Criar e gerenciar conexões de Active Directory para Azure NetApp Files

Artigo
03/01/2024

Vários recursos do Azure NetApp Files exigem que você tenha uma conexão de Active Directory. Por exemplo, você precisa ter uma conexão de Active Directory para criar um volume SMB, um volume Kerberos NFSv4.1 ou um volume de protocolo duplo. Este artigo mostra como criar e gerenciar conexões de Active Directory para Azure NetApp Files.

Requisitos e considerações para conexões do Active Directory

Importante

Você deve seguir as diretrizes descritas em Entenda as diretrizes para o design e planejamento do site do Active Directory Domain Services para o Azure NetApp Files para o AD DS (Active Directory Domain Services) ou o Microsoft Entra Domain Services usado com o Azure NetApp Files.

Antes de criar a conexão com o AD, examine Modificar conexões do Active Directory para o Azure NetApp Files para entender o impacto de fazer alterações nas opções de configuração da conexão do AD após a criação da conexão do AD. As alterações nas opções de configuração de conexão do AD prejudicam o acesso ao cliente e algumas opções não podem ser alteradas.

Uma conta Azure NetApp Files deve ser criada na região em que os volumes de Azure NetApp Files são implantados.
Você pode configurar apenas uma conexão do AD (Active Directory) por assinatura e por região.

O Azure NetApp Files não dá suporte a várias conexões do AD em uma região, mesmo que as conexões do AD sejam criadas em contas diferentes do NetApp. No entanto, você pode ter várias conexões do AD em uma assinatura única, desde que as conexões do AD estejam em regiões diferentes. Se você precisar de várias conexões do AD em uma região, poderá usar assinaturas separadas para fazer isso.

A conexão do AD está visível somente por meio da conta do NetApp na qual ela foi criada. No entanto, você pode habilitar o recurso do AD compartilhado para permitir que as contas do NetApp que estão na mesma assinatura e na mesma região usem a mesma conexão do AD. Confira Mapear várias contas do NetApp na mesma assinatura e região para uma conexão do AD.
A conta de administrador de conexão do AD para Azure NetApp Files deve ter as seguintes propriedades:
- Deve ser uma conta de usuário de domínio do AD DS no mesmo domínio em que as contas de computador do Azure NetApp Files são criadas.
- Deve ter permissão para criar contas de computador (por exemplo, ingresso no domínio do AD) no caminho da unidade organizacional do AD DS especificado na opção Caminho da unidade organizacional da conexão do AD.
- Não pode ser uma Conta de Serviço Gerenciado de Grupo.
A conta de administrador de conexão do AD dá suporte aos tipos de criptografia Kerberos AES-128 e Kerberos AES-256 para autenticação com o AD DS para criação de conta de computador do Azure NetApp Files (por exemplo, operações de ingresso no domínio do AD).
Para habilitar a criptografia AES na conta de administrador da conexão do AD para Azure NetApp Files, você deve usar uma conta de usuário de domínio do AD que seja membro de um dos seguintes grupos do AD DS:
- Administradores do domínio
- Administrador corporativo
- Administradores
- Opers. de contas
- Administradores do Microsoft Entra Domain Services _ (Somente Microsoft Entra Domain Services)_
- Como alternativa, uma conta de usuário de domínio do AD com permissão de gravação msDS-SupportedEncryptionTypes na conta de administrador de conexão do AD também pode ser usada para definir a propriedade de tipo de criptografia Kerberos na conta de administrador de conexão do AD.
Observação

Ao modificar a configuração para habilitar o AES na conta de administrador da conexão do AD, é uma melhor prática usar uma conta de usuário que tenha permissão de gravação no objeto do AD que não seja o administrador do AD do Azure NetApp Files. Você pode fazer isso com outra conta de administrador de domínio ou delegando o controle a uma conta. Para obter mais informações, confira Delegar administração usando objetos de UO.

Se você definir a criptografia Kerberos AES-128 e AES-256 na conta de administrador da conexão do AD, o nível mais alto de criptografia com suporte do AD DS será usado.
Para habilitar o suporte de criptografia AES para a conta de administrador na conexão do AD, execute os seguintes comandos do PowerShell do Active Directory:
```
Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>
```
KerberosEncryptionType é um parâmetro de múltiplos valores que dá suporte aos valores AES-128 e AES-256.

Para saber mais, veja a documentação do Set-ADUser.
Se você tiver um requisito para habilitar e desabilitar determinados tipos de criptografia Kerberos para contas de computador do Active Directory para hosts do Windows ingressados no domínio usados com o Azure NetApp Files, use o Política de Grupo Network Security: Configure Encryption types allowed for Kerberos.

Não defina a chave do Registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes. Isso interromperá a autenticação Kerberos com o Azure NetApp Files para o host do Windows em que essa chave do Registro foi definida manualmente.

Observação

A configuração de política padrão para Network Security: Configure Encryption types allowed for Kerberos é Not Defined. Quando essa configuração de política for definida como Not Defined, todos os tipos de criptografia, exceto DES, estarão disponíveis para criptografia Kerberos. Você tem a opção de habilitar o suporte apenas para determinados tipos de criptografia Kerberos (por exemplo, AES128_HMAC_SHA1 ou AES256_HMAC_SHA1). No entanto, a política padrão deve ser suficiente na maioria dos casos ao habilitar o suporte à criptografia AES com o Azure NetApp Files.

Para obter mais informações, veja Segurança de rede: configurar tipos de criptografia permitidos para Kerberos ou Configurações do Windows para tipos de criptografia com suporte do Kerberos
As consultas LDAP só têm efeito no domínio especificado nas conexões do Active Directory (o campo Nome de domínio do AD DNS). Esse comportamento se aplica a volumes NFS, SMB e protocolo duplo.
Tempos limite de consulta LDAP

Por padrão, as consultas LDAP passam do tempo limite se não puderem ser concluídas em tempo hábil. Se uma consulta LDAP falhar devido a um tempo limite, a pesquisa de usuário e/ou grupo falhará e o acesso ao volume do Azure NetApp Files poderá ser negado, dependendo das configurações de permissão do volume.

Os tempos limite de consulta podem ocorrer em ambientes LDAP grandes com muitos objetos de usuário e grupo, em conexões WAN lentas e se um servidor LDAP for superutilizado com solicitações. A configuração de tempo limite do Azure NetApp Files para consultas LDAP é definida como 10 segundos. Considere aproveitar os recursos de DN de usuário e grupo na conexão do Active Directory para o servidor LDAP para filtrar as pesquisas se estiver enfrentando problemas de tempo limite de consulta LDAP.

Criar uma conexão do Active Directory

Em sua conta do NetApp, selecione Conexões do Active Directory e selecione Ingressar.

Observação

O Azure NetApp Files dá suporte a apenas uma conexão de Active Directory na mesma região e na mesma assinatura.

Na janela Ingressar no Active Directory, forneça as seguintes informações com base nos serviços de domínio que você deseja usar:

DNS primário (obrigatório)
Esse é o endereço IP do servidor DNS primário necessário para operações de ingresso no domínio do Active Directory, autenticação SMB, Kerberos e operações LDAP.
DNS secundário
Esse é o endereço IP do servidor DNS secundário necessário para operações de ingresso no domínio do Active Directory, autenticação SMB, Kerberos e operações LDAP.

Observação

É recomendável que você configure um servidor DNS secundário. Veja Entender as diretrizes para o design de sites do Active Directory Domain Services e planejar para o Azure NetApp Files. Verifique se a configuração do servidor DNS atende aos requisitos do Azure NetApp Files. Caso contrário, operações de serviço do Azure NetApp Files, autenticação SMB, operações Kerberos ou LDAP podem falhar.

Se você usar o Microsoft Entra Domain Services, deverá usar os endereços IP dos controladores de domínio do Microsoft Entra Domain Services para DNS primário e DNS secundário, respectivamente.
Nome de domínio do AD DNS (obrigatório)
Esse é o nome de domínio totalmente qualificado do AD DS que será usado com Azure NetApp Files (por exemplo, contoso.com).
Nome de Site do AD (obrigatório)
Esse é o nome do site do AD DS que será usado por Azure NetApp Files para descoberta do controlador de domínio.

O nome do site padrão para o AD DS e o Microsoft Entra Domain Services é Default-First-Site-Name. Siga as convenções de nomenclatura para nomes de site se você quiser renomear o nome do site.

Observação

Veja Entender as diretrizes para o design de sites do Active Directory Domain Services e planejar para o Azure NetApp Files. Verifique se o design e a configuração do site do AD DS atende aos requisitos do Azure NetApp Files. Caso contrário, operações de serviço do Azure NetApp Files, autenticação SMB, operações Kerberos ou LDAP podem falhar.
Prefixo do Servidor SMB (conta do computador) – obrigatório
Esse é o prefixo de nomenclatura para novas contas de computador criadas no AD DS para volumes SMB do Azure NetApp Files, protocolo duplo e Kerberos NFSv4.1.

Por exemplo, se o padrão de nomenclatura que sua organização usa para servidores de arquivos for NAS-01, NAS-02, etc, você usará NAS como prefixo.

O Azure NetApp Files criará contas de computador adicionais no AD DS, conforme necessário.

Importante

A renomeação do prefixo do servidor SMB depois da criação da conexão do Active Directory a interrompe. Você precisará montar novamente os compartilhamentos SMB existentes depois de renomear o prefixo do servidor SMB.
Caminho da unidade organizacional
Esse é o caminho LDAP para a UO (unidade organizacional) em que as contas de computador do servidor SMB serão criadas. Ou seja, OU=second level, OU=first level. Por exemplo, se você quiser usar uma UO chamada ANF criada na raiz do domínio, o valor será OU=ANF.

Se nenhum valor for fornecido, o Azure NetApp Files usa o contêiner CN=Computers.

Se você estiver usando o Azure NetApp Files com o Microsoft Entra Domain Services, o caminho da unidade organizacional será OU=AADDC Computers
Criptografia AES
Essa opção habilita o suporte à autenticação de criptografia AES para a conta de administrador da conexão do AD.

Consulte Requisitos para conexões de Active Directory para saber os requisitos.
Assinatura LDAP

Essa opção habilita a assinatura LDAP. Essa funcionalidade permite a verificação de integridade das associações LDAP do SASL (Camada de Segurança e Autenticação Simples) do Azure NetApp Files e dos controladores de domínio do Active Directory Domain Services especificados pelo usuário.

O Azure NetApp Files dá suporte à Associação de Canais LDAP se as opções de assinatura LDAP e LDAP sobre TLS estiverem habilitadas na Conexão do Active Directory. Para obter mais informações, consulte ADV190023 | Diretrizes da Microsoft para habilitar a assinatura LDAP e a associação de canal LDAP.

Observação

Os registros PTR do DNS para as contas de computador do AD DS devem ser criados na unidade organizacional do AD DS especificada na conexão AD do Azure NetApp Files para que a Assinatura LDAP funcione.
Permitir usuários NFS locais com LDAP Essa opção permite que usuários do cliente NFS locais acessem volumes NFS. Definir essa opção desabilita grupos estendidos para volumes NFS. Também limita o número de grupos a 16. Para saber mais, confira Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo.
LDAP sobre TLS

Esta opção habilita o LDAP sobre TLS para proteger a comunicação entre um volume do Azure NetApp Files e o servidor LDAP do Active Directory. Você pode habilitar o LDAP por TLS para volumes NFS, SMB e de protocolo duplo do Azure NetApp Files.

Observação

O LDAP sobre TLS não deve estar habilitado se você estiver usando os Microsoft Entra Domain Services. O Microsoft Entra Domain Services usa LDAPS (porta 636) para proteger o tráfego LDAP em vez de LDAP via TLS (porta 389).

Para obter mais informações, confira Habilitar a autenticação LDAP do AD DS (Active Directory Domain Services) para volumes NFS.
Certificado de CA raiz do servidor

Essa opção carrega o certificado de AC usado com LDAP sobre TLS.

Para obter mais informações, confira Habilitar a autenticação LDAP do AD DS (Active Directory Domain Services) para volumes NFS. 
Escopo de pesquisa LDAP, DN de usuário, DN de grupo e Filtro de Associação de grupo

A opção de escopo de pesquisa LDAP otimiza as consultas LDAP de armazenamento do Azure NetApp Files para uso com topologias AD DS grandes e LDAP com grupos estendidos ou estilo de segurança Unix com um volume Azure NetApp Files de protocolo duplo.

As opções DN de Usuário e DN de Grupo permitem definir a base de pesquisa em LDAP do AD DS.

A opção Filtro de Associação de Grupo permite que você crie um filtro de pesquisa personalizado para usuários que são membros de grupos específicos do AD DS.

Para obter informações sobre essas opções, consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS.
Servidor preferencial para cliente LDAP

A opção Servidor preferencial para cliente LDAP permite que você envie os endereços IP de até dois servidores AD como uma lista separada por vírgulas. Em vez de entrar em contato sequencialmente com todos os serviços do AD descobertos para um domínio, o cliente LDAP entrará em contato com os servidores especificados primeiro.
Conexões SMB Criptografadas para o Controlador de Domínio

Conexões SMB criptografadas com o Controlador de Domínio especifica se a criptografia deve ser usada para comunicação entre um servidor SMB e um controlador de domínio. Quando habilitado, somente o SMB3 será usado para conexões criptografadas do controlador de domínio.

Esse recurso está atualmente na visualização. Se esta for a primeira vez que você usa conexões SMB criptografadas com o controlador de domínio, registre-o:
```
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
Verifique o status do registro do recurso:

Observação

O RegistrationState pode ficar no estado Registering por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registered antes de continuar.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
Você também pode usar os comandos da CLI do Azureaz feature register e az feature show para registrar o recurso e exibir o status do registro.

Usuários da política de backup Essa opção concede privilégios de segurança adicionais a usuários de domínio do AD DS ou grupos que exigem privilégios de backup elevados para dar suporte a fluxos de trabalho de backup, restauração e migração em Azure NetApp Files. As contas de usuário ou grupos do AD DS especificados terão permissões elevadas de NTFS no nível do arquivo ou da pasta.

Screenshot of the Backup policy users field showing an empty text input field.

Os seguintes privilégios se aplicam quando você usa a configuração Usuários da política de backup:

Escalonamento de	Descrição
`SeBackupPrivilege`	Fazer backup de arquivos e diretórios, substituindo todas as ACLs.
`SeRestorePrivilege`	Restaurar arquivos e diretórios, substituindo todas as ACLs. Defina qualquer identificador de segurança de usuário ou grupo válido como o proprietário do arquivo.
`SeChangeNotifyPrivilege`	Ignore a verificação de passagem. Os usuários com esse privilégio não precisam ter permissões completas (`x`) para percorrer pastas ou symlinks.

Usuários com privilégios de segurança
Esta opção concede privilégios de segurança (SeSecurityPrivilege) a grupos ou usuários de domínio do AD DS que exigem privilégios elevados para acessar volumes do Azure NetApp Files. As contas de grupos ou usuários do AD DS especificadas terão permissão para executar determinadas ações em compartilhamentos SMB que exigem privilégio de segurança não atribuído por padrão aos usuários do domínio.

O privilégio a seguir se aplica quando você usa a configuração de Usuários com privilégios de segurança:

Escalonamento de Descrição

SeSecurityPrivilege Gerenciar operações de log.

Esse recurso é usado para instalar o SQL Server em determinados cenários em que uma conta de um não administrador de domínio do AD DS deve receber temporariamente privilégios de segurança elevados.

Observação

O uso do recurso Usuários com privilégios de segurança depende do recurso Compartilhamentos de Disponibilidade Contínua do SMB. Não há suporte para aplicativos personalizados na Disponibilidade Contínua do SMB. Ele só tem suporte para cargas de trabalho que usam o Citrix App Layering, contêineres de perfil de usuário do FSLogix e o Microsoft SQL Server (não o Linux SQL Server).

Importante

O uso do recurso de Usuários de privilégio de segurança exige que você envie uma solicitação de lista de espera por meio da página de envio de lista de espera de versão prévia pública dos Compartilhamentos de Disponibilidade Contínua de SMB do Azure NetApp Files. Aguarde um email de confirmação oficial da equipe do Azure NetApp Files antes de usar esse recurso.
Essa funcionalidade é opcional e tem suporte apenas com o SQL Server. A conta de domínio do AD DS usada para instalar o SQL Server já deve existir antes de você adicioná-lo à opção Usuários com privilégio de segurança. Quando você adiciona a conta do SQL Server Installer à opção Usuários com privilégio de segurança, o serviço Azure NetApp Files pode validar a conta entrando em contato com o controlador de domínio do AD DS. Essa ação poderá falhar se o Azure NetApp Files não entrar em contato com o controlador de domínio do AD DS.

Para obter mais informações sobre o SeSecurityPrivilege e o SQL Server, consulte A instalação do SQL Server falhará se a conta de Configuração não tiver determinados direitos de usuário.

Escalonamento de	Descrição
`SeSecurityPrivilege`	Gerenciar operações de log.

Usuários com privilégios de administrador

Essa opção concede privilégios adicionais de segurança a grupos ou usuários de domínio do AD DS que exigem privilégios elevados para acessar os volumes do Azure NetApp Files. As contas especificadas terão permissão elevada no nível do arquivo ou da pasta.

Observação

Os administradores de domínio são adicionados automaticamente ao grupo de usuários com privilégio de administradores.

Screenshot that shows the Administrators box of Active Directory connections window.

Os seguintes privilégios se aplicam quando você usa a configuração Usuários com privilégios de administrador:

Escalonamento de	Descrição
`SeBackupPrivilege`	Fazer backup de arquivos e diretórios, substituindo todas as ACLs.
`SeRestorePrivilege`	Restaurar arquivos e diretórios, substituindo todas as ACLs. Defina qualquer identificador de segurança de usuário ou grupo válido como o proprietário do arquivo.
`SeChangeNotifyPrivilege`	Ignore a verificação de passagem. Os usuários com esse privilégio não precisam ter permissões completas (`x`) para percorrer pastas ou symlinks.
`SeTakeOwnershipPrivilege`	Assumir a propriedade de arquivos ou de outros objetos.
`SeSecurityPrivilege`	Gerenciar operações de log.
`SeChangeNotifyPrivilege`	Ignore a verificação de passagem. Os usuários com esse privilégio não precisam ter permissões completas (`x`) para percorrer pastas ou symlinks.

Credenciais, incluindo seu nome de usuário e sua senha

Importante

Embora o Active Directory dê suporte a senhas de 256 caracteres, as senhas do Active Directory com Azure NetApp Files não podem exceder 64 caracteres.

Selecione Entrar.

A conexão do Active Directory que você criou é exibida.

Mapear várias contas do NetApp na mesma assinatura e região para uma conexão do AD

O novo recurso do AD compartilhado permite que todas as contas do NetApp compartilhem uma conexão do AD (Active Directory) criada por uma das contas do NetApp que pertençam à mesma assinatura e à mesma região. Por exemplo, usando esse recurso, todas as contas do NetApp presentes na mesma assinatura e região podem usar a configuração comum do AD para criar um volume SMB, um volume Kerberos NFSv4.1 ou um volume de protocolo duplo. Ao usar esse recurso, a conexão do AD ficará visível em todas as contas do NetApp que estão na mesma assinatura e na mesma região.

Esse recurso está atualmente na visualização. Você precisa registrar o recurso para usá-lo pela primeira vez. Após o registro, o recurso é habilitado e funciona em segundo plano. Nenhum controle de interface do usuário é necessário.

Registrar o recurso:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

Verifique o status do registro do recurso:

Observação

O RegistrationState pode ficar no estado Registering por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registrado antes de continuar.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
```

Você também pode usar os comandos da CLI do Azureaz feature register e az feature show para registrar o recurso e exibir o status do registro.

Redefinir senha da conta de computador do Active Directory

Se você redefinir acidentalmente a senha da conta de computador do AD no servidor do AD ou se o servidor do AD estiver inacessível, você poderá redefinir com segurança a senha da conta do computador para preservar a conectividade com seus volumes. Uma redefinição afeta todos os volumes no servidor SMB.

Registrar o recurso

No momento, a funcionalidade redefinir senha da conta de computador do Active Directory está em versão prévia pública. Se você estiver usando esse recurso pela primeira vez, precisará registrar o recurso primeiro.

Registre a funcionalidade redefinir senha da conta de computador do Active Directory:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Verifique o status do registro do recurso. O RegistrationState pode ficar no estado Registering por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registered antes de continuar.

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume