建立和管理 Azure NetApp Files 的 Active Directory 連線

發行項
05/17/2024

Azure NetApp Files 的數個功能需要您有 Active Directory 連線。例如，您必須先有Active Directory 連線，才能建立 SMB磁碟區、 NFSv4.1 Kerberos 磁碟區或雙通訊協定磁碟區。本文說明如何建立和管理 Azure NetApp Files 的 Active Directory 連線。

Active Directory 連線的需求和考慮

重要

您必須遵循瞭解 Active Directory 網域服務網站設計和規劃 Azure NetApp Files for Active Directory 網域服務的指導方針或搭配 Azure NetApp Files 使用的 Microsoft Entra Domain Services 中所述的指導方針。

建立AD連線之前，請檢閱修改 Azure NetApp Files 的 Active Directory 連線，以瞭解在建立AD連線之後變更AD聯機組態選項的影響。 AD 連線設定選項的變更對用戶端存取造成干擾，某些選項完全無法變更。

必須在要部署 Azure NetApp Files 磁碟區的區域中建立 Azure NetApp Files 帳戶。
根據預設，Azure NetApp Files 每個訂用帳戶只允許一個 Active Directory （AD）連線。

您可以為每個 NetApp 帳戶建立一個 Active Directory 連線。

在註冊此功能之前，請先檢查帳戶頁面中的 [Active Directory 類型 ] 字段。
Azure NetApp Files AD 連線管理員帳戶必須具有下列屬性：
- 它必須是 Azure NetApp Files 電腦帳戶建立所在相同網域中的 AD DS 網域用戶帳戶。
- 它必須具有許可權，才能在AD連線的 [組織單位路徑] 選項中指定的AD DS組織單位路徑中建立電腦帳戶（例如AD網域加入）。
- 它不能是群組受管理的服務帳戶。
AD 連線管理員帳戶支援 Kerberos AES-128 和 Kerberos AES-256 加密類型，以使用 AD DS 進行 Azure NetApp Files 計算機帳戶建立驗證（例如 AD 網域加入作業）。
若要在 Azure NetApp Files AD 連線管理員帳戶上啟用 AES 加密，您必須使用屬於下列其中一個 AD DS 群組成員的 AD 網域使用者帳戶：
- Domain Admins
- Enterprise Admins
- 系統管理員
- Account Operators
- Microsoft Entra Domain Services 管理員 istrators _ （僅限 Microsoft Entra Domain Services）_
- 或者，AD 連線管理員帳戶上具有 msDS-SupportedEncryptionTypes 寫入許可權的 AD 網域用戶帳戶也可以用來在 AD 連線管理員帳戶上設定 Kerberos 加密類型屬性。
注意

當您修改設定以在AD連線管理員帳戶上啟用 AES 時，最佳做法是使用具有非 Azure NetApp Files AD 系統管理員之 AD 物件的寫入許可權的用戶帳戶。您可以使用另一個網域系統管理員帳戶或將控制權委派給帳戶來執行此動作。如需詳細資訊，請參閱使用 OU 物件委派管理員 istration。

如果您在 AD 連線的系統管理員帳戶上設定 AES-128 和 AES-256 Kerberos 加密，Windows 用戶端會交涉 AD DS 支援的最高加密層級。例如，如果同時支援 AES-128 和 AES-256，且客戶端支援 AES-256，則會使用 AES-256。
若要在 AD 連線中啟用系統管理員帳戶的 AES 加密支援，請執行下列 Active Directory PowerShell 命令：
```
Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>
```
KerberosEncryptionType 是支援 AES-128 和 AES-256 值的多重值參數。

如需詳細資訊，請參閱 Set-ADUser 檔。
如果您需要針對已加入網域的 Windows 主機，針對搭配 Azure NetApp Files 使用的已加入網域的 Windows 主機，針對 Active Directory 計算機帳戶啟用和停用特定 Kerberos 加密類型，您必須使用組策略 Network Security: Configure Encryption types allowed for Kerberos。

請勿設定登入機碼 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes。這麼做將會中斷此登錄機碼手動設定之 Windows 主機的 Azure NetApp Files 驗證 Kerberos。

注意

預設原則設定 Network Security: Configure Encryption types allowed for Kerberos 為 Not Defined。當此原則設定設為 Not Defined時，除了 DES 以外的所有加密類型都可用於 Kerberos 加密。您可以選擇只啟用特定 Kerberos 加密類型的支援（例如或 AES128_HMAC_SHA1 AES256_HMAC_SHA1）。不過，在大部分情況下，啟用 Azure NetApp Files 的 AES 加密支援時，默認原則應該就已足夠。

如需詳細資訊，請參閱網路安全性：為 Kerberos 或 Kerberos 支援的加密類型設定允許的 Windows 設定加密類型
LDAP 查詢只會在Active Directory 連線中指定的網域中生效（ AD DNS功能變數名稱 欄位）。此行為適用於 NFS、SMB 和雙通訊協定磁碟區。
LDAP 查詢逾時

根據預設，如果LDAP查詢無法及時完成，就會逾時。如果LDAP查詢因逾時而失敗，使用者和/或群組查閱將會失敗，而且可能會拒絕存取 Azure NetApp Files 磁碟區，視磁碟區的許可權設定而定。

查詢逾時可能會發生在具有許多使用者和群組物件的大型LDAP環境中、透過緩慢的WAN連線，以及LDAP伺服器是否過度利用要求。 LDAP 查詢的 Azure NetApp Files 逾時設定會設定為 10 秒。如果您遇到LDAP查詢逾時問題，請考慮利用Active Directory 連線 ion 上的使用者和群組 DN 功能，讓LDAP伺服器篩選搜尋。

NetApp 帳戶和 Active Directory 類型

您可以使用 NetApp 帳戶概觀頁面來確認 Active Directory 帳戶類型。 AD 類型有三個值：

NA：每個訂用帳戶和區域只支援一個 AD 設定的現有 NetApp 帳戶。 AD 設定不會與訂用帳戶中的其他 NetApp 帳戶共用。
多重 AD：NetApp 帳戶支援訂用帳戶中每個 NetApp 帳戶中的一個 AD 組態。這允許使用多個 NetApp 帳戶時，每個訂用帳戶有多個 AD 連線。
共用AD：NetApp帳戶僅支援每個訂用帳戶和區域的一個AD組態，但設定會跨訂用帳戶和區域中的NetApp帳戶共用。

如需 NetApp 帳戶與訂用帳戶之間關聯性的詳細資訊，請參閱 Azure NetApp Files 的儲存體階層。

建立 Active Directory 連線

從您的 NetApp 帳戶中，選取 [Active Directory 連線]，然後選取 [加入]。

注意

Azure NetApp Files 僅支援相同區域和相同訂用帳戶內的一個 Active Directory 連線。

在 [加入 Active Directory] 視窗中，根據您想要使用的網域服務，提供下列資訊：

主要 DNS（必要）
這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的主要 DNS 伺服器的 IP 位址。
次要 DNS
這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的次要 DNS 伺服器 IP 位址。

注意

建議您設定次要 DNS 伺服器。請參閱瞭解 Azure NetApp Files Active Directory 網域服務網站設計和規劃的指導方針。請確定您的 DNS 伺服器組態符合 Azure NetApp Files 的需求。否則，Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。

如果您使用 Microsoft Entra Domain Services，請分別針對主要 DNS 和次要 DNS 使用 Microsoft Entra Domain Services 域控制器的 IP 位址。
AD DNS 功能變數名稱（必要）
這是搭配 Azure NetApp Files 使用之 AD DS 的完整功能變數名稱（例如， contoso.com。
AD 網站名稱（必要）
這是 Azure NetApp Files 用於域控制器探索的 AD DS 網站名稱。

AD DS 和 Microsoft Entra Domain Services 的預設網站名稱為 Default-First-Site-Name。如果您想要重新命名網站名稱，請遵循網站名稱的命名慣例。

注意

請參閱瞭解 Azure NetApp Files Active Directory 網域服務網站設計和規劃的指導方針。請確定您的 AD DS 網站設計和設定符合 Azure NetApp Files 的需求。否則，Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。
SMB 伺服器（計算機帳戶）前置詞（必要）
這是 Azure NetApp Files SMB、雙重通訊協定和 NFSv4.1 Kerberos 磁碟區 AD DS 中建立之新電腦帳戶的命名前置詞。

例如，如果您的組織用於檔案服務的命名標準是 NAS-01、 NAS-02等，則您會使用 NAS 作為前置詞。

Azure NetApp Files 會視需要在 AD DS 中建立其他電腦帳戶。

重要

在建立 Active Directory 連線之後重新命名 SMB 伺服器會造成干擾。重新命名SMB伺服器前置詞之後，您必須重新掛接現有的SMB共用。
組織單位路徑
這是將建立SMB伺服器電腦帳戶之組織單位（OU）的LDAP路徑。也就是說， OU=second level, OU=first level。例如，如果您想要使用在 ANF 網域根目錄建立的 OU，此值會是 OU=ANF。

如果未提供任何值，Azure NetApp Files 將會使用 CN=Computers 容器。

如果您使用 Azure NetApp Files 搭配 Microsoft Entra Domain Services，則組織單位路徑為 OU=AADDC Computers
AES 加密
此選項會啟用AD連線之系統管理員帳戶的 AES 加密驗證支援。

如需需求，請參閱 Active Directory 連線的需求。
LDAP 簽署

此選項會啟用LDAP簽署。此功能會啟用從 Azure NetApp Files 和使用者指定的 Active Directory 網域服務域控制器系結的簡單驗證和安全性層（SASL） LDAP 完整性驗證。

如果 Active Directory 連線 ion 中同時啟用 LDAP 簽署和 LDAP over TLS 設定選項，Azure NetApp Files 支援 LDAP 通道系結。如需詳細資訊，請參閱 ADV190023 |啟用LDAP通道系結和LDAP簽署的 Microsoft指引。

注意

AD DS 計算機帳戶的 DNS PTR 記錄必須在 Azure NetApp Files AD 連線中指定的 AD DS 組織單位 中建立，LDAP 簽署才能運作。
允許具有LDAP 的本機 NFS 使用者此選項可讓本機 NFS 用戶端使用者存取 NFS 磁碟區。設定此選項會停用NFS磁碟區的擴充群組，這會將用戶支援的群組數目限制為16。啟用時，訪問許可權中不會接受超過16個群組限制的群組。如需詳細資訊，請參閱允許具有LDAP的本機NFS使用者存取雙重通訊協定磁碟區。
LDAP over TLS

此選項可讓LDAP over TLS在 Azure NetApp Files 磁碟區和 Active Directory LDAP 伺服器之間進行安全通訊。您可以針對 Azure NetApp Files 的 NFS、SMB 和雙通訊協定磁碟區啟用 LDAP over TLS。

注意

如果您使用 Microsoft Entra Domain Services，則不得啟用 LDAP over TLS。 Microsoft Entra Domain Services 會使用 LDAPS （連接埠 636）來保護 LDAP 流量，而不是透過 TLS 的 LDAP （埠 389）。

如需詳細資訊，請參閱啟用 NFS 磁碟區的 Active Directory 網域服務（AD DS） LDAP 驗證。
伺服器根 CA 憑證

此選項會上傳搭配LDAP over TLS使用的CA憑證。

如需詳細資訊，請參閱啟用 NFS 磁碟區的 Active Directory 網域服務（AD DS） LDAP 驗證。 
LDAP 搜尋範圍、 使用者 DN、 群組 DN 和 群組成員資格篩選

LDAP 搜尋範圍 選項會將 Azure NetApp Files 記憶體 LDAP 查詢優化，以搭配大型 AD DS 拓撲和 LDAP 搭配擴充群組或 Unix 安全性樣式搭配 Azure NetApp Files 雙通訊協定磁碟區使用。

[使用者 DN] 和 [群組 DN] 選項可讓您在 AD DS LDAP 中設定搜尋基底。這些選項會限制LDAP查詢的搜尋區域，減少搜尋時間，並協助減少LDAP查詢逾時。

[ 群組成員資格篩選 ] 選項可讓您為屬於特定 AD DS 群組成員的使用者建立自定義搜尋篩選。

如需這些選項的相關信息，請參閱使用 NFS 磁碟區存取擴充群組設定 AD DS LDAP。
LDAP 用戶端的慣用伺服器

[ LDAP 用戶端 的慣用伺服器] 選項可讓您將最多兩部 AD 伺服器的 IP 位址提交為逗號分隔清單。 LDAP 用戶端將會先連絡指定的伺服器，而不會循序連絡網域的所有探索到 AD 服務。
對域控制器的加密SMB連線

域控制器 的加密SMB聯機會指定是否應該將加密用於SMB伺服器與域控制器之間的通訊。啟用時，只有SMB3會用於加密的域控制器連線。

此功能目前為預覽功能。如果這是您第一次使用域控制器的加密 SMB 連線，您必須註冊它：
```
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
檢查功能註冊的狀態：

注意

RegistrationState 在變更為 Registered 之前，可能處於 Registering 狀態最多達 60 分鐘。等到狀態變為 Registered 之後再繼續。
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
您也可以使用 Azure CLI 命令az feature register及 az feature show 來註冊此功能，並顯示註冊狀態。

備份原則使用者 此選項會將安全性許可權新增給需要提高備份許可權的 AD DS 網域使用者或群組，以支援 Azure NetApp Files 中的備份、還原和移轉工作流程。指定的 AD DS 使用者帳戶或群組將會在檔案或資料夾層級提高 NTFS 許可權。

[備份原則使用者] 字段的螢幕快照，其中顯示空白文字輸入字段。

當您使用 備份原則用戶 設定時，適用下列許可權：

權限	描述
`SeBackupPrivilege`	備份檔案和目錄，覆寫任何 ACL。
`SeRestorePrivilege`	還原檔案和目錄，覆寫任何 ACL。將任何有效的使用者或群組 SID 設定為檔案擁有者。
`SeChangeNotifyPrivilege`	略過周遊檢查。具有此許可權的使用者不需要具有周遊資料夾或符號連結的許可權。`x`。

安全性許可權使用者
此選項會將安全性許可權（SeSecurityPrivilege）授與需要提高許可權才能存取 Azure NetApp Files 磁碟區的 AD DS 網域使用者或群組。指定的 AD DS 使用者或群組將允許在 SMB 共用上執行某些動作，而 SMB 共用需要預設未指派給網域使用者的安全性許可權。

當您使用 [安全性許可權使用者 ] 設定時，適用下列許可權：

權限描述

SeSecurityPrivilege 管理記錄作業。

此功能用於在特定情況下安裝 SQL Server，其中非系統管理員 AD DS 網域帳戶必須暫時獲得提高的安全性許可權。

注意

使用安全性許可權使用者功能依賴 SMB持續可用性共用功能。自訂應用程式不支援SMB持續可用性。它只支援使用 Citrix 應用程式分層、 FSLogix 使用者配置檔案容器和 Microsoft SQL Server（而非 Linux SQL Server）的工作負載。

重要

使用安全性許可權使用者功能需要您透過 Azure NetApp Files SMB 持續可用性共用公開預覽等候清單提交頁面提交等候清單要求。使用此功能之前，請等候 Azure NetApp Files 小組的官方確認電子郵件。
這項功能是選擇性的，且僅支援 SQL Server。您必須先存在用來安裝 SQL Server 的 AD DS 網域帳戶，才能將它新增至 [安全性許可權使用者 ] 選項。當您將 SQL Server 安裝程式帳戶新增至 [安全性許可權使用者 ] 選項時，Azure NetApp Files 服務可能會透過連絡 AD DS 域控制器來驗證帳戶。如果 Azure NetApp Files 無法連絡 AD DS 域控制器，此動作可能會失敗。

如需和 SQL Server 的詳細資訊 SeSecurityPrivilege ，請參閱 SQL Server 安裝失敗，如果安裝程式帳戶沒有特定的用戶權力。

權限	描述
`SeSecurityPrivilege`	管理記錄作業。

系統管理員權限使用者

此選項會將額外的安全性許可權授與 AD DS 網域使用者或需要更高許可權的群組，才能存取 Azure NetApp Files 磁碟區。指定的帳戶在檔案或資料夾層級會有較高的許可權。

注意

網域系統管理員會自動新增至管理員 istrators 許可權使用者群組。

此螢幕快照顯示 [Active Directory 連線] 視窗的 [管理員 istrators] 方塊。

注意

此許可權適用於數據遷移。

當您使用 管理員 istrators 權限使用者設定時，適用下列權限：

權限	描述
`SeBackupPrivilege`	備份檔案和目錄，覆寫任何 ACL。
`SeRestorePrivilege`	還原檔案和目錄，覆寫任何 ACL。將任何有效的使用者或群組 SID 設定為檔案擁有者。
`SeChangeNotifyPrivilege`	略過周遊檢查。具有此許可權的使用者不需要有周遊（`x`）許可權來周遊資料夾或符號連結。
`SeTakeOwnershipPrivilege`	取得檔案或其他物件的擁有權。
`SeSecurityPrivilege`	管理記錄作業。
`SeChangeNotifyPrivilege`	略過周遊檢查。具有此許可權的使用者不需要有周遊（`x`）許可權來周遊資料夾或符號連結。

認證，包括您的使用者名稱和密碼

重要

雖然 Active Directory 支援 256 個字元的密碼，但具有 Azure NetApp Files 的 Active Directory 密碼不能 超過 64 個字元。

選取加入。

您建立的 Active Directory 連線隨即出現。

為每個 NetApp 帳戶建立一個 Active Directory 連線（預覽）

透過這項功能，Azure 訂用帳戶中的每個 NetApp 帳戶都可以有自己的 AD 連線。設定之後，當您建立 SMB磁碟區、 NFSv4.1 Kerberos磁碟區或雙通訊協定磁碟區時，就會使用NetApp帳戶的AD連線。這表示，使用多個 NetApp 帳戶時，Azure NetApp Files 支援每個 Azure 訂用帳戶有多個 AD 連線。

注意

如果訂用帳戶同時啟用此和共用 Active Directory 功能，其現有的帳戶仍會共用 AD 設定。在訂用帳戶上建立的任何新 NetApp 帳戶都可以使用自己的 AD 設定。您可以在 [AD 類型] 字段的 [帳戶概觀] 頁面中確認您的設定。

考量

每個 AD 組態的範圍僅限於其父 NetApp 帳戶。

註冊功能

每個 NetApp 帳戶建立一個 AD 連線的功能目前為預覽狀態。您必須先註冊此功能，才能第一次使用它。註冊之後，此功能會啟用，並在背景中運作。

註冊功能：

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

檢查功能註冊的狀態：

注意

RegistrationState 在變更為 Registered 之前，可能處於 Registering 狀態最多達 60 分鐘。等到狀態為 [已註冊] 后再繼續。
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory
```

您也可以使用 Azure CLI 命令az feature register及 az feature show 來註冊此功能，並顯示註冊狀態。

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至一個 AD 連線（預覽）

共用AD功能可讓所有NetApp帳戶共用屬於相同訂用帳戶和相同區域的其中一個 NetApp 帳戶所建立的AD連線。例如，使用這項功能，相同訂用帳戶和區域中的所有 NetApp 帳戶都可以使用通用 AD 設定來建立 SMB 磁碟區、 NFSv4.1 Kerberos 磁碟區或雙通訊協定磁碟區。使用此功能時，AD 連線會顯示在相同訂用帳戶和相同區域下方的所有 NetApp 帳戶中。

隨著每個 NetApp 帳戶建立 AD 連線的功能引進，將不會接受共用 AD 功能的新功能註冊。

注意

如果您已在共用 AD 預覽版中註冊，則可以註冊為每個 NetApp 帳戶使用一個 AD 連線。如果您目前符合每個訂用帳戶每個 Azure 區域最多 10 個 NetApp 帳戶，您必須起始支援要求以增加限制。您可以在 [AD 類型] 字段的 [帳戶概觀] 頁面中確認您的設定。

重設 Active Directory 計算機帳戶密碼

如果您不小心重設 AD 伺服器上的 AD 計算機帳戶密碼，或無法連線到 AD 伺服器，您可以安全地重設電腦帳戶密碼，以保留磁碟區的連線。重設會影響SMB伺服器上的所有磁碟區。

註冊功能

重設 Active Directory 計算機帳戶密碼功能目前為公開預覽狀態。如果您是第一次使用這項功能，則必須先註冊此功能。

註冊重 設 Active Directory 計算機帳戶密碼 功能：

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

檢查功能註冊的狀態。 RegistrationState 在變更為 Registered 之前，可能處於 Registering 狀態最多達 60 分鐘。等到狀態變為 Registered 之後再繼續。

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

您也可以使用 Azure CLI 命令az feature register及 az feature show 來註冊此功能，並顯示註冊狀態。

步驟

流覽至磁碟區 [概觀 ] 功能表。選取 [ 重設 Active Directory 帳戶]。或者，流覽至 [ 磁碟區 ] 功能表。識別您要重設 Active Directory 帳戶的磁碟區，然後選取數據列結尾的三個點（...）。選取 [ 重設 Active Directory 帳戶]。
說明此動作含意的警告訊息隨即出現。在文字框中輸入 yes 以繼續進行。

共用方式為

建立和管理 Azure NetApp Files 的 Active Directory 連線

Active Directory 連線的需求和考慮

NetApp 帳戶和 Active Directory 類型

建立 Active Directory 連線

為每個 NetApp 帳戶建立一個 Active Directory 連線（預覽）

考量

註冊功能

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至一個 AD 連線（預覽）

重設 Active Directory 計算機帳戶密碼

註冊功能

步驟

下一步

意見反應

其他資源

共用方式為

建立和管理 Azure NetApp Files 的 Active Directory 連線

Active Directory 連線的需求和考慮

NetApp 帳戶和 Active Directory 類型

建立 Active Directory 連線

為每個 NetApp 帳戶建立一個 Active Directory 連線 （預覽）

考量

註冊功能

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至一個 AD 連線 （預覽）

重設 Active Directory 計算機帳戶密碼

註冊功能

步驟

下一步

意見反應

其他資源

為每個 NetApp 帳戶建立一個 Active Directory 連線（預覽）

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至一個 AD 連線（預覽）