Omówienie systemów nazw domen w usłudze Azure NetApp Files
Usługa Systemów nazw domen (DNS) jest krytycznym składnikiem dostępu do danych w usłudze Azure NetApp Files podczas korzystania z protokołów plików korzystających z protokołu Kerberos do uwierzytelniania (w tym protokołu SMB i NFSv4.1). Zarówno nazwa hosta upraszcza dostęp do woluminu, jak i chroni przed scenariuszami, gdy zmienia się adres IP; zamiast informować użytkowników o nowym adresie IP, mogą nadal używać nazwy hosta.
Domyślnie uwierzytelnianie Kerberos wykorzystuje rozpoznawanie nazw do adresu IP w celu sformułowania głównej nazwy usługi (SPN) używanej do pobierania biletu Protokołu Kerberos. Na przykład gdy dostęp do udziału SMB jest uzyskiwany za pomocą ścieżki UNC (Universal Naming Convention), takiej jak \SMB.CONTOSO.COM, żądanie DNS jest wystawiane dla SMB.CONTOSO.COM, a adres IP woluminu usługi Azure NetApp Files jest pobierany. Jeśli nie ma wpisu DNS (lub obecny wpis różni się od żądanych elementów, takich jak aliasy/CNAMEs), nie można pobrać odpowiedniej nazwy SPN, a żądanie Kerberos kończy się niepowodzeniem. W związku z tym dostęp do woluminu może być niedozwolony, jeśli metoda uwierzytelniania rezerwowego (np . New Technology LAN Manager) jest wyłączona.
Protokół Kerberos NFS 4.1 działa w podobny sposób w przypadku pobierania nazwy SPN, gdzie wyszukiwania DNS są integralną częścią procesu uwierzytelniania i mogą być również używane do odnajdywania obszaru Kerberos.
Usługa Azure NetApp Files obsługuje korzystanie z zintegrowanych serwerów DNS usługi Active Directory lub autonomicznych serwerów DNS i wymaga niezawodnego dostępu do usług systemu nazw domen (DNS) i aktualnych rekordów DNS. Niska łączność sieciowa między usługą Azure NetApp Files i serwerami DNS może spowodować przerwy w dostępie klienta lub przekroczenia limitu czasu klienta. Niekompletne lub nieprawidłowe rekordy DNS dla usług AD DS lub Azure NetApp Files mogą powodować przerwy w dostępie klienta lub przekroczenia limitu czasu klienta.
Adresy IP na potrzeby dostępu przy użyciu protokołu Kerberos
Jeśli adres IP jest używany w żądaniu dostępu do woluminu usługi Azure NetApp Files, żądanie Protokołu Kerberos będzie działać inaczej w zależności od używanego protokołu.
SMB
W przypadku korzystania z protokołu SMB żądanie UNC przy użyciu \x.x.x.x.x domyślnie próbuje użyć protokołu NTLM do uwierzytelniania. W środowiskach, w których protokół NTLM jest niedozwolony ze względów bezpieczeństwa, żądanie SMB używające adresu IP nie może domyślnie używać protokołu Kerberos ani NTLM do uwierzytelniania. W związku z tym odmowa dostępu do woluminu usługi Azure NetApp Files. W nowszych wersjach systemu Windows (począwszy od systemów Windows 10 w wersji 1507 i Windows Server 2016) klienci Protokołu Kerberos mogą być skonfigurowani do obsługi nazw hostów IPv4 i IPv6 w nazwach SPN na potrzeby komunikacji SMB.
NFSv4.1
W przypadku korzystania z systemu plików NFSv4.1 żądanie instalacji do adresu IP przy użyciu jednej z sec=[krb5/krb5i/krb5p] opcji używa wyszukiwania wstecznego DNS za pośrednictwem rekordu wskaźnika (PTR) w celu rozpoznania adresu IP do nazwy hosta, która jest następnie używana do sformułowania nazwy SPN na potrzeby pobierania biletu. Jeśli używasz systemu plików NFSv4.1 z protokołem Kerberos, musisz mieć wolumin A/AAAA i PTR dla woluminu usługi Azure NetApp Files w celu pokrycia zarówno nazwy hosta, jak i adresu IP dostępu do instalacji.
Wpisy DNS w usłudze Azure NetApp Files
Woluminy usługi Azure NetApp Files obsługują dynamiczne aktualizacje DNS, jeśli serwer DNS obsługuje dynamiczny system DNS. W przypadku dynamicznego systemu DNS woluminy utworzone przy użyciu nazw hostów automatycznie powiadamiają serwer DNS o utworzeniu rekordu A/AAAA. Jeśli istnieje strefa wyszukiwania wstecznego, usługa DNS tworzy również rekord PTR. Jeśli strefa wyszukiwania wstecznego nie istnieje, rekord PTR nie jest tworzony automatycznie, co oznacza, że należy utworzyć go ręcznie.
Nazwy hostów (a nie adresy IP) są używane do ścieżek instalacji woluminów w określonych konfiguracjach, które wymagają systemu DNS dla odpowiedniej funkcjonalności:
- Woluminy SMB
- NFSv4.1 Kerberos
- Woluminy używające dwóch protokołów
Adres IP jest używany, gdy wolumin usługi Azure NetApp File nie wymaga systemu DNS — takiego jak NFSv3 lub NFSv4.1 bez protokołu Kerberos. W takich przypadkach można ręcznie utworzyć wpis DNS, jeśli chcesz.
Jeśli wpis DNS utworzony przez dynamiczny system DNS zostanie usunięty na serwerze DNS, zostanie utworzony ponownie w ciągu 24 godzin przez nową dynamiczną aktualizację DNS z usługi Azure NetApp Files.
Gdy usługa Azure NetApp Files tworzy rekord A/AAAA DNS za pośrednictwem dynamicznego systemu DNS, używane są następujące konfiguracje:
- Skojarzone pole rekordu PTR jest zaznaczone: jeśli istnieją strefy wyszukiwania wstecznego dla podsieci, rekordy A/AAAAA automatycznie tworzą rekordy PTR bez interwencji administratora.
- Pole "Usuń ten rekord, gdy stanie się nieaktualne" jest zaznaczone. Gdy rekord DNS stanie się "nieaktualny", dns usuwa rekord, pod warunkiem, że oczyszczanie dla systemu DNS zostało włączone.
- Rekord DNS "czas wygaśnięcia (TTL)" jest ustawiony na jeden dzień (24 godziny). Ustawienie czasu wygaśnięcia można zmodyfikować przez administratora DNS zgodnie z potrzebami. Czas wygaśnięcia w rekordzie DNS określa czas, przez jaki wpis DNS istnieje w pamięci podręcznej DNS klienta.
Uwaga
Aby wyświetlić znaczniki czasu utworzenia rekordu DNS w systemie Windows Active Directory DNS, przejdź do menu Widok Menedżera DNS, a następnie wybierz pozycję Zaawansowane.
Oczyszczanie/oczyszczanie rekordów DNS
Większość serwerów DNS udostępnia metody oczyszczania/scavenge wygasłych rekordów. Oczyszczanie pomaga zapobiegać nieaktywnym rekordom zaśmiecania serwerów DNS i tworzenia scenariuszy, w których istnieją zduplikowane rekordy A/AAAA i/lub PTR, co może powodować nieprzewidywalne wyniki dla woluminów usługi Azure NetApp Files.
Jeśli wiele rekordów PTR dla tego samego punktu adresu IP do różnych nazw hostów, żądania Protokołu Kerberos mogą zakończyć się niepowodzeniem, ponieważ niepoprawna nazwa SPN jest pobierana podczas wyszukiwania DNS. System DNS nie rozpoznaje, który rekord PTR należy do której nazwy hosta; Zamiast tego wyszukiwanie wsteczne wykonuje wyszukiwanie okrężne za pośrednictwem każdego rekordu A/AAAAA dla każdego nowego wyszukiwania. Na przykład:
C:\> nslookup x.x.x.x
Server: contoso.com
Address: x.x.x.x
Name: ANF-1234.contoso.com
Address: x.x.x.x
C:\> nslookup x.x.x.x
Server: contoso.com
Address: x.x.x.x
Name: ANF-5678.contoso.com
Address: x.x.x.x
Aliasy DNS i rekordy nazwy kanonicznej (CNAME)
Usługa Azure NetApp Files tworzy nazwę hosta DNS dla woluminu, który został skonfigurowany dla protokołu, który wymaga systemu DNS dla odpowiednich funkcji, takich jak SMB, podwójny protokół lub NFSv4.1 z protokołem Kerberos. Utworzona nazwa używa formatu serwera SMB (konta komputera) jako prefiksu podczas tworzenia połączenia usługi Active Directory dla konta usługi NetApp; Dodano dodatkowe znaki alfanumeryczne, aby wiele wpisów woluminu na tym samym koncie usługi NetApp miało unikatowe nazwy. W większości przypadków wiele woluminów, które wymagają nazw hostów i istnieją na tym samym koncie usługi NetApp, próbuje użyć tych samych nazw hostów/adresów IP. Jeśli na przykład nazwa serwera SMB jest SMB-West.contoso.com, wpisy nazwy hosta są zgodne z formatem SMB-West-XXXX.contoso.com.
W niektórych przypadkach nazwa używana przez usługę Azure NetApp Files może nie być wystarczająco przyjazna dla użytkowników końcowych, a administratorzy mogą chcieć zachować bardziej znane nazwy DNS używane podczas migracji danych z magazynu lokalnego do usługi Azure NetApp Files (tj. jeśli oryginalna nazwa DNS została datalake.contoso.com, użytkownicy końcowi mogą nadal używać tej nazwy).
Usługa Azure NetApp Files nie zezwala natywnie na specyfikację używanych nazw hostów DNS. Jeśli potrzebujesz alternatywnej nazwy DNS z tą samą funkcjonalnością, należy użyć aliasu DNS/nazwy kanonicznej (CNAME).
Użycie rekordu CNAME (zamiast dodatkowego rekordu A/AAAA), który wskazuje rekord A/AAAA woluminu usługi Azure NetApp Files, korzysta z tej samej nazwy SPN co serwer SMB, aby umożliwić dostęp kerberos zarówno dla rekordu A/AAAA, jak i rekordu CNAME. Rozważmy przykład rekordU A/AAAA SMB-West-XXXX.contoso.com. Rekord CNAME datalake.contoso.com jest skonfigurowany tak, aby wskazywał z powrotem na rekord A/AAAA SMB-West-XXXX.contoso.com. Żądania protokołu Kerberos protokołu Kerberos protokołu SMB lub NFS wysyłane do datalake.contoso.com użyj nazwy SPN protokołu Kerberos dla protokołu SMB-West-XXXX, aby zapewnić dostęp do woluminu.
Najlepsze rozwiązania dotyczące systemu DNS w usłudze Azure NetApp Files
Upewnij się, że spełnisz następujące wymagania dotyczące konfiguracji DNS:
- Jeśli używasz autonomicznych serwerów DNS:
- Upewnij się, że serwery DNS mają łączność sieciową z deleganą podsiecią usługi Azure NetApp Files hostujących woluminy usługi Azure NetApp Files.
- Upewnij się, że porty sieciowe UDP 53 i TCP 53 nie są blokowane przez zapory ani sieciowe grupy zabezpieczeń.
- Upewnij się, że rekordy SRV zarejestrowane przez usługę logowania net usług AD DS zostały utworzone na serwerach DNS.
- Upewnij się, że rekordy PTR dla kontrolerów domeny usług AD DS używanych przez usługę Azure NetApp Files zostały utworzone na serwerach DNS w tej samej domenie co konfiguracja usługi Azure NetApp Files.
- Usługa Azure NetApp Files obsługuje standardowe i bezpieczne dynamiczne aktualizacje DNS. Jeśli potrzebujesz bezpiecznych dynamicznych aktualizacji DNS, upewnij się, że bezpieczne aktualizacje są skonfigurowane na serwerach DNS.
- Jeśli nie używasz dynamicznych aktualizacji DNS, musisz ręcznie utworzyć rekord A i rekord PTR dla kont komputerów usług AD DS utworzonych w jednostce organizacyjnej usług AD DS (określonych w połączeniu usługi Azure NetApp Files AD) w celu obsługi podpisywania LDAP usługi Azure NetApp Files, LDAP za pośrednictwem protokołu TLS, SMB, podwójnego protokołu lub woluminów Kerberos NFSv4.1.
- W przypadku złożonych lub dużych topologii usług AD DS priorytetyzacja zasad DNS lub podsieci DNS może być wymagana do obsługi woluminów NFS z włączoną obsługą protokołu LDAP.
- Jeśli funkcja oczyszczania DNS jest włączona (gdzie nieaktualne wpisy DNS są automatycznie czyszczone na podstawie sygnatury czasowej/wieku), a dynamiczny system DNS został użyty do utworzenia rekordów DNS dla woluminu usługi Azure NetApp Files, proces scavenger może przypadkowo oczyścić rekordy dla woluminu. To oczyszczanie może prowadzić do awarii usługi dla zapytań opartych na nazwach. Dopóki ten problem nie zostanie rozwiązany, należy ręcznie utworzyć wpisy DNS A/AAAA i PTR dla woluminu usługi Azure NetApp Files, jeśli jest włączone oczyszczanie DNS.