了解適用於 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃指導方針
適當的 Active Directory Domain Services (AD DS) 設計和規劃是使用 Azure NetApp Files 磁碟區解決方案架構的關鍵。 Azure NetApp Files 功能,例如 SMB 磁碟區、雙重通訊協定磁碟區和 NFSv4.1 Kerberos 磁碟區的設計目的是與 AD DS 搭配使用。
本文提供建議,協助您開發適用於 Azure NetApp Files 的 AD DS 部署策略。 閱讀本文之前,您必須充分了解 AD DS 在功能等級上的運作方式。
識別 Azure NetApp Files 的 AD DS 需求
在部署 Azure NetApp Files 磁碟區之前,您必須識別 Azure NetApp Files 的 AD DS 整合需求,以確保 Azure NetApp Files 妥善連線到 AD DS。 不正確或不完整的 AD DS 與 Azure NetApp Files 整合可能會導致 SMB、雙重通訊協定或 Kerberos NFSv4.1 磁碟區的用戶端存取中斷。
支援的驗證案例
Azure NetApp Files 支援以下列方法透過 SMB 進行身分識別型驗證。
- AD DS 驗證:已加入 AD DS 的 Windows 機器可以透過 SMB 存取具有 Active Directory 認證的 Azure NetApp Files 共用。 您的用戶端必須能夠看到您的 AD DS。 如果您已在 Azure 內部部署或 VM 中安裝了 AD DS,而且已將您的裝置加入至 AD DS 網域,則您應使用 AD DS 進行 Azure NetApp Files 檔案共用驗證。
- Microsoft Entra Domain Services 驗證:加入 Microsoft Entra Domain Services 的雲端型 Windows VM 可使用 Microsoft Entra Domain Services 認證存取 Azure NetApp Files 檔案共用。 在此解決方案中,Microsoft Entra Domain Services 會代表客戶執行傳統的 Windows Server AD 網域。
- 適用於混合式身分識別的 Microsoft Entra Kerberos:使用 Microsoft Entra ID 以驗證混合式使用者身分識別,讓 Microsoft Entra 使用者可以使用 Kerberos 驗證來存取 Azure NetApp Files 檔案共用。 這表示您的終端使用者可以存取 Azure NetApp Files 檔案共用,而不需要透過 Microsoft Entra 混合式聯結和已加入 Microsoft Entra 的 Windows 或 Linux 虛擬機器,來直接連線到網域控制站。 目前不支援僅限雲端的身分識別。
- Linux 用戶端的 AD Kerberos 驗證:Linux 用戶端可以使用 AD DS 透過 SMB 對 Azure NetApp Files 使用 Kerberos 驗證。
網路需求
若要使用 Azure NetApp Files 磁碟區進行可預測的 Active Directory 網域服務 作業,強烈建議使用可靠且低延遲的網路連線能力(等於或小於 10 毫秒 RTT)到 AD DS 域控制器。 Azure NetApp Files 與 AD DS 網域控制站之間的網路連線能力不佳或網路延遲偏高,可能會導致用戶端存取中斷或用戶端逾時。
注意
10 毫秒的建議遵循建立網站設計:決定哪些位置將成為網站的指引。
請確定您符合下列網路拓撲和組態需求:
- 請確定已使用支援的 Azure NetApp Files 網路拓撲。
- 確定 AD DS 網域控制站具有來自裝載 Azure NetApp Files 磁碟區之 Azure NetApp Files 委派子網路的網路連線能力。
- 具有 AD DS 網域控制站的對等互連虛擬網路拓撲必須已正確設定對等互連,以支援 Azure NetApp Files 與 AD DS 網域控制站的網路連線。
- 網路安全性群組 (NSG) 和 AD DS 網域控制站防火牆必須具有已適當設定的規則,以支援 Azure NetApp Files 與 AD DS 和 DNS 的連線。
- 為了獲得最佳體驗,請確定 Azure NetApp Files 與 AD DS 域控制器之間的網路等待時間等於或小於 10 毫秒 RTT。 任何高於 10 毫秒的 RTT 都可能導致延遲敏感應用程式/ 環境中的應用程式或用戶體驗降低。 如果 RTT 太高,無法達到理想的用戶體驗,請考慮在 Azure NetApp Files 環境中部署複本域控制器。 另請參閱 Active Directory 網域服務 考慮。
如需 WAN 網路延遲的 Microsoft Active Directory 要求的詳細資訊,請參閱建立站台設計。
所需的網路連接埠如下所示:
| 服務 | 連接埠 | 通訊協定 |
|---|---|---|
| ICMPv4 (ping) | N/A | Echo 回覆 |
| DNS* | 53 | TCP、UDP |
| Kerberos | 88 | TCP、UDP |
| NetBIOS Datagram Service | 138 | UDP |
| NetBIOS | 139 | UDP |
| LDAP** | 389 | TCP、UDP |
| SAM/LSA/SMB | 445 | TCP、UDP |
| Kerberos (kpasswd) | 464 | TCP、UDP |
| Active Directory 通用類別目錄 | 3268 | TCP |
| Active Directory 安全通用類別目錄 | 3269 | TCP |
| Active Directory Web 服務 | 9389 | TCP |
* 僅限 Active Directory DNS
** 目前不支援 LDAP over SSL (連接埠 636)。 請改用 LDAP over StartTLS (連接埠 389) 來加密 LDAP 流量。
如需 DNS 的相關資訊,請參閱瞭解 Azure NetApp Files 中的網域名稱系統。
時間來源需求
Azure NetApp Files 使用 time.windows.com 作為時間來源。 確定 Azure NetApp Files 所使用的網域控制站已設定為使用 time.windows.com 或其他精確、穩定的根 (stratum 1) 時間來源。 如果 Azure NetApp Files 與您的用戶端或 AS DS 網域控制站之間有超過五分鐘的時間誤差,驗證將會失敗,而且存取 Azure NetApp Files 磁碟區也可能會失敗。
決定要與 Azure NetApp Files 搭配使用的 AD DS
Azure NetApp Files 同時支援 Active Directory Domain Services (AD DS) 和 Microsoft Entra Domain Services 以進行 AD 連線。 建立 AD 連線之前,您必須決定是要使用 AD DS 或 Microsoft Entra Domain Services。
如需詳細資訊,請參閱比較自我管理 Active Directory Domain Services、Microsoft Entra ID 和受控 Microsoft Entra Domain Services。
Active Directory Domain Services 考量
您應該在下列案例中使用 Active Directory Domain Services (AD DS):
- 您的 AD DS 使用者裝載於需要存取 Azure NetApp Files 資源的內部部署 AD DS 網域中。
- 您的應用程式部分裝載於內部部署、部分裝載於 Azure,需要 Azure NetApp Files 資源的存取權。
- 您不需要 Microsoft Entra Domain Services 與訂用帳戶中的 Microsoft Entra 租用戶整合,或 Microsoft Entra Domain Services 與您的技術需求不相容。
注意
Azure NetApp Files 不支援使用 AD DS 唯讀網域控制站 (RODC)。 支援可寫入的域控制器,而且需要才能向 Azure NetApp Files 磁碟區進行驗證。 如需詳細資訊,請參閱 Active Directory 複寫概念。
如果您選擇搭配 Azure NetApp Files 使用 AD DS,請遵循將 AD DS 擴充至 Azure 架構指南中的指導,並確定您符合 AD DS 的 Azure NetApp Files 網路和 DNS 需求。
Microsoft Entra Domain Services 考量事項
Microsoft Entra Domain Services 是與 Microsoft Entra 租用戶同步處理的受控 AD DS 網域。 使用 Microsoft Entra Domain Services 的主要優點如下:
- Microsoft Entra Domain Services 是獨立的網域。 因此,不需要設定內部部署與 Azure 之間的網路連線。
- 提供簡化的部署和管理體驗。
您應該在下列案例中使用 Microsoft Entra Domain Services:
- 不需要將 AD DS 從內部部署擴充至 Azure,以提供 Azure NetApp Files 資源的存取權。
- 您的安全性原則不允許將內部部署 AD DS 擴充至 Azure。
- 您沒有 AD DS 的強大知識。 Microsoft Entra Domain Services 可以提高使用 Azure NetApp Files 取得良好結果的可能性。
如果您選擇搭配 Azure NetApp Files 使用 Microsoft Entra Domain Services,請參閱 Microsoft Entra Domain Services 文件,以取得 架構、部署和管理指引。 請確定您也符合 Azure NetApp Files 網路和 DNS 需求。
設計 AD DS 網站拓撲以與 Azure NetApp Files 搭配使用
AD DS 網站拓撲的適當設計對於涉及 Azure NetApp Files SMB、雙重通訊協定或 NFSv4.1 Kerberos 磁碟區的任何解決方案架構而言非常重要。
不正確的 AD DS 網站拓撲或組態可能會導致下列行為:
- 無法建立 Azure NetApp Files SMB、雙重通訊協定或 NFSv4.1 Kerberos 磁碟區
- 無法修改 ANF AD 連線組態
- LDAP 用戶端查詢效能不佳
- 驗證問題
Azure NetApp Files 的 AD DS 網站拓撲是 Azure NetApp Files 網路的邏輯表示法。 為 Azure NetApp Files 設計 AD DS 網站拓撲牽涉到規劃網域控制站放置、設計網站、DNS 基礎結構和網路子網路,以確保 Azure NetApp Files 服務、Azure NetApp Files 儲存體用戶端和 AD DS 網域控制站之間的良好連線能力。
除了指派給 Azure NetApp Files AD 網站名稱中設定之 AD DS 網站的多個網域控制站之外,Azure NetApp Files AD DS 網站還可以指派一或多個子網路。
注意
指派給 Azure NetApp Files AD DS 網站的所有網域控制站和子網路都必須連線良好 (少於 10 毫秒 RTT 延遲),且可由 Azure NetApp Files 磁碟區所使用的網路介面連線。
如果您使用標準網路功能,您應該確定任何使用者定義的路由 (UDR) 或網路安全性群組 (NSG) 規則不會封鎖指派給 Azure NetApp Files AD DS 網站的 AD DS 網域控制站的 Azure NetApp Files 網路通訊。
如果您使用網路虛擬設備或防火牆 (例如 Palo Alto Networks 或 Fortinet 防火牆),則必須設定它們不會封鎖 Azure NetApp Files 與指派給 Azure NetApp Files AD DS 網站的 AD DS 網域控制站和子網路之間的網路流量。
Azure NetApp Files 如何使用 AD DS 網站資訊
Azure NetApp Files 會使用在 Active Directory 連線中設定的 AD 網站名稱來探索有哪些網域控制站存在,以支援驗證、加入網域、LDAP 查詢和 Kerberos 票證作業。
AD DS 網域控制站探索
Azure NetApp Files 每隔四小時起始網域控制站探索。 Azure NetApp Files 查詢網站特定 DNS 服務 (SRV) 資源記錄,以判斷哪些網域控制站位於 Azure NetApp Files AD 連線的 [AD 網站名稱] 欄位中指定的 AD DS 網站。 Azure NetApp Files 網域控制站伺服器探索會檢查網域控制站上裝載的服務 (例如 Kerberos、LDAP、Net Logon 和 LSA) 的狀態,並選取驗證要求的最佳網域控制站。
Azure NetApp Files AD 連線 [AD 網站名稱] 欄位中所指定 AD DS 網站的 DNS 服務 (SRV) 資源記錄必須包含 Azure NetApp Files 將使用之 AD DS 網域控制站的 IP 位址清單。 您可以使用 nslookup 公用程式來檢查 DNS (SRV) 資源記錄的有效性。
注意
如果您變更由 Azure NetApp Files 使用的 AD DS 網站中的網域控制站,請在部署新的 AD DS 網域控制站和淘汰現有的 AD DS 網域控制站之間等候至少四小時。 此等候時間可讓 Azure NetApp Files 探索新的 AD DS 網域控制站。
請確定與已淘汰 AD DS 網域控制站相關聯的過時 DNS 記錄已從 DNS 中移除。 這樣做可確保 Azure NetApp Files 不會嘗試與已淘汰的網域控制站通訊。
AD DS LDAP 伺服器探索
為 Azure NetApp Files NFS 磁碟區啟用 LDAP 時,就會發生 AD DS LDAP 伺服器的個別探索程序。 在 Azure NetApp Files 上建立 LDAP 用戶端時,Azure NetApp Files 會查詢 AD DS 網域服務 (SRV) 資源記錄,以取得網域中所有 AD DS LDAP 伺服器的清單,而不是指派給 AD 連線中所指定 AD DS 網站的 AD DS LDAP 伺服器清單。
在大型或複雜的 AD DS 拓撲中,您可能需要實作 DNS 原則或 DNS 子網路優先順序,以確保會傳回指派給 AD 連線中所指定 AD DS 網站的 AD DS LDAP 伺服器。
或者,可以透過指定最多兩個 LDAP用戶端的慣用 AD 伺服器,以覆寫 AD DS LDAP 伺服器探索程序。
重要
如果 Azure NetApp Files 在建立 Azure NetApp Files LDAP 用戶端期間無法連線到探索到的 AD DS LDAP 伺服器,則建立已啟用 LDAP 的磁碟區將會失敗。
不正確或不完整的 AD 網站名稱組態結果
不正確或不完整的 AD DS 網站拓撲或組態可能會導致磁碟區建立失敗、用戶端查詢問題、驗證失敗和修改 Azure NetApp Files AD 連線失敗。
重要
需要 [AD 網站名稱] 欄位,才能建立 Azure NetApp Files AD 連線。 定義的 AD DS 網站必須存在且已正確設定。
Azure NetApp Files 會使用 AD DS 網站來探索指派給 AD 網站名稱中所定義 AD DS 網站的網域控制站和子網路。 指派給 AD DS 網站的所有網域控制站都必須具有從 ANF 所使用的 Azure 虛擬網路介面的良好網路連線能力,且可連線。 指派給 Azure NetApp Files 所使用 AD DS 網站的 AD DS 網域控制站 VM,必須從關閉 VM 的成本管理原則中排除。
如果 Azure NetApp Files 無法連線到指派給 AD DS 網站的任何網域控制站,網域控制站探索程序將會查詢 AD DS 網域以取得所有網域控制站的清單。 從此查詢傳回的網域控制站清單是未排序的清單。 因此,Azure NetApp Files 可能會嘗試使用無法連線或連線不良的網域控制站,這可能會導致磁碟區建立失敗、用戶端查詢問題、驗證失敗,以及修改 Azure NetApp Files AD 連線失敗。
每當新的網域控制站部署到指派給 Azure NetApp Files AD 連線所使用 AD DS 網站的子網路時,您必須更新 AD DS 網站組態。 請確定網站的 DNS SRV 記錄會反映對指派給 Azure NetApp Files 所使用 AD DS 網站的網域控制站所做的任何變更。 您可以使用 nslookup 公用程式來檢查 DNS (SRV) 資源記錄的有效性。
注意
Azure NetApp Files 不支援使用 AD DS 唯讀網域控制站 (RODC)。 若要防止 Azure NetApp Files 使用 RODC,請勿使用 RODC 設定 AD 連線的 [AD 網站名稱] 欄位。 支援可寫入的域控制器,而且需要才能向 Azure NetApp Files 磁碟區進行驗證。 如需詳細資訊,請參閱 Active Directory 複寫概念。
Azure NetApp Files 的 AD DS 網站拓撲組態範例
AD DS 網站拓撲是部署 Azure NetApp Files 所在網路的邏輯表示法。 在本節中,AD DS 網站拓撲的範例組態案例想要顯示 Azure NetApp Files 的基本 AD DS 網站設計。 這不是為 Azure NetApp Files 設計網路或 AD 網站拓撲的唯一方式。
重要
對於涉及複雜 AD DS 或複雜網路拓撲的案例,您應該讓 Microsoft Azure CSA 檢閱 Azure NetApp Files 網路和 AD 網站設計。
下圖顯示範例網路拓撲:sample-network-topology.png 
在範例網路拓撲中,內部部署 AD DS 網域 (anf.local) 會擴充至 Azure 虛擬網路。 內部部署網路會使用 Azure ExpressRoute 線路連線到 Azure 虛擬網路。
Azure 虛擬網路有四個子網路:閘道子網路、Azure Bastion 子網路、AD DS 子網路,以及 Azure NetApp Files 委派的子網路。 加入 anf.local 網域的備援 AD DS 網域控制站會部署到 AD DS 子網路。 AD DS 子網路會指派 IP 位址範圍 10.0.0.0/24。
Azure NetApp Files 只能使用一個 AD DS 網站來判斷用於驗證、LDAP 查詢和 Kerberos 的網域控制站。 在範例案例中,會建立兩個子網路物件,並使用 Active Directory 網站和服務公用程式指派給名為 ANF 的網站。 一個子網路物件會對應至 AD DS 子網路 10.0.0.0/24,而另一個子網路物件則對應至 ANF 委派的子網路 10.0.2.0/24。
在 Active Directory 網站和服務工具中,確認已部署至 AD DS 子網路的 AD DS 網域控制站已指派給 ANF 網站:
![[Active Directory 網站和服務] 視窗的螢幕擷取畫面,其中紅色方塊會引起對 ANF > 伺服器目錄的注意。](media/understand-guidelines-active-directory-domain-service-site/active-directory-servers.png#lightbox)
若要建立對應至 Azure 虛擬網路中 AD DS 子網路的子網路物件,請以滑鼠右鍵按一下 [Active Directory 網站和服務] 公用程式中的 [子網路] 容器,然後選取 [新增子網路...]。
在 [新增物件 - 子網路] 對話方塊中,AD DS 子網路的 10.0.0.0/24 IP 位址範圍會在 [前置詞] 欄位中輸入。 選取 ANF 作為子網路的網站物件。 選取 [確定] 以建立子網路物件,並將其指派給 ANF 網站。
![[新增物件 - 子網路] 功能表的螢幕擷取畫面。](media/understand-guidelines-active-directory-domain-service-site/new-object-subnet-menu.png#lightbox)
若要確認新子網路物件已指派給正確的網站,請以滑鼠右鍵按一下 10.0.0.0/24 子網路物件,然後選取 [屬性]。 [網站] 欄位應該會顯示 ANF 網站物件:
若要建立對應至 Azure 虛擬網路中 Azure NetApp Files 已委派子網路的子網路物件,請以滑鼠右鍵按一下 [Active Directory 網站和服務] 公用程式中的 [子網路] 容器,然後選取 [新增子網路...]。
跨區域複寫考量
Azure NetApp Files 跨區域複寫可讓您將 Azure NetApp Files 磁碟區從一個區域複寫到另一個區域,以支援商務持續性和災害復原 (BC/DR) 需求。
Azure NetApp Files SMB、雙重通訊協定和 NFSv4.1 Kerberos 磁碟區支援跨區域複寫。 這些磁碟區的複寫需要:
- 在來源和目的地區域中建立的 NetApp 帳戶。
- 在來源和目的地區域中所建立 NetApp 帳戶中的 Azure NetApp Files Active Directory 連線。
- AD DS 網域控制站會在目的地區域中部署和執行。
- 必須在目的地區域中部署適當的 Azure NetApp Files 網路、DNS 和 AD DS 網站設計,才能讓 Azure NetApp Files 與目的地區域中的 AD DS 網域控制站進行良好的網路通訊。
- 目的地區域中的 Active Directory 連線必須設定為使用目的地區域中的 DNS 和 AD 網站資源。