了解 Azure NetApp Files 中的網域名稱系統
使用依賴 Kerberos 進行驗證的檔案通訊協定時,網域名稱系統 (DNS) 服務是 Azure NetApp Files 中資料存取的重要元件 (包括 SMB 和 NFSv4.1)。 主機名稱可簡化磁碟區的存取,並防止 IP 位址變更時的案例;他們可以繼續使用主機名稱,而不是通知使用者新的 IP 位址。
根據預設,Kerberos 驗證會利用名稱對 IP 位址解析來制定用來擷取 Kerberos 票證的服務主體名稱 (SPN)。 例如,使用 \SMB.CONTOSO.COM 等通用命名慣例路徑 (UNC) 存取 SMB 共用時,會針對 SMB.CONTOSO.COM 發出 DNS 要求,並擷取 Azure NetApp Files 磁碟區的 IP 位址。 如果沒有 DNS 項目存在 (或目前的項目與所要求的項目不同,例如別名/CNAME),則無法擷取適當的 SPN,且 Kerberos 要求失敗。 因此,如果停用後援驗證方法 (例如 New Technology LAN Manager),則不允許存取磁碟區。
NFSv4.1 Kerberos 的運作方式類似 SPN 擷取,其中 DNS 查閱是驗證程序不可或缺的一部分,也可用於 Kerberos 領域探索。
Azure NetApp Files 支援使用 Active Directory 整合式 DNS 或獨立 DNS 伺服器,而且需要可靠的網域名稱系統 (DNS) 服務和最新 DNS 記錄的存取權。 Azure NetApp Files 與 DNS 伺服器之間的網路連線不佳可能會導致用戶端存取中斷或用戶端逾時。 AD DS 或 Azure NetApp Files 不完整或不正確的 DNS 記錄可能會導致用戶端存取中斷或用戶端逾時。
使用 Kerberos 存取的 IP 位址
如果在 Azure NetApp Files 磁碟區的存取要求中使用 IP 位址,則 Kerberos 要求會根據使用的通訊協定以不同的方式運作。
SMB
使用 SMB 時,預設使用 \x.x.x.x 的 UNC 要求嘗試會使用 NTLM 進行驗證。 基於安全性考慮,不允許 NTLM 的環境中,使用 IP 位址的 SMB 要求預設無法使用 Kerberos 或 NTLM 進行驗證。 因此,拒絕存取 Azure NetApp Files 磁碟區。 在更新的 Windows 版本中 (從 Windows 10 版本 1507 和 Windows Server 2016 開始),Kerberos 用戶端可以設定為支援 SPN 中的 IPv4 和 IPv6 主機名稱,以進行 SMB 通訊。
NFSv4.1
使用 NFSv4.1 時,使用其中一個 sec=[krb5/krb5i/krb5p] 選項將掛接要求掛接至 IP 位址會透過指標記錄 (PTR) 使用反向 DNS 查閱,將 IP 位址解析為主機名稱,然後用來制定 SPN 以進行票證擷取。 如果您使用 NFSv4.1 搭配 Kerberos,則 Azure NetApp Files 磁碟區應該有 A/AAAA 和 PTR,以涵蓋裝載的主機名稱和 IP 位址存取。
Azure NetApp Files 中的 DNS 項目
如果 DNS 伺服器支援動態 DNS,Azure NetApp Files 磁碟區支援動態 DNS 更新。 使用動態 DNS 時,以主機名稱建立的磁碟區會自動通知 DNS 伺服器建立 A/AAAA 記錄。 如果存在反向對應區域,DNS 也會建立 PTR 記錄。 如果反向對應區域不存在,則不會自動建立 PTR 記錄,這表示您需要手動建立。
主機名稱 (而非 IP 位址) 用於特定組態中的磁碟區掛接路徑,這些路徑都需要 DNS 才能正常運作:
- SMB 磁碟區
- NFSv4.1 Kerberos
- 雙重通訊協定磁碟區
當 Azure NetApp File 磁碟區不需要 DNS 時,會使用 IP 位址,例如 NFSv3 或 NFSv4.1,而不需要 Kerberos。 在這些情況下,您可以視需要手動建立 DNS 項目。
如果 DNS 伺服器上已刪除動態 DNS 所建立的 DNS 項目,則會在 24 小時內由 Azure NetApp Files 的新動態 DNS 更新重新建立。
當 Azure NetApp Files 透過動態 DNS 建立 DNS A/AAAA 記錄時,會使用下列設定:
- 核取相關聯的 PTR 記錄方塊:如果子網路存在反向對應區域,則 A/AAAA 記錄會自動建立 PTR 記錄,而不需要系統管理員介入。
- 核取「當此記錄變成過期時刪除此記錄」方塊。 當 DNS 記錄過時「過期」時,DNS 會刪除記錄,並提供已啟用 DNS 的清除功能。
- DNS 記錄「存留時間 (TTL)」設定為一天 (24 小時)。 DNS 系統管理員可以視需要修改 TTL 設定。 DNS 記錄上的 TTL 會決定 DNS 項目存在於用戶端 DNS 快取中的時間長度。
注意
若要檢視在 Windows Active Directory DNS 中建立 DNS 記錄的時間戳,請瀏覽至 [DNS 管理員] 的 [檢視] 功能表,然後選取 [進階]。
DNS 記錄剪除/清除
大部分的 DNS 伺服器都會提供方法來剪除/清除過期的記錄。 剪除有助於防止過時的記錄雜亂 DNS 伺服器,以及建立重複的 A/AAAA 和/或 PTR 記錄存在的情況,這可能會為 Azure NetApp Files 磁碟區建立無法預期的結果。
如果相同 IP 位址點的多個 PTR 記錄指向不同的主機名稱,Kerberos 要求可能會失敗,因為 DNS 查閱期間擷取不正確的 SPN。 DNS 不會辨別哪個 PTR 記錄屬於哪個主機名稱;相反地,反向查閱會透過每個新查閱的每個 A/AAAA 記錄執行迴圈配置資源搜尋。 例如:
C:\> nslookup x.x.x.x
Server: contoso.com
Address: x.x.x.x
Name: ANF-1234.contoso.com
Address: x.x.x.x
C:\> nslookup x.x.x.x
Server: contoso.com
Address: x.x.x.x
Name: ANF-5678.contoso.com
Address: x.x.x.x
DNS 別名和正式名稱 (CNAME) 記錄
Azure NetApp Files 會為已針對需要 DNS 的通訊協定設定的磁碟區建立 DNS 主機名稱,例如 SMB、雙重通訊協定或具有 Kerberos 的 NFSv4.1。 建立的名稱會在建立 NetApp 帳戶的 Active Directory 連線時,使用 SMB 伺服器 (電腦帳戶) 的格式作為前置詞;會新增額外的英數字元,讓相同 NetApp 帳戶中的多個磁碟區項目具有唯一的名稱。 在大部分情況下,需要主機名稱且存在於相同 NetApp 帳戶中的多個磁碟區會嘗試使用相同的主機名稱/IP 位址。 例如,如果 SMB 伺服器名稱是 SMB-West.contoso.com,則主機名稱項目會遵循 SMB-West-XXXX.contoso.com 的格式。
在某些情況下,Azure NetApp Files 所使用的名稱可能不夠方便使用者,而系統管理員可能會想要保留更熟悉的 DNS datalake.contoso.com 名稱,當資料從內部部署儲存體移轉至 Azure NetApp Files 時,使用者可能會想要繼續使用該名稱。
Azure NetApp Files 原生不允許使用 DNS 主機名稱的規格。 如果您需要具有相同功能的替代 DNS 名稱,您應該使用 DNS 別名/正式名稱 (CNAME)。
使用指向 Azure NetApp Files 磁碟區 A/AAAA 記錄的 CNAME 記錄 (而不是額外的 A/AAAA 記錄),會利用與 SMB 伺服器相同的 SPN 來啟用 A/AAAA 記錄和 CNAME 的 Kerberos 存取。 請考慮 SMB-West-XXXX.contoso.com A/AAAA 記錄的範例。 datalake.contoso.com 的 CNAME 記錄已設定為指向 SMB-West-XXXX.contoso.com 的 A/AAAA 記錄。 對 datalake.contoso.com 提出的 SMB 或 NFS Kerberos 要求,請使用適用於 SMB-West-XXXX 的 Kerberos SPN 來提供磁碟區的存取權。
Azure NetApp Files 的 DNS 最佳作法
請確定您符合下列 DNS 組態需求:
- 如果您使用獨立 DNS 伺服器:
- 確定 DNS 伺服器具有與裝載 Azure NetApp Files 磁碟區之 Azure NetApp Files 委派子網路的網路連線能力。
- 確定防火牆或 NSG 不會封鎖網路連接埠 UDP 53 和 TCP 53。
- 確定已在 DNS 伺服器上建立 AD DS Net Logon 服務所註冊的 SRV 記錄。
- 請確定已在 Azure NetApp Files 設定所在網域中的 DNS 伺服器上,建立 Azure NetApp Files 所使用 AD DS 網域控制站的 PTR 記錄。
- Azure NetApp Files 支援標準和安全動態 DNS 更新。 如果您需要安全動態 DNS 更新,請確定已在 DNS 伺服器上設定安全更新。
- 如果您未使用動態 DNS 更新,您必須手動建立 A 記錄,以及 AD DS 組織單位中建立之 AD DS 電腦帳戶的 PTR 記錄 (在 Azure NetApp Files AD 連線中指定),以支援 Azure NetApp Files LDAP 簽署、LDAP over TLS、SMB、雙重通訊協定或 Kerberos NFSv4.1 磁碟區。
- 對於複雜或大型 AD DS 拓撲,可能需要 DNS 原則或 DNS 子網路優先順序,才能支援已啟用 LDAP 的 NFS 磁碟區。
- 如果已啟用 DNS 清除功能 (根據時間戳記/期限自動剪除過時的 DNS 項目),並且使用動態 DNS 建立 Azure NetApp Files 磁碟區的 DNS 記錄,則清除程式程序可能會不小心剪除該磁碟區的記錄。 此剪除可能會導致以名稱為基礎的查詢服務中斷。 在解決此問題之前,如果已啟用 DNS 清除功能,請手動建立 Azure NetApp Files 磁碟區的 DNS A/AAAA 和 PTR 項目。