Omówienie wytycznych dotyczących projektowania i planowania lokacji Active Directory Domain Services (2023)

  • Artykuł
  • Czas czytania: 13 min

Właściwe projektowanie i planowanie Active Directory Domain Services (AD DS) jest kluczem do architektur rozwiązań korzystających z woluminów Azure NetApp Files. Azure NetApp Files funkcje, takie jak woluminy SMB, woluminy używające dwóch protokołów i woluminy Kerberos NFSv4.1, są przeznaczone do użycia z usługami AD DS.

Ten artykuł zawiera zalecenia ułatwiające opracowanie strategii wdrażania usług AD DS dla Azure NetApp Files. Przed przeczytaniem tego artykułu musisz mieć dobrą wiedzę na temat działania usług AD DS na poziomie funkcjonalności.

Identyfikowanie wymagań usług AD DS dla Azure NetApp Files

Przed wdrożeniem woluminów Azure NetApp Files należy zidentyfikować wymagania dotyczące integracji usług AD DS dla Azure NetApp Files, aby upewnić się, że Azure NetApp Files jest dobrze połączony z usługami AD DS. Nieprawidłowa lub niekompletna integracja usług AD DS z Azure NetApp Files może spowodować przerwy w dostępie klienta lub przerwy w działaniu dla woluminów SMB, podwójnego protokołu lub Kerberos NFSv4.1.

Wymagania dotyczące sieci

Azure NetApp Files woluminy SMB, dual-protocol i Kerberos NFSv4.1 wymagają niezawodnej i małej opóźnienia łączności sieciowej (mniej niż 10 ms RTT) do kontrolerów domeny usług AD DS. Niska łączność sieciowa lub duże opóźnienie sieci między Azure NetApp Files a kontrolerami domeny usług AD DS może spowodować przerwy dostępu klienta lub przekroczenia limitu czasu klienta.

Upewnij się, że spełniasz następujące wymagania dotyczące topologii sieci i konfiguracji:

  • Upewnij się, że jest używana obsługiwana topologia sieci dla Azure NetApp Files.
  • Upewnij się, że kontrolery domeny usług AD DS mają łączność sieciową z Azure NetApp Files delegowanej podsieci obsługującej woluminy Azure NetApp Files.
    • Topologie równorzędnej sieci wirtualnej z kontrolerami domeny usług AD DS muszą mieć prawidłowo skonfigurowaną komunikację równorzędną w celu obsługi Azure NetApp Files łączności sieciowej kontrolera domeny usług AD DS.
  • Zapory sieciowych grup zabezpieczeń i kontrolerów domeny usług AD DS muszą mieć odpowiednio skonfigurowane reguły do obsługi Azure NetApp Files łączności z usługami AD DS i DNS.
  • Upewnij się, że opóźnienie jest mniejsze niż 10 ms RTT między Azure NetApp Files a kontrolerami domeny usług AD DS.

Wymagane porty sieciowe są następujące:

UsługaPortProtokół
Usługi sieci Web usługi AD9839TCP
DNS*53TCP
DNS*53UDP
ICMPv4Nie dotyczyOdpowiedź echo
Kerberos464TCP
Kerberos464UDP
Kerberos88TCP
Kerberos88UDP
LDAP389TCP
LDAP389UDP
LDAP3268TCP
Nazwa NetBIOS138UDP
SAM/LSA445TCP
SAM/LSA445UDP
W32time123UDP

*System DNS uruchomiony na kontrolerze domeny usług AD DS

Wymagania dotyczące systemu DNS

Azure NetApp Files woluminy SMB, dual-protocol i Kerberos NFSv4.1 wymagają niezawodnego dostępu do usług systemu nazw domen (DNS) i aktualnych rekordów DNS. Słaba łączność sieciowa między serwerami Azure NetApp Files i DNS może powodować przerwy dostępu klientów lub przekroczenia limitu czasu klienta. Niekompletne lub nieprawidłowe rekordy DNS dla usług AD DS lub Azure NetApp Files mogą powodować przerwy w dostępie klienta lub przekroczenia limitu czasu klienta.

Azure NetApp Files obsługuje korzystanie z zintegrowanych serwerów DNS usługi Active Directory lub autonomicznych serwerów DNS.

Upewnij się, że spełniasz następujące wymagania dotyczące konfiguracji DNS:

  • Jeśli używasz autonomicznych serwerów DNS:
    • Upewnij się, że serwery DNS mają łączność sieciową z Azure NetApp Files podsieci delegowanej hostujące woluminy Azure NetApp Files.
    • Upewnij się, że porty sieciowe UDP 53 i TCP 53 nie są blokowane przez zapory ani sieciowe grupy zabezpieczeń.
  • Upewnij się, że rekordy SRV zarejestrowane przez usługę logowania net usług AD DS zostały utworzone na serwerach DNS.
  • Upewnij się, że rekordy PTR dla rekordów SRV zarejestrowanych przez usługę logowania net usług AD DS zostały utworzone na serwerach DNS.
  • Azure NetApp Files obsługuje standardowe i bezpieczne dynamiczne aktualizacje DNS. Jeśli potrzebujesz bezpiecznych dynamicznych aktualizacji DNS, upewnij się, że na serwerach DNS są skonfigurowane bezpieczne aktualizacje.
  • Jeśli dynamiczne aktualizacje DNS nie są używane, należy ręcznie utworzyć rekord A i rekordy PTR dla Azure NetApp Files woluminów SMB.
  • W przypadku złożonych lub dużych topologii usług AD DS priorytetyzacja zasad DNS lub podsieci DNS może być wymagana do obsługi woluminów NFS z włączoną obsługą protokołu LDAP.

Wymagania dotyczące źródła czasu

Azure NetApp Files używa time.windows.com jako źródła czasu. Upewnij się, że kontrolery domeny używane przez Azure NetApp Files są skonfigurowane do używania time.windows.com lub innego dokładnego źródła czasu stabilnego katalogu głównego (warstwy 1). Jeśli między Azure NetApp Files a klientem lub kontrolerami domeny usług AS DS występuje ponad pięć minut, uwierzytelnianie zakończy się niepowodzeniem; dostęp do woluminów Azure NetApp Files może również zakończyć się niepowodzeniem.

Wybieranie usług AD DS do użycia z Azure NetApp Files

Azure NetApp Files obsługuje zarówno Active Directory Domain Services (AD DS), jak i usługę Azure Active Directory Domain Services (Azure AD DS) dla połączeń usługi AD. Przed utworzeniem połączenia usługi AD należy zdecydować, czy używać usług AD DS, czy Azure AD DS.

Aby uzyskać więcej informacji, zobacz Porównanie Active Directory Domain Services zarządzanych samodzielnie, usługi Azure Active Directory i zarządzanych Active Directory Domain Services Azure.

zagadnienia dotyczące Active Directory Domain Services

W następujących scenariuszach należy użyć Active Directory Domain Services (AD DS):

  • Masz użytkowników usług AD DS hostowanych w lokalnej domenie usług AD DS, które wymagają dostępu do Azure NetApp Files zasobów.
  • Masz aplikacje hostowane częściowo lokalnie i częściowo na platformie Azure, które wymagają dostępu do Azure NetApp Files zasobów.
  • Nie potrzebujesz integracji Azure AD DS z dzierżawą Azure AD w ramach subskrypcji lub Azure AD DS jest niezgodna z wymaganiami technicznymi.

Jeśli zdecydujesz się używać usług AD DS z Azure NetApp Files, postępuj zgodnie ze wskazówkami w przewodniku rozszerzania usług AD DS na architekturę platformy Azure i upewnij się, że spełniasz wymagania dotyczące sieci Azure NetApp Files i DNS dla usług AD DS.

Zagadnienia dotyczące usługi Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) to zarządzana domena usług AD DS synchronizowana z dzierżawą Azure AD. Główne zalety korzystania z usług Azure AD DS są następujące:

  • Azure AD DS jest domeną autonomiczną. W związku z tym nie ma potrzeby konfigurowania łączności sieciowej między środowiskiem lokalnym a platformą Azure.
  • Zapewnia uproszczone środowisko wdrażania i zarządzania.

W następujących scenariuszach należy użyć usługi Azure AD DS:

  • Nie ma potrzeby rozszerzania usług AD DS ze środowiska lokalnego na platformę Azure w celu zapewnienia dostępu do Azure NetApp Files zasobów.
  • Zasady zabezpieczeń nie zezwalają na rozszerzenie lokalnych usług AD DS na platformę Azure.
  • Nie masz silnej wiedzy na temat usług AD DS. Azure AD DS może zwiększyć prawdopodobieństwo dobrych wyników Azure NetApp Files.

Jeśli zdecydujesz się używać usług Azure AD DS z usługą Azure NetApp Files, zobacz dokumentację Azure AD DS, aby uzyskać wskazówki dotyczące architektury, wdrażania i zarządzania. Upewnij się, że spełniasz również wymagania Azure NetApp Files Network i DNS.

Projektowanie topologii lokacji usług AD DS do użycia z Azure NetApp Files

Odpowiedni projekt topologii lokacji usług AD DS ma kluczowe znaczenie dla każdej architektury rozwiązania, która obejmuje Azure NetApp Files SMB, podwójny protokół lub woluminy Kerberos NFS 4.1.

Niepoprawna topologia lub konfiguracja lokacji usług AD DS może spowodować następujące zachowania:

  • Nie można utworzyć woluminów Protokołu Kerberos Azure NetApp Files, dwóch protokołów lub NFSv4.1
  • Nie można zmodyfikować konfiguracji połączenia usługi AD usługi ANF
  • Niska wydajność zapytań klienta LDAP
  • Problemy z uwierzytelnianiem

Topologia lokacji usług AD DS dla Azure NetApp Files jest logiczną reprezentacją sieci Azure NetApp Files. Projektowanie topologii lokacji usług AD DS dla Azure NetApp Files obejmuje planowanie rozmieszczenia kontrolera domeny, projektowanie lokacji, infrastruktury DNS i podsieci sieci w celu zapewnienia dobrej łączności między usługą Azure NetApp Files, Azure NetApp Files klientów magazynu i kontrolerów domeny usług AD DS.

Oprócz wielu kontrolerów domeny przypisanych do lokacji usług AD DS skonfigurowanych w Azure NetApp Files nazwa lokacji usługi AD lokacja Azure NetApp Files usług AD DS może mieć przypisaną co najmniej jedną podsieć.

Uwaga

Ważne jest, aby wszystkie kontrolery domeny i podsieci przypisane do lokacji Azure NetApp Files usług AD DS były dobrze połączone (mniej niż 10 ms opóźnienia RTT) i osiągalne przez interfejsy sieciowe używane przez woluminy Azure NetApp Files.

Jeśli używasz funkcji sieci w warstwie Standardowa, upewnij się, że wszystkie reguły tras zdefiniowanych przez użytkownika (UDR) lub sieciowej grupy zabezpieczeń nie blokują Azure NetApp Files komunikacji sieciowej z kontrolerami domeny usług AD DS przypisanymi do lokacji usługi Azure NetApp Files AD DS.

Jeśli używasz wirtualnych urządzeń sieciowych lub zapór (takich jak zapory Palo Alto Networks lub Fortinet), należy je skonfigurować tak, aby nie blokować ruchu sieciowego między Azure NetApp Files a kontrolerami domeny usług AD DS i podsieciami przypisanymi do lokacji usług AD DS Azure NetApp Files.

Jak Azure NetApp Files używa informacji o lokacji usług AD DS

Azure NetApp Files używa nazwy lokacji usługi AD skonfigurowanej w połączeniach usługi Active Directory, aby wykryć, które kontrolery domeny są obecne do obsługi uwierzytelniania, przyłączania do domeny, zapytań LDAP i operacji biletu Protokołu Kerberos.

Odnajdywanie kontrolera domeny usług AD DS

Azure NetApp Files inicjuje odnajdywanie kontrolera domeny co cztery godziny. Azure NetApp Files wysyła zapytanie do rekordu zasobu usługi DNS specyficznego dla lokacji (SRV), aby określić, które kontrolery domeny znajdują się w lokacji usług AD określonej w polu Nazwa lokacji usługi AD połączenia usługi Azure NetApp Files AD. Azure NetApp Files odnajdywanie serwera kontrolera domeny sprawdza stan usług hostowanych na kontrolerach domeny (takich jak Kerberos, LDAP, Net Logon i LSA) i wybiera optymalny kontroler domeny dla żądań uwierzytelniania.

Rekordy zasobów usługi DNS (SRV) dla lokacji usług AD DS określone w polu Nazwa lokacji usługi AD połączenia usługi Azure NetApp Files AD muszą zawierać listę adresów IP dla kontrolerów domeny usług AD DS, które będą używane przez Azure NetApp Files. Ważność rekordu zasobu DNS (SRV) można sprawdzić przy użyciu nslookup narzędzia .

Uwaga

Jeśli wprowadzisz zmiany w kontrolerach domeny w lokacji usług AD DS używanej przez Azure NetApp Files, odczekaj co najmniej cztery godziny między wdrożeniem nowych kontrolerów domeny usług AD DS i wycofaniem istniejących kontrolerów domeny usług AD DS. Ten czas oczekiwania umożliwia Azure NetApp Files odnajdywanie nowych kontrolerów domeny usług AD DS.

Upewnij się, że nieaktualne rekordy DNS skojarzone z wycofanymi kontrolerami domeny usług AD DS są usuwane z systemu DNS. Dzięki temu Azure NetApp Files nie będą próbować komunikować się z wycofanym kontrolerem domeny.

Odnajdywanie serwera LDAP usług AD DS

Oddzielny proces odnajdywania dla serwerów LDAP usług AD DS występuje, gdy protokół LDAP jest włączony dla woluminu NFS Azure NetApp Files. Po utworzeniu klienta LDAP na Azure NetApp Files Azure NetApp Files wysyła zapytanie do rekordu zasobu usługi domenowej USŁUG AD DS (SRV) dla listy wszystkich serwerów LDAP usług AD DS w domenie, a nie serwerów LDAP usług AD DS przypisanych do lokacji usług AD DS określonej w połączeniu z usługą AD.

Ważne

Jeśli Azure NetApp Files nie może nawiązać połączenia z odnalezionym serwerem LDAP usług AD DS podczas tworzenia klienta LDAP Azure NetApp Files, utworzenie woluminu z włączoną obsługą protokołu LDAP zakończy się niepowodzeniem. W dużych lub złożonych topologiach usług AD DS może być konieczne zaimplementowanie zasad DNS lub priorytetyzacji podsieci DNS , aby upewnić się, że serwery LDAP usług AD DS przypisane do lokacji usług AD DS określone w połączeniu usługi AD są zwracane. Skontaktuj się z csa firmy Microsoft, aby uzyskać wskazówki dotyczące najlepszego konfigurowania systemu dns do obsługi woluminów NFS z obsługą protokołu LDAP.

Konsekwencje nieprawidłowej lub niekompletnej konfiguracji nazwy witryny usługi AD

Niepoprawna lub niekompletna topologia lokacji usług AD DS lub konfiguracja mogą spowodować błędy tworzenia woluminu, problemy z zapytaniami klienta, błędy uwierzytelniania i błędy modyfikowania połączeń usługi Azure NetApp Files AD.

Ważne

Pole Nazwa witryny usługi AD jest wymagane do utworzenia połączenia usługi Azure NetApp Files AD. Zdefiniowana witryna usług AD DS musi istnieć i być prawidłowo skonfigurowana.

Azure NetApp Files używa lokacji usług AD DS do odnajdywania kontrolerów domeny i podsieci przypisanych do lokacji usług AD DS zdefiniowanej w nazwie lokacji usługi AD. Wszystkie kontrolery domeny przypisane do lokacji usług AD DS muszą mieć dobrą łączność sieciową z wirtualnych interfejsów sieciowych platformy Azure używanych przez usługę ANF i być osiągalne. Maszyny wirtualne kontrolera domeny usług AD DS przypisane do lokacji usług AD DS używane przez Azure NetApp Files muszą być wykluczone z zasad zarządzania kosztami, które zamykają maszyny wirtualne.

Jeśli Azure NetApp Files nie może uzyskać dostępu do kontrolerów domeny przypisanych do lokacji usług AD DS, proces odnajdywania kontrolera domeny będzie wysyłać zapytania do domeny usług AD DS, aby uzyskać listę wszystkich kontrolerów domeny. Lista kontrolerów domeny zwróconych z tego zapytania jest nieurządkowaną listą. W związku z tym Azure NetApp Files może próbować użyć kontrolerów domeny, które nie są osiągalne lub dobrze połączone, co może powodować błędy tworzenia woluminu, problemy z zapytaniami klienta, błędy uwierzytelniania i błędy modyfikowania połączeń Azure NetApp Files AD.

Należy zaktualizować konfigurację lokacji usług AD DS za każdym razem, gdy nowe kontrolery domeny są wdrażane w podsieci przypisanej do lokacji usług AD DS, która jest używana przez połączenie usługi Azure NetApp Files AD. Upewnij się, że rekordy SRV SYSTEMU DNS dla lokacji odzwierciedlają wszelkie zmiany w kontrolerach domeny przypisanych do lokacji usług AD DS używanej przez Azure NetApp Files. Ważność rekordu zasobu DNS (SRV) można sprawdzić przy użyciu nslookup narzędzia .

Uwaga

Azure NetApp Files nie obsługuje używania kontrolerów domeny tylko do odczytu usług AD DS (RODC). Aby zapobiec używaniu kontrolera RODC Azure NetApp Files, nie należy konfigurować pola Nazwa lokacji usługi AD połączeń usługi AD z kontrolerem RODC.

Przykładowa konfiguracja topologii lokacji usług AD DS dla Azure NetApp Files

Topologia lokacji usług AD DS jest logiczną reprezentacją sieci, w której wdrożono Azure NetApp Files. W tej sekcji przykładowy scenariusz konfiguracji topologii lokacji usług AD DS zamierza pokazać podstawowy projekt lokacji usług AD DS dla Azure NetApp Files. Nie jest to jedyny sposób projektowania topologii sieci lub lokacji usługi AD dla Azure NetApp Files.

Ważne

W przypadku scenariuszy obejmujących złożone usługi AD DS lub złożone topologie sieci należy zapoznać się z projektem Azure NetApp Files sieci i witryny usługi AD w usłudze Microsoft Azure CSA.

Na poniższym diagramie przedstawiono przykładową topologię sieci: sample-network-topology.png

W przykładowej topologii sieci lokalna domena usług AD DS (anf.local) jest rozszerzona na sieć wirtualną platformy Azure. Sieć lokalna jest połączona z siecią wirtualną platformy Azure przy użyciu obwodu usługi Azure ExpressRoute.

Sieć wirtualna platformy Azure ma cztery podsieci: podsieć bramy, podsieć usługi Azure Bastion, podsieć usług AD DS i podsieć delegowana Azure NetApp Files. Nadmiarowe kontrolery domeny usług AD DS przyłączone do anf.local domeny są wdrażane w podsieci usług AD DS. Podsieć usług AD DS ma przypisany zakres adresów IP 10.0.0.0/24.

Azure NetApp Files można użyć tylko jednej lokacji usług AD DS, aby określić, które kontrolery domeny będą używane do uwierzytelniania, zapytań LDAP i protokołu Kerberos. W przykładowym scenariuszu tworzone są dwa obiekty podsieci i przypisywane do lokacji o nazwie ANF przy użyciu narzędzia Lokacje i usługi Active Directory. Jeden obiekt podsieci jest mapowany na podsieć usług AD DS, 10.0.0.0/24, a drugi obiekt podsieci jest mapowany do delegowanej podsieci ANF, 10.0.2.0/24.

W narzędziu Lokacje i usługi Active Directory sprawdź, czy kontrolery domeny usług AD DS wdrożone w podsieci usług AD DS są przypisane do lokacji ANF :

Aby utworzyć obiekt podsieci mapujący na podsieć usług AD DS w sieci wirtualnej platformy Azure, kliknij prawym przyciskiem myszy kontener Podsieci w narzędziu Lokacje i usługi Active Directory , a następnie wybierz pozycję Nowa podsieć....W oknie dialogowym Nowy obiekt — podsieć w polu Prefiks zostanie wprowadzony zakres adresów IP 10.0.0.0/24 dla podsieci usług AD DS. Wybierz ANF jako obiekt lokacji dla podsieci. Wybierz przycisk OK , aby utworzyć obiekt podsieci i przypisać go do lokacji ANF .

Aby sprawdzić, czy nowy obiekt podsieci jest przypisany do poprawnej lokacji, kliknij prawym przyciskiem myszy obiekt podsieci 10.0.0.0/24 i wybierz polecenie Właściwości. Pole Lokacja powinno zawierać obiekt lokacji ANF :

Aby utworzyć obiekt podsieci, który jest mapowany na podsieć delegowana Azure NetApp Files w sieci wirtualnej platformy Azure, kliknij prawym przyciskiem myszy kontener Podsieci w narzędziu Lokacje i usługi Active Directory i wybierz pozycję Nowa podsieć....

Zagadnienia dotyczące replikacji między regionami

Azure NetApp Files replikacja między regionami umożliwia replikowanie woluminów Azure NetApp Files z jednego regionu do innego w celu obsługi wymagań dotyczących ciągłości działania i odzyskiwania po awarii (BC/DR).

Azure NetApp Files woluminy Kerberos protokołu SMB, dwóch protokołów i NFSv4.1 obsługują replikację między regionami. Replikacja tych woluminów wymaga:

  • Konto usługi NetApp utworzone w regionach źródłowych i docelowych.
  • Połączenie usługi Active Directory Azure NetApp Files na koncie usługi NetApp utworzonym w regionach źródłowych i docelowych.
  • Kontrolery domeny usług AD DS są wdrażane i działają w regionie docelowym.
  • Odpowiednie Azure NetApp Files sieci, dns i usług AD DS projektu lokacji należy wdrożyć w regionie docelowym, aby umożliwić dobrą komunikację sieciową Azure NetApp Files z kontrolerami domeny usług AD DS w regionie docelowym.
  • Połączenie usługi Active Directory w regionie docelowym musi być skonfigurowane do używania zasobów DNS i lokacji usługi AD w regionie docelowym.

Następne kroki

  • Tworzenie połączeń usługi Active Directory i zarządzanie nimi
  • Modyfikowanie połączeń usługi Active Directory
  • Włączanie uwierzytelniania LDAP usługi ADDS dla woluminów NFS
  • Tworzenie woluminu SMB
  • Tworzenie woluminu dwuprotokołowego
  • Błędy dotyczące woluminów SMB i podwójnych protokołów
Top Articles
Latest Posts
Article information

Author: Neely Ledner

Last Updated: 10/06/2022

Views: 5597

Rating: 4.1 / 5 (62 voted)

Reviews: 85% of readers found this page helpful

Author information

Name: Neely Ledner

Birthday: 1998-06-09

Address: 443 Barrows Terrace, New Jodyberg, CO 57462-5329

Phone: +2433516856029

Job: Central Legal Facilitator

Hobby: Backpacking, Jogging, Magic, Driving, Macrame, Embroidery, Foraging

Introduction: My name is Neely Ledner, I am a bright, determined, beautiful, adventurous, adventurous, spotless, calm person who loves writing and wants to share my knowledge and understanding with you.