Informazioni sulle linee guida per la progettazione e la pianificazione del sito Active Directory Domain Services per Azure NetApp Files

La progettazione e la pianificazione di Active Directory Domain Services (AD DS) appropriate sono fondamentali per le architetture di soluzioni che usano volumi di Azure NetApp Files. Le funzionalità di Azure NetApp Files, ad esempio volumi SMB, volumi dual-protocol e volumi Kerberos NFSv4.1 sono concepite per l’uso con AD DS.

Questo articolo fornisce consigli per facilitare lo sviluppo di una strategia di distribuzione di Active Directory Domain Services per Azure NetApp Files. Prima di leggere questo articolo, è necessaria una buona conoscenza del funzionamento di Active Directory Domain Services a livello funzionale.

Identificare i requisiti di AD DS per Azure NetApp Files

Prima di distribuire volumi Azure NetApp Files, è necessario identificare i requisiti di integrazione di Active Directory Domain Services per Azure NetApp Files, per accertarsi che Azure NetApp Files sia connesso in maniera efficiente ad Active Directory Domain Services. L'integrazione non corretta o incompleta di Active Directory Domain Services con Azure NetApp Files può causare interruzioni dell'accesso client per volumi SMB, dual-protocol o Kerberos NFSv4.1.

Scenari di autenticazione supportati

Azure NetApp Files supporta l'autenticazione basata sull’identità tramite SMB con i metodi seguenti.

  • autenticazione di Active Directory Domain Services: i computer Windows aggiunti ad Active Directory Domain Services possono accedere alle condivisioni di Azure NetApp Files con credenziali di Active Directory tramite SMB. Il client deve avere una linea visiva per Active Directory Domain Services. Se Active Directory Domain Services è già configurato in locale o in una macchina virtuale in Azure in cui i dispositivi sono aggiunti a un dominio ad Active Directory Domain Services, usare Active Directory Domain Services per l'autenticazione della condivisione file di Azure NetApp Files.
  • Autenticazione di Microsoft Entra Domain Services: le macchine virtuali Windows aggiunte a Microsoft Entra Domain Services basate sul cloud possono accedere alle condivisioni file di Azure NetApp Files con le credenziali di Microsoft Entra Domain Services. In questa soluzione, Microsoft Entra Domain Services esegue un dominio di Windows Server AD tradizionale per conto del cliente.
  • Autenticazione di Kerberos AD per client Linux: i client Linux possono usare l'autenticazione di Kerberos tramite SMB per Azure NetApp Files usando Active Directory Domain Services.

Requisiti di rete

Per operazioni prevedibili di Active Directory Domain Services con volumi di Azure NetApp Files, una connettività di rete affidabile e a bassa latenza (con tempo di round trip [RTT] uguale o inferiore a 10 millisecondi [ms]) ai controller di dominio di Active Directory Domain Services è altamente consigliata. Una connettività di rete di scarsa qualità o una latenza di rete elevata tra Azure NetApp Files e i controller di dominio di Active Directory Domain Services può causare interruzioni dell'accesso client o timeout del client.

Nota

La raccomandazione di 10 ms è conforme alle linee guida in Creazione di un progetto di sito: scelta delle posizioni che diventeranno siti.

Accertarsi di soddisfare i requisiti seguenti relativi alla topologia di rete e alle configurazioni:

  • Accertarsi che venga usata una topologia di rete supportata per Azure NetApp Files.
  • Accertarsi che i controller di dominio di Active Directory Domain Services dispongano della connettività di rete dalla subnet delegata di Azure NetApp Files che ospita i volumi di Azure NetApp Files.
    • Le topologie di rete virtuale con peering con i controller di dominio di Active Directory Domain Services devono avere il peering configurato correttamente per supportare Azure NetApp Files per la connettività di rete del controller di dominio ad Active Directory Domain Services.
  • I gruppi di sicurezza di rete (NSG) e i firewall del controller di dominio di Active Directory Domain Services devono avere regole configurate in modo appropriato per supportare la connettività di Azure NetApp Files ad Active Directory Domain Services e DNS.
  • Per un'esperienza ottimale, assicurarsi che la latenza di rete tra Azure NetApp Files e i controller di dominio Active Directory Domain Services presenti un tempo di round trip uguale o inferiore a 10 ms. Un tempo di round trip superiore a 10 ms può causare una riduzione delle prestazioni dell'applicazione o dell'esperienza utente in applicazioni/ambienti sensibili alla latenza. Nel caso in cui il tempo di round trip sia troppo elevato per un'esperienza utente auspicabile, valutare la possibilità di distribuire controller di dominio di replica nell'ambiente Azure NetApp Files. Vedere anche Considerazioni su Active Directory Domain Services.

Per altre informazioni sui requisiti di Microsoft Active Directory per la latenza di rete su una rete WAN, vedere Creazione di un progetto di sito.

Le porte di rete richieste sono le seguenti:

Service Porti Protocolli
ICMPv4 (ping) N/D Echo Reply
DNS* 53 TCP, UDP
Kerberos 88 TCP, UDP
Servizio datagrammi NetBIOS 138 UDP
NetBIOS 139 UDP
LDAP** 389 TCP, UDP
Security Account Manager (SAM)/Autorità di protezione locale/SMB 445 TCP, UDP
Kerberos (kpasswd) 464 TCP, UDP
Active Directory Global Catalog 3268 TCP
Active Directory Secure Global Catalog 3269 TCP
Active Directory Web Service 9389 TCP

* Solo Active Directory DNS

** LDAP su SSL (porta 636) attualmente non è supportato. Usare, invece, LDAP su StartTLS (porta 389) per crittografare il traffico LDAP.

Per informazioni su DNS, vedere Informazioni sui DNS in Azure NetApp Files.

Requisiti dell’origine dell’orario

Azure NetApp Files usa time.windows.com come origine dell'orario. Accertarsi che i controller di dominio usati da Azure NetApp Files siano configurati per l'uso di time.windows.com o un'altra origine dell’orario stabile e accurata (strato 1). Se l’asimmetria tra Azure NetApp Files e il client o i controller di dominio AS DS è superiore a cinque minuti, l'autenticazione non riuscirà e anche l'accesso ai volumi di Azure NetApp Files potrebbe non riuscire.

Decidere quale Active Directory Domain Services usare con Azure NetApp Files

Azure NetApp Files supporta sia Active Directory Domain Services (ADDS) che Microsoft Entra Domain Services per le connessioni AD. Prima di creare una connessione AD, è necessario decidere se usare Active Directory Domain Services o Microsoft Entra Domain Services.

Per altre informazioni, vedere Confrontare Active Directory Domain Services autogestito, Microsoft Entra ID e Microsoft Entra Services gestito.

Considerazioni su Active Directory Domain Services

Usare Active Directory Domain Services (AD DS) negli scenari seguenti:

  • Gli utenti di Active Directory Domain Services sono ospitati in un dominio di Active Directory Domain Services locale che deve accedere alle risorse di Azure NetApp Files.
  • Esistono applicazioni ospitate parzialmente in locale e parzialmente in Azure che richiedono l'accesso alle risorse di Azure NetApp Files.
  • Non è necessaria l'integrazione di Microsoft Entra Domain Services con un tenant Microsoft Entra nella sottoscrizione oppure Microsoft Entra Domain Services non è compatibile con i requisiti tecnici.

Nota

Azure NetApp Files non supporta l'uso di controller di dominio di sola lettura (RODC) di Active Directory Domain Services. I controller di dominio scrivibili sono supportati e sono necessari per l'autenticazione con i volumi di Azure NetApp Files. Per altre informazioni, vedere Concetti relativi alla replica di Active Directory.

Se si sceglie di usare Active Directory Domain Services con Azure NetApp Files, seguire le indicazioni riportate in Estendere Active Directory Domain Services nella Guida all'architettura di Azure e accertarsi di soddisfare i requisiti di rete e DNS di Azure NetApp Files per Active Directory Domain Services.

Considerazioni su Microsoft Entra Domain Services

Microsoft Entra Domain Services è un dominio di Active Directory Domain Services gestito che è sincronizzato con il tenant Microsoft Entra. I principali vantaggi dell'uso di Microsoft Entra Domain Services sono i seguenti:

  • Microsoft Entra Domain Services è un dominio autonomo. Di conseguenza, non è necessario configurare la connettività di rete tra l'ambiente locale e Azure.
  • Facilita l’esperienza di distribuzione e gestione.

Usare Microsoft Entra Domain Services negli scenari seguenti:

  • Non è necessario estendere Active Directory Domain Services dall'ambiente locale ad Azure per fornire l'accesso alle risorse di Azure NetApp Files.
  • I criteri di sicurezza non consentono l'estensione di Active Directory Domain Services locale in Azure.
  • Non si dispone di una conoscenza approfondita di Active Directory Domain Services. Microsoft Entra Domain Services può migliorare la probabilità di risultati positivi con Azure NetApp Files.

Se si sceglie di usare Microsoft Entra Domain Services con Azure NetApp Files, vedere la documentazione di Microsoft Entra Domain Services per indicazioni relative all’architettura, alla distribuzione e alla gestione. Accertarsi, inoltre, di soddisfare i requisiti di rete e DNS di Azure NetApp Files.

Progettare la topologia del sito di Active Directory Domain Services per l'uso con Azure NetApp Files

Una progettazione appropriata per la topologia del sito di Active Directory Domain Services è fondamentale per qualunque architettura di soluzione che coinvolga volumi Kerberos NFSv4.1, dual-protocol o SMB di Azure NetApp Files.

Una topologia o una configurazione non corretta del sito di Active Directory Domain Services può causare i comportamenti seguenti:

Una topologia del sito di Active Directory Domain Services per Azure NetApp Files è una rappresentazione logica della rete di Azure NetApp Files. La progettazione di una topologia del sito di Active Directory Domain Services per Azure NetApp Files implica la pianificazione del posizionamento del controller di dominio, la progettazione di siti, l'infrastruttura DNS e le subnet di rete per garantire una connettività efficiente tra il servizio Azure NetApp Files, i client di archiviazione di Azure NetApp Files e i controller di dominio di Active Directory Domain Services.

Oltre a più controller di dominio assegnati al sito di Active Directory Domain Services configurato nel nome del sito AD di Azure NetApp Files, il sito di Active Directory Domain Services di Azure NetApp Files può avere una o più subnet assegnate.

Nota

È essenziale che tutti i controller di dominio e le subnet assegnati al sito di Active Directory Domain Services di Azure NetApp Files siano connessi in maniera efficiente (latenza RTT inferiore a 10 ms) e raggiungibili dalle interfacce di rete usate dai volumi di Azure NetApp Files.

Se si usano funzionalità di rete standard, accertarsi che tutti i percorsi definiti dall'utente (UDR) o le regole del gruppo di sicurezza di rete (NSG) non blocchino le comunicazioni di rete di Azure NetApp Files con i controller di dominio di Active Directory Domain Services assegnati al sito di Active Directory Domain Services di Azure NetApp Files.

Se si usano appliance virtuali di rete o firewall (ad esempio Palo Alto Networks o firewall Fortinet), è necessario configurarle per non bloccare il traffico di rete tra Azure NetApp Files e i controller di dominio di Active Directory Domain Services e le subnet assegnate al sito di Active Directory Domain Services di Azure NetApp Files.

Come vengono usate le informazioni sul sito di Active Directory Domain Services da Azure NetApp Files

Azure NetApp Files usa il nome sito AD configurato nelle connessioni di Active Directory per individuare quali controller di dominio sono presenti per supportare l'autenticazione, l'aggiunta a un dominio, le query LDAP e le operazioni ticket di Kerberos.

Individuazione dei controller di dominio di Active Directory Domain Services

Azure NetApp Files avvia l'individuazione del controller di dominio ogni quattro ore. Azure NetApp Files esegue una query sul record della risorsa del servizio DNS (SRV) specifico del sito per determinare quali controller di dominio si trovano nel sito di Active Directory Domain Services specificato nel campo Nome sito di Active Directory della connessione Active Directory di Azure NetApp Files. L'individuazione del server del controller di dominio di Azure NetApp Files controlla lo stato dei servizi ospitati nei controller di dominio (ad esempio Kerberos, LDAP, Accesso rete e LSA) e seleziona il controller di dominio ottimale per le richieste di autenticazione.

I record di risorse del servizio DNS (SRV) per il sito di Active Directory Domain Services specificato nel campo Nome sito di Active Directory della connessione Active Directory di Azure NetApp Files devono contenere l'elenco di indirizzi IP per i controller di dominio di Active Directory Domain Services che verranno usati da Azure NetApp Files. È possibile controllare la validità del record di risorse DNS (SRV) usando l'utilità nslookup.

Nota

Se si apportano modifiche ai controller di dominio nel sito di Active Directory Domain Services usato da Azure NetApp Files, attendere almeno quattro ore tra la distribuzione di nuovi controller di dominio di Active Directory Domain Services e il ritiro dei controller di dominio Active Directory Domain Services esistenti. Questo tempo di attesa consente ad Azure NetApp Files di individuare i nuovi controller di dominio di Active Directory Domain Services.

Accertarsi che i record DNS non aggiornati associati al controller di dominio Active Directory Domain Services ritirato vengano rimossi dal DNS. In questo modo, si garantisce che Azure NetApp Files non tenti di comunicare con il controller di dominio ritirato.

Individuazione del server LDAP AD DS

Un processo di individuazione separato per i server LDAP di Active Directory Domain Services si verifica quando LDAP è abilitato per un volume NFS di Azure NetApp Files. Quando il client LDAP viene creato in Azure NetApp Files, Azure NetApp Files esegue una query sul record SRV di Active Directory Domain Services per un elenco di tutti i server LDAP di Active Directory Domain Services nel dominio e non i server LDAP di Active Directory Domain Services assegnati al sito di Active Directory Domain Services specificato nella connessione Active Directory.

In topologie di Active Directory Domain Services complesse o di grandi dimensioni, potrebbe essere necessario implementare criteri DNS o definire le priorità della subnet DNS per accertarsi che vengano restituiti i server LDAP di Active Directory Domain Services assegnati al sito di Active Directory Domain Services specificato nella connessione AD.

In alternativa, è possibile eseguire l'override del processo di individuazione del server LDAP di Active Directory Domain Services specificando fino a due server AD preferiti per il client LDAP.

Importante

Se Azure NetApp Files non riesce a raggiungere un server LDAP di Active Directory Domain Services individuato durante la creazione del client LDAP di Azure NetApp Files, la creazione del volume abilitato LDAP non riuscirà.

Conseguenze di una configurazione non corretta o incompleta del nome sito AD

Una topologia o una configurazione non corretta o incompleta del sito di Active Directory Domain Services può causare errori nella creazione di volumi, problemi con query client, errori di autenticazione ed errori nella modifica delle connessioni AD di Azure NetApp Files.

Importante

Il campo Nome sito AD è necessario per creare una connessione AD ad Azure NetApp Files. Il sito di Active Directory Domain Services definito deve esistere e deve essere configurato correttamente.

Azure NetApp Files usa il sito di Active Directory Domain Services per individuare i controller di dominio e le subnet assegnati al sito di Active Directory Domain Services definito nel nome sito AD. Tutti i controller di dominio assegnati al sito di Active Directory Domain Services devono avere una connettività di rete efficiente dalle interfacce di rete virtuale di Azure usate da ANF e devono essere raggiungibili. Le macchine virtuali del controller di dominio di Active Directory Domain Services assegnate al sito di Active Directory Domain Services usate da Azure NetApp Files devono essere escluse dai criteri di gestione dei costi che arrestano le macchine virtuali.

Se Azure NetApp Files non è in grado di raggiungere i controller di dominio assegnati al sito di Active Directory Domain Services, il processo di individuazione del controller di dominio eseguirà una query per il dominio di Active Directory Domain Services per un elenco di tutti i controller di dominio. L'elenco dei controller di dominio restituiti da questa query è un elenco non ordinato. Di conseguenza, Azure NetApp Files può provare a usare controller di dominio che non sono raggiungibili o connessi efficacemente che possono causare errori di creazione dei volumi, problemi con query client, errori di autenticazione ed errori nella modifica delle connessioni AD di Azure NetApp Files.

È necessario aggiornare la configurazione del sito di Active Directory Domain Services ogni volta che vengono distribuiti nuovi controller di dominio in una subnet assegnata al sito di Active Directory Domain Services usato dalla connessione AD di Azure NetApp Files. Accertarsi che i record SRV DNS per il sito riflettano le modifiche apportate ai controller di dominio assegnati al sito di Active Directory Domain Services usato da Azure NetApp Files. È possibile controllare la validità del record di risorse SRV del DNS usando l'utilità nslookup.

Nota

Azure NetApp Files non supporta l'uso di controller di dominio di sola lettura (RODC) di Active Directory Domain Services. Per impedire ad Azure NetApp Files di usare un controller di dominio di sola lettura (RODC), non configurare il campo Nome sito AD delle connessioni AD con un controller di dominio di sola lettura. I controller di dominio scrivibili sono supportati e sono necessari per l'autenticazione con i volumi di Azure NetApp Files. Per altre informazioni, vedere Concetti relativi alla replica di Active Directory.

Configurazione della topologia del sito di Active Directory Domain Services di esempio per Azure NetApp Files

Una topologia del sito di Active Directory Domain Services è una rappresentazione logica della rete in cui è distribuito Azure NetApp Files. In questa sezione, lo scenario di configurazione di esempio per la topologia del sito di Active Directory Domain Services intende mostrare il progetto di un sito di Active Directory Domain Services base per Azure NetApp Files. Non è l'unico modo per progettare la topologia della rete o del sito AD per Azure NetApp Files.

Importante

Per gli scenari che implicano topologie di rete o di Active Directory Domain Services complesse, è necessario un CSA (Certified Software Advisor) architetto di soluzioni cloud di Microsoft Azure per esaminare il progetto del sito Active Directory e la rete di Azure NetApp Files.

Il diagramma seguente illustra una topologia di rete di esempio:

Diagramma che illustra una topologia di rete.

Nella topologia di rete di esempio, un dominio di Active Directory Domain Services locale (anf.local) viene esteso in una rete virtuale di Azure. La rete locale è connessa alla rete virtuale di Azure usando un circuito Azure ExpressRoute.

La rete virtuale di Azure include quattro subnet: subnet del gateway, subnet di Azure Bastion, subnet di Active Directory Domain Services e una subnet delegata di Azure NetApp Files. I controller di dominio Active Directory Domain Services ridondanti aggiunti al dominio anf.local vengono distribuiti nella subnet di Active Directory Domain Services. Alla subnet di Active Directory Domain Services è assegnato l'intervallo di indirizzi IP 10.0.0.0/24.

Azure NetApp Files può usare un solo sito di Active Directory Domain Services per determinare quali controller di dominio verranno usati per l'autenticazione, le query LDAP e Kerberos. Nello scenario di esempio, due oggetti subnet vengono creati e assegnati a un sito denominato ANF usando l'utilità Siti e servizi di Active Directory. Un oggetto subnet viene mappato alla subnet di Active Directory Domain Services, 10.0.0.0/24, l'altro oggetto subnet viene mappato alla subnet delegata ANF, 10.0.2.0/24.

Nello strumento Siti e servizi di Active Directory, accertarsi che i controller di dominio di Active Directory Domain Services distribuiti nella subnet di Active Directory Domain Services siano assegnati al sito ANF.

Screenshot della finestra Siti e servizi di Active Directory con una casella rossa che richiama l'attenzione sul sito appena creato.

Se non sono assegnati, creare l'oggetto subnet mappato alla subnet di Active Directory Domain Services nella rete virtuale di Azure. Fare clic con il pulsante destro del mouse sul contenitore Subnet nell'utilità Siti e servizi di Active Directory e selezionare Nuova subnet. Nella finestra di dialogo Nuovo oggetto - Subnet, l'intervallo di indirizzi IP 10.0.0.0/24 per la subnet di Active Directory Domain Services viene immesso nel campo Prefisso. Selezionare ANF come oggetto sito per la subnet. Selezionare OK per creare l'oggetto subnet e assegnarlo al sito ANF.

Screenshot della finestra Nuovo oggetto - Subnet.

Per accertarsi che il nuovo oggetto subnet sia assegnato al sito corretto, fare clic con il pulsante destro del mouse sull'oggetto subnet 10.0.0.0/24 e selezionare Proprietà. Il campo Sito deve mostrare l'oggetto sito ANF:

Screenshot della finestra delle proprietà della subnet con una casella rossa che circonda il campo del sito che indica

Per creare l'oggetto subnet mappato alla subnet delegata di Azure NetApp Files nella rete virtuale di Azure, fare clic con il pulsante destro del mouse sul contenitore Subnet nell’utilità Active Directory Sites and Services e selezionare Nuova subnet....

Considerazioni sulla replica tra aree

La replica tra aree di Azure NetApp Files consente di replicare volumi di Azure NetApp Files da un'area a un'altra per supportare i requisiti di continuità aziendale e ripristino di emergenza (BC/DR).

I volumi SMB, dual-protocol e Kerberos NFSv4.1 di Azure NetApp Files supportano la replica tra aree. La replica di questi volumi richiede:

  • Un account NetApp creato nelle aree di origine e di destinazione.
  • Connessione di Active Directory di Azure NetApp Files nell'account NetApp creato nelle aree di origine e di destinazione.
  • I controller di dominio di Active Directory Domain Services vengono distribuiti ed eseguiti nell'area di destinazione.
  • Per consentire una comunicazione di rete efficiente di Azure NetApp Files con i controller di dominio di Active Directory Domain Services nell'area di destinazione, è necessario distribuire un progetto corretto del sito di Active Directory Domain Services, DNS e della rete di Azure NetApp Files.
  • La connessione Active Directory nell'area di destinazione deve essere configurata per l'uso delle risorse del sito AD e DNS nell'area di destinazione.

Passaggi successivi