瞭解 Azure NetApp Files Active Directory 網域服務 網站設計和規劃的指導方針

適當的 Active Directory 網域服務 （AD DS） 設計和規劃是使用 Azure NetApp Files 磁碟區的解決方案架構的關鍵。 Azure NetApp Files 功能，例如 SMB 磁碟區、雙通訊協定磁碟區和 NFSv4.1 Kerberos 磁碟區，是設計成與 AD DS 搭配使用。

本文提供建議，協助您開發 Azure NetApp Files 的 AD DS 部署策略。 閱讀本文之前，您必須充分瞭解 AD DS 在功能層級上的運作方式。

識別 Azure NetApp Files 的 AD DS 需求

部署 Azure NetApp Files 磁碟區之前，您必須識別 Azure NetApp Files 的 AD DS 整合需求，以確保 Azure NetApp Files 已連線到 AD DS。 與 Azure NetApp Files 的 AD DS 整合不正確或不完整，可能會導致 SMB、雙通訊協定或 Kerberos NFSv4.1 磁碟區的用戶端存取中斷或中斷。

支援的驗證案例

Azure NetApp Files 透過下列方法支援透過SMB進行身分識別型驗證。

• AD DS 驗證：已加入AD DS的 Windows 機器可以透過SMB存取具有Active Directory 認證的 Azure NetApp Files 共用。 您的客戶端必須有 AD DS 的視線。 如果您已在已將 AD DS 設定在內部部署或已將裝置加入 AD DS 之 Azure 中的 VM 上，您應該使用 AD DS 進行 Azure NetApp Files 檔案共享驗證。
• Microsoft Entra Domain Services 驗證：雲端式、加入 Microsoft Entra Domain Services 的 Windows VM 可以使用 Microsoft Entra Domain Services 認證來存取 Azure NetApp Files 檔案共用。 在此解決方案中，Microsoft Entra Domain Services 會代表客戶執行傳統的 Windows Server AD 網域。
• 混合式身分識別的 Microsoft Entra Kerberos：使用 Microsoft Entra ID 來驗證 混合式使用者身分識別 ，可讓 Microsoft Entra 使用者使用 Kerberos 驗證存取 Azure NetApp Files 檔案共用。 這表示您的終端使用者可以存取 Azure NetApp Files 檔案共用，而不需要透過 Microsoft Entra 混合式聯結和已加入 Microsoft Entra 的 Windows 或 Linux 虛擬機，來存取域控制器的視線。 目前不支援僅限雲端身分識別。
• Linux 用戶端的 AD Kerberos 驗證：Linux 用戶端可以使用 AD DS 透過 SMB 對 Azure NetApp Files 使用 Kerberos 驗證。

網路需求

Azure NetApp Files SMB、雙重通訊協定和 Kerberos NFSv4.1 磁碟區需要可靠且低延遲的網路連線能力（小於 10 毫秒 RTT）到 AD DS 域控制器。 Azure NetApp Files 與 AD DS 域控制器之間的網路連線能力不佳或網路等待時間過高，可能會導致用戶端存取中斷或用戶端逾時。

請確定您符合網路拓撲和組態的下列需求：

• 請確定 已使用 Azure NetApp Files 支援的網路拓撲。
• 請確定 AD DS 域控制器具有裝載 Azure NetApp Files 磁碟區的 Azure NetApp Files 委派子網的網路連線能力。
  • 具有AD DS域控制器的對等互連虛擬網路拓撲必須已正確設定對等互連，以支援 Azure NetApp Files 對 AD DS 域控制器網路連線。
• 網路安全組 （NSG） 和 AD DS 域控制器防火牆必須已適當設定規則，以支援對 AD DS 和 DNS 的 Azure NetApp Files 連線。
• 確定 Azure NetApp Files 與 AD DS 域控制器之間的延遲小於 10 毫秒 RTT。

所需的網路埠如下所示：

服務	連接埠	通訊協定
AD Web 服務	9389	TCP
Dns*	53	TCP
Dns*	53	UDP
ICMPv4	N/A	回應回復
Kerberos	464	TCP
Kerberos	464	UDP
Kerberos	88	TCP
Kerberos	88	UDP
LDAP	389	TCP
LDAP	389	UDP
LDAP	389	TLS
LDAP	3268	TCP
NetBIOS 名稱	138	UDP
SAM/LSA	445	TCP
SAM/LSA	445	UDP

*在 AD DS 域控制器上執行的 DNS

DNS 需求

Azure NetApp Files SMB、雙重通訊協定和 Kerberos NFSv4.1 磁碟區需要可靠的域名系統 （DNS） 服務和最新 DNS 記錄的存取權。 Azure NetApp Files 與 DNS 伺服器之間的網路連線能力不佳，可能會導致用戶端存取中斷或用戶端逾時。 AD DS 或 Azure NetApp Files 的 DNS 記錄不完整或不正確，可能會導致用戶端存取中斷或用戶端逾時。

Azure NetApp Files 支援使用 Active Directory 整合式 DNS 或獨立 DNS 伺服器。

請確定您符合下列 DNS 設定需求：

• 如果您使用獨立 DNS 伺服器：
  • 確定 DNS 伺服器具有裝載 Azure NetApp Files 磁碟區的 Azure NetApp Files 委派子網的網路連線。
  • 請確定防火牆或 NSG 不會封鎖網路埠 UDP 53 和 TCP 53。
• 確定 已在 DNS 伺服器上建立 AD DS Net Logon 服務 所註冊的 SRV 記錄。
• 請確定 Azure NetApp Files 所使用的 AD DS 域控制器的 PTR 記錄已建立在與 Azure NetApp Files 設定相同的網域中的 DNS 伺服器上。
• 刪除磁碟區時，Azure NetApp Files 不會自動刪除與 DNS 專案相關聯的指標記錄（PTR）。 PTR 記錄用於反向 DNS 查閱，其會將IP位址對應至主機名。 它們通常是由 DNS 伺服器的系統管理員所管理。 當您在 Azure NetApp Files 中建立磁碟區時，您可以將它與 DNS 名稱產生關聯。 不過，DNS 記錄的管理，包括 PTR 記錄，不在 Azure NetApp Files 的範圍內。 Azure NetApp Files 提供將磁碟區與 DNS 名稱產生關聯的選項，以方便存取，但不會管理與該名稱相關聯的 DNS 記錄。 如果您在 Azure NetApp Files 中刪除磁碟區，則必須從 DNS 伺服器或您使用的 DNS 服務中管理及刪除相關聯的 DNS 記錄（例如轉送 DNS 查閱的 A 記錄）。
• Azure NetApp Files 支持標準和安全的動態 DNS 更新。 如果您需要安全的動態 DNS 更新，請確定已在 DNS 伺服器上設定安全更新。
• 如果未使用動態 DNS 更新，您必須手動建立 A 記錄，以及 AD DS 組織單位中建立之 AD DS 計算機帳戶的 PTR 記錄（在 Azure NetApp Files AD 連線中指定），以支援 Azure NetApp Files LDAP 簽署、透過 TLS、SMB、雙通訊協定或 Kerberos NFSv4.1 磁碟區建立的 AD DS 計算機帳戶。
• 對於複雜或大型 AD DS 拓撲， 可能需要 DNS 原則或 DNS 子網優先順序，才能支援已啟用 LDAP 的 NFS 磁碟區。

時間來源需求

Azure NetApp Files 會使用 time.windows.com 作為時間來源。 請確定 Azure NetApp Files 所使用的域控制器已設定為使用 time.windows.com 或其他精確的穩定根目錄 （stratum 1） 時間來源。 如果 Azure NetApp Files 與用戶端或 AS DS 域控制器之間有五分鐘以上的扭曲，驗證將會失敗;存取 Azure NetApp Files 磁碟區也可能失敗。

決定要與 Azure NetApp Files 搭配使用的 AD DS

Azure NetApp Files 同時支援 Active Directory 網域服務 （AD DS） 和 Microsoft Entra Domain Services for AD 連線。 建立 AD 連線之前，您必須決定是否要使用 AD DS 或 Microsoft Entra Domain Services。

如需詳細資訊，請參閱比較自我管理 Active Directory 網域服務、Microsoft Entra ID 和受控 Microsoft Entra Domain Services。

Active Directory 網域服務 考慮

您應該在下列案例中使用 Active Directory 網域服務 （AD DS）：

• 您有 AD DS 使用者裝載於需要存取 Azure NetApp Files 資源的內部部署 AD DS 網域中。
• 您有部分裝載於內部部署和部分裝載於 Azure 中且需要存取 Azure NetApp Files 資源的應用程式。
• 您不需要 Microsoft Entra Domain Services 與訂用帳戶中的 Microsoft Entra 租使用者整合，或 Microsoft Entra Domain Services 與您的技術需求不相容。

注意

Azure NetApp Files 不支援使用 AD DS 只讀域控制器 （RODC）。

如果您選擇搭配 Azure NetApp Files 使用 AD DS，請遵循將 AD DS 擴充至 Azure 架構指南中的指引，並確定您符合 AD DS 的 Azure NetApp Files 網路和 DNS 需求。

Microsoft Entra Domain Services 考慮

Microsoft Entra Domain Services 是與 Microsoft Entra 租使用者同步處理的受控 AD DS 網域。 使用 Microsoft Entra Domain Services 的主要優點如下：

• Microsoft Entra Domain Services 是獨立的網域。 因此，不需要設定內部部署與 Azure 之間的網路連線。
• 提供簡化的部署和管理體驗。

您應該在下列案例中使用 Microsoft Entra Domain Services：

• 不需要將 AD DS 從內部部署延伸至 Azure，以提供 Azure NetApp Files 資源的存取權。
• 您的安全策略不允許將內部部署 AD DS 擴充至 Azure。
• 您沒有 AD DS 的強烈知識。 Microsoft Entra Domain Services 可以改善使用 Azure NetApp Files 取得良好結果的可能性。

如果您選擇搭配 Azure NetApp Files 使用 Microsoft Entra Domain Services，請參閱 Microsoft Entra Domain Services 檔 ，以取得 架構、部署和管理指引。 請確定您也符合 Azure NetApp Files 網路 和 DNS 需求。

設計 AD DS 網站拓撲以搭配 Azure NetApp Files 使用

AD DS 月臺拓撲的適當設計對於任何牽涉到 Azure NetApp Files SMB、雙通訊協定或 NFSv4.1 Kerberos 磁碟區的解決方案架構而言都很重要。

不正確的 AD DS 月臺拓撲或設定可能會導致下列行為：

• 無法建立 Azure NetApp Files SMB、雙重通訊協定或 NFSv4.1 Kerberos 磁碟區
• 無法修改 ANF AD 連線設定
• LDAP 用戶端查詢效能不佳
• 驗證問題

Azure NetApp Files 的 AD DS 網站拓撲是 Azure NetApp Files 網路的邏輯表示法。 設計 Azure NetApp Files 的 AD DS 網站拓撲牽涉到規劃域控制器放置、設計網站、DNS 基礎結構和網路子網，以確保 Azure NetApp Files 服務、Azure NetApp Files 記憶體用戶端和 AD DS 域控制器之間的連線能力良好。

除了指派給 Azure NetApp Files AD 網站名稱中設定之 AD DS 月臺的多個域控制器之外，Azure NetApp Files AD DS 月臺還可以指派一或多個子網。

注意

指派給 Azure NetApp Files AD DS 月臺的所有域控制器和子網都必須連線良好（少於 10 毫秒 RTT 延遲），且可由 Azure NetApp Files 磁碟區所使用的網路介面連線。

如果您使用標準網路功能，您應該確定任何使用者定義的路由 （UDR） 或網路安全組 （NSG） 規則不會封鎖指派給 Azure NetApp Files AD DS 網站的 AD DS 域控制器的 Azure NetApp Files 網路通訊。

如果您使用網路虛擬設備或防火牆（例如 Palo Alto Networks 或 Fortinet 防火牆），則必須設定它們不會封鎖 Azure NetApp Files 與指派給 Azure NetApp Files AD DS 網站的 AD DS 域控制器和子網之間的網路流量。

Azure NetApp Files 如何使用 AD DS 網站資訊

Azure NetApp Files 會使用 Active Directory 連線中設定的 AD 網站名稱，來探索哪些域控制器存在以支持驗證、加入網域、LDAP 查詢和 Kerberos 票證作業。

AD DS 域控制器探索

Azure NetApp Files 每隔四小時起始域控制器探索一次。 Azure NetApp Files 會查詢網站特定的 DNS 服務 （SRV） 資源記錄，以判斷哪些域控制器位於 Azure NetApp Files AD 連線的 [AD 網站名稱] 字段中指定的 AD DS 網站中。 Azure NetApp Files 域控制器伺服器探索會檢查域控制器上裝載的服務狀態（例如 Kerberos、LDAP、Net Logon 和 LSA），並選取驗證要求的最佳域控制器。

Azure NetApp Files AD 連線 [AD 網站名稱] 字段中所指定 AD DS 網站的 DNS 服務 （SRV） 資源記錄必須包含 Azure NetApp Files 將使用之 AD DS 域控制器的 IP 位址清單。 您可以使用 公用程式來檢查 DNS （SRV） 資源記錄 nslookup 的有效性。

注意

如果您變更 Azure NetApp Files 所使用的 AD DS 網站中的域控制器，請在部署新的 AD DS 域控制器和淘汰現有的 AD DS 域控制器之間等待至少四個小時。 此等候時間可讓 Azure NetApp Files 探索新的 AD DS 域控制器。

請確定已淘汰 AD DS 域控制器相關聯的過時 DNS 記錄已從 DNS 中移除。 這麼做可確保 Azure NetApp Files 不會嘗試與已淘汰的域控制器通訊。

AD DS LDAP 伺服器探索

當針對 Azure NetApp Files NFS 磁碟區啟用 LDAP 時，就會發生 AD DS LDAP 伺服器的個別探索程式。 在 Azure NetApp Files 上建立 LDAP 用戶端時，Azure NetApp Files 會查詢 AD DS 網域服務 （SRV） 資源記錄，以取得網域中所有 AD DS LDAP 伺服器的清單，而不是指派給 AD 連線中所指定 AD DS 網站的 AD DS LDAP 伺服器。

在大型或複雜的 AD DS 拓撲中，您可能需要實 作 DNS 原則 或 DNS 子網優先順序 ，以確保將指派給 AD 連線中所指定 AD DS 網站的 AD DS LDAP 伺服器傳回。

或者，您可以為LDAP用戶端指定最多兩個慣用的AD伺服器，以覆寫AD DS LDAP 伺服器探索程式。

重要

如果在建立 Azure NetApp Files LDAP 用戶端期間，Azure NetApp Files 無法連線到探索到的 AD DS LDAP 伺服器，則建立已啟用 LDAP 的磁碟區將會失敗。

不正確或不完整的AD月台名稱設定的後果

不正確或不完整的 AD DS 月臺拓撲或設定可能會導致磁碟區建立失敗、客戶端查詢問題、驗證失敗，以及修改 Azure NetApp Files AD 連線失敗。

重要

建立 Azure NetApp Files AD 連線需要 [AD 網站名稱] 字段。 定義的 AD DS 月台必須存在且已正確設定。

Azure NetApp Files 會使用 AD DS 網站來探索指派給 AD 月台名稱中所定義 AD DS 網站的域控制器和子網。 指派給 AD DS 月臺的所有域控制器都必須具有來自 ANF 所使用且可連線之 Azure 虛擬網路介面的良好網路連線能力。 指派給 Azure NetApp Files 所使用 AD DS 網站的 AD DS 域控制器 VM，必須排除在關閉 VM 的成本管理原則之外。

如果 Azure NetApp Files 無法連線到指派給 AD DS 網站的任何域控制器，域控制器探索程式將會查詢 AD DS 網域以取得所有域控制器的清單。 從此查詢傳回的域控制器清單是未排序的清單。 因此，Azure NetApp Files 可能會嘗試使用無法連線或連線良好的域控制器，這可能會導致磁碟區建立失敗、客戶端查詢問題、驗證失敗，以及修改 Azure NetApp Files AD 連線失敗。

每當新的域控制器部署到指派給 Azure NetApp Files AD 連線 ion 使用的 AD DS 月臺子網時，您必須更新 AD DS 月臺設定。 請確定月臺的 DNS SRV 記錄會反映指派給 Azure NetApp Files 所使用 AD DS 網站之域控制器的任何變更。 您可以使用 公用程式來檢查 DNS （SRV） 資源記錄 nslookup 的有效性。

注意

Azure NetApp Files 不支援使用 AD DS 只讀域控制器 （RODC）。 若要防止 Azure NetApp Files 使用 RODC，請勿 使用 RODC 設定 AD 連線的 [AD 網站名稱 ] 字段。

Azure NetApp Files 的 AD DS 網站拓撲設定範例

AD DS 網站拓撲是部署 Azure NetApp Files 之網路的邏輯表示法。 在本節中，AD DS 月臺拓撲的範例設定案例打算顯示 Azure NetApp Files 的基本 AD DS 網站設計。 這不是設計 Azure NetApp Files 網路或 AD 網站拓撲的唯一方法。

重要

針對涉及複雜 AD DS 或複雜網路拓撲的案例，您應該有 Microsoft Azure CSA 檢閱 Azure NetApp Files 網路和 AD 網站設計。

下圖顯示範例網路拓撲:sample-network-topology.png

在範例網路拓撲中，內部部署 AD DS 網域 （anf.local） 會延伸至 Azure 虛擬網路。 內部部署網路會使用 Azure ExpressRoute 線路連線到 Azure 虛擬網路。

Azure 虛擬網路有四個子網：閘道子網、Azure Bastion 子網、AD DS 子網和 Azure NetApp Files 委派子網。 加入網域的 anf.local 備援 AD DS 域控制器會部署到 AD DS 子網。 AD DS 子網會指派 IP 位址範圍 10.0.0.0/24。

Azure NetApp Files 只能使用一個 AD DS 網站來判斷將用於驗證、LDAP 查詢和 Kerberos 的域控制器。 在範例案例中，會建立兩個子網物件，並使用Active Directory Sites and Services 公用程式指派給名為 ANF 的月臺。 一個子網對象會對應至 AD DS 子網 10.0.0.0/24，而另一個子網對象則對應至 ANF 委派的子網 10.0.2.0/24。

在 Active Directory 月臺和服務工具中，確認部署至 AD DS 子網的 AD DS 域控制器已指派給月臺 ANF ：

若要建立對應至 Azure 虛擬網路中 AD DS 子網的子網物件，請以滑鼠右鍵按兩下 Active Directory Sites and Services 公用程式中的 [子網] 容器，然後選取 [新增子網...]。 在 [新增物件 - 子網] 對話框中，AD DS 子網的 10.0.0.0/24 IP 位址範圍會在 [前綴] 字段中輸入。 選取 ANF 作為子網的月台物件。 選取 [ 確定 ] 以建立子網物件，並將它指派給月臺 ANF 。

若要確認新的子網物件已指派給正確的月臺，請以滑鼠右鍵按兩下 10.0.0.0/24 子網對象，然後選取 [ 屬性]。 [ 網站] 欄位應該會顯示 ANF 網站物件：

若要建立對應至 Azure 虛擬網路中 Azure NetApp Files 委派子網的子網物件，請在 Active Directory Sites and Services 公用程式中的 [子網] 容器上按下滑鼠右鍵，然後選取 [新增子網...]。

跨區域復寫考慮

Azure NetApp Files 跨區域複 寫可讓您將 Azure NetApp Files 磁碟區從一個區域復寫到另一個區域，以支援商務持續性和災害復原 （BC/DR） 需求。

Azure NetApp Files SMB、雙重通訊協定和 NFSv4.1 Kerberos 磁碟區支援跨區域復寫。 這些磁碟區的復寫需要：

• 在來源和目的地區域中建立的 NetApp 帳戶。
• 在來源和目的地區域中建立的 NetApp 帳戶中的 Azure NetApp Files Active Directory 連線。
• AD DS 域控制器會在目的地區域中部署和執行。
• 必須在目的地區域中部署適當的 Azure NetApp Files 網路、DNS 和 AD DS 網站設計，才能讓 Azure NetApp Files 與目的地區域中的 AD DS 域控制器進行良好的網路通訊。
• 目的地區域中的 Active Directory 連線必須設定為使用目的地區域中的 DNS 和 AD 網站資源。

下一步

• 建立和管理 Active Directory 連線
• 修改 Active Directory 連線
• 啟用 NFS 磁碟區的 AD DS LDAP 驗證
• 建立SMB磁碟區
• 建立雙重通訊協定磁碟區
• SMB 和雙重通訊協定磁碟區的錯誤
• 從加入 Microsoft Entra 的 Windows 虛擬機存取 SMB 磁碟區