Azure NetApp Files için Active Directory Etki Alanı Hizmetleri site tasarımı ve planlaması yönergelerini anlama
Uygun Active Directory Etki Alanı Hizmetleri (AD DS) tasarımı ve planlaması, Azure NetApp Files birimlerini kullanan çözüm mimarilerinin anahtarıdır. SMB birimleri, çift protokollü birimler ve NFSv4.1 Kerberos birimleri gibi Azure NetApp Files özellikleri AD DS ile kullanılacak şekilde tasarlanmıştır.
Bu makalede, Azure NetApp Files için bir AD DS dağıtım stratejisi geliştirmenize yardımcı olacak öneriler sağlanır. Bu makaleyi okumadan önce AD DS'nin işlevsel düzeyde nasıl çalıştığı hakkında iyi bir anlayışa sahip olmanız gerekir.
Azure NetApp Files için AD DS gereksinimlerini belirleme
Azure NetApp Files birimlerini dağıtmadan önce, Azure NetApp Files'ın AD DS'ye iyi bağlandığından emin olmak için Azure NetApp Files için AD DS tümleştirme gereksinimlerini tanımlamanız gerekir. Azure NetApp Files ile hatalı veya tamamlanmamış AD DS tümleştirmesi SMB, çift protokol veya Kerberos NFSv4.1 birimleri için istemci erişim kesintilerine veya kesintilerine neden olabilir.
Desteklenen kimlik doğrulama senaryoları
Azure NetApp Files, aşağıdaki yöntemlerle SMB üzerinden kimlik tabanlı kimlik doğrulamasını destekler.
- AD DS kimlik doğrulaması: AD DS'ye katılmış Windows makineleri, SMB üzerinden Active Directory kimlik bilgileriyle Azure NetApp Files paylaşımlarına erişebilir. Müşterinizin AD DS'nizi görme çizgisi olmalıdır. Ad DS'yi şirket içinde veya Azure'da cihazlarınızın AD DS'nize etki alanına katılmış olduğu bir VM'de zaten ayarladıysanız, Azure NetApp Files dosya paylaşımı kimlik doğrulaması için AD DS kullanmalısınız.
- Microsoft Entra Domain Services kimlik doğrulaması: Bulut tabanlı, Microsoft Entra Domain Services'a katılmış Windows VM'leri, Microsoft Entra Domain Services kimlik bilgileriyle Azure NetApp Files dosya paylaşımlarına erişebilir. Bu çözümde, Microsoft Entra Domain Services müşteri adına geleneksel bir Windows Server AD etki alanı çalıştırır.
- Linux istemcileri için AD Kerberos kimlik doğrulaması: Linux istemcileri, AD DS kullanarak Azure NetApp Files için SMB üzerinden Kerberos kimlik doğrulamasını kullanabilir.
Ağ gereksinimleri
Azure NetApp Files birimleriyle öngörülebilir Active Directory Etki Alanı Hizmetleri işlemleri için AD DS etki alanı denetleyicilerine güvenilir ve düşük gecikme süreli ağ bağlantısı (10 milisaniyeye [ms] gidiş dönüş süresi [RTT]) kesinlikle önerilir. Azure NetApp Files ile AD DS etki alanı denetleyicileri arasındaki düşük ağ bağlantısı veya yüksek ağ gecikme süresi istemci erişim kesintilerine veya istemci zaman aşımlarına neden olabilir.
Not
10ms önerisi, Site Tasarımı Oluşturma: Hangi konumların site haline geleceği konusunda yönergelere uyar.
Ağ topolojisi ve yapılandırmaları hakkında aşağıdaki gereksinimleri karşıladığınızdan emin olun:
- Azure NetApp Files için desteklenen bir ağ topolojisi kullanıldığından emin olun.
- AD DS etki alanı denetleyicilerinin Azure NetApp Files birimlerini barındıran Azure NetApp Files temsilci alt ağından ağ bağlantısı olduğundan emin olun.
- AD DS etki alanı denetleyicileriyle eşlenmiş sanal ağ topolojileri, Azure NetApp Files ile AD DS etki alanı denetleyicisi ağ bağlantısını desteklemek için doğru şekilde yapılandırılmış eşlemeye sahip olmalıdır.
- Ağ Güvenlik Grupları (NSG' ler) ve AD DS etki alanı denetleyicisi güvenlik duvarlarının, AD DS ve DNS'ye Azure NetApp Files bağlantısını desteklemek için uygun şekilde yapılandırılmış kuralları olmalıdır.
- En iyi deneyim için Azure NetApp Files ile AD DS etki alanı denetleyicileri arasında ağ gecikme süresinin 10ms RTT'ye eşit veya daha az olduğundan emin olun. 10ms'den yüksek RTT'ler gecikme süresine duyarlı uygulamalarda/ortamlarda uygulamanın veya kullanıcı deneyiminin düşmesine neden olabilir. RTT'nin istenen kullanıcı deneyimi için çok yüksek olması durumunda, Azure NetApp Files ortamınızda çoğaltma etki alanı denetleyicileri dağıtmayı göz önünde bulundurun. Ayrıca bkz. Active Directory Etki Alanı Hizmetlerinde dikkat edilmesi gerekenler.
Geniş alan ağı üzerinden ağ gecikmesi için Microsoft Active Directory gereksinimleri hakkında daha fazla bilgi için bkz . Site Tasarımı Oluşturma.
Gerekli ağ bağlantı noktaları şunlardır:
Hizmet | Bağlantı Noktaları | Protokoller |
---|---|---|
ICMPv4 (ping) | Yok | Yankı Yanıtı |
DNS* | 53 | TCP, UDP |
Kerberos | Kategori 88 | TCP, UDP |
NetOGRAM Veri Birimi Hizmeti | 138 | UDP |
NetBIOS | 139 | UDP |
LDAP** | 389 | TCP, UDP |
Güvenlik Hesabı Yöneticisi (SAM)/Yerel Güvenlik Yetkilisi (LSA)/SMB | 445 | TCP, UDP |
Kerberos (kpasswd) | 464 | TCP, UDP |
Active Directory Genel Kataloğu | 3268 | TCP |
Active Directory Güvenli Genel Kataloğu | 3269 | TCP |
Active Directory Web Hizmeti | 9389 | TCP |
* Yalnızca Active Directory DNS
** SSL üzerinden LDAP (bağlantı noktası 636) şu anda desteklenmiyor. Bunun yerine LDAP trafiğini şifrelemek için StartTLS (bağlantı noktası 389) üzerinden LDAP kullanın.
DNS hakkında bilgi için bkz . Azure NetApp Files'da Etki Alanı Adı Sistemlerini Anlama.
Zaman kaynağı gereksinimleri
Azure NetApp Files, zaman kaynağı olarak time.windows.com kullanır. Azure NetApp Files tarafından kullanılan etki alanı denetleyicilerinin time.windows.com veya başka bir doğru, kararlı kök (katman 1) zaman kaynağını kullanacak şekilde yapılandırıldığından emin olun. Azure NetApp Files ile istemciniz veya AS DS etki alanı denetleyicileri arasında beş dakikadan fazla dengesizlik varsa kimlik doğrulaması başarısız olur; Azure NetApp Files birimlerine erişim de başarısız olabilir.
Azure NetApp Files ile hangi AD DS'nin kullanılacağına karar verme
Azure NetApp Files hem Active Directory Etki Alanı Hizmetleri (AD DS) hem de AD bağlantıları için Microsoft Entra Domain Services'ı destekler. AD bağlantısı oluşturmadan önce AD DS mi yoksa Microsoft Entra Domain Services mı kullanacağınıza karar vermeniz gerekir.
Daha fazla bilgi için bkz. Kendi kendine yönetilen Active Directory Etki Alanı Hizmetlerini, Microsoft Entra Kimliğini ve yönetilen Microsoft Entra Domain Services'ı karşılaştırma.
Active Directory Etki Alanı Hizmetleri ile ilgili dikkat edilmesi gerekenler
Aşağıdaki senaryolarda Active Directory Etki Alanı Hizmetleri'ni (AD DS) kullanmanız gerekir:
- Azure NetApp Files kaynaklarına erişmesi gereken bir şirket içi AD DS etki alanında barındırılan AD DS kullanıcılarınız var.
- Azure NetApp Files kaynaklarına erişmesi gereken kısmen şirket içinde ve kısmen Azure'da barındırılan uygulamalarınız var.
- Aboneliğinizdeki bir Microsoft Entra kiracısıyla Microsoft Entra Domain Services tümleştirmesi gerekmez veya Microsoft Entra Domain Services, teknik gereksinimlerinizle uyumlu değildir.
Not
Azure NetApp Files, AD DS Salt Okunur Etki Alanı Denetleyicilerinin (RODC) kullanımını desteklemez. Yazılabilir etki alanı denetleyicileri desteklenir ve Azure NetApp Files birimleriyle kimlik doğrulaması için gereklidir. Daha fazla bilgi için bkz . Active Directory Çoğaltma Kavramları.
AD DS'yi Azure NetApp Files ile kullanmayı seçerseniz AD DS'yi Azure Mimarisine Genişletme Kılavuzu'ndaki yönergeleri izleyin ve AD DS için Azure NetApp Files ağı ve DNS gereksinimlerini karşıladığınızdan emin olun.
Microsoft Entra Domain Services ile ilgili dikkat edilmesi gerekenler
Microsoft Entra Domain Services , Microsoft Entra kiracınızla eşitlenmiş yönetilen bir AD DS etki alanıdır. Microsoft Entra Domain Services kullanmanın başlıca avantajları şunlardır:
- Microsoft Entra Domain Services tek başına bir etki alanıdır. Bu nedenle şirket içi ile Azure arasında ağ bağlantısı kurmanız gerekmez.
- Basitleştirilmiş dağıtım ve yönetim deneyimi sağlar.
Aşağıdaki senaryolarda Microsoft Entra Domain Services kullanmalısınız:
- Azure NetApp Files kaynaklarına erişim sağlamak için AD DS'yi şirket içinden Azure'a genişletmeye gerek yoktur.
- Güvenlik ilkeleriniz, şirket içi AD DS'nin Azure'a genişletılmasına izin vermez.
- AD DS hakkında güçlü bir bilgiye sahip değilsiniz. Microsoft Entra Domain Services, Azure NetApp Files ile iyi sonuçlar elde etme olasılığını artırabilir.
Microsoft Entra Domain Services'ı Azure NetApp Files ile kullanmayı seçerseniz mimari, dağıtım ve yönetim kılavuzu için Microsoft Entra Domain Services belgelerine bakın. Azure NetApp Files Network ve DNS gereksinimlerini de karşıladığınızdan emin olun.
Azure NetApp Files ile kullanılacak AD DS site topolojisini tasarlama
AD DS site topolojisi için uygun bir tasarım, Azure NetApp Files SMB, çift protokol veya NFSv4.1 Kerberos birimlerini içeren tüm çözüm mimarileri için kritik önem taşır.
Hatalı AD DS site topolojisi veya yapılandırması aşağıdaki davranışlara neden olabilir:
- Azure NetApp Files SMB, çift protokol veya NFSv4.1 Kerberos birimleri oluşturulamaması
- ANF AD bağlantı yapılandırmasını değiştirme hatası
- Düşük LDAP istemci sorgu performansı
- Kimlik doğrulama sorunları
Azure NetApp Files için AD DS site topolojisi, Azure NetApp Files ağının mantıksal bir gösterimidir. Azure NetApp Files için AD DS site topolojisi tasarlama, Azure NetApp Files hizmeti, Azure NetApp Files depolama istemcileri ve AD DS etki alanı denetleyicileri arasında iyi bağlantı sağlamak için etki alanı denetleyicisi yerleşimi, siteleri, DNS altyapısını ve ağ alt ağlarını tasarlamayı içerir.
Azure NetApp Files AD Site Adı'nda yapılandırılan AD DS sitesine atanan birden çok etki alanı denetleyicisine ek olarak, Azure NetApp Files AD DS sitesinde bir veya daha fazla alt ağ atanabilir.
Not
Azure NetApp Files AD DS sitesine atanan tüm etki alanı denetleyicilerinin ve alt ağlarının iyi bir şekilde bağlanması (10ms RTT gecikme süresinden az) ve Azure NetApp Files birimleri tarafından kullanılan ağ arabirimleri tarafından erişilebilir olması gerekir.
Standart ağ özelliklerini kullanıyorsanız, Azure NetApp Files AD DS sitesine atanan AD DS etki alanı denetleyicileriyle Azure NetApp Files ağ iletişimini hiçbir Kullanıcı Tanımlı Yol (UDR) veya Ağ Güvenlik Grubu (NSG) kuralının engellemediğinden emin olmanız gerekir.
Ağ Sanal Gereçleri veya güvenlik duvarları (Palo Alto Networks veya Fortinet güvenlik duvarları gibi) kullanıyorsanız, Bunların Azure NetApp Files ile AD DS etki alanı denetleyicileri ve Azure NetApp Files AD DS sitesine atanan alt ağlar arasındaki ağ trafiğini engellememesi için yapılandırılması gerekir.
Azure NetApp Files AD DS site bilgilerini nasıl kullanır?
Azure NetApp Files, kimlik doğrulaması, etki alanına katılma, LDAP sorguları ve Kerberos anahtar işlemlerini desteklemek üzere hangi etki alanı denetleyicilerinin mevcut olduğunu bulmak için Active Directory bağlantılarında yapılandırılan AD Site Adı'nı kullanır.
AD DS etki alanı denetleyicisi bulma
Azure NetApp Files dört saatte bir etki alanı denetleyicisi bulma işlemi başlatır. Azure NetApp Files, Azure NetApp Files AD bağlantısının AD Site Adı alanında belirtilen AD DS sitesinde hangi etki alanı denetleyicilerinin olduğunu belirlemek için siteye özgü DNS hizmet kaynağı (SRV) kaydını sorgular. Azure NetApp Files etki alanı denetleyicisi sunucusu bulma işlemi, etki alanı denetleyicilerinde barındırılan hizmetlerin (Kerberos, LDAP, Net Logon ve LSA gibi) durumunu denetler ve kimlik doğrulama istekleri için en uygun etki alanı denetleyicisini seçer.
Azure NetApp Files AD bağlantısının AD Sitesi adı alanında belirtilen AD DS sitesinin DNS SRV kayıtları, Azure NetApp Files tarafından kullanılacak AD DS etki alanı denetleyicilerinin IP adreslerinin listesini içermelidir. Yardımcı programını kullanarak DNS SRV kaydının nslookup
geçerliliğini de kontrol edebilirsiniz.
Not
Azure NetApp Files tarafından kullanılan AD DS sitesinde etki alanı denetleyicilerinde değişiklik yaparsanız, yeni AD DS etki alanı denetleyicilerini dağıtma ve mevcut AD DS etki alanı denetleyicilerini kullanımdan kaldırma arasında en az dört saat bekleyin. Bu bekleme süresi, Azure NetApp Files'ın yeni AD DS etki alanı denetleyicilerini bulmasını sağlar.
Kullanımdan kaldırılan AD DS etki alanı denetleyicisiyle ilişkili eski DNS kayıtlarının DNS'den kaldırıldığından emin olun. Bunun yapılması, Azure NetApp Files'ın kullanımdan kaldırılacak etki alanı denetleyicisiyle iletişim kurmaya çalışmamasını sağlar.
AD DS LDAP sunucusu bulma
Azure NetApp Files NFS birimi için LDAP etkinleştirildiğinde AD DS LDAP sunucuları için ayrı bir bulma işlemi gerçekleşir. Azure NetApp Files üzerinde LDAP istemcisi oluşturulduğunda, Azure NetApp Files AD bağlantısında belirtilen AD DS sitesine atanan AD DS LDAP sunucularını değil, etki alanındaki tüm AD DS LDAP sunucularının listesi için AD DS SRV kaydını sorgular.
Büyük veya karmaşık AD DS topolojilerinde, AD bağlantısında belirtilen AD DS sitesine atanan AD DS LDAP sunucularının döndürülmesini sağlamak için DNS İlkeleri veya DNS alt ağ önceliklendirmesi uygulamanız gerekebilir.
Alternatif olarak, LDAP istemcisi için en fazla iki tercih edilen AD sunucusu belirtilerek AD DS LDAP sunucusu bulma işlemi geçersiz kılınabilir.
Önemli
Azure NetApp Files LDAP istemcisi oluşturulurken Azure NetApp Files bulunan bir AD DS LDAP sunucusuna ulaşamazsa, LDAP etkin birimin oluşturulması başarısız olur.
Hatalı veya tamamlanmamış AD Site Adı yapılandırmasının sonuçları
Hatalı veya tamamlanmamış AD DS site topolojisi veya yapılandırması birim oluşturma hatalarına, istemci sorgularıyla ilgili sorunlara, kimlik doğrulama hatalarına ve Azure NetApp Files AD bağlantılarını değiştirme hatalarına neden olabilir.
Önemli
Azure NetApp Files AD bağlantısı oluşturmak için AD Site Adı alanı gereklidir. Tanımlanan AD DS sitesinin mevcut olması ve düzgün yapılandırılması gerekir.
Azure NetApp Files, AD Site Adı'nda tanımlanan AD DS Sitesine atanan etki alanı denetleyicilerini ve alt ağları bulmak için AD DS Sitesini kullanır. AD DS Sitesine atanan tüm etki alanı denetleyicilerinin ANF tarafından kullanılan Azure sanal ağ arabirimlerinden iyi ağ bağlantısına sahip olması ve erişilebilir olması gerekir. Azure NetApp Files tarafından kullanılan AD DS Sitesine atanan AD DS etki alanı denetleyicisi VM'leri, VM'leri kapatan maliyet yönetimi ilkelerinin dışında tutulmalıdır.
Azure NetApp Files, AD DS sitesine atanmış hiçbir etki alanı denetleyicisine erişemezse, etki alanı denetleyicisi bulma işlemi tüm etki alanı denetleyicilerinin listesi için AD DS etki alanını sorgular. Bu sorgudan döndürülen etki alanı denetleyicilerinin listesi sıralanmamış bir listedir. Sonuç olarak, Azure NetApp Files erişilebilir veya iyi bağlı olmayan etki alanı denetleyicilerini kullanmayı deneyebilir ve bu da birim oluşturma hatalarına, istemci sorgularıyla ilgili sorunlara, kimlik doğrulama hatalarına ve Azure NetApp Files AD bağlantılarını değiştirme hatalarına neden olabilir.
Azure NetApp Files AD Bağlantısı tarafından kullanılan AD DS sitesine atanan bir alt ağa yeni etki alanı denetleyicileri dağıtıldığında AD DS Sitesi yapılandırmasını güncelleştirmeniz gerekir. Sitenin DNS SRV kayıtlarının, Azure NetApp Files tarafından kullanılan AD DS Sitesine atanan etki alanı denetleyicilerinde yapılan değişiklikleri yansıtdığından emin olun. Yardımcı programını kullanarak DNS SRV kaynak kaydının nslookup
geçerliliğini de kontrol edebilirsiniz.
Not
Azure NetApp Files, AD DS Salt Okunur Etki Alanı Denetleyicilerinin (RODC) kullanımını desteklemez. Azure NetApp Files'ın RODC kullanmasını önlemek için, RODC ile AD bağlantılarının AD Site Adı alanını yapılandırmayın. Yazılabilir etki alanı denetleyicileri desteklenir ve Azure NetApp Files birimleriyle kimlik doğrulaması için gereklidir. Daha fazla bilgi için bkz . Active Directory Çoğaltma Kavramları.
Azure NetApp Files için örnek AD DS site topolojisi yapılandırması
AD DS site topolojisi, Azure NetApp Files'ın dağıtıldığı ağın mantıksal bir gösterimidir. Bu bölümde, AD DS site topolojisi için örnek yapılandırma senaryosu, Azure NetApp Files için temel bir AD DS site tasarımı göstermeyi hedeflemektedir. Azure NetApp Files için ağ veya AD site topolojisi tasarlamanın tek yolu bu değildir.
Önemli
Karmaşık AD DS veya karmaşık ağ topolojileri içeren senaryolar için, Microsoft Azure bulut çözümleri mimarı CSA'nın Azure NetApp Files ağ ve AD Sitesi tasarımını gözden geçirmesini sağlamalıdır.
Aşağıdaki diyagramda örnek bir ağ topolojisi gösterilmektedir:
Örnek ağ topolojisinde, şirket içi AD DS etki alanı (anf.local
) bir Azure sanal ağına genişletilir. Şirket içi ağ, Azure ExpressRoute bağlantı hattı kullanılarak Azure sanal ağına bağlanır.
Azure sanal ağının dört alt ağı vardır: Ağ Geçidi Alt Ağı, Azure Bastion Alt Ağı, AD DS Alt Ağı ve Azure NetApp Files Temsilci Alt Ağı. Etki alanına katılmış anf.local
yedekli AD DS etki alanı denetleyicileri AD DS alt asına dağıtılır. AD DS alt a 10.0.0.0/24 IP adresi aralığı atanır.
Azure NetApp Files kimlik doğrulaması, LDAP sorguları ve Kerberos için hangi etki alanı denetleyicilerinin kullanılacağını belirlemek için yalnızca bir AD DS sitesi kullanabilir. Örnek senaryoda, Active Directory Siteleri ve Hizmetleri yardımcı programı kullanılarak adlı ANF
bir siteye iki alt ağ nesnesi oluşturulur ve atanır. Alt ağ nesnelerinden biri AD DS alt ağı, 10.0.0.0/24, diğer alt ağ nesnesi ise ANF temsilci alt ağı olan 10.0.2.0/24 ile eşlenir.
Active Directory Siteleri ve Hizmetleri aracında, AD DS alt a bilgisayarına dağıtılan AD DS etki alanı denetleyicilerinin ANF
siteye atandığını doğrulayın.
Atanmamışlarsa Azure sanal ağındaki AD DS alt ağına eşleyen alt ağ nesnesini oluşturun. Active Directory Siteleri ve Hizmetleri yardımcı programındaki Alt Ağlar kapsayıcısını sağ tıklatın ve Yeni Alt Ağ... öğesini seçin. Yeni Nesne - Alt Ağ iletişim kutusunda, Ad DS Alt Ağı için 10.0.0.0/24 IP adresi aralığı Ön Ek alanına girilir. Alt ağın site nesnesi olarak seçin ANF
. Alt ağ nesnesini oluşturmak ve siteye atamak için Tamam'ı ANF
seçin.
Yeni alt ağ nesnesinin doğru siteye atandığını doğrulamak için 10.0.0.0/24 alt ağ nesnesine sağ tıklayın ve Özellikler'i seçin. Site alanında site nesnesi gösterilmelidirANF
:
Azure sanal ağındaki Azure NetApp Files temsilci alt ağına eşlenen alt ağ nesnesini oluşturmak için, Active Directory Siteleri ve Hizmetleri yardımcı programındaki Alt Ağlar kapsayıcısına sağ tıklayın ve Yeni Alt Ağ... öğesini seçin.
Bölgeler arası çoğaltma ile ilgili dikkat edilmesi gerekenler
Azure NetApp Files bölgeler arası çoğaltma , iş sürekliliği ve olağanüstü durum kurtarma (BC/DR) gereksinimlerini desteklemek için Azure NetApp Files birimlerini bir bölgeden başka bir bölgeye çoğaltmanıza olanak tanır.
Azure NetApp Files SMB, çift protokol ve NFSv4.1 Kerberos birimleri bölgeler arası çoğaltmayı destekler. Bu birimlerin çoğaltması için şunlar gerekir:
- Hem kaynak hem de hedef bölgelerde oluşturulan bir NetApp hesabı.
- Kaynak ve hedef bölgelerde oluşturulan NetApp hesabında bir Azure NetApp Files Active Directory bağlantısı.
- AD DS etki alanı denetleyicileri hedef bölgede dağıtılır ve çalışır.
- Azure NetApp Files'ın hedef bölgedeki AD DS etki alanı denetleyicileriyle iyi bir ağ iletişimi sağlamak için hedef bölgede uygun Azure NetApp Files ağı, DNS ve AD DS site tasarımı dağıtılmalıdır.
- Hedef bölgedeki Active Directory bağlantısı, hedef bölgedeki DNS ve AD Sitesi kaynaklarını kullanacak şekilde yapılandırılmalıdır.