建立和管理 Azure NetApp Files 的 Active Directory 連線

  • 發行項

Azure NetApp Files 的數個功能需要您有 Active Directory 連線。 例如,您必須先有Active Directory 連線,才能建立 SMB磁碟區NFSv4.1 Kerberos 磁碟區或 雙通訊協定磁碟區。 本文說明如何建立和管理 Azure NetApp Files 的 Active Directory 連線。

Active Directory 連線的需求和考慮

重要

您必須遵循瞭解 Active Directory 網域服務 網站設計和規劃 Azure NetApp Files for Active Directory 網域服務 的指導方針或搭配 Azure NetApp Files 使用的 Microsoft Entra Domain Services 中所述的指導方針。

建立AD連線之前,請檢閱 修改 Azure NetApp Files 的 Active Directory 連線,以瞭解在建立AD連線之後變更AD聯機組態選項的影響。 AD 連線設定選項的變更對用戶端存取造成干擾,某些選項完全無法變更。

  • 必須在部署 Azure NetApp Files 磁碟區的區域中建立 Azure NetApp Files 帳戶。

  • 每個區域每個訂用帳戶只能設定一個 Active Directory (AD) 連線。

    Azure NetApp Files 不支援單一區域中的多個 AD 連線,即使 AD 連線是在不同的 NetApp 帳戶中建立也一樣。 不過,如果 AD 連線位於不同的區域,您可以在單一訂用帳戶中有多個 AD 連線。 如果您需要單一區域中的多個 AD 連線,您可以使用個別的訂用帳戶來執行此動作。

    AD 連線只能透過其建立的 NetApp 帳戶來顯示。 不過,您可以啟用共用AD功能,以允許位於相同訂用帳戶和相同區域的NetApp帳戶使用相同的AD連線。 請參閱 將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至 AD 連線

  • Azure NetApp Files AD 連線管理員帳戶必須具有下列屬性:

    • 它必須是 Azure NetApp Files 電腦帳戶建立所在相同網域中的 AD DS 網域用戶帳戶。
    • 它必須具有許可權,才能在AD連線的 [組織單位路徑] 選項中指定的AD DS組織單位路徑中建立電腦帳戶(例如AD網域加入)。
    • 它不能是 群組受管理的服務帳戶

  • AD 連線管理員帳戶支援 Kerberos AES-128 和 Kerberos AES-256 加密類型,以使用 AD DS 進行 Azure NetApp Files 計算機帳戶建立驗證(例如 AD 網域加入作業)。

  • 若要在 Azure NetApp Files AD 連線管理員帳戶上啟用 AES 加密,您必須使用屬於下列其中一個 AD DS 群組成員的 AD 網域使用者帳戶:

    • Domain Admins
    • Enterprise Admins
    • 系統管理員
    • Account Operators
    • Microsoft Entra Domain Services 管理員 istrators _ (僅限 Microsoft Entra Domain Services)_
    • 或者,AD 連線管理員帳戶上具有 msDS-SupportedEncryptionTypes 寫入許可權的 AD 網域用戶帳戶也可以用來在 AD 連線管理員帳戶上設定 Kerberos 加密類型屬性。

    注意

    當您修改設定以在AD連線管理員帳戶上啟用 AES 時,最佳做法是使用具有非 Azure NetApp Files AD 系統管理員之 AD 物件的寫入許可權的用戶帳戶。您可以使用另一個網域系統管理員帳戶或將控制權委派給帳戶來執行此動作。 如需詳細資訊,請參閱使用 OU 物件委派 管理員 istration。

    如果您在 AD 連線的系統管理員帳戶上設定 AES-128 和 AES-256 Kerberos 加密,則會使用 AD DS 支援的最高層級加密。

  • 若要在 AD 連線中啟用系統管理員帳戶的 AES 加密支援,請執行下列 Active Directory PowerShell 命令:

    Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>

    KerberosEncryptionType 是支援 AES-128 和 AES-256 值的多重值參數。

    如需詳細資訊,請參閱 Set-ADUser 檔

  • 如果您需要針對已加入網域的 Windows 主機,針對搭配 Azure NetApp Files 使用的已加入網域的 Windows 主機,針對 Active Directory 計算機帳戶啟用和停用特定 Kerberos 加密類型,您必須使用組策略 Network Security: Configure Encryption types allowed for Kerberos

    請勿設定登入機碼 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes。 這麼做將會中斷此登錄機碼手動設定之 Windows 主機的 Azure NetApp Files 驗證 Kerberos。

    注意

    預設原則設定 Network Security: Configure Encryption types allowed for KerberosNot Defined。 當此原則設定設為 Not Defined時,除了 DES 以外的所有加密類型都可用於 Kerberos 加密。 您可以選擇只啟用特定 Kerberos 加密類型的支援(例如 或 AES128_HMAC_SHA1AES256_HMAC_SHA1)。 不過,在大部分情況下,啟用 Azure NetApp Files 的 AES 加密支援時,默認原則應該就已足夠。

    如需詳細資訊,請參閱網路安全性:為 Kerberos 或 Kerberos 支援的加密類型設定允許的 Windows 設定加密類型

  • LDAP 查詢只會在Active Directory 連線中指定的網域中生效( AD DNS功能變數名稱 欄位)。 此行為適用於 NFS、SMB 和雙通訊協定磁碟區。

  • LDAP 查詢逾時

    根據預設,如果LDAP查詢無法及時完成,就會逾時。 如果LDAP查詢因逾時而失敗,使用者和/或群組查閱將會失敗,而且可能會拒絕存取 Azure NetApp Files 磁碟區,視磁碟區的許可權設定而定。

    查詢逾時可能會發生在具有許多使用者和群組物件的大型LDAP環境中、透過緩慢的WAN連線,以及LDAP伺服器是否過度利用要求。 LDAP 查詢的 Azure NetApp Files 逾時設定會設定為 10 秒。 如果您遇到LDAP查詢逾時問題,請考慮利用Active Directory 連線 ion 上的使用者和群組 DN 功能,讓LDAP伺服器篩選搜尋。

建立 Active Directory 連線

  1. 從您的 NetApp 帳戶,選取 [Active Directory 連線],然後選取 [ 加入]。

    Screenshot showing the Active Directory connections menu. The join button is highlighted.

    注意

    Azure NetApp Files 僅支援相同區域和相同訂用帳戶內的一個 Active Directory 連線。

  2. 在 [加入 Active Directory] 視窗中,根據您想要使用的網域服務,提供下列資訊:

    • 主要 DNS(必要)
      這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的主要 DNS 伺服器的 IP 位址。

    • 次要 DNS
      這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的次要 DNS 伺服器 IP 位址。

      注意

      建議您設定次要 DNS 伺服器。 請參閱瞭解 Azure NetApp Files Active Directory 網域服務 網站設計和規劃的指導方針。 請確定您的 DNS 伺服器組態符合 Azure NetApp Files 的需求。 否則,Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。

      如果您使用 Microsoft Entra Domain Services,則應該分別針對主要 DNS 和次要 DNS 使用 Microsoft Entra Domain Services 域控制器的 IP 位址。

    • AD DNS 功能變數名稱 (必要)
      這是將搭配 Azure NetApp Files 使用之 AD DS 的完整功能變數名稱(例如 , contoso.com

    • AD 網站名稱 (必要)
      這是 Azure NetApp Files 將用於域控制器探索的 AD DS 網站名稱。

      AD DS 和 Microsoft Entra Domain Services 的預設網站名稱為 Default-First-Site-Name如果您想要重新命名網站名稱,請遵循網站名稱的命名慣例。

      注意

      請參閱瞭解 Azure NetApp Files Active Directory 網域服務 網站設計和規劃的指導方針。 請確定您的 AD DS 網站設計和設定符合 Azure NetApp Files 的需求。 否則,Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。

    • SMB 伺服器 (計算機帳戶) 前置詞 (必要)
      這是 Azure NetApp Files SMB、雙重通訊協定和 NFSv4.1 Kerberos 磁碟區 AD DS 中建立之新電腦帳戶的命名前置詞。

      例如,如果您的組織用於檔案服務的命名標準是 NAS-01NAS-02等,則您會使用 NAS 作為前置詞。

      Azure NetApp Files 會視需要在 AD DS 中建立其他電腦帳戶。

      重要

      在您建立 Active Directory 連線之後重新命名 SMB 伺服器前置詞會造成干擾。 重新命名SMB伺服器前置詞之後,您必須重新掛接現有的SMB共用。

    • 組織單位路徑
      這是將建立SMB伺服器電腦帳戶之組織單位 (OU) 的LDAP路徑。 也就是說, OU=second level, OU=first level。 例如,如果您想要使用在 ANF 網域根目錄建立的 OU,此值會是 OU=ANF

      如果未提供任何值,Azure NetApp Files 將會使用 CN=Computers 容器。

      如果您使用 Azure NetApp Files 搭配 Microsoft Entra Domain Services,則組織單位路徑為 OU=AADDC Computers

      Screenshot of the Join Active Directory input fields.

    • AES 加密
      此選項會啟用AD連線之系統管理員帳戶的 AES 加密驗證支援。

      Screenshot of the AES description field. The field is a checkbox.

      如需需求,請參閱 Active Directory 連線 的需求。

    • LDAP 簽署

      此選項會啟用LDAP簽署。 此功能可讓簡單驗證和安全性層 (SASL) LDAP 從 Azure NetApp Files 和使用者指定的 Active Directory 網域服務 域控制器進行完整性驗證。

      如果 Active Directory 連線 中同時啟用 LDAP 簽署和 LDAP over TLS 設定選項,Azure NetApp Files 支援 LDAP 通道系結。 如需詳細資訊,請參閱 ADV190023 |啟用LDAP通道系結和LDAP簽署的 Microsoft指引。

      注意

      AD DS 計算機帳戶的 DNS PTR 記錄必須在 Azure NetApp Files AD 連線中指定的 AD DS 組織單位 中建立,LDAP 簽署才能運作。

      Screenshot of the LDAP signing checkbox.

    • 允許具有LDAP 的本機 NFS 使用者 此選項可讓本機 NFS 用戶端使用者存取 NFS 磁碟區。 設定此選項會停用NFS磁碟區的擴充群組。 它也會將群組數目限制為16。 如需詳細資訊,請參閱 允許具有LDAP的本機NFS使用者存取雙重通訊協定磁碟區

    • LDAP over TLS

      此選項可讓LDAP over TLS在 Azure NetApp Files 磁碟區和 Active Directory LDAP 伺服器之間進行安全通訊。 您可以針對 Azure NetApp Files 的 NFS、SMB 和雙通訊協定磁碟區啟用 LDAP over TLS。

      注意

      如果您使用 Microsoft Entra Domain Services,則不得啟用 LDAP over TLS。 Microsoft Entra Domain Services 會使用 LDAPS (連接埠 636) 來保護 LDAP 流量,而不是透過 TLS 的 LDAP (埠 389)。

      如需詳細資訊,請參閱啟用 NFS 磁碟區的 Active Directory 網域服務 (AD DS) LDAP 驗證。

    • 伺服器根 CA 憑證

      此選項會上傳搭配LDAP over TLS使用的CA憑證。

      如需詳細資訊,請參閱啟用 NFS 磁碟區的 Active Directory 網域服務 (AD DS) LDAP 驗證。 

    • LDAP 搜尋範圍使用者 DN群組 DN群組成員資格篩選

      LDAP 搜尋範圍 選項會將 Azure NetApp Files 記憶體 LDAP 查詢優化,以搭配大型 AD DS 拓撲和 LDAP 搭配擴充群組或 Unix 安全性樣式搭配 Azure NetApp Files 雙通訊協定磁碟區使用。

      [使用者 DN] 和 [群組 DN] 選項可讓您在 AD DS LDAP 中設定搜尋基底。

      [ 群組成員資格篩選 ] 選項可讓您為屬於特定 AD DS 群組成員的使用者建立自定義搜尋篩選。

      Screenshot of the LDAP search scope field, showing a checked box.

      如需這些選項的相關信息,請參閱 使用 NFS 磁碟區存取 擴充群組設定 AD DS LDAP。

    • LDAP 用戶端的慣用伺服器

      [ LDAP 用戶端 的慣用伺服器] 選項可讓您將最多兩部 AD 伺服器的 IP 位址提交為逗號分隔清單。 LDAP 用戶端不會循序連絡網域的所有探索到 AD 服務,而是會先連絡指定的伺服器。

    • 對域控制器的加密SMB連線

      域控制器 的加密SMB聯機會指定是否應該將加密用於SMB伺服器與域控制器之間的通訊。 啟用時,只有SMB3會用於加密的域控制器連線。

      此功能目前為預覽功能。 如果這是您第一次使用域控制器的加密 SMB 連線,您必須註冊它:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      檢查功能註冊的狀態:

      注意

      RegistrationState 在變更Registered之前,最多可能處於 Registering 60 分鐘的狀態。 請等到狀態繼續 Registered 之前。

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      您也可以使用 Azure CLI 命令az feature register 來註冊功能, az feature show 並顯示註冊狀態。

    • 備份原則使用者 此選項會將安全性許可權新增給需要提高備份許可權的 AD DS 網域使用者或群組,以支援 Azure NetApp Files 中的備份、還原和移轉工作流程。 指定的 AD DS 使用者帳戶或群組將會在檔案或資料夾層級提高 NTFS 許可權。

      Screenshot of the Backup policy users field showing an empty text input field.

      當您使用 備份原則用戶 設定時,適用下列許可權:

      權限 描述
      SeBackupPrivilege 備份檔案和目錄,覆寫任何 ACL。
      SeRestorePrivilege 還原檔案和目錄,覆寫任何 ACL。
      將任何有效的使用者或群組 SID 設定為檔案擁有者。
      SeChangeNotifyPrivilege 略過周遊檢查。
      具有此許可權的使用者不需要具有周遊資料夾或符號連結的許可權。x

    • 安全性許可權使用者
      此選項會將安全性許可權 (SeSecurityPrivilege) 授與需要提高許可權才能存取 Azure NetApp Files 磁碟區的 AD DS 網域使用者或群組。 指定的 AD DS 使用者或群組將允許在 SMB 共用上執行某些動作,而 SMB 共用需要預設未指派給網域使用者的安全性許可權。

      Screenshot showing the Security privilege users box of Active Directory connections window.

      當您使用 [安全性許可權使用者 ] 設定時,適用下列許可權:

      權限 描述
      SeSecurityPrivilege 管理記錄作業。

      此功能用於在特定情況下安裝 SQL Server,其中非系統管理員 AD DS 網域帳戶必須暫時獲得提高的安全性許可權。

      注意

      使用安全性許可權使用者功能依賴 SMB持續可用性共用功能。 自訂應用程式不支援SMB持續可用性。 它只支援使用 Citrix App Laying、 FSLogix 使用者配置檔容器和 Microsoft SQL Server(而非 Linux SQL Server)的工作負載。

      重要

      使用安全性許可權使用者功能需要您透過 Azure NetApp Files SMB 持續可用性共用公開預覽等候清單提交頁面提交等候清單要求。 使用此功能之前,請等候 Azure NetApp Files 小組的官方確認電子郵件。
      這項功能是選擇性的,且僅支援 SQL Server。 您必須先存在用來安裝 SQL Server 的 AD DS 網域帳戶,才能將它新增至 [安全性許可權使用者 ] 選項。 當您將 SQL Server 安裝程式帳戶新增至 [安全性許可權使用者 ] 選項時,Azure NetApp Files 服務可能會透過連絡 AD DS 域控制器來驗證帳戶。 如果 Azure NetApp Files 無法連絡 AD DS 域控制器,此動作可能會失敗。

      如需 和 SQL Server 的詳細資訊 SeSecurityPrivilege ,請參閱 SQL Server 安裝失敗,如果安裝程式帳戶沒有特定的用戶權力

    • 管理員 istrators 許可權使用者

      此選項會將額外的安全性許可權授與 AD DS 網域使用者或需要更高許可權的群組,才能存取 Azure NetApp Files 磁碟區。 指定的帳戶在檔案或資料夾層級會有較高的許可權。

      注意

      網域系統管理員會自動新增至 管理員 istrators 許可權使用者群組。

      Screenshot that shows the Administrators box of Active Directory connections window.

      當您使用 管理員 istrators 權限使用者設定時,適用下列權限:

      權限 描述
      SeBackupPrivilege 備份檔案和目錄,覆寫任何 ACL。
      SeRestorePrivilege 還原檔案和目錄,覆寫任何 ACL。
      將任何有效的使用者或群組 SID 設定為檔案擁有者。
      SeChangeNotifyPrivilege 略過周遊檢查。
      具有此許可權的使用者不需要有周遊 (x) 許可權來周遊資料夾或符號連結。
      SeTakeOwnershipPrivilege 取得檔案或其他物件的擁有權。
      SeSecurityPrivilege 管理記錄作業。
      SeChangeNotifyPrivilege 略過周遊檢查。
      具有此許可權的使用者不需要有周遊 (x) 許可權來周遊資料夾或符號連結。

    • 認證,包括您的使用者名稱和密碼

      Screenshot that shows Active Directory credentials fields showing username, password and confirm password fields.

      重要

      雖然 Active Directory 支援 256 個字元的密碼,但具有 Azure NetApp Files 的 Active Directory 密碼不能 超過 64 個字元。

  3. 選取加入

    您建立的 Active Directory 連線隨即出現。

    Screenshot of the Active Directory connections menu showing a successfully created connection.

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至 AD 連線

共用AD功能可讓所有NetApp帳戶共用屬於相同訂用帳戶和相同區域的其中一個 NetApp 帳戶所建立的 Active Directory (AD) 連線。 例如,使用這項功能,相同訂用帳戶和區域中的所有 NetApp 帳戶都可以使用通用 AD 設定來建立 SMB 磁碟區、 NFSv4.1 Kerberos 磁碟區或 雙通訊協定磁碟區。 當您使用這項功能時,AD 聯機會顯示在相同訂用帳戶和相同區域下的所有 NetApp 帳戶中。

此功能目前為預覽功能。 您必須先註冊此功能,才能第一次使用它。 註冊之後,此功能會啟用,並在背景中運作。 不需要UI控制件。

  1. 註冊功能:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

  2. 檢查功能註冊的狀態:

    注意

    RegistrationState 在變更Registered之前,最多可能處於 Registering 60 分鐘的狀態。 等到狀態為 [已註冊] 后再繼續。

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD

您也可以使用 Azure CLI 命令az feature register 來註冊功能, az feature show 並顯示註冊狀態。

重設 Active Directory 計算機帳戶密碼

如果您不小心重設 AD 伺服器上的 AD 計算機帳戶密碼,或無法連線到 AD 伺服器,您可以安全地重設電腦帳戶密碼,以保留磁碟區的連線。 重設會影響SMB伺服器上的所有磁碟區。

註冊功能

重設 Active Directory 計算機帳戶密碼功能目前為公開預覽狀態。 如果您是第一次使用此功能,您必須先註冊此功能。

  1. 註冊重 設 Active Directory 計算機帳戶密碼 功能:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. 檢查功能註冊的狀態。 RegistrationState 在變更Registered之前,最多可能處於 Registering 60 分鐘的狀態。 請等到狀態繼續 Registered 之前。
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

您也可以使用 Azure CLI 命令az feature register 來註冊功能, az feature show 並顯示註冊狀態。

步驟

  1. 流覽至磁碟區 [概觀 ] 功能表。 選取 [ 重設 Active Directory 帳戶]。 Azure Volume Overview interface with the Reset Active Directory Account button highlighted. 或者,流覽至 [ 磁碟區 ] 功能表。 識別您要重設 Active Directory 帳戶的磁碟區,然後選取數據列結尾的三個點(...)。 選取 [ 重設 Active Directory 帳戶]。 Azure volume list with the Reset Active Directory Account button highlighted.
  2. 說明此動作含意的警告訊息隨即出現。 在文字框中輸入 yes 以繼續進行。 Reset Active Directory Account warning message that reads: Warning! This action will reset the active directory account for the volume. This action is intended for users to regain access to volumes at their disposal and can cause data to be unreachable if executed when not needed.

下一步