建立和管理 Azure NetApp Files 的 Active Directory 連線

Azure NetApp Files 的數個功能需要您有 Active Directory 連線。 例如，您需要先有 Active Directory 連線，才能建立 SMB 磁區、NFSv4.1 Kerberos 磁區或雙重通訊協定磁區。 本文說明如何建立和管理適用於 Azure NetApp Files 的 Active Directory 連線。

Active Directory 連線的需求與考量

重要

您必須遵循了解 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃的指導方針中所述的相關指南，這份指南適用於與 Azure NetApp Files 搭配使用的 Active Directory 網域服務 (AD DS) 或 Microsoft Entra 網域服務。

在建立 AD 連線之前，請檢閱修改適用於 Azure NetApp Files 的 Active Directory 連線，以瞭解在 AD 連線建立之後對 AD 連線組態選項進行變更的影響。 AD 連線組態選項的變更會破壞對用戶端的存取，而且某些選項完全無法進行變更。

• 必須在要部署 Azure NetApp Files 磁碟區的區域中建立 Azure NetApp Files 帳戶。

• 根據預設，Azure NetApp Files 每個訂用帳戶只允許一個 Active Directory （AD） 連線。

  您可以 為每個 NetApp 帳戶建立一個 Active Directory 連線。

  在註冊此功能之前，請先檢查 帳戶頁面中的 [Active Directory 類型 ] 字段。

• Azure NetApp Files AD 連線管理員帳戶必須具有下列屬性：

  • 該帳號必須是建立 Azure NetApp Files 電腦帳戶之相同網域中的 AD DS 網域使用者帳戶。
  • 且必須具有權限，才能在 AD 連線的組織單位路徑選項指定的 AD DS 組織單位路徑中建立電腦帳戶 (例如 AD 網域加入)。
  • 它不能是群組受控服務帳戶。

• AD 連線管理員帳戶支援 Kerberos AES-128 和 Kerberos AES-256 加密類型，用以為適用於 Azure NetApp Files 的 AD DS 電腦帳戶建立進行驗證 (例如，AD 網域加入作業)。

• 若要在 Azure NetApp Files AD 連線管理員帳戶上啟用 AES 加密，您必須使用屬於下列其中一個 AD DS 群組成員的 AD 網域使用者帳戶：

  • Domain Admins
  • Enterprise Admins
  • 系統管理員
  • Account Operators
  • Microsoft Entra Domain Services 管理員 _ (僅限 Microsoft Entra Domain Services)_
  • 或者，也可以使用 AD 連線管理員帳戶上具有 msDS-SupportedEncryptionTypes 寫入權限的 AD 網域使用者帳戶，以在 AD 連線管理員帳戶上設定 Kerberos 加密類型屬性。

  注意

  若要修改設定以透過 AD 連線管理員帳戶啟用 AES，最佳做法是使用擁有非 Azure NetApp Files AD 管理員之 AD 物件寫入權限的使用者帳戶。您可以使用另一個網域管理員帳戶，或將控制權委派給帳戶來執行此動作。 如需詳細資訊，請參閱使用 OU 物件委派管理。

  如果您在 AD 連線的系統管理員帳戶上設定 AES-128 和 AES-256 Kerberos 加密，Windows 用戶端會交涉 AD DS 支援的最高加密層級。 例如，如果同時支援 AES-128 和 AES-256，且客戶端支援 AES-256，則會使用 AES-256。

• 若要在 AD 連線中為管理員帳戶啟用 AES 加密支援，請執行下列 Active Directory PowerShell 命令：

  Get-ADUser -Identity <ANF AD connection account username>
  Set-ADUser -KerberosEncryptionType <encryption_type>
  

  KerberosEncryptionType 是一個支援 AES-128 和 AES-256 值的多重值參數。

  如需詳細資訊，請參閱 Set-ADUser 文件。

• 如果您需要為已加入網域的 Windows 主機 (與 Azure NetApp Files 一起使用) 啟用和停用 Active Directory 電腦帳戶的特定 Kerberos 加密類型，那麼您必須使用群組原則 Network Security: Configure Encryption types allowed for Kerberos。

  請勿設定登錄機碼 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes。 這樣做會破壞向 Windows 主機 (在其中手動設定此登錄機碼) 的 Azure NetApp Files 進行 Kerberos 驗證。

  注意

  Network Security: Configure Encryption types allowed for Kerberos 的預設原則設定為 Not Defined。 當此原則設定設為 Not Defined 時，除了 DES 以外的所有加密類型都可用於 Kerberos 加密。 您可以選擇只啟用特定 Kerberos 加密類型的支援 (例如， AES128_HMAC_SHA1 或 AES256_HMAC_SHA1)。 不過，若對 Azure NetApp Files 啟用了 AES 加密支援時，在大部分的情況下，預設的原則應該就足夠了。

  如需詳細資訊，請參閱「網絡安全性：設定允許用於 Kerberos 的加密類型」或「Kerberos 支援加密類型的 Windows 組態」

• LDAP 查詢只會在 Active Directory 連線中指定的網域中生效 (AD DNS 網域名稱欄位)。 此行為適用於 NFS、SMB 和雙重通訊協定磁碟區。

• LDAP 查詢等候逾時

  根據預設，如果 LDAP 查詢無法及時完成，就會逾時。 如果 LDAP 查詢因逾時而失敗，使用者和/或群組查閱將會失敗，而且可能會遭拒絕存取 Azure NetApp Files 磁碟區，視磁碟區的權限設定而定。

  查詢逾時可能會發生在具有許多使用者和群組物件的大型 LDAP 環境中、慢速 WAN 連線，以及 LDAP 伺服器要求使用量過高的情況中。 LDAP 查詢的 Azure NetApp Files 逾時設定會設定為 10 秒。 若遇到 LDAP 查詢逾時問題，可以考慮利用 LDAP 伺服器中 Active Directory 連線上的使用者和群組 DN 功能來篩選搜尋結果。

NetApp 帳戶和 Active Directory 類型

您可以使用 NetApp 帳戶概觀頁面來確認 Active Directory 帳戶類型。 AD 類型有三個值：

• NA：每個訂用帳戶和區域只支援一個 AD 設定的現有 NetApp 帳戶。 AD 設定不會與訂用帳戶中的其他 NetApp 帳戶共用。
• 多重 AD：NetApp 帳戶支援訂用帳戶中每個 NetApp 帳戶中的一個 AD 組態。 這允許使用多個 NetApp 帳戶時，每個訂用帳戶有多個 AD 連線。
• 共用AD：NetApp帳戶僅支援每個訂用帳戶和區域的一個AD組態，但設定會跨訂用帳戶和區域中的NetApp帳戶共用。

如需 NetApp 帳戶與訂用帳戶之間關聯性的詳細資訊，請參閱 Azure NetApp Files 的記憶體階層。

建立 Active Directory 連線

1. 從您的 NetApp 帳戶中，選取 [Active Directory 連線]，然後選取 [加入]。

   

   注意

   Azure NetApp Files 只支援相同地區和相同訂用帳戶內的一個 Active Directory 連線。

2. 在 [加入 Active Directory] 視窗中，根據您想要使用的網域服務，提供下列資訊：

   • 主要 DNS (必要)
     這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的主要 DNS 伺服器的 IP 位址。

   • 次要 DNS
     這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的次要 DNS 伺服器的 IP 位址。

     注意

     建議您設定次要 DNS 伺服器。 請參閱了解適用於 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃指導方針。 請確定您的 DNS 伺服器設定符合 Azure NetApp Files 的需求。 否則，Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。

     如果您使用 Microsoft Entra Domain Services，請分別針對主要 DNS 和次要 DNS 使用 Microsoft Entra Domain Services 域控制器的 IP 位址。

   • AD DNS 網域名稱 (必要)
     這是搭配 Azure NetApp Files 使用之 AD DS 的完整功能變數名稱（例如 ， contoso.com。

   • AD 網站名稱 (必要)
     這是 Azure NetApp Files 用於域控制器探索的 AD DS 網站名稱。

     AD DS 和 Microsoft Entra 網域服務的預設網站名稱為 Default-First-Site-Name。 若要重新命名網站名稱，請按照網站名稱的命名慣例操作。

     注意

     請參閱了解適用於 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃指導方針。 請確定您的 AD DS 網站設計和組態符合 Azure NetApp Files 的需求。 否則，Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。

   • SMB 伺服器 (電腦帳戶) 前置詞 (必要)
     這是在 AD DS 中為 Azure NetApp Files SMB、雙重通訊協定和 NFSv4.1 Kerberos 磁碟區所建立的新電腦帳戶的命名前置詞。

     例如，如果您的組織用於檔案服務的命名標準是 NAS-01、NAS-02 等等，那麼您會使用 NAS 做為前置詞。

     Azure NetApp Files 會視需要在 AD DS 中建立其他的電腦帳戶。

     重要

     在建立 Active Directory 連線之後重新命名 SMB 伺服器會造成干擾。 重新命名 SMB 伺服器前置詞之後，您必須重新掛接現有的 SMB 共用。

   • 組織單位路徑
     這是組織單位 (OU) 的 LDAP 路徑，將在此處建立 SMB 伺服器電腦帳戶。 也就是說， OU=second level, OU=first level。 例如，如果您想要使用在網域的根所建立名為 ANF 的 OU，那麼此值會是 OU=ANF。

     如果未提供任何值，Azure NetApp Files 將使用 CN=Computers 容器。

     若使用 Azure NetApp Files 搭配 Microsoft Entra 網域服務，則組織單位路徑為 OU=AADDC Computers

     

   • AES 加密
     此選項可針對 AD 連線的管理員帳戶啟用 AES 加密驗證支援。

     

     有關要求，請參閱 Active Directory 連線的需求。

   • LDAP 簽署

     此選項可啟用 LDAP 簽署。 此功能可啟用來自 Azure NetApp Files 和使用者指定的「Active Directory 網域服務」網域控制站的簡單驗證和安全層 (SASL) LDAP 繫結的完整性驗證。

     如果 Active Directory 連線中已啟用 LDAP 簽署和 LDAP over TLS 設定選項，則 Azure NetApp Files 支援 LDAP 通道繫結。 如需詳細資訊，請參閱 ADV190023 | 啟用 LDAP 通道繫結和 LDAP 簽署的 Microsoft 指引。

     注意

     AD DS 電腦帳戶的 DNS PTR 記錄必須在 Azure NetApp Files AD 連線中指定的 AD DS 組織單位 中建立，LDAP 簽署才會生效。

     

   • 允許具有 LDAP 的本機 NFS 使用者 此選項可讓本機 NFS 用戶端使用者存取 NFS 磁區。 設定此選項會停用NFS磁碟區的擴充群組，這會將用戶支援的群組數目限制為16。 啟用時，訪問許可權中不會接受超過16個群組限制的群組。 如需詳細資訊，請參閱「允許具有 LDAP 的本機 NFS 使用者存取雙重通訊協定磁區」。

   • LDAP over TLS

     此選項可讓 LDAP over TLS 在 Azure NetApp Files 磁區與 Active Directory LDAP 伺服器之間進行安全通訊。 您可以為 Azure NetApp Files 的 NFS、SMB 和雙重通訊協定磁碟區啟用 LDAP over TLS。

     注意

     如果您使用 Microsoft Entra Domain Services，則不得啟用 LDAP over TLS。 Microsoft Entra 網域服務會使用 LDAPS (連接埠 636) 來保護 LDAP 流量，而不是 LDAP over TLS (連接埠 389)。

     如需詳細資訊，請參閱「為 NFS 磁區啟用 Active Directory 網域服務 (AD DS) LDAP 驗證」。

   • 伺服器根 CA 憑證

     此選項可上傳搭配 LDAP over TLS 使用的 CA 憑證。

     如需詳細資訊，請參閱「為 NFS 磁區啟用 Active Directory 網域服務 (AD DS) LDAP 驗證」。 

   • LDAP 搜尋範圍、使用者 DN、群組 DN 及群組成員資格篩選

     LDAP 搜尋範圍選項可最佳化 Azure NetApp Files 儲存體 LDAP 查詢，以搭配大型 AD DS 拓撲和具有擴充群組的 LDAP 或具有 Azure NetApp Files 雙重通訊協定磁區的 Unix 安全性樣式一起使用。

     使用者 DN 及群組 DN 選項可讓您在 AD DS LDAP 中設定搜尋基礎。 這些選項會限制LDAP查詢的搜尋區域，減少搜尋時間，並協助減少LDAP查詢逾時。

     群組成員資格篩選選項可讓您為屬於特定 AD DS 群組成員的使用者建立自訂搜尋篩選。

     

     如需這些選項的相關資訊，請參閱「設定具有擴充群組的 AD DS LDAP 以存取 NFS 磁區」。

   • LDAP 用戶端的慣用伺服器

     [LDAP 用戶端的慣用伺服器] 選項可讓您以逗號分隔清單形式來提交最多兩個 AD 伺服器的 IP 位址。 LDAP 用戶端將會先連絡指定的伺服器，而不會循序連絡網域的所有探索到 AD 服務。

   • 對域控制器的加密SMB連線

     已加密 SMB 與網域控制站的連線可指定是否應該將加密用於 SMB 伺服器與網域控制站之間的通訊。 啟用時，只有 SMB3 會用於加密的網域控制站連線。

     此功能目前為預覽功能。 如果這是您第一次使用「已加密 SMB 與網域控制站的連線」，則您必須進行註冊：

     Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     檢查功能註冊的狀態：

     注意

     在變更為 Registered 之前，RegistrationState 可能處於最多 60 分鐘的 Registering 狀態。 等到狀態變為 Registered 之後再繼續。

     Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     您也可以使用 Azure CLI 命令 az feature register 及 az feature show 來註冊該功能，並顯示註冊狀態。

   • 備份原則使用者此選項會將安全性許可權新增給需要提高備份許可權的 AD DS 網域使用者或群組，以支援 Azure NetApp Files 中的備份、還原和移轉工作流程。 指定的 AD DS 使用者帳戶或群組在檔案或資料夾層級會有較高的 NTFS 權限。

     

     當您使用備份原則使用者設定時，會套用下列權限：

     權限	描述
     SeBackupPrivilege	備份檔案和目錄，覆寫任何 ACL。
     SeRestorePrivilege	還原檔案和目錄，覆寫任何 ACL。 將任何有效的使用者或群組 SID 設為檔案擁有者。
     SeChangeNotifyPrivilege	略過周遊檢查。 具有此權限的使用者不需要擁有周遊的 (x) 權限來周遊資料夾或符號連結。

   • 安全性許可權使用者
     此選項會將安全性權限 (SeSecurityPrivilege) 授與需要較高的權限來存取 Azure NetApp Files 磁區的 AD DS 網域使用者或群組。 將允許指定的 AD DS 使用者或群組在 SMB 共用 (需要預設未指派給網域使用者的安全性權限) 上執行某些動作。

     

     當您使用 [安全性權限使用者] 設定時，會套用下列權限：

     權限	描述
     SeSecurityPrivilege	管理記錄作業。

     此功能可在特定情況下安裝 SQL Server 時使用，其中非管理員 AD DS 網域帳戶必須暫時被授與較高的安全性權限。

     注意

     使用安全性權限使用者功能時需依賴 SMB 持續可用性共用功能。 「SMB 持續可用性」在自訂應用程式上不受支援。 它只支援使用 Citrix 應用程式分層、 FSLogix 使用者配置檔案容器和 Microsoft SQL Server（而非 Linux SQL Server）的工作負載。

     重要

     使用「安全性權限使用者」功能時，需要您透過「Azure NetApp Files SMB 持續可用性共用公開預覽」等候清單提交頁面來提交等候清單要求。 等待收到 Azure NetApp Files 團隊發出的正式確認電子郵件之後，再使用此功能。
     此功能是選擇性的，且僅搭配 SQL Server 時才受到支援。 用於安裝 SQL Server 的 AD DS 網域帳戶必須已經存在之後，您才能將其新增至 [安全性權限使用者] 選項。 當您將 SQL Server 安裝程式帳戶新增至 [安全性權限使用者] 選項時，Azure NetApp Files 服務可能會連絡 AD DS 網域控制站來驗證該帳戶。 如果 Azure NetApp Files 無法連絡 AD DS 網域控制站，此動作可能會失敗。

     如需 SeSecurityPrivilege 和 SQL Server 的相關資訊，請參閱「如果安裝程式帳戶沒有特定使用者權限，則 SQL Server 安裝會失敗」。

   • 管理員權限使用者

     此選項會將額外的安全性權限授與需要較高的權限來存取 Azure NetApp Files 磁區的 AD DS 網域使用者或群組。 指定的帳戶將在檔案或資料夾層級具有較高的權限。

     注意

     網域管理員會自動新增至管理員權限使用者群組。

     

     注意

     此許可權適用於數據遷移。

     當您使用「管理員權限使用者」設定時，會套用下列權限：

     權限	描述
     SeBackupPrivilege	備份檔案和目錄，覆寫任何 ACL。
     SeRestorePrivilege	還原檔案和目錄，覆寫任何 ACL。 將任何有效的使用者或群組 SID 設為檔案擁有者。
     SeChangeNotifyPrivilege	略過周遊檢查。 具有此權限的使用者不需要擁有周遊 (x) 權限來周遊資料夾或符號連結。
     SeTakeOwnershipPrivilege	取得檔案或其他物件的擁有權。
     SeSecurityPrivilege	管理記錄作業。
     SeChangeNotifyPrivilege	略過周遊檢查。 具有此權限的使用者不需要擁有周遊 (x) 權限來周遊資料夾或符號連結。

   • 認證，包括您的使用者名稱和密碼

     

     重要

     雖然 Active Directory 支援 256 個字元的密碼，但搭配 Azure NetApp Files 使用的 Active Directory 密碼不能超過 64 個字元。

3. 選取加入。

   隨即顯示您建立的 Active Directory 連線。

   

為每個 NetApp 帳戶建立一個 Active Directory 連線 （預覽）

透過這項功能，Azure 訂用帳戶中的每個 NetApp 帳戶都可以有自己的 AD 連線。 設定之後，當您建立 SMB磁碟區、 NFSv4.1 Kerberos磁碟區或 雙通訊協定磁碟區時，就會使用NetApp帳戶的AD連線。 這表示，使用多個 NetApp 帳戶時，Azure NetApp Files 支援每個 Azure 訂用帳戶有多個 AD 連線。

注意

如果訂用帳戶同時啟用此和 共用 Active Directory 功能，其現有的帳戶仍會共用 AD 設定。 在訂用帳戶上建立的任何新 NetApp 帳戶都可以使用自己的 AD 設定。 您可以在 [AD 類型] 字段的 [帳戶概觀] 頁面中確認您的設定。

考量

• 每個 AD 組態的範圍僅限於其父 NetApp 帳戶。

註冊功能

每個 NetApp 帳戶建立一個 AD 連線的功能目前為預覽狀態。 您需要在第一次使用之前註冊該功能。 註冊之後，此功能就會啟用並在背景中運作。

1. 註冊此功能：

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory
   

2. 檢查功能註冊的狀態：

   注意

   在變更為 Registered 之前，RegistrationState 可能處於最多 60 分鐘的 Registering 狀態。 等到狀態變為 Registered 之後再繼續。

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory
   

您也可以使用 Azure CLI 命令 az feature register 及 az feature show 來註冊該功能，並顯示註冊狀態。

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至一個 AD 連線 （預覽）

共用AD功能可讓所有NetApp帳戶共用屬於相同訂用帳戶和相同區域的其中一個 NetApp 帳戶所建立的AD連線。 例如，使用此功能時，相同訂用帳戶和地區中的所有 NetApp 帳戶都可以使用通用 AD 組態來建立 SMB 磁區、NFSv4.1 Kerberos 磁區或雙重通訊協定磁區。 使用此功能時，AD 連線會顯示在相同訂用帳戶和相同區域下方的所有 NetApp 帳戶中。

隨著每個 NetApp 帳戶建立 AD 連線的功能引進，將不會接受共用 AD 功能的新功能註冊。

注意

如果您已在共用 AD 預覽版中註冊，則可以註冊為每個 NetApp 帳戶使用一個 AD 連線。 如果您目前符合每個訂用帳戶每個 Azure 區域最多 10 個 NetApp 帳戶，您必須起始支援要求 以增加限制。 您可以在 [AD 類型] 字段的 [帳戶概觀] 頁面中確認您的設定。

重設 Active Directory 電腦帳戶密碼

如果您不小心重設 AD 伺服器上的 AD 電腦帳戶密碼，或無法連線到 AD 伺服器，您可以安全地重設電腦帳戶密碼，以保留與磁區的連線。 重設會影響 SMB 伺服器上的所有磁區。

註冊功能

重設 Active Directory 電腦帳戶密碼功能目前為公開預覽的狀態。 如果您是第一次使用這項功能，則必須先註冊此功能。

1. 註冊「重設 Active Directory 電腦帳戶密碼」功能：

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

2. 檢查功能註冊的狀態。 在變更為 Registered 之前，RegistrationState 可能處於最多 60 分鐘的 Registering 狀態。 等到狀態變為 Registered 之後再繼續。

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

您也可以使用 Azure CLI 命令 az feature register 及 az feature show 來註冊該功能，並顯示註冊狀態。

步驟

1. 瀏覽至磁區 [概觀] 功能表。 選取 [重設 Active Directory 帳戶]。 或是瀏覽至 [磁碟區]功能表。 識別您要重設 Active Directory 帳戶的磁區，然後選取資料列結尾的三個點 (...)。 選取 [重設 Active Directory 帳戶]。
2. 隨即會快顯一個說明此動作含意的警告訊息。 在文字方塊中輸入 yes 以繼續。

下一步

• 了解適用於 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃指導方針
• 修改 Active Directory 連線
• 建立 SMB 磁碟區
• 建立雙重通訊協定磁碟區
• 設定 NFSv4.1 Kerberos 加密
• 使用 Azure CLI 安裝新的 Active Directory 樹系
• 為 NFS 磁碟區啟用 Active Directory Domain Services (AD DS) LDAP 驗證
• 設定具有擴充群組的 AD DS LDAP 以存取 NFS 磁區