你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure NetApp 文件创建和管理 Active Directory 连接

Azure NetApp 文件的几项功能需要 Active Directory 连接。 例如,在创建 SMB 卷NFSv4.1 Kerberos 卷双协议卷之前,需要具有 Active Directory 连接。 本文演示如何为 Azure NetApp 文件创建和管理 Active Directory 连接。

Active Directory 连接的要求和注意事项

重要

对于与 Azure NetApp 一起使用的 Active Directory 域服务 (AD DS) 或 Azure Active Directory 域服务 (AAD DS),必须遵循了解 Active Directory 域服务站点设计和 Azure NetApp 文件规划指南中所述的指南。 此外,在创建 AD 连接之前,请查看修改 Azure NetApp 文件的 Active Directory 连接,了解在创建 AD 连接后更改 AD 连接配置选项的影响。 更改 AD 连接配置选项会中断客户端访问,而且某些选项根本无法更改。

  • 必须在部署 Azure NetApp 文件卷的区域创建 Azure NetApp 文件帐户。

  • 每个区域的每个订阅只能配置一个 Active Directory (AD) 连接。

    Azure NetApp 文件在单个区域中不支持多个 AD 连接,即使 AD 连接是在不同的 NetApp 帐户中创建的。 但是,如果 AD 连接位于不同的区域中,就可以在单个订阅中拥有多个 AD 连接。 如果在单个区域中需要多个 AD 连接,则可以使用单独的订阅来执行此操作。

    AD 连接仅通过创建它的 NetApp 帐户可见。 但是,可以启用共享 AD 功能,允许同一订阅和同一区域下的 NetApp 帐户使用同一 AD 连接。 请参阅将同一订阅和区域中的多个 NetApp 帐户映射到 AD 连接

  • Azure NetApp 文件 AD 连接管理员帐户必须具有以下属性:

    • 它必须是创建 Azure NetApp 文件计算机帐户的同一域中的 AD DS 域用户帐户。
    • 它必须有权在 AD 连接的“组织单位路径选项”中指定的 AD DS 组织单位路径中创建计算机帐户(例如,AD 域加入)。
    • 它不能是组托管服务帐户
  • AD 连接管理员帐户支持 Kerberos AES-128 和 Kerberos AES-256 加密类型,用于使用 AD DS 进行身份验证以创建 Azure NetApp 文件计算机帐户(例如,AD 域加入操作)。

  • 若要在 Azure NetApp 文件 AD 连接管理员帐户上启用 AES 加密,必须使用属于以下 AD DS 组之一的 AD 域用户帐户:

    • Domain Admins
    • Enterprise Admins
    • Administrators
    • Account Operators
    • Azure AD DC 管理员(仅限 Azure AD DS)
    • 或者,也可以使用对 AD 连接管理员帐户具有 msDS-SupportedEncryptionTypes 写入权限的 AD 域用户帐户,在 AD 连接管理员帐户上设置 Kerberos 加密类型属性。

    注意

    不建议或不需要将 Azure NetApp 文件 AD 管理员帐户添加到以上列出的 AD 管理员组中。 也不建议或不需要向 Azure NetApp 文件 AD 管理员帐户授予 msDS-SupportedEncryptionTypes 写入权限。

    如果在 AD 连接的管理员帐户上同时设置 AES-128 和 AES-256 Kerberos 加密,则将使用 AD DS 支持的最高加密级别。

  • 若要为 AD 连接中的管理员帐户启用 AES 加密支持,请运行以下 Active Directory PowerShell 命令:

    Get-ADUser -Identity <ANF AD connection account username>
    Set-ADUser -KerberosEncryptionType <encryption_type>
    

    KerberosEncryptionType 是一个多值参数,支持 AES-128 和 AES-256 值。

    有关详细信息,请参阅 Set-ADUser 文档

  • 如果需要为与 Azure NetApp 文件一起使用的加入域的 Windows 主机中的 Active Directory 计算机账户启用和禁用某些 Kerberos 加密类型,则必须使用组策略 Network Security: Configure Encryption types allowed for Kerberos

    不要设置注册表项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes。 这样做会中断使用 Azure NetApp 文件对已手动设置此注册表项的 Windows 主机进行的 Kerberos 身份验证。

    注意

    Network Security: Configure Encryption types allowed for Kerberos 的默认策略设置为 Not Defined。 将此策略设置设置为 Not Defined 时,除 DES 以外的所有加密类型都可用于 Kerberos 加密。 可以选择仅支持某些 Kerberos 加密类型(例如 AES128_HMAC_SHA1AES256_HMAC_SHA1)。 但是,对 Azure NetApp 文件启用 AES 加密支持时,大多数情况下,默认策略应已足够。

    有关详细信息,请参阅网络安全:配置 Kerberos 允许的加密类型Kerberos 支持的加密类型的 Windows 配置

创建 Active Directory 连接器

  1. 从 NetApp 帐户中,选择“Active Directory 连接”,然后选择“联接”。

    显示“Active Directory 连接”菜单的屏幕截图。“加入”按钮突出显示。

    注意

    Azure NetApp 文件在同一区域和同一订阅中仅支持一个 Active Directory 连接。

  2. 在“联接 Active Directory”窗口中,根据要使用的域服务提供以下信息:

    • 主 DNS(必需)
      这是 Active Directory 域加入操作、SMB 身份验证、Kerberos 和 LDAP 操作所需的主 DNS 服务器的 IP 地址。

    • 辅助 DNS
      这是 Active Directory 域加入操作、SMB 身份验证、Kerberos 和 LDAP 操作所需的辅助 DNS 服务器的 IP 地址。

      注意

      建议配置辅助 DNS 服务器。 请参阅了解 Active Directory 域服务站点设计和 Azure NetApp 文件规划指南。 确保 DNS 服务器配置满足 Azure NetApp 文件的要求。 否则,Azure NetApp 文件服务操作、SMB 身份验证、Kerberos 或 LDAP 操作可能会失败。

      如果使用 Azure AD DS (AAD DS),则应使用 AAD DS 域控制器的 IP 地址,分别作为主 DNS 和辅助 DNS。

    • AD DNS 域名(必需)
      这是将与 Azure NetApp 文件一起使用的 AD DS 的完全限定域名(例如 contoso.com)。

    • AD 站点名称(必需)
      这是 Azure NetApp 文件将用于域控制器发现的 AD DS 站点名称。

      ADDS 和 AADDS 的默认站点名称为 Default-First-Site-Name。 如果要重命名站点名称,请遵循站点名称的命名约定

      注意

      请参阅了解 Active Directory 域服务站点设计和 Azure NetApp 文件规划指南。 确保 AD DS 站点设计和配置满足 Azure NetApp 文件的要求。 否则,Azure NetApp 文件服务操作、SMB 身份验证、Kerberos 或 LDAP 操作可能会失败。

    • SMB 服务器(计算机帐户)前缀(必需)
      这是在 AD DS 中为 Azure NetApp 文件 SMB、双协议和 NFSv4.1 Kerberos 卷创建的新计算机帐户的命名前缀。

      例如,如果你的组织用于文件服务的命名标准是 NAS-01NAS-02 等,则可以使用 NAS 作为前缀。

      Azure NetApp 文件将根据需要在 AD DS 中创建其他计算机帐户。

      重要

      创建 Active Directory 连接后重命名 SMB 服务器前缀会造成中断。 重命名 SMB 服务器前缀后,需要重新装载现有 SMB 共享。

    • 组织单位路径
      这是将在其中创建 SMB 服务器计算机帐户的组织单元 (OU) 的 LDAP 路径。 即 OU=second level, OU=first level。 例如,如果要使用在域的根目录创建的名为 ANF 的 OU,则该值为 OU=ANF

      如果未提供任何值,Azure NetApp 文件将使用 CN=Computers 容器。

      如果将 Azure NetApp 文件与 Azure Active Directory 域服务 (AAD DS) 结合使用,则组织单位路径为 OU=AADDC Computers

      “加入 Active Directory”输入字段的屏幕截图。

    • AES 加密
      此选项将为 AD 连接的管理员帐户启用 AES 加密身份验证支持。

      “AES 说明”字段的屏幕截图。该字段是一个复选框。

      针对要求,请参阅Active Directory 连接的要求

    • LDAP 签名

      此选项将启用 LDAP 签名。 此功能可以对来自 Azure NetApp 文件和用户指定的 Active Directory 域服务域控制器的简单身份验证和安全层 (SASL) LDAP 绑定进行完整性验证。

      如果在 Active Directory 连接中启用了 LDAP 签名和 LDAP over TLS 设置选项,Azure NetApp 文件将支持 LDAP 通道绑定。 有关详细信息,请参阅 ADV190023 | 用于启用 LDAP 通道绑定和 LDAP 签名的 Microsoft 指导

      “LDAP 签名”复选框的屏幕截图。

    • 允许使用 LDAP 的本地 NFS 用户 此选项允许本地 NFS 客户端用户访问 NFS 卷。 设置此选项会禁用 NFS 卷的扩展组。 它还将组数限制为 16 个。 有关详细信息,请参阅允许使用 LDAP 的本地 NFS 用户访问双协议卷

    • LDAP over TLS

      此选项支持使用 LDAP over TLS 来保护 Azure NetApp 文件卷与 Active Directory LDAP 服务器之间的通信。 可为 Azure NetApp 文件的 NFS、SMB 和双重协议卷启用基于 TLS 的 LDAP。

      注意

      如果使用 Azure Active Directory 域服务 (AAD DS),则不能启用 LDAP over TLS。 AAD DS 使用 LDAPS(端口 636)而不是 LDAP over TLS(端口 389)来保护 LDAP 流量。

      有关详细信息,请参阅为 NFS 卷启用 Active Directory 域服务 (AD DS) LDAP 身份验证

    • 服务器根 CA 证书

      此选项将上传用于 LDAP over TLS 的 CA 证书。

      有关详细信息,请参阅为 NFS 卷启用 Active Directory 域服务 (AD DS) LDAP 身份验证。 

    • “LDAP 搜索范围”、“用户 DN”、“组 DN”和“组成员身份筛选器”

      “LDAP 搜索范围”选项可优化 Azure NetApp 文件存储 LDAP 查询,以用于大型 AD DS 拓扑和具有扩展组的 LDAP 或具有 Unix 安全样式的 Azure NetApp 文件双协议卷。

      “用户 DN”和“组 DN”选项允许在 AD DS LDAP 中设置搜索库。

      “组成员身份筛选器”选项允许为属于特定 AD DS 组的用户创建自定义搜索筛选器。

      “LDAP 搜索范围”字段的屏幕截图,其中显示了一个复选框。

      有关这些选项的详细信息,请参阅为 NFS 卷访问配置具有扩展组的 AD DS LDAP

    • 与域控制器的加密 SMB 连接

      与域控制器的加密 SMB 连接指定是否应将加密用于 SMB 服务器与域控制器之间的通信。 启用后,只会将 SMB3 用于加密的域控制器连接。

      此功能目前以预览版提供。 如果这是你第一次使用与域控制器的加密 SMB 连接,则必须注册它:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      检查功能注册的状态:

      注意

      RegistrationState 可能会处于状态长达 60 分钟,然后才更改为Registered状态。 请等到状态变为Registered后再继续。

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      此外,还可使用 Azure CLI 命令az feature show 注册功能并显示注册状态。

    • 备份策略用户 此选项向需要提升备份特权的 AD DS 域用户或组授予额外的安全特权,以支持 Azure NetApp 文件中的备份、还原和迁移工作流。 指定的 AD DS 用户帐户或组将在文件或文件夹级别具有提升的 NTFS 权限。

      显示空白文本输入字段的“备份策略用户”字段的屏幕截图。

      使用“备份策略用户”设置时,以下特权适用:

      Privilege 说明
      SeBackupPrivilege 备份文件和目录,重写任何 ACL。
      SeRestorePrivilege 备份文件和目录,重写任何 ACL。
      将任何有效的用户或组 SID 设置为文件所有者。
      SeChangeNotifyPrivilege 跳过遍历检查。
      具有此特权的用户无需具有遍历 (x) 权限即可遍历文件夹或符号链接。
    • 安全特权用户
      此选项向需要提升的特权的 AD DS 域用户或组授予安全特权 (SeSecurityPrivilege),以访问 Azure NetApp 文件卷。 允许指定的 AD DS 用户或组对 SMB 共享执行特定操作,这些共享要求默认情况下不向域用户分配安全特权。

      显示了 Active Directory 连接窗口的安全特权用户框的屏幕截图。

      使用“安全特权用户”设置时,以下特权适用:

      Privilege 说明
      SeSecurityPrivilege 管理日志操作。

      此功能用于在特定情况(即,必须向非管理员 AD DS 域帐户临时授予提升的安全特权)下安装 SQL Server。

      注意

      若要使用“安全特权用户”功能,需要通过 Azure NetApp 文件 SMB 连续可用性共享公共预览版候补名单提交页面提交候补名单请求 。 等待来自 Azure NetApp 文件团队的官方确认电子邮件,然后才能使用此功能。 自定义应用程序不支持 SMB 持续可用性。 它仅支持使用 Citrix App Laying、FSLogix 用户配置文件容器,和 Microsoft SQL Server(而不是 Linux SQL Server)的工作负载。

      重要

      若要使用“安全特权用户”功能,需要通过 Azure NetApp 文件 SMB 连续可用性共享公共预览版候补名单提交页面提交候补名单请求 。 等待来自 Azure NetApp 文件团队的官方确认电子邮件,然后才能使用此功能。
      此功能是可选的,仅在 SQL Server 中受支持。 在添加到“安全特权用户”选项之前,用于安装 SQL Server 的 AD DS 域帐户必须已经存在。 将 SQL Server 安装程序的帐户添加到“安全特权用户”选项时,Azure NetApp 文件服务可能通过与 AD DS 域控制器联系来验证帐户。 如果 Azure NetApp 文件无法联系 AD DS 域控制器,此操作可能会失败。

      有关 SeSecurityPrivilege 和 SQL Server 的详细信息,请参阅SeSecurityPrivilege

    • 管理员特权用户

      此选项向需要提升的特权的 AD DS 域用户或组授予额外的安全特权,以访问 Azure NetApp 文件卷。 指定的帐户将在文件或文件夹级别具有提升的权限。

      显示 Active Directory 连接窗口的“管理员”框的屏幕截图。

      使用“管理员特权用户”设置时,以下特权适用:

      Privilege 说明
      SeBackupPrivilege 备份文件和目录,重写任何 ACL。
      SeRestorePrivilege 备份文件和目录,重写任何 ACL。
      将任何有效的用户或组 SID 设置为文件所有者。
      SeChangeNotifyPrivilege 跳过遍历检查。
      具有此权限的用户无需具有遍历 (x) 权限即可遍历文件夹或符号链接。
      SeTakeOwnershipPrivilege 获得文件或其他对象的所有权。
      SeSecurityPrivilege 管理日志操作。
      SeChangeNotifyPrivilege 跳过遍历检查。
      具有此权限的用户无需具有遍历 (x) 权限即可遍历文件夹或符号链接。
    • 凭证,包括“用户名”和“密码”

      显示 Active Directory 凭据字段的屏幕截图,其中显示了用户名、密码和确认密码字段。

      重要

      尽管 Active Directory 支持 256 个字符的密码,但 Azure NetApp 文件的 Active Directory 密码不能超过 64 个字符。

  3. 选择“加入” 。

    将显示你创建的 Active Directory 连接。

    Active Directory 连接菜单的屏幕截图,其中显示了成功创建的连接。

请参阅将同一订阅和区域中的多个 NetApp 帐户映射到 AD 连接

共享 AD 功能使所有 NetApp 帐户共享一个 Active Directory (AD) 连接,该连接是由属于同一订阅和同一区域的某个 NetApp 帐户创建。 例如,使用此功能,同一订阅和区域中的所有 NetApp 帐户均可使用常见 AD 配置来创建 SMB 卷NFSv 4.1 Kerberos 卷双协议卷。 使用此功能时,AD 连接将在同一订阅和同一区域下的所有 NetApp 帐户中可见。

此功能目前以预览版提供。 首次使用此功能之前,你需要注册此功能。 注册后,即可在后台启用并使用该功能。 无需 UI 控件。

  1. 注册此功能:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    
  2. 检查功能注册的状态:

    注意

    RegistrationState 可能会处于状态长达 60 分钟,然后才更改为Registered状态。 请等到状态变为“已注册”后再继续。

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    

此外,还可使用 Azure CLI 命令az feature show 注册功能并显示注册状态。

重置 Active Directory 计算机帐户密码

如果在 AD 服务器上意外重置 AD 计算机帐户的密码,或无法访问 AD 服务器,则可以安全地重置计算机帐户密码,以保持与卷的连接。 重置会影响 SMB 服务器上的所有卷。

注册功能

重置 Active Directory 计算机帐户密码功能目前为公共预览版。 如果你是首次使用此功能,则需要先注册该功能。

  1. 注册“重置 Active Directory 计算机帐户密码”功能:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. 检查功能注册的状态。 RegistrationState 可能会处于状态长达 60 分钟,然后才更改为Registered状态。 请等到状态变为Registered后再继续。
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

此外,还可使用 Azure CLI 命令az feature show 注册功能并显示注册状态。

步骤

  1. 导航到卷的“概述”菜单。 选择“重置 Active Directory 帐户”。 突出显示“重置 Active Directory 帐户”按钮的 Azure 卷“概述”界面。 或者,导航到“卷”菜单。 确定要为其重置 Active Directory 帐户的卷,然后选择行尾的三个点 (...)。 选择“重置 Active Directory 帐户”。 突出显示“重置 Active Directory 帐户”按钮的 Azure 卷列表。
  2. 将弹出一条警告消息,说明此操作的含义。 在文本框中键入“是”以继续。 “重置 Active Directory 帐户”警告消息,内容如下:警告! 此操作将重置卷的 Active Directory 帐户。此操作旨在让用户重新获得对其任意支配的卷的访问权限,如果在不需要时执行此操作,则可能导致数据无法访问。

后续步骤