Criar e gerenciar conexões de Active Directory para Azure NetApp Files
Vários recursos do Azure NetApp Files exigem que você tenha uma conexão de Active Directory. Por exemplo, você precisa ter uma conexão de Active Directory para criar um volume SMB, um volume Kerberos NFSv4.1 ou um volume de protocolo duplo. Este artigo mostra como criar e gerenciar conexões de Active Directory para Azure NetApp Files.
Requisitos e considerações para conexões do Active Directory
Importante
Você deve seguir as diretrizes descritas em Entenda as diretrizes para o design e planejamento do site do Active Directory Domain Services para o Azure NetApp Files para o AD DS (Active Directory Domain Services) ou o Microsoft Entra Domain Services usado com o Azure NetApp Files.
Antes de criar a conexão com o AD, examine Modificar conexões do Active Directory para o Azure NetApp Files para entender o impacto de fazer alterações nas opções de configuração da conexão do AD após a criação da conexão do AD. As alterações nas opções de configuração de conexão do AD prejudicam o acesso ao cliente e algumas opções não podem ser alteradas.
Uma conta Azure NetApp Files precisa ser criada na região em que se pretende implantar os volumes de Azure NetApp Files.
Por padrão, o Azure NetApp Files permite apenas uma conexão do AD (Active Directory) por assinatura.
Você pode criar uma conexão do Active Directory por conta do NetApp.
Antes de se registrar nesse recurso, verifique o campo tipo do Active Directory na página da conta.
A conta de administrador de conexão do AD para Azure NetApp Files deve ter as seguintes propriedades:
- Deve ser uma conta de usuário de domínio do AD DS no mesmo domínio em que as contas de computador do Azure NetApp Files são criadas.
- Deve ter permissão para criar contas de computador (por exemplo, ingresso no domínio do AD) no caminho da unidade organizacional do AD DS especificado na opção Caminho da unidade organizacional da conexão do AD.
- Não pode ser uma Conta de Serviço Gerenciado de Grupo.
A conta de administrador de conexão do AD dá suporte aos tipos de criptografia Kerberos AES-128 e Kerberos AES-256 para autenticação com o AD DS para criação de conta de computador do Azure NetApp Files (por exemplo, operações de ingresso no domínio do AD).
Para habilitar a criptografia AES na conta de administrador da conexão do AD para Azure NetApp Files, você deve usar uma conta de usuário de domínio do AD que seja membro de um dos seguintes grupos do AD DS:
- Administradores do domínio
- Administrador corporativo
- Administradores
- Opers. de contas
- Administradores do Microsoft Entra Domain Services _ (Somente Microsoft Entra Domain Services)_
- Como alternativa, uma conta de usuário de domínio do AD com permissão de gravação
msDS-SupportedEncryptionTypes
na conta de administrador de conexão do AD também pode ser usada para definir a propriedade de tipo de criptografia Kerberos na conta de administrador de conexão do AD.
Observação
Ao modificar a configuração para habilitar o AES na conta de administrador da conexão do AD, é uma melhor prática usar uma conta de usuário que tenha permissão de gravação no objeto do AD que não seja o administrador do AD do Azure NetApp Files. Você pode fazer isso com outra conta de administrador de domínio ou delegando o controle a uma conta. Para obter mais informações, confira Delegar administração usando objetos de UO.
Se você definir a criptografia Kerberos AES-128 e AES-256 na conta de administrador da conexão do AD, o cliente do Windows negocia o nível mais alto de criptografia compatível com o AD DS. Por exemplo, se o AES-128 e o AES-256 ambos forem compatíveis e o cliente der suporte ao AES-256, o AES-256 será usado.
Para habilitar o suporte de criptografia AES para a conta de administrador na conexão do AD, execute os seguintes comandos do PowerShell do Active Directory:
Get-ADUser -Identity <ANF AD connection account username> Set-ADUser -KerberosEncryptionType <encryption_type>
KerberosEncryptionType
é um parâmetro de múltiplos valores que dá suporte aos valores AES-128 e AES-256.Para saber mais, veja a documentação do Set-ADUser.
Se você tiver um requisito para habilitar e desabilitar determinados tipos de criptografia Kerberos para contas de computador do Active Directory para hosts do Windows ingressados no domínio usados com o Azure NetApp Files, use o Política de Grupo
Network Security: Configure Encryption types allowed for Kerberos
.Não defina a chave do Registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
. Isso interromperá a autenticação Kerberos com o Azure NetApp Files para o host do Windows em que essa chave do Registro foi definida manualmente.Observação
A configuração de política padrão para
Network Security: Configure Encryption types allowed for Kerberos
éNot Defined
. Quando essa configuração de política for definida comoNot Defined
, todos os tipos de criptografia, exceto DES, estarão disponíveis para criptografia Kerberos. Você tem a opção de habilitar o suporte apenas para determinados tipos de criptografia Kerberos (por exemplo,AES128_HMAC_SHA1
ouAES256_HMAC_SHA1
). No entanto, a política padrão deve ser suficiente na maioria dos casos ao habilitar o suporte à criptografia AES com o Azure NetApp Files.Para obter mais informações, veja Segurança de rede: configurar tipos de criptografia permitidos para Kerberos ou Configurações do Windows para tipos de criptografia com suporte do Kerberos
As consultas LDAP só têm efeito no domínio especificado nas conexões do Active Directory (o campo Nome de domínio do AD DNS). Esse comportamento se aplica a volumes NFS, SMB e protocolo duplo.
Tempos limite de consulta LDAP
Por padrão, as consultas LDAP passam do tempo limite se não puderem ser concluídas em tempo hábil. Se uma consulta LDAP falhar devido a um tempo limite, a pesquisa de usuário e/ou grupo falhará e o acesso ao volume do Azure NetApp Files poderá ser negado, dependendo das configurações de permissão do volume.
Os tempos limite de consulta podem ocorrer em ambientes LDAP grandes com muitos objetos de usuário e grupo, em conexões WAN lentas e se um servidor LDAP for superutilizado com solicitações. A configuração de tempo limite do Azure NetApp Files para consultas LDAP é definida como 10 segundos. Considere aproveitar os recursos de DN de usuário e grupo na conexão do Active Directory para o servidor LDAP para filtrar as pesquisas se estiver enfrentando problemas de tempo limite de consulta LDAP.
Contas do NetApp e tipo do Active Directory
Você pode usar a página de visão geral da conta do NetApp para confirmar o tipo de conta do Active Directory. Há três valores para o tipo do AD:
- NA: conta existente do NetApp que dá suporte a apenas uma configuração do AD por assinatura e região. A configuração do AD não é compartilhada com outras contas do NetApp na assinatura.
- Multi AD: a conta do NetApp dá suporte a uma configuração do AD em cada conta do NetApp na assinatura. Isso permite mais de uma conexão do AD por assinatura ao usar várias contas do NetApp.
- AD Compartilhado: a conta do NetApp dá suporte a apenas uma configuração do AD por assinatura e região, mas a configuração é compartilhada entre contas do NetApp na assinatura e região.
Para obter mais informações sobre a relação entre contas e assinaturas do NetApp, consulte Hierarquia de armazenamento do Azure NetApp Files.
Criar uma conexão do Active Directory
Em sua conta do NetApp, selecione Conexões do Active Directory e Ingressar.
Observação
O Azure NetApp Files dá suporte a apenas uma conexão de Active Directory na mesma região e na mesma assinatura.
Na janela Ingressar no Active Directory, forneça as seguintes informações com base nos serviços de domínio que você deseja usar:
DNS primário (obrigatório)
Esse é o endereço IP do servidor DNS primário necessário para operações de ingresso no domínio do Active Directory, autenticação SMB, Kerberos e operações LDAP.DNS secundário
Esse é o endereço IP do servidor DNS secundário necessário para operações de ingresso no domínio do Active Directory, autenticação SMB, Kerberos e operações LDAP.Observação
É recomendável que você configure um servidor DNS secundário. Veja Entender as diretrizes para o design de sites do Active Directory Domain Services e planejar para o Azure NetApp Files. Verifique se a configuração do servidor DNS atende aos requisitos do Azure NetApp Files. Caso contrário, operações de serviço do Azure NetApp Files, autenticação SMB, operações Kerberos ou LDAP podem falhar.
Se você usar o Microsoft Entra Domain Services, use os endereços IP dos controladores de domínio do Microsoft Entra Domain Services para DNS primário e DNS secundário, respectivamente.
Nome de domínio do AD DNS (obrigatório)
Esse é o nome de domínio totalmente qualificado do AD DS usado com o Azure NetApp Files (por exemplo,contoso.com
).Nome de Site do AD (obrigatório)
Esse é o nome do site do AD DS usado pelo Azure NetApp Files para descoberta do controlador de domínio.O nome do site padrão para o AD DS e o Microsoft Entra Domain Services é
Default-First-Site-Name
. Siga as convenções de nomenclatura para nomes de site se você quiser renomear o nome do site.Observação
Veja Entender as diretrizes para o design de sites do Active Directory Domain Services e planejar para o Azure NetApp Files. Verifique se o design e a configuração do site do AD DS atende aos requisitos do Azure NetApp Files. Caso contrário, operações de serviço do Azure NetApp Files, autenticação SMB, operações Kerberos ou LDAP podem falhar.
Prefixo do Servidor SMB (conta do computador) – obrigatório
Esse é o prefixo de nomenclatura para novas contas de computador criadas no AD DS para volumes SMB do Azure NetApp Files, protocolo duplo e Kerberos NFSv4.1.Por exemplo, se o padrão de nomenclatura que sua organização usa para servidores de arquivos for
NAS-01
,NAS-02
, etc, você usaráNAS
como prefixo.O Azure NetApp Files criará contas de computador adicionais no AD DS, conforme necessário.
Importante
A renomeação do prefixo do servidor SMB depois da criação da conexão do Active Directory a interrompe. Você precisará montar novamente os compartilhamentos SMB existentes depois de renomear o prefixo do servidor SMB.
Caminho da unidade organizacional
Esse é o caminho LDAP para a UO (unidade organizacional) em que as contas de computador do servidor SMB serão criadas. Ou seja,OU=second level, OU=first level
. Por exemplo, se você quiser usar uma UO chamadaANF
criada na raiz do domínio, o valor seráOU=ANF
.Se nenhum valor for fornecido, o Azure NetApp Files usa o contêiner
CN=Computers
.Se você estiver usando o Azure NetApp Files com o Microsoft Entra Domain Services, o caminho da unidade organizacional será
OU=AADDC Computers
Criptografia AES
Essa opção habilita o suporte à autenticação de criptografia AES para a conta de administrador da conexão do AD.Consulte Requisitos para conexões de Active Directory para saber os requisitos.
-
Essa opção habilita a assinatura LDAP. Essa funcionalidade permite a verificação de integridade das associações LDAP do SASL (Camada de Segurança e Autenticação Simples) do Azure NetApp Files e dos controladores de domínio do Active Directory Domain Services especificados pelo usuário.
O Azure NetApp Files dá suporte à Associação de Canais LDAP se as opções de assinatura LDAP e LDAP sobre TLS estiverem habilitadas na Conexão do Active Directory. Para obter mais informações, consulte ADV190023 | Diretrizes da Microsoft para habilitar a assinatura LDAP e a associação de canal LDAP.
Observação
Os registros PTR do DNS para as contas de computador do AD DS devem ser criados na unidade organizacional do AD DS especificada na conexão AD do Azure NetApp Files para que a Assinatura LDAP funcione.
Permitir usuários NFS locais com LDAP Essa opção permite que usuários do cliente NFS locais acessem volumes NFS. Definir essa opção desabilita grupos estendidos para volumes NFS, o que limita o número de grupos com suporte para um usuário a 16. Quando habilitados, grupos além do limite de 16 grupos serão desconsiderados quanto a permissões de acesso. Para saber mais, confira Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo.
LDAP sobre TLS
Esta opção habilita o LDAP sobre TLS para proteger a comunicação entre um volume do Azure NetApp Files e o servidor LDAP do Active Directory. Você pode habilitar o LDAP por TLS para volumes NFS, SMB e de protocolo duplo do Azure NetApp Files.
Observação
O LDAP sobre TLS não deve estar habilitado se você estiver usando os Microsoft Entra Domain Services. O Microsoft Entra Domain Services usa LDAPS (porta 636) para proteger o tráfego LDAP em vez de LDAP via TLS (porta 389).
Para obter mais informações, confira Habilitar a autenticação LDAP do AD DS (Active Directory Domain Services) para volumes NFS.
Certificado de CA raiz do servidor
Essa opção carrega o certificado de AC usado com LDAP sobre TLS.
Para obter mais informações, confira Habilitar a autenticação LDAP do AD DS (Active Directory Domain Services) para volumes NFS.
Escopo de pesquisa LDAP, DN de usuário, DN de grupo e Filtro de Associação de grupo
A opção de escopo de pesquisa LDAP otimiza as consultas LDAP de armazenamento do Azure NetApp Files para uso com topologias AD DS grandes e LDAP com grupos estendidos ou estilo de segurança Unix com um volume Azure NetApp Files de protocolo duplo.
As opções DN de Usuário e DN de Grupo permitem definir a base de pesquisa em LDAP do AD DS. Essas opções limitam as áreas de pesquisa para consultas LDAP, reduzindo o tempo de pesquisa e ajudando a reduzir os tempos limite de consulta LDAP.
A opção Filtro de Associação de Grupo permite que você crie um filtro de pesquisa personalizado para usuários que são membros de grupos específicos do AD DS.
Para obter informações sobre essas opções, consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS.
Servidor preferencial para cliente LDAP
A opção Servidor preferencial para cliente LDAP permite que você envie os endereços IP de até dois servidores AD como uma lista separada por vírgulas. Em vez de entrar em contato sequencialmente com todos os serviços do AD descobertos para um domínio, o cliente LDAP entrará em contato com os servidores especificados primeiro.
Conexões SMB criptografadas para o controlador de domínio
Conexões SMB criptografadas com o Controlador de Domínio especifica se a criptografia deve ser usada para comunicação entre um servidor SMB e um controlador de domínio. Quando habilitado, somente o SMB3 será usado para conexões criptografadas do controlador de domínio.
Esse recurso está atualmente na visualização. Se esta for a primeira vez que você usa conexões SMB criptografadas com o controlador de domínio, registre-o:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEncryptedSMBConnectionsToDC
Verifique o status do registro do recurso:
Observação
O RegistrationState pode ficar no estado
Registering
por até 60 minutos antes de mudar paraRegistered
. Aguarde até que o status sejaRegistered
antes de continuar.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEncryptedSMBConnectionsToDC
Você também pode usar os comandos da CLI do Azure
az feature register
eaz feature show
para registrar o recurso e exibir o status do registro.Usuários da política de backup Essa opção concede privilégios de segurança adicionais a usuários de domínio do AD DS ou grupos que exigem privilégios de backup elevados para dar suporte a fluxos de trabalho de backup, restauração e migração em Azure NetApp Files. As contas de usuário ou grupos do AD DS especificados terão permissões elevadas de NTFS no nível do arquivo ou da pasta.
Os seguintes privilégios se aplicam quando você usa a configuração Usuários da política de backup:
Escalonamento de Descrição SeBackupPrivilege
Fazer backup de arquivos e diretórios, substituindo todas as ACLs. SeRestorePrivilege
Restaurar arquivos e diretórios, substituindo todas as ACLs.
Defina qualquer identificador de segurança de usuário ou grupo válido como o proprietário do arquivo.SeChangeNotifyPrivilege
Ignore a verificação de passagem.
Os usuários com esse privilégio não precisam ter permissões completas (x
) para percorrer pastas ou symlinks.Usuários com privilégios de segurança
Esta opção concede privilégios de segurança (SeSecurityPrivilege
) a grupos ou usuários de domínio do AD DS que exigem privilégios elevados para acessar volumes do Azure NetApp Files. As contas de grupos ou usuários do AD DS especificadas terão permissão para executar determinadas ações em compartilhamentos SMB que exigem privilégio de segurança não atribuído por padrão aos usuários do domínio.O privilégio a seguir se aplica quando você usa a configuração de Usuários com privilégios de segurança:
Escalonamento de Descrição SeSecurityPrivilege
Gerenciar operações de log. Esse recurso é usado para instalar o SQL Server em determinados cenários em que uma conta de um não administrador de domínio do AD DS deve receber temporariamente privilégios de segurança elevados.
Observação
O uso do recurso Usuários com privilégios de segurança depende do recurso Compartilhamentos de Disponibilidade Contínua do SMB. Não há suporte para aplicativos personalizados na Disponibilidade Contínua do SMB. Ele só tem suporte para cargas de trabalho que usam o Citrix App Layering, contêineres de perfil de usuário do FSLogix e o Microsoft SQL Server (não o Linux SQL Server).
Importante
O uso do recurso de Usuários de privilégio de segurança exige que você envie uma solicitação de lista de espera por meio da página de envio de lista de espera de versão prévia pública dos Compartilhamentos de Disponibilidade Contínua de SMB do Azure NetApp Files. Aguarde um email de confirmação oficial da equipe do Azure NetApp Files antes de usar esse recurso.
Essa funcionalidade é opcional e tem suporte apenas com o SQL Server. A conta de domínio do AD DS usada para instalar o SQL Server já deve existir antes de você adicioná-lo à opção Usuários com privilégio de segurança. Quando você adiciona a conta do SQL Server Installer à opção Usuários com privilégio de segurança, o serviço Azure NetApp Files pode validar a conta entrando em contato com o controlador de domínio do AD DS. Essa ação poderá falhar se o Azure NetApp Files não entrar em contato com o controlador de domínio do AD DS.Para obter mais informações sobre o
SeSecurityPrivilege
e o SQL Server, consulte A instalação do SQL Server falhará se a conta de Configuração não tiver determinados direitos de usuário.Usuários com privilégios de administrador
Essa opção concede privilégios adicionais de segurança a grupos ou usuários de domínio do AD DS que exigem privilégios elevados para acessar os volumes do Azure NetApp Files. As contas especificadas terão permissão elevada no nível do arquivo ou da pasta.
Observação
Os administradores de domínio são adicionados automaticamente ao grupo de usuários com privilégio de administradores.
Observação
Esse privilégio é útil para migrações de dados.
Os seguintes privilégios se aplicam quando você usa a configuração Usuários com privilégios de administrador:
Escalonamento de Descrição SeBackupPrivilege
Fazer backup de arquivos e diretórios, substituindo todas as ACLs. SeRestorePrivilege
Restaurar arquivos e diretórios, substituindo todas as ACLs.
Defina qualquer identificador de segurança de usuário ou grupo válido como o proprietário do arquivo.SeChangeNotifyPrivilege
Ignore a verificação de passagem.
Os usuários com esse privilégio não precisam ter permissões completas (x
) para percorrer pastas ou symlinks.SeTakeOwnershipPrivilege
Assumir a propriedade de arquivos ou de outros objetos. SeSecurityPrivilege
Gerenciar operações de log. SeChangeNotifyPrivilege
Ignore a verificação de passagem.
Os usuários com esse privilégio não precisam ter permissões completas (x
) para percorrer pastas ou symlinks.Credenciais, incluindo seu nome de usuário e sua senha
Importante
Embora o Active Directory dê suporte a senhas de 256 caracteres, as senhas do Active Directory com Azure NetApp Files não podem exceder 64 caracteres.
Selecione Entrar.
A conexão do Active Directory que você criou é exibida.
Criar uma conexão do Active Directory por conta do NetApp (versão prévia)
Com esse recurso, cada conta do NetApp dentro de uma assinatura do Azure pode ter uma conexão própria com o AD. Uma vez configurada, a conexão do AD da conta do NetApp é usada quando você cria um volume SMB, um volume Kerberos NFSv4.1 ou um volume de protocolo duplo. Isso significa que o Azure NetApp Files dá suporte a mais de uma conexão do AD por assinatura do Azure quando várias contas do NetApp são usadas.
Observação
Se uma assinatura tiver tanto isso quanto o recurso do Active Directory Compartilhado habilitados, as contas existentes dela ainda compartilharão a configuração do AD. Todas as novas contas do NetApp criadas na assinatura podem usar configurações próprias do AD. Você pode confirmar sua configuração na página de visão geral da conta no campo tipo de AD.
Considerações
- O escopo de cada configuração do AD é limitado à respectiva conta do NetApp pai.
Registrar o recurso
O recurso para criar uma conexão do AD por conta do NetApp está atualmente em versão prévia. Você precisa registrar o recurso para usá-lo pela primeira vez. Após o registro, o recurso é habilitado e funciona em segundo plano.
Registrar o recurso:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory
Verifique o status do registro do recurso:
Observação
O RegistrationState pode ficar no estado
Registering
por até 60 minutos antes de mudar paraRegistered
. Aguarde até que o status seja Registrado antes de continuar.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory
Você também pode usar os comandos da CLI do Azure az feature register
e az feature show
para registrar o recurso e exibir o status do registro.
Mapear várias contas do NetApp na mesma assinatura e região para uma conexão do AD (versão prévia)
O recurso do AD compartilhado permite que todas as contas do NetApp compartilhem uma conexão do AD criada por uma das contas do NetApp que pertençam à mesma assinatura e à mesma região. Por exemplo, usando esse recurso, todas as contas do NetApp presentes na mesma assinatura e região podem usar a configuração comum do AD para criar um volume SMB, um volume Kerberos NFSv4.1 ou um volume de protocolo duplo. Ao usar esse recurso, a conexão do AD fica visível em todas as contas do NetApp que estão na mesma assinatura e na mesma região.
Com a introdução do recurso para criar uma conexão do AD por conta do NetApp, o novo registro de recurso para o recurso do AD Compartilhado não é aceito.
Observação
Você pode se registrar para usar uma conexão do AD por conta do NetApp se já estiver registrado na versão prévia do AD Compartilhado. Se você atualmente atende ao máximo de dez contas do NetApp por região do Azure por assinatura, você precisa iniciar uma solicitação de suporte para aumentar o limite. Você pode confirmar sua configuração na página de visão geral da conta no campo tipo de AD.
Redefinir senha da conta de computador do Active Directory
Se você redefinir acidentalmente a senha da conta de computador do AD no servidor do AD ou se o servidor do AD estiver inacessível, você poderá redefinir com segurança a senha da conta do computador para preservar a conectividade com seus volumes. Uma redefinição afeta todos os volumes no servidor SMB.
Registrar o recurso
No momento, a funcionalidade redefinir senha da conta de computador do Active Directory está em versão prévia pública. Se você estiver usando esse recurso pela primeira vez, precisará registrar o recurso primeiro.
- Registre a funcionalidade redefinir senha da conta de computador do Active Directory:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
- Verifique o status do registro do recurso. O RegistrationState pode ficar no estado
Registering
por até 60 minutos antes de mudar paraRegistered
. Aguarde até que o status sejaRegistered
antes de continuar.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
Você também pode usar os comandos da CLI do Azure az feature register
e az feature show
para registrar o recurso e exibir o status do registro.
Etapas
- Vá até o menu Visão geral do volume. Selecione Redefinir a Conta do Active Directory.
Como alternativa, navegue até o menu Volumes. Identifique o volume para o qual você deseja redefinir a conta do Active Directory e selecione os três pontos (
...
) no final da linha. Selecione Redefinir a Conta do Active Directory. - Uma mensagem de aviso que explica as implicações dessa ação é exibida. Digite sim na caixa de texto para continuar.
Próximas etapas
- Entender as diretrizes para o design de sites do Active Directory Domain Services e planejar para o Azure NetApp Files
- Modificar conexões do Active Directory Domain Services
- Criar um volume SMB
- Criar um volume de protocolo duplo
- Configurar a criptografia Kerberos do NFSv4.1
- Instalar uma nova floresta do Active Directory usando a CLI do Azure
- Habilitar a autenticação LDAP do AD DS (Active Directory Domain Services) para volumes NFS
- AD DS LDAP com grupos estendidos para acesso ao volume NFS