Создание подключений Active Directory и управление ими для Azure NetApp Files

Для нескольких функций Azure NetApp Files требуется подключение Active Directory. Например, необходимо подключиться к Active Directory, прежде чем создать том SMB, NFSv4.1 Kerberos или двухпротокольный том. В этой статье показано, как создавать подключения Active Directory и управлять ими для Azure NetApp Files.

Требования и рекомендации по Active Directory подключениям

• Учетная запись Azure NetApp Files должна быть создана в регионе, где развертываются тома Azure NetApp Files.

• Azure NetApp Files поддерживает одно подключение AD для каждой учетной записи NetApp. Для получения информации проверьте поле тип Active Directory на странице вашей учетной записи.

• Учетная запись администратора подключения AD Azure NetApp Files должна иметь следующие свойства:

  • Это должна быть учетная запись пользователя домена AD DS в том же домене, где создаются учетные записи компьютеров Azure NetApp Files.
  • Он должен иметь разрешение на создание учетных записей компьютеров (например, присоединение к домену AD) в пути подразделения AD DS, указанном в параметре пути единицы организации подключения AD.
  • Она не может быть групповой управляемой учетной записью службы.

• Учетная запись администратора подключения AD поддерживает типы шифрования Kerberos AES-128 и Kerberos AES-256 для проверки подлинности с помощью AD DS для создания учетной записи компьютера Azure NetApp Files (например, операции присоединения к домену AD).

• Чтобы включить шифрование AES, сначала следует включить AES-128, AES-256, RC4 и типы шифрования DES в Active Directory (AD), а затем включить AES на уровне управления. Сначала необходимо включить шифрование в Active Directory.

• Чтобы включить поддержку шифрования AES для учетной записи администратора в подключении AD, выполните следующие Active Directory команды PowerShell:

  Get-ADUser -Identity <ANF AD connection account username>
  Set-ADUser -KerberosEncryptionType <encryption_type>
  

  KerberosEncryptionType — это многозначный параметр, поддерживающий значения DES, RC4, AES-128 и AES-256.

  Дополнительные сведения см. в документации Set-ADUser.

• Чтобы включить шифрование AES в учетной записи администратора подключения AD Azure NetApp Files AD, необходимо использовать учетную запись пользователя домена AD, являющуюся членом одной из следующих групп AD DS:

  • Администраторы домена
  • Администраторы предприятия
  • Administrators
  • Операторы учетной записи
  • Администраторы Доменные службы Microsoft Entra (только Доменные службы Microsoft Entra)
  • Кроме того, учетная запись пользователя домена AD с msDS-SupportedEncryptionTypes разрешением на запись в учетной записи администратора подключения AD также может использоваться для задания свойства типа шифрования Kerberos в учетной записи администратора подключения AD.

  Note

  При изменении параметра для включения AES в учетной записи администратора подключения AD рекомендуется использовать учетную запись пользователя с разрешением на запись в объект AD, который не является администратором AD Azure NetApp Files AD. Это можно сделать с другой учетной записью администратора домена или делегируя управление учетной записью. Дополнительные сведения см. в разделе "Делегирование администрирования с помощью объектов организационной единицы".

  Если вы устанавливаете шифрование AES-128 и AES-256 Kerberos в учетной записи администратора подключения AD, клиент Windows согласовывает самый высокий уровень шифрования, поддерживаемый AD DS. Например, если поддерживаются AES-128 и AES-256, а клиент поддерживает AES-256, будет использоваться AES-256.

• Если изменить IP-адрес Центра распространения Kerberos (KDC) или имя сервера AD, необходимо дождаться истечения срока действия билета Kerberos, чтобы подключить том на том же клиенте NFS в Linux. Время существования билета Kerberos можно настроить как на клиенте, так и на KDC. По умолчанию Microsoft Active Directory задает время существования билета Kerberos на 600 минут (10 часов).
Дополнительные сведения см. в разделе "Максимальное время существования билета на обслуживание".

• Если у вас есть требование включить и отключить определенные типы шифрования Kerberos для учетных записей компьютеров Active Directory, присоединенных к домену, используемых в Windows узлах с Azure NetApp Files, необходимо использовать групповую политику Network Security: Configure Encryption types allowed for Kerberos.

  Не устанавливайте ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes. Это приведет к прерыванию проверки подлинности Kerberos с Azure NetApp Files для узла Windows, где этот ключ реестра был настроен вручную.

  Note

  Параметр политики по умолчанию для Network Security: Configure Encryption types allowed for Kerberos равен Not Defined. Если этот параметр политики задан Not Defined, все типы шифрования, кроме DES, будут доступны для шифрования Kerberos. У вас есть возможность включить поддержку только определенных типов шифрования Kerberos (например, AES128_HMAC_SHA1 или AES256_HMAC_SHA1). Однако политика по умолчанию должна быть достаточной в большинстве случаев при включении поддержки шифрования AES с Azure NetApp Files.

  Дополнительные сведения см. в статье Сетевая безопасность: настройка типов шифрования, разрешенных для Kerberos или Конфигурации Windows для поддерживаемых типов шифрования Kerberos

• Запросы LDAP вступают в силу только в домене, указанном в поле Active Directory подключений (AD DNS-имя). Это поведение относится к томам NFS, SMB и двухпротокольным томам.

• Время ожидания запросов LDAP

  По умолчанию запросы LDAP завершаются по тайм-ауту, если они не могут быть выполнены своевременно. Если запрос LDAP завершается неудачей из-за истечения времени ожидания, поиск пользователя и/или группы завершится неудачей, и доступ к томе Azure NetApp Files может быть запрещен в зависимости от настроек доступа тома.

  Время ожидания запросов могут возникать в больших средах LDAP со многими объектами пользователей и групп, при медленном подключении к глобальной сети, а также при чрезмерной нагрузке сервера LDAP из-за большого количества запросов. Azure NetApp Files устанавливает время ожидания для запросов LDAP на 10 секунд. Рассмотрите возможность использования функций DN пользователей и групп в подключении Active Directory для LDAP-сервера, чтобы отфильтровать поисковые запросы, если у вас возникают проблемы с тайм-аутом запросов LDAP.

Учетные записи NetApp и тип Active Directory

Вы можете использовать страницу обзора учетной записи NetApp, чтобы подтвердить тип учетной записи Active Directory (тип AD). Существует два значения для типа AD:

• Multi AD: учетная запись NetApp поддерживает одну конфигурацию AD для каждой учетной записи NetApp в рамках подписки. Этот параметр позволяет использовать несколько подключений AD для каждой подписки при использовании нескольких учетных записей NetApp.
• Общий AD: Учетная запись NetApp поддерживает только одну конфигурацию AD для каждой подписки и региона, но эта конфигурация совместно используется в учетных записях NetApp в рамках подписки и региона. Этот тип доступен только в учетных записях NetApp, созданных во время предварительной версии Shared AD.

Дополнительные сведения о связи между учетными записями NetApp и подписками см. в иерархии хранения Azure NetApp Files.

Создание подключения Active Directory

1. В учетной записи NetApp выберите подключения к Active Directory, затем Join.

   

2. В окне "Присоединение к Active Directory" укажите следующую информацию в зависимости от доменных служб, которые планируете использовать:

   • Основной DNS (обязательный)
     Это IP-адрес основного DNS-сервера, который требуется для операций присоединения к домену Active Directory, проверки подлинности SMB, Kerberos и LDAP.

   • Вторичный DNS
     Это IP-адрес вторичного DNS-сервера, который требуется для операций присоединения к домену Active Directory, проверки подлинности SMB, kerberos и LDAP.

     Note

     Рекомендуется настроить дополнительный DNS-сервер. Ознакомьтесь с руководящими принципами по проектированию и планированию служб доменные службы Active Directory для Azure NetApp Files. Убедитесь, что конфигурация DNS-сервера соответствует требованиям для Azure NetApp Files. В противном случае операции службы Azure NetApp Files, аутентификации SMB, Kerberos или LDAP могут завершиться ошибкой.

     Если вы используете Доменные службы Microsoft Entra, используйте IP-адреса контроллеров домена Доменные службы Microsoft Entra для основного DNS и дополнительного DNS соответственно.

   • Доменное имя AD DNS (обязательно)
     Это полное доменное имя AD DS, используемое с Azure NetApp Files (например, contoso.com).

   • Имя сайта AD (обязательно)
     Это имя сайта AD DS, которое Azure NetApp Files используется для обнаружения контроллера домена.

     Имя сайта по умолчанию для AD DS и Доменные службы Microsoft Entra — Default-First-Site-Name. Если вы хотите переименовать имя сайта, следуйте соглашениям об именовании сайтов.

     Note

     Ознакомьтесь с руководящими принципами по проектированию и планированию служб доменные службы Active Directory для Azure NetApp Files. Убедитесь, что дизайн и конфигурация сайта AD DS соответствуют требованиям для Azure NetApp Files. В противном случае операции службы Azure NetApp Files, аутентификации SMB, Kerberos или LDAP могут завершиться ошибкой.

   • Префикс сервера SMB (учетная запись компьютера) (обязательно)
     Это префикс именования для новых учетных записей компьютеров, созданных в AD DS для Azure NetApp Files с поддержкой SMB, двойного протокола и томов Kerberos NFSv4.1.

     Например, если стандарт именования, используемый вашей организацией для файловых служб, это NAS-01, NAS-02 и так далее, то вы будете использовать NAS для префикса.

     Azure NetApp Files при необходимости создадут дополнительные учетные записи компьютеров в AD DS.

     Important

     Переименование префикса сервера SMB после создания подключения Active Directory приводит к нарушению работы. После переименования префикса сервера SMB необходимо повторно подключить существующие общие папки SMB.

   • Путь организационной единицы
     Это путь LDAP для подразделения ,где будут созданы учетные записи сервера SMB. то есть OU=second level, OU=first level. Например, если вы хотите использовать OU, созданное ANF в корне домена, значение будет равно OU=ANF.

     Если значение не указано, Azure NetApp Files использует контейнер CN=Computers.

     Если вы используете Azure NetApp Files с Доменные службы Microsoft Entra, путь организационного подразделения OU=AADDC Computers

     

   • Шифрование AES
     Этот параметр включает поддержку проверки подлинности шифрования AES для учетной записи администратора подключения AD.

     

     См. Требования для подключений Active Directory для получения информации о требованиях.

   • Добавление подписи LDAP

     Этот параметр включает подписывание LDAP. Эта функция обеспечивает проверку целостности SASL-привязок LDAP для простой аутентификации и безопасности из Azure NetApp Files и указанных пользователем контроллеров домена доменные службы Active Directory.

     Azure NetApp Files поддерживает привязку канала LDAP, если параметры подписи LDAP и LDAP через параметры TLS включены в Active Directory подключении. Дополнительные сведения см. в документе ADV190023 | Руководство Microsoft по включению привязки канала LDAP и подписи LDAP.

     Note

     DNS PTR записи для учетных записей компьютера AD DS должны быть созданы в AD DS Организационной единице, указанной в подключении AD для Azure NetApp Files, чтобы подпись LDAP могла работать.

     

   • Разрешить локальным пользователям NFS с помощью LDAP Этот параметр позволяет локальным пользователям клиента NFS получать доступ к томам NFS. Этот параметр отключает расширенные группы для томов NFS, что ограничивает количество поддерживаемых групп для пользователя до 16. При включении группы, превышающие ограничение на 16 групп, не учитываются в разрешениях на доступ. Дополнительные сведения см. в разделе "Разрешить локальным пользователям NFS с протоколом LDAP" доступ к тому с двумя протоколами.

   • ПРОТОКОЛ LDAP по протоколу TLS

     Этот параметр включает протокол LDAP через TLS для безопасного взаимодействия между томом Azure NetApp Files и сервером LDAP Active Directory. Вы можете включить LDAP через TLS для томов NFS, SMB и томов с двойным протоколом в Azure NetApp Files.

     Note

     Протокол LDAP по протоколу TLS не должен быть включен, если вы используете Доменные службы Microsoft Entra. Доменные службы Microsoft Entra использует LDAPS (порт 636) для защиты трафика LDAP вместо LDAP через TLS (порт 389).

     Дополнительные сведения см. в разделе Включение аутентификации LDAP служб Active Directory (AD DS) для томов NFS.

   • Сертификат корневого центра сертификации сервера

     Этот параметр отправляет сертификат ЦС, используемый с протоколом LDAP по протоколу TLS.

     Дополнительные сведения см. в разделе Включение аутентификации LDAP служб Active Directory (AD DS) для томов NFS. 

   • Область поиска LDAP, DN пользователя, DN группы и фильтр членства в группах

     Параметр LDAP search scope оптимизирует запросы LDAP в хранилищах Azure NetApp Files для использования с крупными топологиями AD DS и LDAP c расширенными группами или стилем безопасности Unix в томах двойного протокола Azure NetApp Files.

     Параметры DN пользователя и группы DN позволяют задать базу поиска в AD DS LDAP. Эти параметры ограничивают области поиска запросов LDAP, сокращая время поиска и помогая сократить время ожидания запросов LDAP.

     Параметр "Фильтр членства в группах" позволяет создать пользовательский фильтр поиска для пользователей, являющихся членами определенных групп AD DS.

     

     Дополнительные сведения об этих параметрах см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

   • Предпочтительный сервер для клиента LDAP

     Предпочтительный сервер для клиента LDAP позволяет отправлять IP-адреса до двух серверов AD в виде разделенного запятыми списка. Вместо того, чтобы последовательно связаться со всеми обнаруженными службами AD для домена, клиент LDAP сначала свяжется с указанными серверами.

   • Зашифрованные подключения SMB к контроллеру домена

     Зашифрованные подключения SMB к контроллеру домена указывают, следует ли использовать шифрование для обмена данными между сервером SMB и контроллером домена. При включении для зашифрованных подключений контроллера домена будет использоваться только SMB3.

     Эта функция в настоящее время доступна для предварительного ознакомления. Если вы впервые используете зашифрованные подключения SMB к контроллеру домена, необходимо зарегистрировать его:

     Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     Проверка состояния регистрации функции.

     Note

     RegistrationState может находиться в состоянии Registering до 60 минут, прежде чем изменится на Registered. Подождите, пока состояние не станет Registered, прежде чем продолжить.

     Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
     

     Вы также можете использовать команды Azure CLIaz feature register и az feature show для регистрации функции и отображения состояния регистрации.

   • Backup policy users Этот параметр предоставляет дополнительные права безопасности пользователям или группам доменов AD DS, которым требуются повышенные привилегии резервного копирования для поддержки рабочих процессов резервного копирования, восстановления и миграции в Azure NetApp Files. Указанные учетные записи или группы пользователей AD DS будут иметь разрешения NTFS с повышенными привилегиями на уровне файла или папки.

     

     Следующие привилегии применяются при использовании настройки пользователи политики резервного копирования:

     Privilege	Description
     SeBackupPrivilege	Резервное копирование файлов и каталогов с переопределением всех списков управления доступом (ACL).
     SeRestorePrivilege	Восстановите файлы и каталоги, переопределяя любые ACL. Задайте допустимый идентификатор пользователя или группы в качестве владельца файла.
     SeChangeNotifyPrivilege	Обход проверки. Пользователям с этой привилегией не требуется иметь разрешения на просмотр (x), чтобы переходить по папкам или символическим ссылкам.

   • Пользователи привилегий безопасности
     Этот параметр предоставляет права безопасности (SeSecurityPrivilege) пользователям домена AD DS или группам, которым требуются повышенные привилегии для доступа к томам Azure NetApp Files. Указанные пользователи или группы AD DS могут выполнять определенные действия для общих папок SMB, требующих привилегий безопасности, не назначенных по умолчанию пользователям домена.

     

     При использовании параметра "Пользователи привилегий безопасности" применяются следующие привилегии :

     Privilege	Description
     SeSecurityPrivilege	Управление журналом.

     Эта функция используется для установки SQL Server в определенных сценариях, когда учетная запись домена AD DS без администратора должна временно предоставляться повышенным привилегиям безопасности.

     Note

     Использование функции "Пользователи привилегий безопасности" зависит от функции "Общие папки непрерывной доступности SMB". Непрерывная доступность SMB не поддерживается в приложениях на заказ. Поддерживается только для рабочих нагрузок с использованием Citrix App Layering, контейнеров профилей пользователей FSLogix и Microsoft SQL Server (не Linux SQL Server).

     Important

     Эта функция является необязательной и поддерживается только с SQL Server. Учетная запись домена AD DS, используемая для установки SQL Server, уже должна существовать, прежде чем добавлять ее в параметр "Пользователи привилегий безопасности". При добавлении учетной записи установщика SQL Server в параметр Security privilege users служба Azure NetApp Files может проверить учетную запись, связавшись с контроллером домена AD DS. Это действие может завершиться ошибкой, если Azure NetApp Files не удается связаться с контроллером домена AD DS.

     Дополнительные сведения о SeSecurityPrivilege и SQL Server см. в статье установка SQL Server завершается ошибкой, если учетная запись для установки не имеет определенные пользовательские права.

   • Администраторы предоставляют привилегии пользователям

     Этот параметр предоставляет дополнительные права безопасности пользователям или группам домена AD DS, которым требуются повышенные привилегии для доступа к томам Azure NetApp Files. Указанные учетные записи будут иметь разрешения с повышенными привилегиями на уровне файла или папки.

     Note

     Администраторы домена автоматически добавляются в группу привилегированных пользователей администраторов.

     

     Note

     Эта привилегия полезна для миграции данных.

     При использовании параметра "Администраторы привилегий" применяются следующие привилегии:

     Privilege	Description
     SeBackupPrivilege	Резервное копирование файлов и каталогов с переопределением всех списков управления доступом (ACL).
     SeRestorePrivilege	Восстановите файлы и каталоги, переопределяя любые ACL. Задайте допустимый идентификатор пользователя или группы в качестве владельца файла.
     SeChangeNotifyPrivilege	Обход проверки. Пользователи с этой привилегией не должны иметь разрешения на обход (x) для обхода папок или симлинков.
     SeTakeOwnershipPrivilege	Возьмите на себя владение файлами или другими объектами.
     SeSecurityPrivilege	Управление журналом.
     SeChangeNotifyPrivilege	Обход проверки. Пользователи с этой привилегией не должны иметь разрешения на обход (x) для обхода папок или симлинков.

   • Учетные данные, включая имя пользователя и пароль.

     

     Important

     Хотя Active Directory поддерживает 256-символьные пароли, пароли Active Directory с Azure NetApp Files не могут превышать 64 символов.

3. Выберите Присоединиться.

   Появится созданное Active Directory подключение.

   

Сопоставьте несколько учетных записей NetApp в одной подписке и регионе с одним подключением Active Directory (предварительная версия)

Функция Shared AD позволяет всем учетным записям NetApp совместно использовать подключение AD, созданное одной из учетных записей NetApp, принадлежащих одной подписке и одному региону. К примеру, с помощью этой функции все учетные записи NetApp в одной подписке и регионе могут использовать общую конфигурацию AD для создания тома SMB, тома NFSv4.1 Kerberos или тома с двумя протоколами. При использовании этой функции подключение AD отображается во всех учетных записях NetApp, которые находятся в одной подписке и одном регионе, а тип AD учетных записей NetApp — Shared AD.

Сброс пароля учетной записи компьютера Active Directory

Если вы случайно сбросили пароль учетной записи компьютера AD на сервере AD или сервер AD недоступен, вы можете безопасно сбросить пароль учетной записи компьютера, чтобы сохранить подключение к вашим томам. Сброс влияет на все тома на сервере SMB.

зарегистрируйте функцию

Функция сброса пароля учетной записи компьютера в Active Directory в настоящее время доступна в текущей общедоступной предварительной версии. Если вы используете эту функцию впервые, сначала необходимо зарегистрировать эту функцию.

1. Активируйте функцию сброса пароля учетной записи компьютера в Active Directory:

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

2. Проверьте состояние регистрации компонента. RegistrationState может находиться в состоянии Registering до 60 минут, прежде чем изменится на Registered. Подождите, пока состояние не станет Registered, прежде чем продолжить.

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Вы также можете использовать команды Azure CLIaz feature register и az feature show для регистрации функции и отображения состояния регистрации.

Steps

1. Перейдите в раздел Обзор. Выберите Reset Active Directory Account. или перейдите в меню Volumes. Определите том, для которого нужно сбросить учетную запись Active Directory, и выберите кнопку с тремя точками (...) в конце ряда. Выберите Reset Active Directory Account.
2. Появится предупреждение, объясняющее последствия этого действия. Введите да в текстовом поле, чтобы продолжить.

Дальнейшие шаги

• Понимание руководящих принципов проектирования и планирования сайтов доменные службы Active Directory для Azure NetApp Files
• Изменить подключения Active Directory
• Создание тома SMB
• Создание тома с двумя протоколами
• Настройка шифрования Kerberos NFSv4.1
• Установите новый лес Active Directory с использованием Azure CLI
• Включить аутентификацию LDAP для томов NFS в службах домена Active Directory (AD DS)
• LDAP AD DS с группами расширенного доступа для тома NFS