi DNS.
- Usługa Azure NetApp Files obsługuje standardowe i bezpieczne dynamiczne aktualizacje DNS. Jeśli potrzebujesz bezpiecznych dynamicznych aktualizacji DNS, upewnij się, że bezpieczne aktualizacje są skonfigurowane na serwerach DNS.
- Jeśli dynamiczne aktualizacje DNS nie są używane, należy ręcznie utworzyć rekord A i rekord PTR dla kont komputerów usług AD DS utworzonych w jednostce organizacyjnej usług AD DS (określonych w połączeniu usługi Azure NetApp Files AD) w celu obsługi podpisywania LDAP usługi Azure NetApp Files, LDAP za pośrednictwem protokołu TLS, SMB, podwójnego protokołu lub woluminów Kerberos NFSv4.1.
- W przypadku złożonych lub dużych topologii usług AD DS priorytetyzacja zasad DNS lub podsieci DNS może być wymagana do obsługi woluminów NFS z włączoną obsługą protokołu LDAP.
Wymagania dotyczące źródła czasu
Usługa Azure NetApp Files używa time.windows.com jako źródła czasu. Upewnij się, że kontrolery domeny używane przez usługę Azure NetApp Files są skonfigurowane do używania time.windows.com lub innego dokładnego źródła czasu stabilnego katalogu głównego (warstwy 1). Jeśli między usługą Azure NetApp Files a klientem lub kontrolerami domeny usług AS DS występuje więcej niż pięć minut, uwierzytelnianie zakończy się niepowodzeniem; dostęp do woluminów usługi Azure NetApp Files może również zakończyć się niepowodzeniem.
Wybieranie usług AD DS do użycia z usługą Azure NetApp Files
Usługa Azure NetApp Files obsługuje usługi domena usługi Active Directory Services (AD DS) i microsoft Entra Domain Services dla połączeń usługi AD. Przed utworzeniem połączenia usługi AD należy zdecydować, czy używać usług AD DS, czy Microsoft Entra Domain Services.
Aby uzyskać więcej informacji, zobacz Porównanie usług domena usługi Active Directory zarządzanych samodzielnie, Microsoft Entra ID i zarządzanych usług Microsoft Entra Domain Services.
zagadnienia dotyczące usług domena usługi Active Directory
W następujących scenariuszach należy użyć usług domena usługi Active Directory Services (AD DS):
- Użytkownicy usług AD DS są hostowani w lokalnej domenie usług AD DS, które wymagają dostępu do zasobów usługi Azure NetApp Files.
- Masz aplikacje hostowane częściowo lokalnie i częściowo na platformie Azure, które wymagają dostępu do zasobów usługi Azure NetApp Files.
- Nie potrzebujesz integracji usług Microsoft Entra Domain Services z dzierżawą firmy Microsoft Entra w twojej subskrypcji lub usługi Microsoft Entra Domain Services są niezgodne z wymaganiami technicznymi.
Uwaga
Usługa Azure NetApp Files nie obsługuje używania kontrolerów domeny tylko do odczytu usług AD DS (RODC).
Jeśli zdecydujesz się używać usług AD DS z usługą Azure NetApp Files, postępuj zgodnie ze wskazówkami w przewodniku rozszerzania usług AD DS na platformę Azure i upewnij się, że spełniasz wymagania dotyczące sieci usługi Azure NetApp Files i dns dla usług AD DS.
Zagadnienia dotyczące usług Microsoft Entra Domain Services
Microsoft Entra Domain Services to zarządzana domena usług AD DS zsynchronizowana z dzierżawą firmy Microsoft Entra. Główne korzyści wynikające z korzystania z usług Microsoft Entra Domain Services są następujące:
- Microsoft Entra Domain Services to domena autonomiczna. W związku z tym nie ma potrzeby konfigurowania łączności sieciowej między środowiskiem lokalnym a platformą Azure.
- Zapewnia uproszczone środowisko wdrażania i zarządzania.
Usługi Microsoft Entra Domain Services należy używać w następujących scenariuszach:
- Nie ma potrzeby rozszerzania usług AD DS ze środowiska lokalnego na platformę Azure w celu zapewnienia dostępu do zasobów usługi Azure NetApp Files.
- Zasady zabezpieczeń nie zezwalają na rozszerzenie lokalnych usług AD DS na platformę Azure.
- Nie masz silnej wiedzy na temat usług AD DS. Usługi Microsoft Entra Domain Services mogą zwiększyć prawdopodobieństwo dobrych wyników za pomocą usługi Azure NetApp Files.
Jeśli zdecydujesz się korzystać z usług Microsoft Entra Domain Services z usługą Azure NetApp Files, zobacz dokumentację usługi Microsoft Entra Domain Services, aby uzyskać wskazówki dotyczące architektury, wdrażania i zarządzania. Upewnij się, że spełniasz również wymagania usługi Azure NetApp Files Network i DNS.
Projektowanie topologii lokacji usług AD DS do użycia z usługą Azure NetApp Files
Odpowiedni projekt topologii lokacji usług AD DS ma kluczowe znaczenie dla każdej architektury rozwiązania obejmującej woluminy Kerberos usługi Azure NetApp Files, protokół podwójny lub NFSv4.1.
Niepoprawna topologia lokacji usług AD DS lub konfiguracja mogą powodować następujące zachowania:
- Nie można utworzyć woluminów Protokołu SMB usługi Azure NetApp Files lub NFSv4.1 Kerberos
- Nie można zmodyfikować konfiguracji połączenia usługi ANF AD
- Niska wydajność zapytań klienta LDAP
- Problemy z uwierzytelnianiem
Topologia lokacji usług AD DS dla usługi Azure NetApp Files to logiczna reprezentacja sieci usługi Azure NetApp Files. Projektowanie topologii lokacji usług AD DS dla usługi Azure NetApp Files obejmuje planowanie umieszczania kontrolera domeny, projektowanie lokacji, infrastruktury DNS i podsieci sieci w celu zapewnienia dobrej łączności między usługą Azure NetApp Files, klientami magazynu usługi Azure NetApp Files i kontrolerami domeny usług AD DS.
Oprócz wielu kontrolerów domeny przypisanych do lokacji usług AD DS skonfigurowanych w nazwie witryny usługi Azure NetApp Files ad witryna usługi Azure NetApp Files usług AD DS może mieć przypisaną co najmniej jedną podsiecię.
Uwaga
Ważne jest, aby wszystkie kontrolery domeny i podsieci przypisane do lokacji usług AD DS usługi Azure NetApp Files były dobrze połączone (mniej niż 10 ms opóźnienia RTT) i osiągalne przez interfejsy sieciowe używane przez woluminy usługi Azure NetApp Files.
Jeśli używasz funkcji sieci w warstwie Standardowa, upewnij się, że wszystkie trasy zdefiniowane przez użytkownika (UDR) lub reguły sieciowej grupy zabezpieczeń nie blokują komunikacji sieciowej usługi Azure NetApp Files z kontrolerami domeny usług AD DS przypisanymi do witryny usług AD DS usługi Azure NetApp Files.
Jeśli używasz wirtualnych urządzeń sieciowych lub zapór (takich jak Zapory Palo Alto Networks lub Fortinet), należy je skonfigurować tak, aby nie blokować ruchu sieciowego między usługą Azure NetApp Files i kontrolerami domeny usług AD DS i podsieciami przypisanymi do witryny usług AD DS usługi Azure NetApp Files.
Jak usługa Azure NetApp Files korzysta z informacji o witrynie usług AD DS
Usługa Azure NetApp Files używa nazwy lokacji usługi AD skonfigurowanej w połączeniach usługi Active Directory do wykrywania, które kontrolery domeny są obecne do obsługi uwierzytelniania, przyłączania do domeny, zapytań LDAP i operacji biletu Protokołu Kerberos.
Odnajdywanie kontrolera domeny usług AD DS
Usługa Azure NetApp Files inicjuje odnajdywanie kontrolera domeny co cztery godziny. Usługa Azure NetApp Files wysyła zapytanie do rekordu zasobu usługi DNS specyficznego dla lokacji (SRV), aby określić, które kontrolery domeny znajdują się w lokacji usług AD określonej w polu Nazwa lokacji usługi AD połączenia usługi Azure NetApp Files AD. Odnajdywanie serwera kontrolera domeny usługi Azure NetApp Files sprawdza stan usług hostowanych na kontrolerach domeny (takich jak Kerberos, LDAP, Net Logon i LSA) i wybiera optymalny kontroler domeny dla żądań uwierzytelniania.
Rekordy zasobów usługi DNS (SRV) dla lokacji usług AD DS określonej w polu Nazwa lokacji usługi AD połączenia usługi Azure NetApp Files usługi AD muszą zawierać listę adresów IP dla kontrolerów domeny usług AD DS, które będą używane przez usługę Azure NetApp Files. Ważność rekordu zasobu DNS (SRV) można sprawdzić przy użyciu nslookup narzędzia .
Uwaga
Jeśli wprowadzisz zmiany w kontrolerach domeny w lokacji usług AD DS używanej przez usługę Azure NetApp Files, zaczekaj co najmniej cztery godziny między wdrożeniem nowych kontrolerów domeny usług AD DS i wycofaniem istniejących kontrolerów domeny usług AD DS. Ten czas oczekiwania umożliwia usłudze Azure NetApp Files odnajdywanie nowych kontrolerów domeny usług AD DS.
Upewnij się, że nieaktualne rekordy DNS skojarzone z wycofanymi kontrolerami domeny usług AD DS zostaną usunięte z systemu DNS. Dzięki temu usługa Azure NetApp Files nie będzie próbować komunikować się z wycofanym kontrolerem domeny.
Wykrywanie serwera LDAP AD DS
Oddzielny proces odnajdywania dla serwerów LDAP usług AD DS występuje, gdy protokół LDAP jest włączony dla woluminu NFS usługi Azure NetApp Files. Po utworzeniu klienta LDAP w usłudze Azure NetApp Files usługa Azure NetApp Files wysyła zapytanie do rekordu zasobu usługi domenowej USŁUG AD DS (SRV) dla listy wszystkich serwerów LDAP usług AD DS w domenie, a nie serwerów LDAP usług AD DS przypisanych do lokacji usług AD DS określonej w połączeniu usługi AD DS.
W dużych lub złożonych topologiach usług AD DS może być konieczne zaimplementowanie zasad DNS lub priorytetyzacji podsieci DNS, aby upewnić się, że serwery LDAP usług AD DS przypisane do lokacji usług AD DS określone w połączeniu usługi AD są zwracane.
Alternatywnie proces odnajdywania serwera LDAP usług AD DS można zastąpić, określając maksymalnie dwa preferowane serwery usługi AD dla klienta LDAP.
Ważne
Jeśli usługa Azure NetApp Files nie może nawiązać połączenia z odnalezionym serwerem LDAP usług AD DS podczas tworzenia klienta LDAP usługi Azure NetApp Files, tworzenie woluminu z włączonym protokołem LDAP zakończy się niepowodzeniem.
Konsekwencje nieprawidłowej lub niekompletnej konfiguracji nazwy witryny usługi AD
Niepoprawna lub niekompletna topologia lokacji usług AD DS lub konfiguracja mogą powodować błędy tworzenia woluminu, problemy z zapytaniami klienta, niepowodzeniami uwierzytelniania i niepowodzeniami modyfikowania połączeń usługi Azure NetApp Files AD.
Ważne
Pole Nazwa witryny usługi AD jest wymagane do utworzenia połączenia usługi Azure NetApp Files AD. Zdefiniowana witryna usług AD DS musi istnieć i być prawidłowo skonfigurowana.
Usługa Azure NetApp Files używa witryny usług AD DS do odnajdywania kontrolerów domeny i podsieci przypisanych do lokacji usług AD DS zdefiniowanej w nazwie witryny usługi AD. Wszystkie kontrolery domeny przypisane do lokacji usług AD DS muszą mieć dobrą łączność sieciową z interfejsów sieci wirtualnych platformy Azure używanych przez usługę ANF i być osiągalne. Maszyny wirtualne kontrolera domeny usług AD DS przypisane do lokacji usług AD DS używane przez usługę Azure NetApp Files muszą zostać wykluczone z zasad zarządzania kosztami, które wyłączają maszyny wirtualne.
Jeśli usługa Azure NetApp Files nie może uzyskać dostępu do żadnych kontrolerów domeny przypisanych do lokacji usług AD DS, proces odnajdywania kontrolera domeny wykona zapytanie dotyczące domeny usług AD DS, aby uzyskać listę wszystkich kontrolerów domeny. Lista kontrolerów domeny zwróconych z tego zapytania jest nieurządkowaną listą. W związku z tym usługa Azure NetApp Files może próbować użyć kontrolerów domeny, które nie są osiągalne lub dobrze połączone, co może powodować błędy tworzenia woluminów, problemy z zapytaniami klienta, niepowodzeniami uwierzytelniania i błędami modyfikowania połączeń usługi Azure NetApp Files.
Należy zaktualizować konfigurację lokacji usług AD DS za każdym razem, gdy nowe kontrolery domeny są wdrażane w podsieci przypisanej do lokacji usług AD DS, która jest używana przez Połączenie ion usługi Azure NetApp Files. Upewnij się, że rekordy SRV SYSTEMU DNS dla lokacji odzwierciedlają wszelkie zmiany kontrolerów domeny przypisanych do lokacji usług AD DS używanej przez usługę Azure NetApp Files. Ważność rekordu zasobu DNS (SRV) można sprawdzić przy użyciu nslookup narzędzia .
Uwaga
Usługa Azure NetApp Files nie obsługuje używania kontrolerów domeny tylko do odczytu usług AD DS (RODC). Aby uniemożliwić usłudze Azure NetApp Files używanie kontrolera RODC, nie należy konfigurować pola Nazwa witryny usługi AD połączeń usługi AD z kontrolerem RODC.
Przykładowa konfiguracja topologii lokacji usług AD DS dla usługi Azure NetApp Files
Topologia lokacji usług AD DS to logiczna reprezentacja sieci, w której wdrożono usługę Azure NetApp Files. W tej sekcji przykładowy scenariusz konfiguracji topologii lokacji usług AD DS ma na celu wyświetlenie podstawowego projektu lokacji usług AD DS dla usługi Azure NetApp Files. Nie jest to jedyny sposób projektowania topologii sieci lub lokacji usługi AD dla usługi Azure NetApp Files.
Ważne
W przypadku scenariuszy obejmujących złożone usługi AD DS lub złożone topologie sieci należy zapoznać się z usługą Azure CSA w usłudze Azure NetApp Files i projektem witryny usługi AD.
Na poniższym diagramie przedstawiono przykładową topologię sieci: sample-network-topology.png 
W przykładowej topologii sieci lokalna domena usług AD DS (anf.local) jest rozszerzona do sieci wirtualnej platformy Azure. Sieć lokalna jest połączona z siecią wirtualną platformy Azure przy użyciu obwodu usługi Azure ExpressRoute.
Sieć wirtualna platformy Azure ma cztery podsieci: podsieć bramy, podsieć usługi Azure Bastion, podsieć usług AD DS i podsieć delegowana usługi Azure NetApp Files. Nadmiarowe kontrolery domeny usług AD DS przyłączone do anf.local domeny są wdrażane w podsieci usług AD DS. Podsieć usług AD DS ma przypisany zakres adresów IP 10.0.0.0/24.
Usługa Azure NetApp Files może używać tylko jednej lokacji usług AD DS do określenia, które kontrolery domeny będą używane do uwierzytelniania, zapytań LDAP i protokołu Kerberos. W przykładowym scenariuszu tworzone są dwa obiekty podsieci i przypisywane do lokacji o nazwie ANF przy użyciu narzędzia Lokacje i usługi Active Directory. Jeden obiekt podsieci jest mapowany na podsieć usług AD DS, 10.0.0.0/24, a drugi obiekt podsieci jest mapowany do delegowanej podsieci ANF, 10.0.2.0/24.
W narzędziu Lokacje i usługi Active Directory sprawdź, czy kontrolery domeny usług AD DS wdrożone w podsieci usług AD DS są przypisane do lokacji ANF :
Aby utworzyć obiekt podsieci mapujący na podsieć usług AD DS w sieci wirtualnej platformy Azure, kliknij prawym przyciskiem myszy kontener Podsieci w narzędziu Lokacje i usługi Active Directory, a następnie wybierz pozycję Nowa podsieć....
W oknie dialogowym Nowy obiekt — podsieć w polu Prefiks zostanie wprowadzony zakres adresów IP 10.0.0.0/24 dla podsieci usług AD DS. Wybierz ANF jako obiekt lokacji dla podsieci. Wybierz przycisk OK , aby utworzyć obiekt podsieci i przypisać go do lokacji ANF .
Aby sprawdzić, czy nowy obiekt podsieci jest przypisany do prawidłowej lokacji, kliknij prawym przyciskiem myszy obiekt podsieci 10.0.0.0/24 i wybierz polecenie Właściwości. Pole Lokacja powinno zawierać obiekt lokacjiANF:
Aby utworzyć obiekt podsieci mapowany na podsieć delegowana usługi Azure NetApp Files w sieci wirtualnej platformy Azure, kliknij prawym przyciskiem myszy kontener Podsieci w narzędziu Lokacje i usługi Active Directory, a następnie wybierz pozycję Nowa podsieć....
Zagadnienia dotyczące replikacji między regionami
Replikacja między regionami usługi Azure NetApp Files umożliwia replikowanie woluminów usługi Azure NetApp Files z jednego regionu do innego w celu obsługi wymagań dotyczących ciągłego działania i odzyskiwania po awarii (BC/DR).
Woluminy Kerberos usługi Azure NetApp Files, podwójne protokoły i NFSv4.1 obsługują replikację między regionami. Replikacja tych woluminów wymaga:
- Konto usługi NetApp utworzone w regionach źródłowych i docelowych.
- Połączenie usługi Active Directory usługi Azure NetApp Files na koncie usługi NetApp utworzonym w regionach źródłowych i docelowych.
- Kontrolery domeny usług AD DS są wdrażane i uruchomione w regionie docelowym.
- Aby umożliwić dobrą komunikację sieciową usługi Azure NetApp Files z kontrolerami domeny usług AD DS w regionie docelowym, należy wdrożyć odpowiednią komunikację sieciową usługi Azure NetApp Files z kontrolerami domeny usług AD DS w regionie docelowym.
- Połączenie usługi Active Directory w regionie docelowym musi być skonfigurowane do używania zasobów DNS i lokacji usługi AD w regionie docelowym.
Następne kroki
- Tworzenie połączeń usługi Active Directory i zarządzanie nimi
- Modyfikowanie połączeń usługi Active Directory
- Włączanie uwierzytelniania LDAP usług AD DS dla woluminów NFS
- Tworzenie woluminu SMB
- Tworzenie woluminu z podwójnym protokołem
- Błędy dotyczące woluminów SMB i dwóch protokołów
- Uzyskiwanie dostępu do woluminów SMB z maszyn wirtualnych z systemem Windows przyłączonych do firmy Microsoft