Usar os Arquivos do Azure com várias florestas do Active Directory
Muitas organizações desejam usar a autenticação baseada em identidade para compartilhamentos de arquivos SMB do Azure em ambientes que têm várias florestas do AD DS (Active Directory Domain Services) local. Esse é um cenário comum de TI, especialmente após fusões e aquisições, em que as florestas do AD da empresa adquirida são isoladas das florestas do AD da empresa matriz. Este artigo explica como funcionam as relações de confiança de floresta e fornece instruções passo a passo para configuração e validação de várias florestas.
Importante
Se você quiser definir permissões de nível de compartilhamento para usuários ou grupos específicos do Microsoft Entra usando o RBAC (controle de acesso baseado em função) do Azure, primeiro sincronize as contas do AD local com o Microsoft Entra ID usando o Microsoft Entra Connect. Como alternativa, use uma permissão de nível de compartilhamento padrão.
Aplica-se a
Tipo de compartilhamento de arquivos | SMB | NFS |
---|---|---|
Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS | ||
Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS | ||
Compartilhamento de arquivos premium (FileStorage), LRS/ZRS |
Pré-requisitos
- Dois controladores de domínio do AD DS com florestas diferentes e em VNETs (redes virtuais) distintas
- Permissões suficientes do AD para executar tarefas administrativas (por exemplo, Administrador do Domínio)
- Se você estiver usando o RBAC do Azure, ambas as florestas precisarão ser acessíveis por um só servidor da Sincronização do Microsoft Entra Connect
Como funcionam as relações de confiança de floresta
Só há suporte para a autenticação do AD DS local dos Arquivos do Azure na floresta do AD do serviço de domínio em que a conta de armazenamento está registrada. Por padrão, só é possível acessar compartilhamentos de arquivos do Azure com as credenciais do AD DS a partir de uma única floresta. Caso você precise acessar o compartilhamento de arquivo do Azure por meio de outra floresta, configure uma relação de confiança de floresta.
Uma relação de confiança de floresta é uma relação de confiança transitiva entre duas florestas do AD que permite que os usuários em um dos domínios de uma floresta sejam autenticados em um dos domínios da outra floresta.
Configuração de várias florestas
Para definir uma configuração de várias florestas, executaremos as seguintes etapas:
- Coletar informações de domínio e conexões VNET entre domínios
- Estabelecer e configurar uma relação de confiança de floresta
- Configurar a autenticação baseada em identidade e contas híbridas de usuário
Coletar informações do domínio
Para este exercício, temos dois controladores de domínio do AD DS local com duas florestas diferentes e em VNETs distintas.
Floresta | Domínio | VNET |
---|---|---|
Floresta 1 | onpremad1.com | DomainServicesVNet WUS |
Floresta 2 | onpremad2.com | vnet2/workloads |
Estabelecer e configurar uma relação de confiança
Para permitir que os clientes da Floresta 1 acessem os recursos de domínio dos Arquivos do Azure na Floresta 2, precisamos estabelecer uma relação de confiança entre as duas florestas. Siga estas etapas para estabelecer a relação de confiança.
Observação
Há suporte apenas para relações de confiança de floresta para os Arquivos do Azure. Não há suporte para outros tipos de confiança, como relações de confiança externas.
Se você já tiver uma configuração de confiança, poderá verificar seu tipo fazendo logon em um computador ingressado no domínio na Floresta 2, abrindo o console de Domínios e Confiança do Active Directory, clicando com o botão direito do mouse no domínio local onpremad2.com e selecionando a guia Confianças. Se sua confiança existente não for uma relação de confiança de floresta e se uma relação de confiança de floresta atender aos requisitos do seu ambiente, você precisará remover a confiança existente e recriar uma relação de confiança de floresta em seu lugar. Para isso, siga estas instruções:
Faça logon em um computador ingressado no domínio na Floresta 2 e abra o console Domínios e Relações de Confiança do Active Directory.
Clique com o botão direito do mouse no domínio local onpremad2.com e selecione a guia Relações de Confiança.
Selecione Novas Relações de Confiança para iniciar o Assistente de Nova Relação de Confiança.
Especifique o nome de domínio com o qual deseja criar uma relação de confiança (neste exemplo, onpremad1.com) e selecione Avançar.
Em Tipo de Relação de Confiança, selecione Relação de Confiança de Floresta e escolha Avançar.
Em Direção da Relação de Confiança, selecione Bidirecional e escolha Avançar.
Em Lados da Relação de Confiança, selecione Somente este domínio e escolha Avançar.
Os usuários da floresta especificada podem ser autenticados para usar todos os recursos da floresta local (autenticação em toda a floresta) ou apenas os recursos selecionados (autenticação seletiva). Em Nível de Autenticação da Relação de Confiança de Saída, selecione Autenticação em toda a floresta, que é a opção preferencial quando ambas as florestas pertencem à mesma organização. Selecione Avançar.
Insira uma senha para a relação de confiança e selecione Avançar. A mesma senha precisará ser usada quando essa relação de confiança for criada no domínio especificado.
Você verá uma mensagem informando que a relação de confiança foi criada com sucesso. Para configurar a relação de confiança, selecione Avançar.
Confirme a relação de confiança de saída e escolha Avançar.
Insira o nome de usuário e a senha de um usuário que tenha privilégios de administrador do outro domínio.
Depois que a autenticação for aprovada, a relação de confiança será estabelecida e você poderá ver o domínio especificado onpremad1.com listado na guia Relações de Confiança.
Configurar a autenticação baseada em identidade e contas híbridas de usuário
Depois que a relação de confiança for estabelecida, siga estas etapas para criar uma conta de armazenamento e um compartilhamento de arquivo SMB para cada domínio, habilitar a autenticação do AD DS nas contas de armazenamento e criar contas de usuário híbridas sincronizadas com o Microsoft Entra ID.
Faça logon no portal do Azure e crie duas contas de armazenamento, como onprem1sa e onprem2sa. Para ter um desempenho ideal, recomendamos implantar as contas de armazenamento na mesma região dos clientes nos quais você pretende acessar os compartilhamentos.
Observação
Não é necessário criar uma segunda conta de armazenamento. Essas instruções destinam-se a mostrar um exemplo de como acessar contas de armazenamento que pertencem a florestas diferentes. Se você possuir apenas uma conta de armazenamento, poderá ignorar as instruções de configuração da segunda conta de armazenamento.
Crie um compartilhamento de arquivos SMB do Azure e atribua permissões de nível de compartilhamento em cada conta de armazenamento.
Sincronize o AD local com o Microsoft Entra ID usando o aplicativo Sincronização do Microsoft Entra Connect.
Ingresse uma VM do Azure em domínio na Floresta 1 do AD DS local. Para informações sobre como ingressar no domínio, consulte Ingressar um computador em um domínio.
Habilite a autenticação do AD DS na conta de armazenamento associada à Floresta 1, por exemplo , onprem1sa. Isso criará uma conta de computador no AD local chamada onprem1sa para representar a conta de armazenamento do Azure e ingressar a conta de armazenamento no domínio onpremad1.com. Verifique se a identidade do AD que representa a conta de armazenamento foi criada procurando onpremad1.com em Usuários e Computadores do Active Directory. Neste exemplo, você verá uma conta de computador chamada onprem1sa.
Crie uma conta de usuário navegando até a Active Directory > onpremad1.com. Clique com o botão direito do mouse em Usuários, selecione Criar, insira um nome de usuário (por exemplo, onprem1user) e marque a caixa A senha nunca expira (opcional).
Opcional: se você quiser usar o RBAC do Azure para atribuir permissões de nível de compartilhamento, deverá sincronizar o usuário com o Microsoft Entra ID usando o Microsoft Entra Connect. Normalmente, a Sincronização do Microsoft Entra Connect é atualizado a cada 30 minutos. No entanto, você pode forçá-lo a sincronizar imediatamente abrindo uma sessão do PowerShell com privilégios elevados e executando
Start-ADSyncSyncCycle -PolicyType Delta
. Talvez seja necessário instalar o módulo ADSync primeiro executandoImport-Module ADSync
. Para verificar se o usuário foi sincronizado com o Microsoft Entra ID, entre no portal do Azure com a assinatura do Azure associada ao locatário de várias florestas e selecione Microsoft Entra ID. Escolha Gerenciar > Usuários e procure o usuário que você adicionou (por exemplo, onprem1user). A opção Sincronização local habilitada indicará Sim.Defina permissões de nível de compartilhamento usando as funções RBAC do Azure ou uma permissão de nível de compartilhamento padrão.
- Se o usuário estiver sincronizado com o Microsoft Entra ID, você poderá conceder uma permissão de nível de compartilhamento (função RBAC do Azure) ao usuário onprem1user na conta de armazenamento onprem1sa para que ele possa montar o compartilhamento de arquivo. Para fazer isso, navegue até o compartilhamento de arquivo criado no onprem1sa e siga as instruções descritas em Atribuir permissões de nível de compartilhamento para usuários ou grupos específicos do Microsoft Entra.
- Caso contrário, use uma permissão de nível de compartilhamento padrão que se aplica a todas as identidades autenticadas.
Repita as etapas 4 a 8 para o domínio onpremad2.com da Floresta 2 (conta de armazenamento onprem2sa/usuário onprem2user). Se você tiver mais de duas florestas, repita as etapas para cada floresta.
Configurar permissões de diretório e de nível de arquivo por SMB
Em um ambiente de várias florestas, use o utilitário de linha de comando icacls para configurar permissões de diretório e de nível de arquivo para usuários em ambas as florestas. Consulte Configurar ACLs do Windows com icacls.
Se o icacls falhar com um erro Acesso negado, siga estas etapas para configurar permissões de diretório e nível de arquivo montando o compartilhamento com a chave da conta de armazenamento.
Exclua a montagem de compartilhamento existente:
net use * /delete /y
Monte novamente o compartilhamento usando a chave da conta de armazenamento:
net use <driveletter> \\storageaccount.file.core.windows.net\sharename /user:AZURE\<storageaccountname> <storageaccountkey>
Defina as permissões icacls para o usuário na Floresta2 na conta de armazenamento ingressada na Forest1 do cliente na Floresta1.
Observação
Não recomendamos usar o Explorador de Arquivos para configurar ACLs em um ambiente de várias florestas. Embora os usuários que pertencem à floresta ingressada no domínio da conta de armazenamento possam ter permissões de nível de arquivo/diretório definidas por meio de Explorador de Arquivos, ela não funcionará para usuários que não pertencem à mesma floresta ingressada no domínio da conta de armazenamento.
Configurar sufixos de domínio
Conforme explicado acima, a maneira como os Arquivos do Azure são registrados no AD DS é quase igual a um servidor de arquivos comum, pois ele cria uma identidade (por padrão, uma conta de computador, que também pode ser uma conta de logon de serviço) que representa a conta de armazenamento do AD DS para autenticação. A única diferença é que o SPN (nome da entidade de serviço) registrado da conta de armazenamento termina com file.core.windows.net, que não corresponde ao sufixo do domínio. Devido ao sufixo de domínio diferente, você precisará configurar uma política de roteamento de sufixo para habilitar a autenticação de várias florestas.
Como file.core.windows.net é o sufixo de todos os recursos dos Arquivos do Azure em vez de um sufixo para um domínio específico do AD, o controlador de domínio do cliente não sabe para qual domínio a solicitação deverá ser encaminhada e, portanto, falhará em todas as solicitações em que o recurso não foi encontrado no respectivo domínio.
Por exemplo, quando os usuários em um domínio da Floresta 1 desejarem acessar um compartilhamento de arquivo com a conta de armazenamento registrada em um domínio da Floresta 2, isso não funcionará automaticamente porque a entidade de serviço da conta de armazenamento não tem um sufixo que corresponda ao sufixo de nenhum domínio na Floresta 1.
Você pode configurar os sufixos de domínio usando um dos seguintes métodos:
- Modificar o sufixo da conta de armazenamento e adicionar um registro CNAME (recomendado – Funcionará com duas ou mais florestas)
- Adicionar um sufixo de nome personalizado e uma regra de roteamento (não funcionará com mais de duas florestas)
Modificar o sufixo do nome da conta de armazenamento e adicionar um registro CNAME
Resolva o problema de roteamento de domínio modificando o sufixo do nome da conta de armazenamento associado ao compartilhamento de arquivo do Azure e adicionando um registro CNAME para rotear o novo sufixo para o ponto de extremidade da conta de armazenamento. Com essa configuração, os clientes ingressados no domínio podem acessar contas de armazenamento ingressadas em qualquer floresta. Isso funciona para ambientes que têm duas ou mais florestas.
Em nosso exemplo, temos os domínios onpremad1.com e onpremad2.com e temos onprem1sa e onprem2sa como contas de armazenamento associadas aos compartilhamentos de arquivos SMB do Azure nos respectivos domínios. Esses domínios estão em florestas diferentes que confiam uns nos outros para acessar os recursos das florestas uns dos outros. Queremos permitir o acesso às duas contas de armazenamento de clientes que pertencem a cada floresta. Para fazer isso, precisamos modificar os sufixos SPN da conta de armazenamento:
onprem1sa.onpremad1.com -> onprem1sa.file.core.windows.net
onprem2sa.onpremad2.com -> onprem2sa.file.core.windows.net
Isso permitirá que os clientes montem o compartilhamento com net use \\onprem1sa.onpremad1.com
, porque os clientes de onpremad1 ou de onpremad2 saberão pesquisar onpremad1.com para encontrar o recurso adequado para essa conta de armazenamento.
Para usar esse método, conclua as seguintes etapas:
Verifique se você estabeleceu a relação de confiança entre as duas florestas e configurou a autenticação baseada em identidade e as contas de usuário híbridas, conforme descrito nas seções anteriores.
Modifique o SPN da conta de armazenamento usando a ferramenta setspn. Encontre
<DomainDnsRoot>
executando o seguinte comando do Active Directory PowerShell:(Get-AdDomain).DnsRoot
setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
Adicione uma entrada CNAME usando o Gerenciador de DNS do Active Directory e siga as etapas abaixo para cada conta de armazenamento no domínio no qual a conta de armazenamento foi ingressada. Se você estiver usando um ponto de extremidade privado, adicione a entrada CNAME para mapeá-la para o nome do ponto de extremidade privado.
Abra o Gerenciador de DNS do Active Directory.
Acesse seu domínio (por exemplo, onpremad1.com).
Acesse "Zonas de Pesquisa Direta".
Selecione o nó com o nome do seu domínio (por exemplo, onpremad1.com) e clique com o botão direito do mouse em Novo Alias (CNAME).
Para o nome do alias, insira o nome da conta de armazenamento.
Para o FQDN (nome de domínio totalmente qualificado), insira
<storage-account-name>
.<domain-name>
, como mystorageaccount.onpremad1.com.Para o FQDN do host de destino, insira
<storage-account-name>
.file.core.windows.netSelecione OK.
Agora, nos clientes ingressados no domínio, você conseguirá usar as contas de armazenamento ingressadas em qualquer floresta.
Observação
Verifique se a parte do nome do host do FQDN corresponde ao nome da conta de armazenamento, conforme descrito acima. Caso contrário, você receberá um erro de acesso negado: "O nome do arquivo, o nome do diretório ou a sintaxe do rótulo de volume estão incorretos.". Um rastreamento de rede mostrará a mensagem STATUS_OBJECT_NAME_INVALID (0xc0000033) durante a instalação da sessão SMB.
Adicionar um sufixo de nome personalizado e uma regra de roteamento
Se você já modificou o sufixo do nome da conta de armazenamento e adicionou um registro CNAME conforme descrito na seção anterior, ignore esta etapa. Caso prefira não fazer alterações de DNS nem modificar o sufixo do nome da conta de armazenamento, configure uma regra de roteamento de sufixo da Floresta 1 para a Floresta 2 para o sufixo personalizado file.core.windows.net.
Observação
A configuração do roteamento de sufixo de nome não afeta a capacidade de acessar os recursos no domínio local. Só é necessário permitir que o cliente encaminhe a solicitação para o domínio correspondente ao sufixo quando o recurso não é encontrado no respectivo domínio.
Primeiro, adicione um novo sufixo personalizado à Floresta 2. Verifique se você tem as permissões administrativas apropriadas para alterar a configuração e se estabeleceu uma relação de confiança entre as duas florestas. Depois, execute estas etapas:
- Faça logon em uma VM ou em um computador ingressado em um domínio na Floresta 2.
- Abra o console de Domínios e Relações de Confiança do Active Directory.
- Clique com o botão direito do mouse em Domínios e Relações de Confiança do Active Directory.
- Selecione Propriedades e escolha Adicionar.
- Adicione "file.core.windows.net" como o Sufixo UPN.
- Selecione em Aplicar e em OK para fechar o assistente.
Em seguida, adicione a regra de roteamento de sufixo à Floresta A, de modo que ela seja redirecionada para a Floresta B.
- Faça logon em uma VM ou em um computador ingressado em um domínio na Floresta 1.
- Abra o console de Domínios e Relações de Confiança do Active Directory.
- Clique com o botão direito do mouse no domínio em que deseja acessar o compartilhamento de arquivo, selecione a guia Relações de Confiança e escolha o domínio da Floresta 2 nas relações de confiança de saída.
- Selecione Propriedades e Nomear Roteamento de Sufixo.
- Verifique se o sufixo "*.file.core.windows.net" é exibido. Caso contrário, escolha Atualizar.
- Selecione "*.file.core.windows.net" e depois Habilitar e Aplicar.
Validar se a relação de confiança está funcionando
Agora, validaremos se a relação de confiança está funcionando executando o comando klist para ver o conteúdo do cache de credenciais Kerberos e da tabela de chaves.
- Faça logon em uma VM ou em um computador ingressado em um domínio na Floresta 1 e abra um prompt de comando do Windows.
- Para ver o cache de credenciais da conta de armazenamento ingressada no domínio na Floresta 2, execute um dos seguintes comandos:
- Se você usou o método Modificar o sufixo do nome da conta de armazenamento e adicionar um registro CNAME, execute:
klist get cifs/onprem2sa.onpremad2.com
- Se você usou o método Adicionar um sufixo de nome personalizado e uma regra de roteamento, execute:
klist get cifs/onprem2sa.file.core.windows.net
- Se você usou o método Modificar o sufixo do nome da conta de armazenamento e adicionar um registro CNAME, execute:
- Você deve ver saídas semelhantes às seguintes. A saída de klist será um pouco diferente, dependendo do método que você usou para configurar os sufixos de domínio.
Client: onprem1user @ ONPREMAD1.COM
Server: cifs/onprem2sa.file.core.windows.net @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:45:02 (local)
End Time: 11/23/2022 4:45:02 (local)
Renew Time: 11/29/2022 18:45:02 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onprem2.onpremad2.com
- Faça logon em uma VM ou em um computador ingressado em um domínio na Floresta 2 e abra um prompt de comando do Windows.
- Para ver o cache de credenciais da conta de armazenamento ingressada no domínio na Floresta 1, execute um dos seguintes comandos:
- Se você usou o método Modificar o sufixo do nome da conta de armazenamento e adicionar um registro CNAME, execute:
klist get cifs/onprem1sa.onpremad1.com
- Se você usou o método Adicionar um sufixo de nome personalizado e uma regra de roteamento, execute:
klist get cifs/onprem1sa.file.core.windows.net
- Se você usou o método Modificar o sufixo do nome da conta de armazenamento e adicionar um registro CNAME, execute:
- Você deve ver saídas semelhantes às seguintes. A saída de klist será um pouco diferente, dependendo do método que você usou para configurar os sufixos de domínio.
Client: onprem2user @ ONPREMAD2.COM
Server: krbtgt/ONPREMAD2.COM @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -> PRIMARY
Kdc Called: onprem2
Client: onprem2user @ ONPREMAD2.COM
Server: cifs/onprem1sa.file.core.windows.net @ ONPREMAD1.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onpremad1.onpremad1.com
Se você receber a saída acima, tudo estará pronto. Caso contrário, siga estas etapas para fornecer sufixos UPN alternativos para fazer a autenticação de várias florestas funcionar.
Importante
Esse método só funcionará em ambientes com duas florestas. Caso você tenha mais de duas florestas, use um dos outros métodos para configurar os sufixos de domínio.
Primeiro, adicione um novo sufixo personalizado à Floresta 1.
- Faça logon em uma VM ou em um computador ingressado em um domínio na Floresta 1.
- Abra o console de Domínios e Relações de Confiança do Active Directory.
- Clique com o botão direito do mouse em Domínios e Relações de Confiança do Active Directory.
- Selecione Propriedades e escolha Adicionar.
- Adicione um sufixo UPN alternativo, como "onprem1sa.file.core.windows.net".
- Selecione em Aplicar e em OK para fechar o assistente.
Em seguida, adicione a regra de roteamento de sufixo à Floresta 2.
- Faça logon em uma VM ou em um computador ingressado em um domínio na Floresta 2.
- Abra o console de Domínios e Relações de Confiança do Active Directory.
- Clique com o botão direito do mouse no domínio em que deseja acessar o compartilhamento de arquivo, selecione a guia Relações de Confiança e escolha a relação de confiança de saída da Floresta 2 em que o nome de roteamento do sufixo foi adicionado.
- Selecione Propriedades e Nomear Roteamento de Sufixo.
- Verifique se o sufixo "onprem1sa.file.core.windows.net" é exibido. Caso contrário, escolha Atualizar.
- Selecione "onprem1sa.file.core.windows.net" e escolha Habilitar e Aplicar.
Próximas etapas
Para obter mais informações, consulte estes recursos: