Создание подключений к Active Directory для Azure NetApp Files и управление ими

Статья
05/17/2024

Для некоторых функций Azure NetApp Files требуется подключение к Active Directory. Например, вам необходимо подключение к Active Directory, прежде чем вы сможете создать том SMB, том NFSv4.1 Kerberos или том с двумя протоколами. В этой статье описано, как создавать подключения к Active Directory для Azure NetApp Files и управлять ими.

Требования и рекомендации для подключений Active Directory

Внимание

Необходимо следовать рекомендациям, описанным в руководстве по проектированию и планированию сайтов служб домен Active Directory для Azure NetApp Files для служб домен Active Directory (AD DS) или доменных служб Microsoft Entra, используемых с Azure NetApp Files.

Перед созданием подключения AD просмотрите сведения об изменении подключений Active Directory для Azure NetApp Files , чтобы понять влияние изменения параметров конфигурации подключения AD после создания подключения AD. Изменения параметров конфигурации подключения AD нарушают доступ к клиенту, и некоторые параметры не могут быть изменены вообще.

Учетная запись Azure NetApp Files должна быть создана в регионе, в котором развертываются тома Azure NetApp Files.
По умолчанию Azure NetApp Files разрешает только одно подключение Active Directory (AD) для каждой подписки.

Вы можете создать одно подключение Active Directory для каждой учетной записи NetApp.

Перед регистрацией в этой функции проверка поле типа Active Directory на странице учетной записи.
Учетная запись администратора подключения Azure NetApp Files AD должна иметь следующие свойства:
- Это должна быть учетная запись пользователя домена AD DS в том же домене, где создаются учетные записи компьютера Azure NetApp Files.
- Он должен иметь разрешение на создание учетных записей компьютеров (например, присоединение к домену AD) в пути подразделения AD DS, указанном в параметре пути единицы организации подключения AD.
- Это не может быть учетная запись управляемой группы.
Учетная запись администратора подключения AD поддерживает типы шифрования Kerberos AES-128 и Kerberos AES-256 для проверки подлинности с помощью AD DS для создания учетной записи компьютера Azure NetApp Files (например, операции присоединения к домену AD).
Чтобы включить шифрование AES в учетной записи администратора подключения Azure NetApp Files AD, необходимо использовать учетную запись пользователя домена AD, являющуюся членом одной из следующих групп AD DS:
- Администраторы домена
- Администраторы предприятия
- Администраторы
- Операторы учета
- Доменные службы Microsoft Entra Администратор istrators _ (только доменные службы Microsoft Entra)_
- Кроме того, учетная запись пользователя домена AD с msDS-SupportedEncryptionTypes разрешением на запись в учетной записи администратора подключения AD также может использоваться для задания свойства типа шифрования Kerberos в учетной записи администратора подключения AD.
Примечание.

При изменении параметра для включения AES в учетной записи администратора подключения AD рекомендуется использовать учетную запись пользователя, которая имеет разрешение на запись в объект AD, который не является администратором Azure NetApp Files AD. Это можно сделать с другой учетной записью администратора домена или делегируя управление учетной записью. Дополнительные сведения см. в разделе "Делегирование Администратор istration с помощью объектов подразделения".

Если вы устанавливаете шифрование AES-128 и AES-256 Kerberos в учетной записи администратора подключения AD, клиент Windows согласовывает самый высокий уровень шифрования, поддерживаемый AD DS. Например, если поддерживаются AES-128 и AES-256, а клиент поддерживает AES-256, будет использоваться AES-256.
Чтобы включить поддержку шифрования AES для учетной записи администратора в подключении AD, выполните следующие команды Active Directory PowerShell:
```
Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>
```
KerberosEncryptionType — это многозначный параметр, поддерживающий значения AES-128 и AES-256.

Дополнительные сведения см. в документации Set-ADUser.
Если у вас есть требование включить и отключить определенные типы шифрования Kerberos для учетных записей компьютеров Active Directory для узлов Windows, присоединенных к домену, используемых с Azure NetApp Files, необходимо использовать групповую политику Network Security: Configure Encryption types allowed for Kerberos.

Не устанавливайте раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesреестра. Это приведет к прерыванию проверки подлинности Kerberos с помощью Azure NetApp Files для узла Windows, где этот раздел реестра был установлен вручную.

Примечание.

Для параметра политики по умолчанию задано Not Definedзначение Network Security: Configure Encryption types allowed for Kerberos . Если этот параметр политики задан Not Defined, все типы шифрования, кроме DES, будут доступны для шифрования Kerberos. У вас есть возможность включить поддержку только определенных типов шифрования Kerberos (например, AES128_HMAC_SHA1 или AES256_HMAC_SHA1). Однако политика по умолчанию должна быть достаточной в большинстве случаев при включении поддержки шифрования AES с помощью Azure NetApp Files.

Дополнительные сведения см. в разделе "Безопасность сети": настройка типов шифрования, разрешенных для Kerberos или конфигураций Windows для поддерживаемых типов шифрования Kerberos
Запросы LDAP вступают в силу только в домене, указанном в подключениях Active Directory ( поле доменного имени AD DNS). Это поведение относится к томам NFS, S МБ и двумя протоколами.
Время ожидания запросов LDAP

По умолчанию время ожидания запросов LDAP, если они не могут быть выполнены своевременно. Если запрос LDAP завершается сбоем из-за времени ожидания, запрос пользователя и группы завершится ошибкой, и доступ к тому Azure NetApp Files может быть отклонен в зависимости от параметров разрешений тома.

Время ожидания запросов может происходить в больших средах LDAP со многими объектами пользователей и групп, при медленном подключении к глобальной сети и при чрезмерном использовании сервера LDAP с запросами. Параметр времени ожидания Azure NetApp Files для запросов LDAP имеет значение 10 секунд. Рекомендуется использовать функции DN пользователя и группы в Подключение Active Directory для сервера LDAP, чтобы фильтровать поисковые запросы, если возникают проблемы с временем ожидания запроса LDAP.

Учетные записи NetApp и тип Active Directory

Чтобы подтвердить тип учетной записи Active Directory, можно использовать страницу обзора учетной записи NetApp. Существует три значения для типа AD:

NA: существующая учетная запись NetApp, которая поддерживает только одну конфигурацию AD для каждой подписки и региона. Конфигурация AD не предоставляется другим учетным записям NetApp в подписке.
Мульти AD: учетная запись NetApp поддерживает одну конфигурацию AD в каждой учетной записи NetApp в подписке. Это позволяет использовать несколько подключений AD для каждой подписки при использовании нескольких учетных записей NetApp.
Общая ad: учетная запись NetApp поддерживает только одну конфигурацию AD для каждой подписки и региона, но конфигурация используется для учетных записей NetApp в подписке и регионе.

Дополнительные сведения о связи между учетными записями NetApp и подписками см. в служба хранилища иерархии Azure NetApp Files.

Создание подключения Active Directory

В учетной записи NetApp выберите подключения Active Directory и присоединитесь.

Примечание.

Azure NetApp Files поддерживает только одно подключение Active Directory в одном регионе и одной подписке.

В окне "Присоединение каталога Active Directory" укажите следующие сведения в зависимости от доменных служб, которые вы хотите использовать.

Основной DNS (обязательный)
Это IP-адрес основного DNS-сервера, который требуется для операций присоединения к домену Active Directory, S МБ проверки подлинности, Kerberos и ldap.
Дополнительный DNS
Это IP-адрес вторичного DNS-сервера, который требуется для операций присоединения к домену Active Directory, S МБ проверки подлинности, Kerberos и LDAP.

Примечание.

Рекомендуется настроить дополнительный DNS-сервер. Ознакомьтесь с рекомендациями по проектированию и планированию сайтов служб домен Active Directory для Azure NetApp Files. Убедитесь, что конфигурация DNS-сервера соответствует требованиям для Azure NetApp Files. В противном случае операции службы Azure NetApp Files, S МБ аутентификации, Kerberos или LDAP могут завершиться ошибкой.

Если вы используете доменные службы Microsoft Entra, используйте IP-адреса контроллеров домена доменных служб Microsoft Entra для основного DNS и дополнительного DNS соответственно.
Доменное имя AD DNS (обязательно)
Это полное доменное имя AD DS, используемое с Azure NetApp Files (например, contoso.com).
Имя сайта AD (обязательно)
Это имя сайта AD DS, которое Azure NetApp Files ИСПОЛЬЗУЕТ для обнаружения контроллера домена.

Имя сайта по умолчанию для доменных служб AD DS и Доменных служб Default-First-Site-NameMicrosoft Entra. Если вы хотите переименовать имя сайта, следуйте соглашениям об именовании сайтов.

Примечание.

Ознакомьтесь с рекомендациями по проектированию и планированию сайтов служб домен Active Directory для Azure NetApp Files. Убедитесь, что дизайн и конфигурация сайта AD DS соответствуют требованиям для Azure NetApp Files. В противном случае операции службы Azure NetApp Files, S МБ аутентификации, Kerberos или LDAP могут завершиться ошибкой.
Префикс сервера S МБ (учетная запись компьютера) (обязательный)
Это префикс именования для новых учетных записей компьютеров, созданных в AD DS для Azure NetApp Files S МБ, двойного протокола и томов Kerberos NFSv4.1.

Например, если стандарт именования, используемый вашей организацией для файловых служб, и NAS-01NAS-02т. д., вы будете использовать NAS для префикса.

Azure NetApp Files создаст дополнительные учетные записи компьютеров в AD DS по мере необходимости.

Внимание

Переименование префикса сервера SMB после создания подключения Active Directory нарушается. После переименования префикса сервера SMB потребуется повторно подключить существующие общие ресурсы SMB.
Путь подразделения
Это путь LDAP для подразделения ,где будут созданы учетные записи сервера S МБ серверных компьютеров. то есть OU=second level, OU=first level. Например, если вы хотите использовать подразделение, созданное ANF в корне домена, значение будет OU=ANF.

Если значение не указано, Azure NetApp Files будет использовать CN=Computers контейнер.

Если вы используете Azure NetApp Files с доменными службами Microsoft Entra, путь к подразделению — OU=AADDC Computers
Шифрование AES
Этот параметр включает поддержку проверки подлинности шифрования AES для учетной записи администратора подключения AD.

Требования к портам описаны в разделе Требования к подключениям Active Directory.
Добавление подписи LDAP

Этот параметр включает подписывание LDAP. Эта функция обеспечивает проверку целостности для привязок LDAP уровня простой проверки подлинности и уровня безопасности (SASL) из Azure NetApp Files и контроллеров домена, указанных пользователем домен Active Directory Services.

Azure NetApp Files поддерживает привязку канала LDAP, если в Подключение Active Directory включены параметры подписи LDAP и LDAP по протоколу TLS. Дополнительные сведения см. в разделе ADV190023 | Руководство Майкрософт по включению привязки каналов LDAP и подписывания LDAP.

Примечание.

Записи DNS PTR для учетных записей компьютера AD DS должны быть созданы в подразделении AD DS, указанном в подключении Azure NetApp Files AD для подписывания LDAP.
Разрешить локальным пользователям NFS с помощью LDAP Этот параметр позволяет локальным пользователям клиента NFS получать доступ к томам NFS. Этот параметр отключает расширенные группы для томов NFS, что ограничивает количество поддерживаемых групп для пользователя до 16. При включении группы, превышающие ограничение на 16 групп, не учитываются в разрешениях на доступ. Дополнительные сведения см. в разделе "Разрешить локальным пользователям NFS с протоколом LDAP" доступ к тому с двумя протоколами.
ПРОТОКОЛ LDAP по протоколу TLS

Этот параметр включает протокол LDAP по протоколу TLS для безопасного взаимодействия между томом Azure NetApp Files и сервером LDAP Active Directory. Можно включить LDAP через TLS для NFS, SMB и томов с двумя протоколами Azure NetApp Files.

Примечание.

Должен быть включен протокол LDAP поверх TLS, если вы намерены использовать доменные службы Microsoft Entra. Доменные службы Microsoft Entra используют LDAPS (порт 636) для защиты трафика LDAP вместо LDAP через TLS (порт 389).

Дополнительные сведения см. в разделе "Включение проверки подлинности LDAP служб домен Active Directory (AD DS) для томов NFS.
Сертификат корневого ЦС сервера

Этот параметр отправляет сертификат ЦС, используемый с протоколом LDAP по протоколу TLS.

Дополнительные сведения см. в разделе "Включение проверки подлинности LDAP служб домен Active Directory (AD DS) для томов NFS. 
Область поиска LDAP, DN пользователя, DN группы и фильтр членства в группах

Параметр поиска LDAP область оптимизирует запросы LDAP хранилища Azure NetApp Files для использования с большими топологиями AD DS и LDAP с расширенными группами или стилем безопасности Unix с томом двойного протокола Azure NetApp Files.

Параметры DN пользователя и группы DN позволяют задать базу поиска в AD DS LDAP. Эти параметры ограничивают области поиска запросов LDAP, сокращая время поиска и помогая сократить время ожидания запросов LDAP.

Параметр "Фильтр членства в группах" позволяет создать пользовательский фильтр поиска для пользователей, являющихся членами определенных групп AD DS.

Дополнительные сведения об этих параметрах см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".
Предпочтительный сервер для клиента LDAP

Предпочтительный сервер для клиента LDAP позволяет отправлять IP-адреса до двух серверов AD в виде разделенного запятыми списка. Вместо того, чтобы последовательно связаться со всеми обнаруженными службами AD для домена, клиент LDAP сначала свяжется с указанными серверами.
Зашифрованные подключения S МБ к контроллеру домена

Зашифрованные S МБ подключения к контроллеру домена указывают, следует ли использовать шифрование для обмена данными между сервером S МБ и контроллером домена. При включении для зашифрованных подключений контроллера домена будет использоваться только S МБ 3.

Эта функция в настоящее время доступна для предварительного ознакомления. Если вы впервые используете зашифрованные S МБ подключения к контроллеру домена, необходимо зарегистрировать его:
```
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
Проверка состояния регистрации функции.

Примечание.

RegistrationState может находиться в состоянии Registering до 60 минут, прежде чем изменится на Registered. Подождите, пока состояние не станет Registered, прежде чем продолжить.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
Вы также можете использовать командыaz feature register Azure CLI и az feature show зарегистрировать функцию и отобразить состояние регистрации.

Пользователи политики резервного копирования предоставляют дополнительные привилегии безопасности пользователям или группам доменных служб AD DS, которым требуются повышенные привилегии резервного копирования для поддержки рабочих процессов резервного копирования, восстановления и миграции в Azure NetApp Files. Указанные учетные записи или группы пользователей AD DS будут иметь разрешения NTFS с повышенными привилегиями на уровне файла или папки.

Снимок экрана: поле пользователей политики резервного копирования с пустым текстовым полем ввода.

Следующие привилегии применяются при использовании параметра политики резервного копирования:

Право	Description
`SeBackupPrivilege`	Резервное копирование файлов и каталогов, переопределяя все списки управления доступом.
`SeRestorePrivilege`	Восстановите файлы и каталоги, переопределяя все списки управления доступом. Задайте допустимый идентификатор пользователя или группы в качестве владельца файла.
`SeChangeNotifyPrivilege`	Обход проверка обхода. Пользователи с этой привилегией не должны иметь разрешения на обход`x` () для обхода папок или симлинков.

Пользователи с привилегиями безопасности
Этот параметр предоставляет пользователям или группам доменных служб AD DS праваSeSecurityPrivilege безопасности, которым требуются повышенные привилегии для доступа к томам Azure NetApp Files. Указанные пользователи или группы AD DS могут выполнять определенные действия в общих папках S МБ, которым требуются права безопасности, не назначенные по умолчанию пользователям домена.

При использовании параметра "Пользователи привилегий безопасности" применяются следующие привилегии :

Право Description

SeSecurityPrivilege Управление операциями журнала.

Эта функция используется для установки SQL Server в определенных сценариях, когда учетная запись домена AD DS не администратора должна временно предоставляться повышенным привилегиям безопасности.

Примечание.

Использование функции пользователей привилегий безопасности зависит от функции S МБ непрерывной доступности. S МБ непрерывная доступность не поддерживается в пользовательских приложениях. Она поддерживается только для рабочих нагрузок с использованием контейнеров профилей пользователей Citrix App Layering, FSLogix и Microsoft SQL Server (не Linux SQL Server).

Внимание

Для использования функции Пользователи с привилегиями безопасности необходимо отправить запрос на постановку в список ожидания со специальной страницы общедоступной предварительной версии общих папок SMB с постоянной доступностью в Azure NetApp Files. Дождитесь официального подтверждения по электронной почте от команды Azure NetApp Files, прежде чем приступать к работе с этой функцией.
Эта функция является необязательной и поддерживается только с SQL Server. Учетная запись домена AD DS, используемая для установки SQL Server, уже должна существовать, прежде чем добавлять ее в параметр "Пользователи привилегий безопасности". При добавлении учетной записи установщика SQL Server в параметр "Привилегированные пользователи безопасности" служба Azure NetApp Files может проверить учетную запись, связався с контроллером домена AD DS. Это действие может завершиться ошибкой, если Azure NetApp Files не может связаться с контроллером домена AD DS.

Дополнительные сведения о SeSecurityPrivilege и SQL Server см. в статье Сбои установки SQL Server, если учетная запись установки не имеет определенных прав пользователя.

Право	Description
`SeSecurityPrivilege`	Управление операциями журнала.

пользователи привилегий Администратор istrator

Этот параметр предоставляет дополнительные права безопасности пользователям или группам домена AD DS, которым требуются повышенные привилегии для доступа к томам Azure NetApp Files. Указанные учетные записи будут иметь разрешения с повышенными привилегиями на уровне файла или папки.

Примечание.

Администраторы домена автоматически добавляются в группу привилегированных пользователей Администратор istrators.

Снимок экрана: окно Администратор istrators окна подключений Active Directory.

Примечание.

Эта привилегия полезна для миграции данных.

Следующие привилегии применяются при использовании параметра привилегий пользователей Администратор istrator:

Право	Description
`SeBackupPrivilege`	Резервное копирование файлов и каталогов, переопределяя все списки управления доступом.
`SeRestorePrivilege`	Восстановите файлы и каталоги, переопределяя все списки управления доступом. Задайте допустимый идентификатор пользователя или группы в качестве владельца файла.
`SeChangeNotifyPrivilege`	Обход проверка обхода. Пользователи с этой привилегией не должны иметь разрешения на обход (`x`) для обхода папок или симлинков.
`SeTakeOwnershipPrivilege`	Возьмите на себя владение файлами или другими объектами.
`SeSecurityPrivilege`	Управление операциями журнала.
`SeChangeNotifyPrivilege`	Обход проверка обхода. Пользователи с этой привилегией не должны иметь разрешения на обход (`x`) для обхода папок или симлинков.

Учетные данные, включая имя пользователя и пароль.

Внимание

Хотя Active Directory поддерживает 256-символьные пароли, пароли Active Directory с Azure NetApp Files не могут превышать 64 символов.

Выберите Присоединиться.

Откроется созданное подключение Active Directory.

Создание одного подключения Active Directory для учетной записи NetApp (предварительная версия)

С этой функцией каждая учетная запись NetApp в подписке Azure может иметь собственное подключение AD. После настройки подключение AD учетной записи NetApp используется при создании тома S МБ, тома NFSv4.1 Kerberos или тома с двумя протоколами. Это означает, что Azure NetApp Files поддерживает несколько подключений AD на подписку Azure при использовании нескольких учетных записей NetApp.

Примечание.

Если подписка включает эту и функцию Shared Active Directory , ее существующие учетные записи по-прежнему используют конфигурацию AD. Все новые учетные записи NetApp, созданные в подписке, могут использовать собственные конфигурации AD. Вы можете подтвердить конфигурацию на странице обзора учетной записи в поле типа AD.

регистрация компонента

Функция создания одного подключения AD для каждой учетной записи NetApp в настоящее время находится в предварительной версии. Если эта функция используется впервые, ее необходимо сначала зарегистрировать. После регистрации эта функция будет включена и начнет работать в фоновом режиме.

Регистрация компонента.

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

Проверка состояния регистрации функции.

Примечание.

RegistrationState может находиться в состоянии Registering до 60 минут, прежде чем изменится на Registered. Перед продолжением подождите, пока состояние не изменится на Зарегистрировано.
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory
```

Вы также можете использовать командыaz feature register Azure CLI и az feature show зарегистрировать функцию и отобразить состояние регистрации.

Сопоставление нескольких учетных записей NetApp в одной подписке и регионе с одним подключением AD (предварительная версия)

Функция Shared AD позволяет всем учетным записям NetApp совместно использовать подключение AD, созданное одной из учетных записей NetApp, принадлежащих одной подписке и одному региону. К примеру, с помощью этой функции все учетные записи NetApp в одной подписке и регионе могут использовать общую конфигурацию AD для создания тома SMB, тома NFSv4.1 Kerberos или тома с двумя протоколами. При использовании этой функции подключение AD отображается во всех учетных записях NetApp, которые находятся в одной подписке и одном регионе.

С введением функции для создания подключения AD для каждой учетной записи NetApp новая регистрация компонентов для функции Shared AD не принимается.

Примечание.

Вы можете зарегистрировать одно подключение AD для каждой учетной записи NetApp, если вы уже зарегистрированы в предварительной версии для Shared AD. Если в настоящее время вы соответствуете максимум 10 учетным записям NetApp для каждого региона Azure на подписку, необходимо инициировать запрос на поддержку, чтобы увеличить ограничение. Вы можете подтвердить конфигурацию на странице обзора учетной записи в поле типа AD.

Сброс пароля учетной записи компьютера Active Directory

При случайном сбросе пароля учетной записи компьютера AD на сервере AD или сервере AD можно безопасно сбросить пароль учетной записи компьютера, чтобы сохранить подключение к томам. Сброс влияет на все тома на сервере S МБ.

регистрация компонента

Функция сброса пароля учетной записи компьютера Active Directory сейчас доступна в общедоступной предварительной версии. Если вы используете эту функцию впервые, сначала необходимо зарегистрировать эту функцию.

Зарегистрируйте функцию сброса пароля учетной записи компьютера Active Directory:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Проверьте состояние регистрации компонента. RegistrationState может находиться в состоянии Registering до 60 минут, прежде чем изменится на Registered. Подождите, пока состояние не станет Registered, прежде чем продолжить.

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Шаги

Перейдите в меню обзора тома. Выберите "Сброс учетной записи Active Directory". Кроме того, перейдите в меню томов . Определите том, для которого требуется сбросить учетную запись Active Directory, и выберите три точки (...) в конце строки. Выберите "Сброс учетной записи Active Directory".
Появится предупреждение, объясняющее последствия этого действия. Введите да в текстовом поле, чтобы продолжить.