Vysvětlení pokynů pro návrh a plánování webu služby Doména služby Active Directory Services pro Azure NetApp Files
Správné návrh a plánování Doména služby Active Directory Services (AD DS) je klíčem k architektuře řešení, které používají svazky Azure NetApp Files. Funkce Azure NetApp Files, jako jsou svazky SMB, svazky se dvěma protokoly a svazky Kerberos NFSv4.1, jsou navržené pro použití se službou AD DS.
Tento článek obsahuje doporučení, která vám pomůžou s vývojem strategie nasazení služby AD DS pro Azure NetApp Files. Než si přečtete tento článek, musíte mít dobrý přehled o tom, jak služba AD DS funguje na funkční úrovni.
Identifikace požadavků AD DS pro Azure NetApp Files
Před nasazením svazků Azure NetApp Files musíte identifikovat požadavky na integraci služby AD DS pro Azure NetApp Files, abyste měli jistotu, že je služba Azure NetApp Files dobře připojená ke službě AD DS. Nesprávná nebo neúplná integrace služby AD DS se službou Azure NetApp Files může způsobit přerušení nebo výpadky přístupu klientů pro svazky SMB, duální protokol nebo Kerberos NFSv4.1.
Podporované scénáře ověřování
Azure NetApp Files podporuje ověřování založené na identitách přes protokol SMB pomocí následujících metod.
- Ověřování AD DS: Počítače s Windows připojené k AD DS mají přístup ke sdíleným složkám Azure NetApp Files pomocí přihlašovacích údajů služby Active Directory přes protokol SMB. Váš klient musí mít přehled o službě AD DS. Pokud už máte službu AD DS nastavenou místně nebo na virtuálním počítači v Azure, kde jsou vaše zařízení připojená k vaší službě AD DS, měli byste použít službu AD DS pro ověřování sdílených složek Azure NetApp Files.
- Ověřování microsoft Entra Domain Services: Cloudové virtuální počítače s Windows připojené ke službě Microsoft Entra Domain Services mají přístup ke sdíleným složkám Azure NetApp Files pomocí přihlašovacích údajů služby Microsoft Entra Domain Services. V tomto řešení služba Microsoft Entra Domain Services provozuje za zákazníka tradiční doménu ad systému Windows Server.
- Ověřování ad Kerberos pro linuxové klienty: Klienti Linuxu můžou používat ověřování Kerberos přes protokol SMB pro Azure NetApp Files pomocí AD DS.
Síťové požadavky
Pro předvídatelné operace Doména služby Active Directory Services se svazky Azure NetApp Files, spolehlivé a nízké latence síťového připojení (rovnající se nebo menší než 10 milisekund [ms] doba odezvy [RTT]) na řadiče domény SLUŽBY AD DS se důrazně doporučuje. Špatné síťové připojení nebo vysoká latence sítě mezi azure NetApp Files a řadiči domény AD DS může způsobit přerušení přístupu klientů nebo vypršení časového limitu klienta.
Poznámka:
Doporučení 10ms dodržuje pokyny při vytváření návrhu webu: Rozhodování o tom, která umístění se stanou weby.
Ujistěte se, že splňujete následující požadavky na topologii a konfigurace sítě:
- Ujistěte se, že se používá podporovaná síťová topologie pro Azure NetApp Files .
- Ujistěte se, že řadiče domény AD DS mají síťové připojení z delegovaných podsítí služby Azure NetApp Files hostující svazky Azure NetApp Files.
- Topologie partnerských virtuálních sítí s řadiči domény AD DS musí mít správně nakonfigurované partnerské vztahy pro podporu síťového připojení azure NetApp Files k řadiči domény AD DS.
- Skupiny zabezpečení sítě (NSG) a brány firewall řadiče domény SLUŽBY AD DS musí mít správně nakonfigurovaná pravidla pro podporu připojení služby Azure NetApp Files ke službě AD DS a DNS.
- Pro zajištění optimálního prostředí se ujistěte, že latence sítě je rovna nebo menší než 10ms RTT mezi řadiči domény Azure NetApp Files a AD DS. Jakékoli RTT vyšší než 10 ms může vést ke snížení výkonu aplikace nebo uživatelského prostředí v aplikacích a prostředích citlivých na latenci. Pokud je RTT příliš vysoká pro žádoucí uživatelské prostředí, zvažte nasazení replik řadičů domény ve vašem prostředí Azure NetApp Files. Viz také důležité informace o Doména služby Active Directory Services.
Další informace o požadavcích služby Microsoft Active Directory na latenci sítě přes síť v široké oblasti naleznete v tématu Vytvoření návrhu lokality.
Požadované síťové porty jsou následující:
| Služba | Porty | Protokoly |
|---|---|---|
| ICMPv4 (ping) | – | Odpověď na odezvu |
| DNS* | 53 | TCP, UDP |
| Kerberos | 88 | TCP, UDP |
| Služba NetBIOS Datagram | 138 | UDP |
| NetBIOS | 139 | UDP |
| LDAP** | 389 | TCP, UDP |
| Správce účtů zabezpečení (SAM) / Místní autorita zabezpečení (LSA) / SMB | 445 | TCP, UDP |
| Kerberos (kpasswd) | 464 | TCP, UDP |
| Globální katalog služby Active Directory | 3 268 | TCP |
| Zabezpečený globální katalog služby Active Directory | 3269 | TCP |
| Webová služba Active Directory | 9389 | TCP |
* Pouze SLUŽBA DNS služby Active Directory
** Protokol LDAP přes PROTOKOL SSL (port 636) se v současné době nepodporuje. Místo toho k šifrování provozu LDAP použijte protokol LDAP přes StartTLS (port 389).
Informace o DNS najdete v tématu Principy systémů názvů domén ve službě Azure NetApp Files.
Požadavky na zdroj času
Azure NetApp Files používá jako zdroj času time.windows.com . Ujistěte se, že řadiče domény používané službou Azure NetApp Files jsou nakonfigurované tak, aby používaly time.windows.com nebo jiný přesný stabilní kořenový zdroj (stratum 1). Pokud mezi službou Azure NetApp Files a vaším klientem nebo řadiči domény AS DS existuje více než pět minut nerovnoměrná distribuce, ověřování se nezdaří. Přístup ke svazkům Azure NetApp Files může také selhat.
Rozhodnutí o tom, kterou službu AD DS použít se službou Azure NetApp Files
Azure NetApp Files podporuje služby Doména služby Active Directory Services (AD DS) i službu Microsoft Entra Domain Services pro připojení AD. Než vytvoříte připojení AD, musíte se rozhodnout, jestli se má používat služba AD DS nebo Microsoft Entra Domain Services.
Další informace naleznete v tématu Porovnání samoobslužných Doména služby Active Directory Services, Microsoft Entra ID a spravované služby Microsoft Entra Domain Services.
Důležité informace o Doména služby Active Directory Services
Služby Doména služby Active Directory (AD DS) byste měli použít v následujících scénářích:
- Máte uživatele služby AD DS hostované v místní doméně SLUŽBY AD DS, kteří potřebují přístup k prostředkům Azure NetApp Files.
- Máte aplikace hostované částečně místně a částečně v Azure, které potřebují přístup k prostředkům Azure NetApp Files.
- Ve vašem předplatném nepotřebujete integraci služby Microsoft Entra Domain Services s tenantem Microsoft Entra nebo služba Microsoft Entra Domain Services není kompatibilní s vašimi technickými požadavky.
Poznámka:
Azure NetApp Files nepodporuje použití řadičů domény jen pro čtení (RODC) služby AD DS. Podporují se zapisovatelné řadiče domény a vyžadují se pro ověřování pomocí svazků Azure NetApp Files. Další informace najdete v tématu Koncepty replikace služby Active Directory.
Pokud se rozhodnete používat službu AD DS se službou Azure NetApp Files, postupujte podle pokynů v průvodci architekturou služby AD DS do Azure a ujistěte se, že splňujete požadavky na síť Azure NetApp Files a DNS pro službu AD DS.
Důležité informace o službě Microsoft Entra Domain Services
Microsoft Entra Domain Services je spravovaná doména SLUŽBY AD DS, která se synchronizuje s vaším tenantem Microsoft Entra. Hlavní výhody používání služby Microsoft Entra Domain Services jsou následující:
- Microsoft Entra Domain Services je samostatná doména. Proto není potřeba nastavovat síťové připojení mezi místním prostředím a Azure.
- Poskytuje zjednodušené prostředí pro nasazení a správu.
Služby Microsoft Entra Domain Services byste měli používat v následujících scénářích:
- Není potřeba rozšířit službu AD DS z místního prostředí do Azure, aby poskytovala přístup k prostředkům Azure NetApp Files.
- Zásady zabezpečení neumožňují rozšíření místní služby AD DS do Azure.
- Nemáte silné znalosti služby AD DS. Služba Microsoft Entra Domain Services může zlepšit pravděpodobnost dobrých výsledků se službou Azure NetApp Files.
Pokud se rozhodnete používat službu Microsoft Entra Domain Services se službou Azure NetApp Files, přečtěte si dokumentaci ke službě Microsoft Entra Domain Services s pokyny k architektuře, nasazení a správě. Ujistěte se, že splňujete také požadavky azure NetApp Files network a DNS.
Návrh topologie lokality služby AD DS pro použití se službou Azure NetApp Files
Vhodný návrh topologie lokality služby AD DS je kritický pro všechny architektury řešení, které zahrnují svazky Kerberos služby Azure NetApp Files, duální protokol nebo svazky Kerberos NFSv4.1.
Nesprávná topologie nebo konfigurace lokality služby AD DS může mít za následek následující chování:
- Nepodařilo se vytvořit svazky KERBEROS služby Azure NetApp Files, duální protokol nebo NFSv4.1
- Nepodařilo se změnit konfiguraci připojení ANF AD
- Nízký výkon dotazů klienta LDAP
- Problémy s ověřováním
Topologie lokality AD DS pro Azure NetApp Files je logická reprezentace sítě Azure NetApp Files. Návrh topologie lokality služby AD DS pro Azure NetApp Files zahrnuje plánování umístění řadiče domény, návrh lokalit, infrastruktury DNS a podsítí sítě, aby se zajistilo dobré připojení mezi službou Azure NetApp Files, klienty úložiště Azure NetApp Files a řadiči domény AD DS.
Kromě několika řadičů domény přiřazených k lokalitě SLUŽBY AD DS nakonfigurované v názvu webu ad ad služby Azure NetApp Files může mít lokalita služby Azure NetApp Files AD DS přiřazenou jednu nebo více podsítí.
Poznámka:
Je nezbytné, aby všechny řadiče domény a podsítě přiřazené k lokalitě AD DS služby Azure NetApp Files byly dobře připojené (méně než 10ms LATENCE RTT) a dosažitelné síťovými rozhraními používanými svazky Azure NetApp Files.
Pokud používáte standardní síťové funkce, měli byste zajistit, aby všechna pravidla definovaná uživatelem nebo skupina zabezpečení sítě (NSG) nezablokovala síťovou komunikaci služby Azure NetApp Files s řadiči domény AD DS přiřazenými k lokalitě služby Azure NetApp Files AD DS.
Pokud používáte síťová virtuální zařízení nebo brány firewall (například palo Alto Networks nebo brány firewall fortinet), musí být nakonfigurované tak, aby neblokovaly síťový provoz mezi službami Azure NetApp Files a řadiči domény a podsítěmi ad DS přiřazenými k lokalitě ad DS služby Azure NetApp Files.
Jak Azure NetApp Files používá informace o webu AD DS
Azure NetApp Files používá název webu AD nakonfigurovaný v připojeních služby Active Directory ke zjištění, které řadiče domény existují pro podporu ověřování, připojení k doméně, dotazů LDAP a operací lístku Kerberos.
Zjišťování řadiče domény SLUŽBY AD DS
Azure NetApp Files zahájí zjišťování řadiče domény každých čtyři hodiny. Azure NetApp Files se dotazuje záznamu prostředku služby DNS (SRV) specifického pro lokalitu služby DNS, aby bylo možné určit, které řadiče domény jsou v lokalitě služby AD DS zadané v poli Název webu služby AD služby Azure NetApp Files. Zjišťování serveru řadiče domény Azure NetApp Files kontroluje stav služeb hostovaných na řadičích domény (například Kerberos, LDAP, Net Logon a LSA) a vybere optimální řadič domény pro žádosti o ověření.
Záznamy DNS SRV pro lokalitu SLUŽBY AD DS zadané v poli název webu služby AD služby Azure NetApp Files musí obsahovat seznam IP adres pro řadiče domény SLUŽBY AD DS, které budou používat služba Azure NetApp Files. Platnost záznamu DNS SRV můžete zkontrolovat pomocí nslookup nástroje.
Poznámka:
Pokud provedete změny řadičů domény v lokalitě služby AD DS používané službou Azure NetApp Files, počkejte alespoň čtyři hodiny mezi nasazením nových řadičů domény SLUŽBY AD DS a vyřazením existujících řadičů domény SLUŽBY AD DS. Tato doba čekání umožňuje službě Azure NetApp Files zjistit nové řadiče domény SLUŽBY AD DS.
Ujistěte se, že zastaralé záznamy DNS přidružené k vyřazené řadiči domény SLUŽBY AD DS se z DNS odeberou. Tím se zajistí, že se Služba Azure NetApp Files nebude pokoušet komunikovat s vyřazeným řadičem domény.
Zjišťování serveru LDAP pro službu AD DS
K samostatnému procesu zjišťování pro servery LDAP služby AD DS dochází v případě, že je pro svazek NFS služby Azure NetApp Files povolený protokol LDAP. Když je klient LDAP vytvořen v Azure NetApp Files, Azure NetApp Files dotazuje záznam SRV služby AD DS na seznam všech serverů LDAP služby AD DS v doméně, a ne servery LDAP služby AD DS přiřazené k lokalitě AD DS zadané v připojení AD.
Ve velkých nebo složitých topologiích služby AD DS možná budete muset implementovat zásady DNS nebo stanovení priorit podsítě DNS, aby se zajistilo, že se vrátí servery AD DS LDAP přiřazené k lokalitě služby AD DS zadané v připojení AD.
Případně lze proces zjišťování serveru LDAP služby AD DS přepsat zadáním až dvou upřednostňovaných serverů AD pro klienta LDAP.
Důležité
Pokud služba Azure NetApp Files nemůže během vytváření klienta LDAP služby Azure NetApp Files dosáhnout zjištěného serveru LDAP služby AD DS, vytvoření svazku s povoleným protokolem LDAP selže.
Důsledky nesprávné nebo neúplné konfigurace názvu webu AD
Nesprávná nebo neúplná topologie nebo konfigurace lokality služby AD DS může vést k selháním vytváření svazků, problémům s klientskými dotazy, selháním ověřování a selháním při úpravě připojení AD služby Azure NetApp Files.
Důležité
Pole Název webu AD je nutné k vytvoření připojení AD služby Azure NetApp Files. Definovaný web služby AD DS musí existovat a musí být správně nakonfigurovaný.
Služba Azure NetApp Files používá lokalitu SLUŽBY AD DS ke zjišťování řadičů domény a podsítí přiřazených k lokalitě služby AD DS definované v názvu lokality AD DS. Všechny řadiče domény přiřazené k lokalitě SLUŽBY AD DS musí mít dobré síťové připojení z virtuálních síťových rozhraní Azure používaných službou ANF a musí být dostupné. Virtuální počítače řadiče domény služby AD DS přiřazené k lokalitě služby AD DS používané službou Azure NetApp Files musí být vyloučené ze zásad správy nákladů, které vypínají virtuální počítače.
Pokud služba Azure NetApp Files nemůže kontaktovat žádné řadiče domény přiřazené k lokalitě služby AD DS, proces zjišťování řadiče domény se dotáže domény služby AD DS na seznam všech řadičů domény. Seznam řadičů domény vrácených z tohoto dotazu je neuspořádaný seznam. Azure NetApp Files se proto může pokusit použít řadiče domény, které nejsou dostupné nebo dobře připojené, což může způsobit selhání vytváření svazků, problémy s klientskými dotazy, selhání ověřování a selhání při úpravě připojení Ad služby Azure NetApp Files.
Konfiguraci lokality služby AD DS je nutné aktualizovat vždy, když se nové řadiče domény nasadí do podsítě přiřazené lokalitě služby AD DS, kterou používá připojení azure NetApp Files AD. Ujistěte se, že záznamy DNS SRV pro lokalitu odrážejí všechny změny řadičů domény přiřazených k lokalitě služby AD DS používané službou Azure NetApp Files. Platnost záznamu prostředku DNS SRV můžete zkontrolovat pomocí nslookup nástroje.
Poznámka:
Azure NetApp Files nepodporuje použití řadičů domény jen pro čtení (RODC) služby AD DS. Pokud chcete službě Azure NetApp Files zabránit v používání řadiče domény jen pro čtení, nekonfigurujte pole Název webu SLUŽBY AD pro připojení AD pomocí řadiče domény jen pro čtení. Podporují se zapisovatelné řadiče domény a vyžadují se pro ověřování pomocí svazků Azure NetApp Files. Další informace najdete v tématu Koncepty replikace služby Active Directory.
Ukázková konfigurace topologie lokality AD DS pro Azure NetApp Files
Topologie lokality služby AD DS je logická reprezentace sítě, ve které je nasazená služba Azure NetApp Files. V této části má ukázkový scénář konfigurace topologie lokality služby AD DS v úmyslu zobrazit základní návrh webu SLUŽBY AD DS pro Azure NetApp Files. Není to jediný způsob, jak navrhnout topologii sítě nebo lokality AD pro Azure NetApp Files.
Důležité
V případě scénářů, které zahrnují komplexní topologie služby AD DS nebo komplexní síťové topologie, byste měli mít architekta cloudových řešení Microsoft Azure CSA, kteří si prošli návrh sítí Azure NetApp Files a webu AD.
Následující diagram znázorňuje ukázkovou topologii sítě:
V ukázkové síťové topologii se místní doménaanf.local SLUŽBY AD DS rozšíří do virtuální sítě Azure. Místní síť je připojená k virtuální síti Azure pomocí okruhu Azure ExpressRoute.
Virtuální síť Azure má čtyři podsítě: podsíť brány, podsíť Azure Bastion, podsíť AD DS a delegovanou podsíť služby Azure NetApp Files. Redundantní řadiče domény SLUŽBY AD DS připojené k anf.local doméně se nasadí do podsítě služby AD DS. Podsíť služby AD DS má přiřazený rozsah IP adres 10.0.0.0/24.
Azure NetApp Files může použít pouze jednu lokalitu služby AD DS k určení, které řadiče domény se použijí pro ověřování, dotazy LDAP a Protokol Kerberos. V ukázkovém scénáři se vytvoří a přiřadí dva objekty podsítě k lokalitě volané ANF pomocí nástroje Active Directory Sites and Services. Jeden objekt podsítě je mapován na podsíť SLUŽBY AD DS, 10.0.0.0/24 a druhý objekt podsítě je mapován na delegovanou podsíť ANF, 10.0.2.0/24.
V nástroji Lokality a služby Active Directory ověřte, že jsou řadiče domény služby AD DS nasazené do podsítě služby AD DS přiřazené k lokalitě ANF .
Pokud nejsou přiřazené, vytvořte objekt podsítě, který se mapuje na podsíť SLUŽBY AD DS ve virtuální síti Azure. Klikněte pravým tlačítkem myši na kontejner Podsítě v nástroji Lokality a služby Active Directory a vyberte Možnost Nová podsíť.... V dialogovém okně Nový objekt – Podsíť je do pole Předpona zadán rozsah IP adres 10.0.0.0/24 pro podsíť služby AD DS. Vyberte ANF jako objekt lokality pro podsíť. Vyberte OK a vytvořte objekt podsítě a přiřaďte ho k lokalitě ANF .
Chcete-li ověřit, že je nový objekt podsítě přiřazen ke správné lokalitě, klikněte pravým tlačítkem myši na objekt podsítě 10.0.0.0/24 a vyberte Vlastnosti. Pole Web by mělo zobrazit ANF objekt webu:
Pokud chcete vytvořit objekt podsítě, který se mapuje na delegovanou podsíť Azure NetApp Files ve virtuální síti Azure, klikněte pravým tlačítkem na kontejner Podsítě v nástroji Lokality a služby Active Directory a vyberte Možnost Nová podsíť....
Aspekty replikace mezi oblastmi
Replikace služby Azure NetApp Files mezi oblastmi umožňuje replikaci svazků Azure NetApp Files z jedné oblasti do jiné oblasti za účelem podpory požadavků na obchodní kontinuitu a zotavení po havárii (BC/DR).
Svazky KERBEROS azure NetApp Files, duální protokol a NFSv4.1 podporují replikaci mezi oblastmi. Replikace těchto svazků vyžaduje:
- Účet NetApp vytvořený ve zdrojové i cílové oblasti.
- Připojení Active Directory služby Azure NetApp Files v účtu NetApp vytvořeném ve zdrojových a cílových oblastech.
- Řadiče domény služby AD DS se nasazují a spouští v cílové oblasti.
- Aby bylo možné povolit dobrou síť Azure NetApp Files s řadiči domény AD DS v cílové oblasti, musí být v cílové oblasti nasazena správná síťová komunikace služby Azure NetApp Files s řadiči domény AD DS.
- Připojení služby Active Directory v cílové oblasti musí být nakonfigurované tak, aby používaly prostředky DNS a lokality SLUŽBY AD v cílové oblasti.