Compreender as diretrizes para o design e planejamento do site dos Serviços de Domínio Ative Directory para Arquivos NetApp do Azure
O design e o planejamento adequados dos Serviços de Domínio Ative Directory (AD DS) são fundamentais para arquiteturas de solução que usam volumes de Arquivos NetApp do Azure. Os recursos dos Arquivos NetApp do Azure, como volumes SMB, volumes de protocolo duplo e volumes Kerberos NFSv4.1, foram projetados para serem usados com o AD DS.
Este artigo fornece recomendações para ajudá-lo a desenvolver uma estratégia de implantação do AD DS para Arquivos NetApp do Azure. Antes de ler este artigo, você precisa ter um bom entendimento sobre como o AD DS funciona em um nível funcional.
Identificar os requisitos do AD DS para o Azure NetApp Files
Antes de implantar os volumes dos Arquivos NetApp do Azure, você deve identificar os requisitos de integração do AD DS para os Arquivos NetApp do Azure para garantir que os Arquivos NetApp do Azure estejam bem conectados ao AD DS. A integração incorreta ou incompleta do AD DS com os Arquivos NetApp do Azure pode causar interrupções ou interrupções de acesso do cliente para volumes SMB, protocolo duplo ou Kerberos NFSv4.1.
Cenários de autenticação suportados
Os Arquivos NetApp do Azure dão suporte à autenticação baseada em identidade sobre SMB por meio dos seguintes métodos.
- Autenticação do AD DS: as máquinas Windows associadas ao AD DS podem aceder a partilhas de Ficheiros NetApp do Azure com credenciais do Ative Directory através de SMB. Seu cliente deve ter linha de visão para seu AD DS. Se você já tiver o AD DS configurado no local ou em uma VM no Azure onde seus dispositivos ingressaram no domínio do AD DS, use o AD DS para autenticação de compartilhamento de arquivos dos Arquivos NetApp do Azure.
- Autenticação dos Serviços de Domínio Microsoft Entra: As VMs do Windows baseadas na nuvem e associadas aos Serviços de Domínio Microsoft Entra podem aceder a partilhas de ficheiros do Azure NetApp Files com credenciais dos Serviços de Domínio Microsoft Entra. Nesta solução, os Serviços de Domínio Microsoft Entra executam um domínio tradicional do Windows Server AD em nome do cliente.
- Autenticação Kerberos do AD para clientes Linux: os clientes Linux podem usar a autenticação Kerberos sobre SMB para Arquivos NetApp do Azure usando o AD DS.
Requisitos de rede
Para operações previsíveis dos Serviços de Domínio Ative Directory com volumes de Arquivos NetApp do Azure, é altamente recomendável uma conectividade de rede confiável e de baixa latência (igual ou inferior a 10 milissegundos [ms] de tempo de ida e volta [RTT]) com controladores de domínio AD DS. A conectividade de rede fraca ou a alta latência de rede entre os Arquivos NetApp do Azure e os controladores de domínio do AD DS podem causar interrupções de acesso do cliente ou tempos limite do cliente.
Nota
A recomendação de 10ms segue as orientações em Criar um Design de Site: Decidir quais locais se tornarão sites.
Certifique-se de atender aos seguintes requisitos sobre topologia e configurações de rede:
- Verifique se uma topologia de rede com suporte para Arquivos NetApp do Azure é usada.
- Verifique se os controladores de domínio do AD DS têm conectividade de rede da sub-rede delegada dos Arquivos NetApp do Azure que hospeda os volumes dos Arquivos NetApp do Azure.
- As topologias de rede virtual emparelhadas com controladores de domínio AD DS devem ter o emparelhamento configurado corretamente para dar suporte aos Arquivos NetApp do Azure à conectividade de rede do controlador de domínio AD DS.
- Os NSGs (Grupos de Segurança de Rede) e os firewalls do controlador de domínio do AD DS devem ter regras configuradas adequadamente para dar suporte à conectividade dos Arquivos NetApp do Azure com o AD DS e o DNS.
- Para uma experiência ideal, verifique se a latência da rede é igual ou inferior a 10ms RTT entre os Arquivos NetApp do Azure e os controladores de domínio do AD DS. Qualquer RTT superior a 10ms pode levar a uma experiência degradada do aplicativo ou do usuário em aplicativos/ambientes sensíveis à latência. Caso o RTT seja muito alto para uma experiência de usuário desejável, considere implantar controladores de domínio de réplica em seu ambiente de Arquivos NetApp do Azure. Consulte também Considerações sobre os Serviços de Domínio Ative Directory.
Para obter mais informações sobre os requisitos do Microsoft Ative Directory para latência de rede em uma rede de longa distância, consulte Criando um design de site.
As portas de rede necessárias são as seguintes:
| Serviço | Portas | Protocolos |
|---|---|---|
| ICMPv4 (ping) | N/A | Echo Responder |
| DNS* | 53 | TCP, UDP |
| Kerberos | 88 | TCP, UDP |
| Serviço de Datagrama NetBIOS | 138 | UDP |
| NetBIOS | 139 | UDP |
| LDAP** | 389 | TCP, UDP |
| Gerente de Conta de Segurança (SAM)/Autoridade de Segurança Local (LSA)/SMB | 445 | TCP, UDP |
| Kerberos (kpasswd) | 464 | TCP, UDP |
| Catálogo Global do Ative Directory | 3268 | TCP |
| Catálogo Global Seguro do Ative Directory | 3269 | TCP |
| Serviço Web do Ative Directory | 9389 | TCP |
* Apenas DNS do Ative Directory
** LDAP sobre SSL (porta 636) não é suportado no momento. Em vez disso, use LDAP sobre StartTLS (porta 389) para criptografar o tráfego LDAP.
Para obter informações sobre DNS, consulte Compreender sistemas de nomes de domínio em arquivos NetApp do Azure.
Requisitos da fonte de tempo
Os Arquivos NetApp do Azure usam time.windows.com como a fonte de tempo. Verifique se os controladores de domínio usados pelos Arquivos NetApp do Azure estão configurados para usar time.windows.com ou outra fonte de tempo de raiz precisa e estável (estrato 1). Se houver mais de cinco minutos de distorção entre os Arquivos NetApp do Azure e seus controladores de domínio cliente ou AS DS, a autenticação falhará; o acesso aos volumes do Azure NetApp Files também pode falhar.
Decidir qual AD DS usar com os Arquivos NetApp do Azure
Os Arquivos NetApp do Azure dão suporte aos Serviços de Domínio Ative Directory (AD DS) e aos Serviços de Domínio Microsoft Entra para conexões AD. Antes de criar uma conexão AD, você precisa decidir se deseja usar o AD DS ou os Serviços de Domínio Microsoft Entra.
Para obter mais informações, consulte Comparar Serviços de Domínio Ative Directory autogerenciados, ID do Microsoft Entra e Serviços de Domínio Microsoft Entra gerenciados.
Considerações sobre os Serviços de Domínio Ative Directory
Você deve usar os Serviços de Domínio Ative Directory (AD DS) nos seguintes cenários:
- Você tem usuários do AD DS hospedados em um domínio do AD DS local que precisam de acesso aos recursos dos Arquivos NetApp do Azure.
- Você tem aplicativos hospedados parcialmente no local e parcialmente no Azure que precisam de acesso aos recursos do Azure NetApp Files.
- Você não precisa da integração dos Serviços de Domínio Microsoft Entra com um locatário do Microsoft Entra em sua assinatura, ou os Serviços de Domínio Microsoft Entra são incompatíveis com seus requisitos técnicos.
Nota
Os Arquivos NetApp do Azure não oferecem suporte ao uso de Controladores de Domínio Somente Leitura (RODC) do AD DS. Os controladores de domínio graváveis são suportados e necessários para autenticação com volumes de Arquivos NetApp do Azure. Para obter mais informações, consulte Conceitos de replicação do Ative Directory.
Se você optar por usar o AD DS com os Arquivos NetApp do Azure, siga as orientações em Estender o AD DS para o Guia de Arquitetura do Azure e certifique-se de atender aos requisitos de rede e DNS dos Arquivos NetApp do Azure para o AD DS.
Considerações sobre os Serviços de Domínio do Microsoft Entra
Os Serviços de Domínio do Microsoft Entra são um domínio AD DS gerenciado que é sincronizado com seu locatário do Microsoft Entra. Os principais benefícios de usar os Serviços de Domínio Microsoft Entra são os seguintes:
- O Microsoft Entra Domain Services é um domínio autônomo. Como tal, não há necessidade de configurar a conectividade de rede entre o local e o Azure.
- Fornece experiência simplificada de implantação e gerenciamento.
Você deve usar os Serviços de Domínio do Microsoft Entra nos seguintes cenários:
- Não há necessidade de estender o AD DS do local para o Azure para fornecer acesso aos recursos do Azure NetApp Files.
- Suas políticas de segurança não permitem a extensão do AD DS local para o Azure.
- Você não tem um forte conhecimento do AD DS. Os Serviços de Domínio Microsoft Entra podem melhorar a probabilidade de bons resultados com os Arquivos NetApp do Azure.
Se você optar por usar os Serviços de Domínio Microsoft Entra com Arquivos NetApp do Azure, consulte a documentação dos Serviços de Domínio Microsoft Entra para obter diretrizes de arquitetura, implantação e gerenciamento. Certifique-se de que também cumpre os requisitos de Rede e DNS de Ficheiros NetApp do Azure.
Projetar topologia de site do AD DS para uso com Arquivos NetApp do Azure
Um design adequado para a topologia de site do AD DS é fundamental para qualquer arquitetura de solução que envolva volumes SMB, protocolo duplo ou Kerberos NFSv4.1 do Azure NetApp Files.
A topologia ou configuração incorreta do site do AD DS pode resultar nos seguintes comportamentos:
- Falha ao criar volumes SMB, protocolo duplo ou Kerberos NFSv4.1 do Azure NetApp Files
- Falha ao modificar a configuração da conexão ANF AD
- Fraco desempenho da consulta do cliente LDAP
- Problemas de autenticação
Uma topologia de site do AD DS para Arquivos NetApp do Azure é uma representação lógica da rede de Arquivos NetApp do Azure. A criação de uma topologia de site do AD DS para os Arquivos NetApp do Azure envolve o planejamento do posicionamento do controlador de domínio, a criação de sites, a infraestrutura DNS e as sub-redes de rede para garantir uma boa conectividade entre o serviço Azure NetApp Files, os clientes de armazenamento do Azure NetApp Files e os controladores de domínio do AD DS.
Além de vários controladores de domínio atribuídos ao site do AD DS configurado no Nome do Site do AD dos Arquivos NetApp do Azure, o site do AD DS dos Arquivos NetApp do Azure pode ter uma ou mais sub-redes atribuídas a ele.
Nota
É essencial que todos os controladores de domínio e sub-redes atribuídos ao site AD DS dos Arquivos NetApp do Azure estejam bem conectados (latência RTT inferior a 10ms) e acessíveis pelas interfaces de rede usadas pelos volumes dos Arquivos NetApp do Azure.
Se estiver a utilizar funcionalidades de rede Padrão, deve certificar-se de que quaisquer regras de Rotas Definidas pelo Utilizador (UDRs) ou de Grupo de Segurança de Rede (NSG) não bloqueiem a comunicação de rede dos Ficheiros NetApp do Azure com controladores de domínio AD DS atribuídos ao site AD DS dos Ficheiros NetApp do Azure.
Se você estiver usando Dispositivos Virtuais de Rede ou firewalls (como firewalls Palo Alto Networks ou Fortinet), eles deverão ser configurados para não bloquear o tráfego de rede entre os Arquivos NetApp do Azure e os controladores de domínio e sub-redes do AD DS atribuídos ao site AD DS dos Arquivos NetApp do Azure.
Como os Arquivos NetApp do Azure usam as informações do site do AD DS
Os Arquivos NetApp do Azure usam o Nome do Site do AD configurado nas conexões do Ative Directory para descobrir quais controladores de domínio estão presentes para dar suporte à autenticação, associação ao domínio, consultas LDAP e operações de tíquete Kerberos.
Deteção do controlador de domínio do AD DS
Os Arquivos NetApp do Azure iniciam a descoberta do controlador de domínio a cada quatro horas. Os Arquivos NetApp do Azure consultam o registro SRV (recurso de serviço DNS) específico do site para determinar quais controladores de domínio estão no site do AD DS especificado no campo Nome do Site do AD da conexão do Azure NetApp Files AD. A descoberta do servidor do controlador de domínio do Azure NetApp Files verifica o status dos serviços hospedados nos controladores de domínio (como Kerberos, LDAP, Logon de Rede e LSA) e seleciona o controlador de domínio ideal para solicitações de autenticação.
Os registros SRV DNS para o site do AD DS especificado no campo Nome do Site do AD da conexão do Azure NetApp Files AD devem conter a lista de endereços IP para os controladores de domínio do AD DS que serão usados pelos Arquivos NetApp do Azure. Você pode verificar a validade do registro SRV DNS usando o nslookup utilitário.
Nota
Se você fizer alterações nos controladores de domínio no site do AD DS usado pelos Arquivos NetApp do Azure, aguarde pelo menos quatro horas entre a implantação de novos controladores de domínio do AD DS e a desativação dos controladores de domínio AD DS existentes. Esse tempo de espera permite que os Arquivos NetApp do Azure descubram os novos controladores de domínio do AD DS.
Certifique-se de que os registos DNS obsoletos associados ao controlador de domínio AD DS descontinuado são removidos do DNS. Isso garante que os Arquivos NetApp do Azure não tentarão se comunicar com o controlador de domínio aposentado.
Deteção de servidor LDAP do AD DS
Um processo de descoberta separado para servidores LDAP do AD DS ocorre quando o LDAP está habilitado para um volume NFS do Azure NetApp Files. Quando o cliente LDAP é criado nos Arquivos NetApp do Azure, os Arquivos NetApp do Azure consultam o registro AD DS SRV para obter uma lista de todos os servidores AD DS LDAP no domínio e não os servidores AD DS LDAP atribuídos ao site do AD DS especificado na conexão do AD.
Em topologias do AD DS grandes ou complexas, talvez seja necessário implementar políticas de DNS ou priorização de sub-rede DNS para garantir que os servidores LDAP do AD DS atribuídos ao site do AD DS especificado na conexão do AD sejam retornados.
Como alternativa, o processo de descoberta do servidor LDAP do AD DS pode ser substituído especificando até dois servidores AD preferenciais para o cliente LDAP.
Importante
Se os Arquivos NetApp do Azure não puderem acessar um servidor LDAP do AD DS descoberto durante a criação do cliente LDAP dos Arquivos NetApp do Azure, a criação do volume habilitado para LDAP falhará.
Consequências da configuração incorreta ou incompleta do Nome do Site do AD
A topologia ou configuração incorreta ou incompleta do site do AD DS pode resultar em falhas de criação de volume, problemas com consultas de cliente, falhas de autenticação e falhas para modificar conexões do Azure NetApp Files AD.
Importante
O campo Nome do Site do AD é necessário para criar uma conexão do Azure NetApp Files AD. O site do AD DS definido deve existir e estar configurado corretamente.
Os Arquivos NetApp do Azure usam o Site do AD DS para descobrir os controladores de domínio e as sub-redes atribuídas ao Site do AD DS definido no Nome do Site do AD. Todos os controladores de domínio atribuídos ao Site do AD DS devem ter boa conectividade de rede das interfaces de rede virtual do Azure usadas pelo ANF e estar acessíveis. As VMs do controlador de domínio do AD DS atribuídas ao Site do AD DS usado pelos Arquivos NetApp do Azure devem ser excluídas das políticas de gerenciamento de custos que desligam as VMs.
Se os Arquivos NetApp do Azure não conseguirem acessar nenhum controlador de domínio atribuído ao site do AD DS, o processo de descoberta do controlador de domínio consultará o domínio do AD DS para obter uma lista de todos os controladores de domínio. A lista de controladores de domínio retornados dessa consulta é uma lista não ordenada. Como resultado, os Arquivos NetApp do Azure podem tentar usar controladores de domínio que não estão acessíveis ou bem conectados, o que pode causar falhas de criação de volume, problemas com consultas de cliente, falhas de autenticação e falhas para modificar conexões do Azure NetApp Files AD.
Você deve atualizar a configuração do Site do AD DS sempre que novos controladores de domínio forem implantados em uma sub-rede atribuída ao site do AD DS usado pela Conexão do AD dos Arquivos NetApp do Azure. Certifique-se de que os registros SRV DNS do site reflitam quaisquer alterações nos controladores de domínio atribuídos ao Site do AD DS usado pelos Arquivos NetApp do Azure. Você pode verificar a validade do registro de recurso SRV DNS usando o nslookup utilitário.
Nota
Os Arquivos NetApp do Azure não oferecem suporte ao uso de Controladores de Domínio Somente Leitura (RODC) do AD DS. Para impedir que os Arquivos NetApp do Azure usem um RODC, não configure o campo Nome do Site do AD das conexões do AD com um RODC. Os controladores de domínio graváveis são suportados e necessários para autenticação com volumes de Arquivos NetApp do Azure. Para obter mais informações, consulte Conceitos de replicação do Ative Directory.
Exemplo de configuração de topologia de site do AD DS para Arquivos NetApp do Azure
Uma topologia de site do AD DS é uma representação lógica da rede onde os Arquivos NetApp do Azure são implantados. Nesta seção, o cenário de configuração de exemplo para topologia de site do AD DS pretende mostrar um design de site básico do AD DS para Arquivos NetApp do Azure. Não é a única maneira de projetar topologia de rede ou site do AD para Arquivos NetApp do Azure.
Importante
Para cenários que envolvem AD DS complexo ou topologias de rede complexas, você deve ter um arquiteto de soluções de nuvem do Microsoft Azure CSA revisar a rede dos Arquivos NetApp do Azure e o design do Site do AD.
O diagrama a seguir mostra uma topologia de rede de exemplo:
Na topologia de rede de exemplo, um domínio AD DS local (anf.local) é estendido para uma rede virtual do Azure. A rede local está conectada à rede virtual do Azure usando um circuito de Rota Expressa do Azure.
A rede virtual do Azure tem quatro sub-redes: Sub-rede de Gateway, Sub-rede de Bastião do Azure, Sub-rede AD DS e uma Sub-rede Delegada de Arquivos NetApp do Azure. Os controladores de domínio redundantes do AD DS associados ao anf.local domínio são implantados na sub-rede do AD DS. A sub-rede AD DS recebe o intervalo de endereços IP 10.0.0.0/24.
Os Arquivos NetApp do Azure só podem usar um site do AD DS para determinar quais controladores de domínio serão usados para autenticação, consultas LDAP e Kerberos. No cenário de exemplo, dois objetos de sub-rede são criados e atribuídos a um site chamado ANF usando o utilitário Sites e Serviços do Ative Directory. Um objeto de sub-rede é mapeado para a sub-rede do AD DS, 10.0.0.0/24, e o outro objeto de sub-rede é mapeado para a sub-rede delegada ANF, 10.0.2.0/24.
Na ferramenta Sites e Serviços do Ative Directory, verifique se os controladores de domínio do AD DS implantados na sub-rede do AD DS estão atribuídos ao ANF site.
Se eles não forem atribuídos, crie o objeto de sub-rede que mapeia para a sub-rede do AD DS na rede virtual do Azure. Clique com o botão direito do mouse no contêiner Sub-redes no utilitário Sites e Serviços do Ative Directory e selecione Nova Sub-rede.... Na caixa de diálogo Novo Objeto - Sub-rede, o intervalo de endereços IP 10.0.0.0/24 da Sub-rede AD DS é inserido no campo Prefixo. Selecione ANF como o objeto de site para a sub-rede. Selecione OK para criar o objeto de sub-rede e atribuí-lo ao ANF site.
Para verificar se o novo objeto de sub-rede está atribuído ao site correto, clique com o botão direito do mouse no objeto de sub-rede 10.0.0.0/24 e selecione Propriedades. O campo Site deve mostrar o objeto do ANF site:
Para criar o objeto de sub-rede que mapeia para a sub-rede delegada dos Arquivos NetApp do Azure na rede virtual do Azure, clique com o botão direito do mouse no contêiner Sub-redes no utilitário Sites e Serviços do Ative Directory e selecione Nova Sub-rede....
Considerações sobre replicação entre regiões
A replicação entre regiões do Azure NetApp Files permite replicar volumes de Arquivos NetApp do Azure de uma região para outra região para dar suporte aos requisitos de continuidade de negócios e recuperação de desastres (BC/DR).
Os volumes Kerberos SMB, protocolo duplo e NFSv4.1 dos Arquivos NetApp do Azure oferecem suporte à replicação entre regiões. A replicação desses volumes requer:
- Uma conta NetApp criada nas regiões de origem e de destino.
- Uma conexão do Ative Directory de Arquivos NetApp do Azure na conta NetApp criada nas regiões de origem e destino.
- Os controladores de domínio do AD DS são implantados e executados na região de destino.
- O design adequado da rede, do DNS e do site do AD DS dos Arquivos NetApp do Azure deve ser implantado na região de destino para permitir uma boa comunicação de rede dos Arquivos NetApp do Azure com os controladores de domínio do AD DS na região de destino.
- A conexão do Ative Directory na região de destino deve ser configurada para usar os recursos do Site DNS e do AD na região de destino.