Criar e gerir ligações ative directory para Azure NetApp Files

Várias funcionalidades de Azure NetApp Files requerem que tenha uma ligação Ative Directory. Por exemplo, precisa de ter uma ligação Ative Directory antes de poder criar um volume SMB, um volume NFSv4.1 Kerberos ou um volume de duplo protocolo. Este artigo mostra-lhe como criar e gerir ligações ative directy para Azure NetApp Files.

Requisitos e considerações para ligações ao Diretório Ativo

Importante

Deve seguir as diretrizes descritas nas diretrizes de Ative Directory Domain Services para o projeto do site e planeamento de Azure NetApp Files para Ative Directory Domain Services (AD DS) ou Azure Ative Directory Domain Services (AAD DS) usado com Azure NetApp Files. Além disso, antes de criar a ligação AD, reveja modificar as ligações do Diretório Ativo para Azure NetApp Files para entender o impacto de fazer alterações nas opções de configuração de ligação AD após a criação da ligação AD. As alterações às opções de configuração de ligação AD são disruptivas para o acesso ao cliente e algumas opções não podem ser alteradas.

  • Deve ser criada uma conta Azure NetApp Files na região onde são implantados volumes Azure NetApp Files.

  • Pode configurar apenas uma ligação Ative Directory (AD) por subscrição por região.

    Azure NetApp Files não suporta várias ligações AD numa única região, mesmo que as ligações AD sejam criadas em diferentes contas NetApp. No entanto, pode ter várias ligações AD numa única subscrição se as ligações AD estiverem em diferentes regiões. Se precisar de várias ligações AD numa única região, pode utilizar subscrições separadas para o fazer.

    A ligação AD só é visível através da conta NetApp em que foi criada. No entanto, pode ativar a funcionalidade AD partilhada para permitir que as contas NetApp que estão sob a mesma subscrição e mesma região utilizem a mesma ligação AD. Consulte várias contas NetApp na mesma subscrição e região para uma ligação AD.

  • A conta de administração de ligação Azure NetApp Files AD deve ter as seguintes propriedades:

    • Deve ser uma conta de utilizador de domínio AD DS no mesmo domínio onde são criadas as contas Azure NetApp Files máquina.
    • Deve ter a permissão para criar contas de máquina (por exemplo, adere ao domínio AD) no caminho da unidade organizacional AD DS especificado na opção de percurso da unidade organizacional da ligação AD.
    • Não pode ser uma conta de serviço gerida pelo grupo.
  • A conta de administração de ligação AD suporta os tipos de encriptação Kerberos AES-128 e Kerberos AES-256 para autenticação com DS AD para criação de conta de máquina Azure NetApp Files (por exemplo, o domínio AD junta-se às operações).

  • Para ativar a encriptação AES na conta de administração de ligação AD Azure NetApp Files, tem de utilizar uma conta de utilizador de domínio AD que seja membro de um dos seguintes grupos de DS AD:

    • Administradores do Domínio
    • Administradores da Empresa
    • Administradores
    • Operadores de Conta
    • Azure AD Administradores de DC (apenas Azure AD DS)
    • Em alternativa, uma conta de utilizador de domínio AD com msDS-SupportedEncryptionTypes permissão de escrita na conta de administração de ligação AD também pode ser usada para definir a propriedade do tipo de encriptação Kerberos na conta de administração de ligação AD.

    Nota

    Não é recomendado nem necessário adicionar a conta de administração Azure NetApp Files AD aos grupos de domínio AD listados acima. Também não é recomendado ou obrigado a conceder msDS-SupportedEncryptionTypes permissão de escrita à conta de administração Azure NetApp Files AD.

    Se definir a encriptação AES-128 e AES-256 Kerberos na conta de administração da ligação AD, será utilizado o mais alto nível de encriptação suportado pelo seu DS AD.

  • Para ativar o suporte de encriptação AES para a conta de administração na ligação AD, executar os seguintes comandos Ative Directory PowerShell:

    Get-ADUser -Identity <ANF AD connection account username>
    Set-ADUser -KerberosEncryptionType <encryption_type>
    

    KerberosEncryptionType é um parâmetro multivalorizado que suporta valores AES-128 e AES-256.

    Para obter mais informações, consulte a documentação set-ADUser.

  • Se tiver um requisito para ativar e desativar certos tipos de encriptação Kerberos para contas de computador do Ative Directory para anfitriões Windows ligados ao domínio utilizados com Azure NetApp Files, deve utilizar o Política de Grupo Network Security: Configure Encryption types allowed for Kerberos.

    Não estale a chave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesde registo . Ao fazê-lo, quebrará a autenticação kerberos com Azure NetApp Files para o anfitrião do Windows onde esta chave de registo foi definida manualmente.

    Nota

    A definição de política predefinida para Network Security: Configure Encryption types allowed for Kerberos é Not Defined. Quando esta definição de política estiver definida para Not Defined, todos os tipos de encriptação, exceto DES, estarão disponíveis para encriptação Kerberos. Tem a opção de ativar o suporte apenas para certos tipos de encriptação Kerberos (por exemplo, AES128_HMAC_SHA1 ou AES256_HMAC_SHA1). No entanto, a política por defeito deve ser suficiente na maioria dos casos ao permitir o suporte de encriptação da AES com Azure NetApp Files.

    Para obter mais informações, consulte a segurança da rede: Configurar tipos de encriptação permitidos para Configurações Kerberos ou Windows para Tipos de Encriptação Suportados kerberos

Criar uma ligação ative diretório

  1. Na sua conta NetApp, selecione ligações Ative Directory e, em seguida, selecione 'Juntar-se'.

    Screenshot mostrando o menu de ligações do Ative Directory. O botão de junção está realçado.

    Nota

    Azure NetApp Files suporta apenas uma ligação Ative Directory na mesma região e a mesma subscrição.

  2. Na janela 'Unir Diretório Activo', forneça as seguintes informações, com base nos Serviços de Domínio que pretende utilizar:

    • DNS primários (obrigatórios)
      Este é o endereço IP do servidor PRINCIPAL DNS que é necessário para operações de junção de diretório ativo, autenticação SMB, Kerberos e operações LDAP.

    • DNS secundários
      Este é o endereço IP do servidor DNS secundário que é necessário para operações de junção de diretório ativo, autenticação SMB, Kerberos e operações LDAP.

      Nota

      Recomenda-se que configuure um servidor DNS secundário. Consulte as diretrizes para Ative Directory Domain Services design do site e planeamento para Azure NetApp Files. Certifique-se de que a configuração do servidor DNS satisfaz os requisitos para Azure NetApp Files. Caso contrário, Azure NetApp Files operações de serviço, autenticação SMB, Kerberos ou operações LDAP podem falhar.

      Se utilizar Azure AD DS (AAD DS), deverá utilizar os endereços IP dos controladores de domínio AAD DS para DNS Primários e DNS Secundários, respectivamente.

    • Nome de domínio DNS AD (obrigatório)
      Este é o nome de domínio totalmente qualificado do DS AD que será usado com Azure NetApp Files (por exemplo, contoso.com).

    • Nome do site da AD (obrigatório)
      Este é o nome do site AD DS que será usado por Azure NetApp Files para a descoberta do controlador de domínio.

      O nome do site padrão tanto para ADDS como para AADDS é Default-First-Site-Name. Siga as convenções de nomeação para nomes do site se quiser mudar o nome do site.

      Nota

      Consulte as diretrizes para Ative Directory Domain Services design do site e planeamento para Azure NetApp Files. Certifique-se de que o design e configuração do seu site AD DS satisfazem os requisitos para Azure NetApp Files. Caso contrário, Azure NetApp Files operações de serviço, autenticação SMB, Kerberos ou operações LDAP podem falhar.

    • Prefixo do servidor SMB (conta de computador) (obrigatório)
      Este é o prefixo de nomeação para novas contas de máquinas criadas em DS AD para volumes de SMB Azure NetApp Files, protocolo duplo e volumes NFSv4.1 Kerberos.

      Por exemplo, se o padrão de nomeação que a sua organização utiliza para serviços de ficheiros for NAS-01, NAS-02e assim por diante, então você usaria NAS para o prefixo.

      Azure NetApp Files criará contas de máquinas adicionais em DS AD, se necessário.

      Importante

      Renomear o prefixo do servidor SMB depois de criar a ligação Ative Directory é disruptivo. Terá de reeserpar as ações SMB existentes depois de renomear o prefixo do servidor SMB.

    • Percurso da unidade organizacional
      Este é o caminho LDAP para a unidade organizacional (OU) onde serão criadas contas de máquinas de servidor SMB. Isto é, OU=second level, OU=first level Por exemplo, se quiser utilizar um OU chamado criado ANF na raiz do domínio, o valor será OU=ANF.

      Se não for fornecido qualquer valor, Azure NetApp Files utilizará o CN=Computers recipiente.

      Se estiver a utilizar Azure NetApp Files com a Azure Ative Directory Domain Services (AAD DS), o caminho da unidade organizacional éOU=AADDC Computers

      Screenshot dos campos de entrada do Diretório Ativo.

    • Encriptação AES
      Esta opção permite o suporte de autenticação de encriptação AES para a conta de administração da ligação AD.

      Screenshot do campo de descrição da AES. O campo é uma caixa de verificação.

      Consulte os requisitos relativos às ligações do Diretório Ativo para os requisitos.

    • Assinatura LDAP

      Esta opção permite a assinatura de LDAP. Esta funcionalidade permite a verificação de integridade para a simples autenticação e camada de segurança (SASL) LDAP liga-se a partir de Azure NetApp Files e dos controladores de domínio Ative Directory Domain Services especificados pelo utilizador.

      Azure NetApp Files suporta a Ligação do Canal LDAP se as opções de assinatura LDAP e LDAP sobre as definições de TLS estiverem ativadas na Ligação do Diretório Ativo. Para mais informações, consulte a ADV190023 | Microsoft Orientação para habilitar a ligação do canal LDAP e a assinatura LDAP.

      Screenshot da caixa de verificação de assinatura LDAP.

    • Permitir utilizadores locais de NFS com LDAP Esta opção permite aos utilizadores locais de clientes NFS acederem aos volumes NFS. A definição desta opção desativa grupos alargados para volumes NFS. Também limita o número de grupos a 16. Para obter mais informações, consulte permitir que os utilizadores locais de NFS com LDAP acedam a um volume de dois protocolos.

    • LDAP através de TLS

      Esta opção permite que o LDAP sobre o TLS seja comunicação segura entre um volume Azure NetApp Files e o servidor LDAP do Diretório Ativo. Pode ativar LDAP em TLS para volumes de NFS, SMB e duplo protocolo de Azure NetApp Files.

      Nota

      O LDAP sobre o TLS não deve ser ativado se estiver a utilizar o Azure Ative Directory Domain Services (AAD DS). AAD DS utiliza LDAPS (porta 636) para assegurar o tráfego LDAP em vez de LDAP sobre TLS (porta 389).

      Para obter mais informações, consulte a autenticação LDAP do Enable Ative Directory Domain Services (AD DS) para volumes NFS.

    • Certificado CA raiz do servidor

      Esta opção faz o upload do certificado CA utilizado com LDAP em vez de TLS.

      Para obter mais informações, consulte a autenticação LDAP do Enable Ative Directory Domain Services (AD DS) para volumes NFS. 

    • LDAP Search Scope, User DN, Group DN e Group Membership Filter

      A opção de âmbito de pesquisa LDAP otimiza as consultas de Azure NetApp Files armazenamento LDAP para utilização com grandes topologias AD DS e LDAP com grupos alargados ou estilo de segurança Unix com um volume de duplo protocolo Azure NetApp Files.

      As opções de DN do Utilizador e do Grupo DN permitem-lhe definir a base de pesquisa em AD DS LDAP.

      A opção Filtro de Membros do Grupo permite-lhe criar um filtro de pesquisa personalizado para utilizadores que sejam membros de grupos DS AD específicos.

      Screenshot do campo de mira de pesquisa LDAP, mostrando uma caixa verificada.

      Consulte o Configure AD DS LDAP com grupos alargados para acesso ao volume NFS para obter informações sobre estas opções.

    • Ligações SMB encriptadas ao Controlador de Domínio

      As ligações SMB encriptadas ao Controlador de Domínio especificam se a encriptação deve ser usada para comunicação entre um servidor SMB e controlador de domínio. Quando ativado, apenas o SMB3 será utilizado para ligações encriptadas do controlador de domínio.

      Esta funcionalidade encontra-se em pré-visualização. Se esta for a sua primeira utilização de ligações SMB encriptadas ao controlador de domínio, deve registá-la:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      Verifique o estado do registo da funcionalidade:

      Nota

      O Estado de Registo pode estar no Registering estado até 60 minutos antes de mudar paraRegistered. Aguarde até que o estado seja Registered antes de continuar.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      Também pode utilizar os comandosaz feature register Azure CLI e az feature show registar a funcionalidade e exibir o estado de registo.

    • Utilizadores de política de backup Esta opção concede privilégios de segurança adicionais a utilizadores ou grupos de domínio AD DS que requerem privilégios elevados de backup para suportar fluxos de trabalho de backup, restauro e migração em Azure NetApp Files. As contas ou grupos de utilizadores AD DS especificados terão permissões elevadas de NTFS ao nível do ficheiro ou da pasta.

      Screenshot do campo de utilizadores da política de backup mostrando um campo de entrada de texto vazio.

      Aplicam-se os seguintes privilégios quando utiliza a definição de utilizadores de política de backup :

      Privilege Descrição
      SeBackupPrivilege Fazer o back-up ficheiros e diretórios, sobrevando quaisquer ACLs.
      SeRestorePrivilege Restaurar ficheiros e diretórios, sobrepor quaisquer ACLs.
      Desave o utilizador ou o grupo SID válidos como o proprietário do ficheiro.
      SeChangeNotifyPrivilege Ignore a verificação transversal.
      Os utilizadores com este privilégio não são obrigados a ter permissões (x) para atravessar pastas ou symlinks.
    • Utilizadores de privilégios de segurança
      Esta opção concede privilégios de segurança (SeSecurityPrivilege) a utilizadores ou grupos de domínio AD DS que requerem privilégios elevados para aceder a volumes Azure NetApp Files. Os utilizadores ou grupos de DS AD especificados serão autorizados a executar determinadas ações em ações SMB que requerem privilégio de segurança não atribuído por padrão aos utilizadores de domínio.

      Screenshot mostrando a caixa de utilizadores de privilégios de segurança da janela de ligações do Ative Directory.

      O privilégio a seguir aplica-se quando utiliza a definição de utilizadores de privilégios de segurança :

      Privilege Descrição
      SeSecurityPrivilege Gerir as operações de registo.

      Esta função é utilizada para instalar SQL Server em certos cenários em que uma conta de domínio AD DS não administradora deve ser temporariamente concedida um privilégio de segurança elevado.

      Nota

      A utilização da funcionalidade de privilégio de Segurança exige que envie um pedido de lista de espera através da página de submissão de lista de espera de Azure NetApp Files SMB Continuous Availability Shares Public Preview. Aguarde um e-mail oficial de confirmação da equipa de Azure NetApp Files antes de utilizar esta funcionalidade. A Disponibilidade Contínua SMB não é suportada em aplicações personalizadas. É suportado apenas para cargas de trabalho usando Citrix App Laying, recipientes de perfil de utilizador FSLogix e Microsoft SQL Server (não Linux SQL Server).

      Importante

      A utilização da funcionalidade de privilégio de Segurança exige que envie um pedido de lista de espera através da página de submissão de lista de espera de Azure NetApp Files SMB Continuous Availability Shares Public Preview. Aguarde um e-mail oficial de confirmação da equipa de Azure NetApp Files antes de utilizar esta funcionalidade.
      Esta funcionalidade é opcional e suportada apenas com servidor SQL. A conta de domínio AD DS utilizada para instalar o servidor SQL já deve existir antes de a adicionar à opção de utilizadores de privilégios de Segurança . Quando adicionar a conta de instalador SQL Server à opção de utilizadores de privilégios de segurança, o serviço Azure NetApp Files pode validar a conta contactando um controlador de domínio AD DS. Esta ação pode falhar se Azure NetApp Files não puder contactar o controlador de domínio DS AD.

      Para obter mais informações sobre SeSecurityPrivilege e SQL Server, consulte SQL Server instalação falha se a conta Configuração não tiver determinados direitos de utilizador.

    • Administradores privilegiam utilizadores

      Esta opção concede privilégios de segurança adicionais a utilizadores ou grupos de domínio AD DS que requerem privilégios elevados para aceder aos volumes Azure NetApp Files. As contas especificadas terão permissões elevadas ao nível do ficheiro ou da pasta.

      Screenshot que mostra a caixa de administradores da janela de ligações do Diretório Ativo.

      Aplicam-se os seguintes privilégios quando utiliza a definição de utilizadores privilegiados dos Administradores :

      Privilege Descrição
      SeBackupPrivilege Fazer o back-up ficheiros e diretórios, sobrevando quaisquer ACLs.
      SeRestorePrivilege Restaurar ficheiros e diretórios, sobrepor quaisquer ACLs.
      Desave o utilizador ou o grupo SID válidos como o proprietário do ficheiro.
      SeChangeNotifyPrivilege Ignore a verificação transversal.
      Os utilizadores com este privilégio não são obrigados a ter permissões de travessia (x) para atravessar pastas ou symlinks.
      SeTakeOwnershipPrivilege Apropriar-se de ficheiros ou outros objetos.
      SeSecurityPrivilege Gerir as operações de registo.
      SeChangeNotifyPrivilege Ignore a verificação transversal.
      Os utilizadores com este privilégio não são obrigados a ter permissões de travessia (x) para atravessar pastas ou symlinks.
    • Credenciais, incluindo o seu nome de utilizador e senha

      Screenshot que mostra campos de credenciais de Ative Directory mostrando o nome de utilizador, palavra-passe e confirmar os campos de palavras-passe.

      Importante

      Embora o Ative Directory suporte senhas de 256 caracteres, as palavras-passe do Ative Directory com Azure NetApp Files não podem exceder 64 caracteres.

  3. Selecione Join.

    A ligação Ative Directory que criou aparece.

    Screenshot do menu de ligações ative directory mostrando uma ligação criada com sucesso.

Mapear várias contas do NetApp na mesma subscrição e região para uma ligação AD

A funcionalidade AD Partilhada permite que todas as contas NetApp partilhem uma ligação Ative Directory (AD) criada por uma das contas NetApp que pertencem à mesma subscrição e à mesma região. Por exemplo, usando esta funcionalidade, todas as contas NetApp na mesma subscrição e região podem usar a configuração AD comum para criar um volume SMB, um volume NFSv4.1 Kerberos ou um volume de duplo protocolo. Quando utilizar esta funcionalidade, a ligação AD será visível em todas as contas NetApp que estão sob a mesma subscrição e mesma região.

Esta funcionalidade encontra-se em pré-visualização. Tem de registar a funcionalidade antes de a utilizar pela primeira vez. Após a inscrição, a funcionalidade está ativada e funciona em segundo plano. Não é necessário qualquer controlo de UI.

  1. Registar a função:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    
  2. Verifique o estado do registo da funcionalidade:

    Nota

    O Estado de Registo pode estar no Registering estado até 60 minutos antes de mudar paraRegistered. Aguarde até que o estado seja registado antes de continuar.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    

Também pode utilizar os comandosaz feature register Azure CLI e az feature show registar a funcionalidade e exibir o estado de registo.

Repor palavra-passe da conta de computador do Active Directory

Se redefinir acidentalmente a palavra-passe da conta de computador AD no servidor AD ou o servidor AD estiver inacessível, pode redefinir com segurança a palavra-passe da conta do computador para preservar a conectividade aos seus volumes. Um reset afeta todos os volumes do servidor SMB.

Registar a funcionalidade

A funcionalidade de senha de conta de computador do Ative Directory reiniciada está atualmente em visualização pública. Se estiver a utilizar esta funcionalidade pela primeira vez, tem de registar a funcionalidade primeiro.

  1. Registar a funcionalidade de senha de conta de computador do Ative Directory reiniciada :
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Verifique o estado do registo de funcionalidades. O Estado de Registo pode estar no Registering estado até 60 minutos antes de mudar paraRegistered. Aguarde até que o estado seja Registered antes de continuar.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Também pode utilizar os comandosaz feature register Azure CLI e az feature show registar a funcionalidade e exibir o estado de registo.

Passos

  1. Navegue para o menu de visão geral do volume. Selecione Reset Ative Directory Account. Interface de visão geral do volume Azure com o botão Reset Ative Directory Account realçado. Alternadamente, navegue para o menu Volumes . Identifique o volume para o qual pretende redefinir a conta Ative Directory e selecione os três pontos (...) no final da linha. Selecione Reset Ative Directory Account. Lista de volumes Azure com o botão Reset Ative Directory Account realçado.
  2. Uma mensagem de aviso que explica as implicações desta ação vai aparecer. Escreva sim na caixa de texto para prosseguir. Repor a mensagem de aviso da conta de diretório ativo que diz: Aviso! Esta ação irá repor a conta do diretório ativo para o volume. Esta ação destina-se a que os utilizadores recuperem o acesso aos volumes à sua disposição e podem fazer com que os dados sejam inacessíveis se executados quando não forem necessários.

Passos seguintes