Compreender as diretrizes para o design e planejamento do site dos Serviços de Domínio Ative Directory para Arquivos NetApp do Azure
O design e o planejamento adequados dos Serviços de Domínio Ative Directory (AD DS) são fundamentais para arquiteturas de solução que usam volumes de Arquivos NetApp do Azure. Os recursos dos Arquivos NetApp do Azure, como volumes SMB, volumes de protocolo duplo e volumes Kerberos NFSv4.1, foram projetados para serem usados com o AD DS.
Este artigo fornece recomendações para ajudá-lo a desenvolver uma estratégia de implantação do AD DS para Arquivos NetApp do Azure. Antes de ler este artigo, você precisa ter um bom entendimento sobre como o AD DS funciona em um nível funcional.
Identificar os requisitos do AD DS para o Azure NetApp Files
Antes de implantar os volumes dos Arquivos NetApp do Azure, você deve identificar os requisitos de integração do AD DS para os Arquivos NetApp do Azure para garantir que os Arquivos NetApp do Azure estejam bem conectados ao AD DS. A integração incorreta ou incompleta do AD DS com os Arquivos NetApp do Azure pode causar interrupções ou interrupções de acesso do cliente para volumes SMB, protocolo duplo ou Kerberos NFSv4.1.
Cenários de autenticação suportados
Os Arquivos NetApp do Azure dão suporte à autenticação baseada em identidade sobre SMB por meio dos seguintes métodos.
- Autenticação do AD DS: as máquinas Windows associadas ao AD DS podem aceder a partilhas de Ficheiros NetApp do Azure com credenciais do Ative Directory através de SMB. Seu cliente deve ter linha de visão para seu AD DS. Se você já tiver o AD DS configurado no local ou em uma VM no Azure onde seus dispositivos ingressaram no domínio do AD DS, use o AD DS para autenticação de compartilhamento de arquivos dos Arquivos NetApp do Azure.
- Autenticação dos Serviços de Domínio Microsoft Entra: As VMs do Windows baseadas na nuvem e associadas aos Serviços de Domínio Microsoft Entra podem aceder a partilhas de ficheiros do Azure NetApp Files com credenciais dos Serviços de Domínio Microsoft Entra. Nesta solução, os Serviços de Domínio Microsoft Entra executam um domínio tradicional do Windows Server AD em nome do cliente.
- Microsoft Entra Kerberos para identidades híbridas: usar a ID do Microsoft Entra para autenticar identidades de usuário híbridas permite que os usuários do Microsoft Entra acessem compartilhamentos de arquivos do Azure NetApp Files usando a autenticação Kerberos. Isso significa que seus usuários finais podem acessar os compartilhamentos de arquivos do Azure NetApp Files sem exigir uma linha de visão para controladores de domínio do Microsoft Entra híbrido ingressado e Microsoft Entra ingressou em máquinas virtuais Windows ou Linux. Atualmente, não há suporte para identidades somente na nuvem.
- Autenticação Kerberos do AD para clientes Linux: os clientes Linux podem usar a autenticação Kerberos sobre SMB para Arquivos NetApp do Azure usando o AD DS.
Requisitos de rede
Os volumes SMB, protocolo duplo e Kerberos NFSv4.1 dos Arquivos NetApp do Azure exigem conectividade de rede confiável e de baixa latência (menos de 10 ms RTT) para controladores de domínio AD DS. A conectividade de rede fraca ou a alta latência de rede entre os Arquivos NetApp do Azure e os controladores de domínio do AD DS podem causar interrupções de acesso do cliente ou tempos limite do cliente.
Certifique-se de atender aos seguintes requisitos sobre topologia e configurações de rede:
- Verifique se uma topologia de rede com suporte para Arquivos NetApp do Azure é usada.
- Verifique se os controladores de domínio do AD DS têm conectividade de rede da sub-rede delegada dos Arquivos NetApp do Azure que hospeda os volumes dos Arquivos NetApp do Azure.
- As topologias de rede virtual emparelhadas com controladores de domínio AD DS devem ter o emparelhamento configurado corretamente para dar suporte aos Arquivos NetApp do Azure à conectividade de rede do controlador de domínio AD DS.
- Os NSGs (Grupos de Segurança de Rede) e os firewalls do controlador de domínio do AD DS devem ter regras configuradas adequadamente para dar suporte à conectividade dos Arquivos NetApp do Azure com o AD DS e o DNS.
- Verifique se a latência é inferior a 10 ms RTT entre os Arquivos NetApp do Azure e os controladores de domínio do AD DS.
As portas de rede necessárias são as seguintes:
| Serviço | Porta | Protocolo |
|---|---|---|
| Serviços Web do AD | 9389 | TCP |
| DNS* | 53 | TCP |
| DNS* | 53 | UDP |
| ICMPv4 | N/A | Echo Responder |
| Kerberos | 464 | TCP |
| Kerberos | 464 | UDP |
| Kerberos | 88 | TCP |
| Kerberos | 88 | UDP |
| LDAP | 389 | TCP |
| LDAP | 389 | UDP |
| LDAP | 389 | TLS |
| LDAP | 3268 | TCP |
| Nome NetBIOS | 138 | UDP |
| SAM/LSA | 445 | TCP |
| SAM/LSA | 445 | UDP |
*DNS em execução no controlador de domínio AD DS
Requisitos de DNS
Os volumes SMB, protocolo duplo e Kerberos NFSv4.1 dos Arquivos NetApp do Azure exigem acesso confiável aos serviços DNS (Sistema de Nomes de Domínio) e registros DNS atualizados. A má conectividade de rede entre os Arquivos NetApp do Azure e os servidores DNS pode causar interrupções de acesso do cliente ou tempos limite do cliente. Registros DNS incompletos ou incorretos para AD DS ou Arquivos NetApp do Azure podem causar interrupções de acesso do cliente ou tempos limite do cliente.
Os Arquivos NetApp do Azure dão suporte ao uso de DNS integrado do Ative Directory ou servidores DNS autônomos.
Certifique-se de atender aos seguintes requisitos sobre as configurações de DNS:
- Se estiver a utilizar servidores DNS autónomos:
- Verifique se os servidores DNS têm conectividade de rede com a sub-rede delegada dos Arquivos NetApp do Azure que hospeda os volumes dos Arquivos NetApp do Azure.
- Certifique-se de que as portas de rede UDP 53 e TCP 53 não estão bloqueadas por firewalls ou NSGs.
- Verifique se os registros SRV registrados pelo serviço Logon de Rede do AD DS foram criados nos servidores DNS.
- Verifique se os registros PTR para os controladores de domínio AD DS usados pelos Arquivos NetApp do Azure foram criados nos servidores DNS no mesmo domínio que sua configuração de Arquivos NetApp do Azure.
- Os Arquivos NetApp do Azure não excluem automaticamente os registros de ponteiro (PTR) associados às entradas DNS quando um volume é excluído. Os registros PTR são usados para pesquisas reversas de DNS, que mapeiam endereços IP para nomes de host. Eles geralmente são gerenciados pelo administrador do servidor DNS. Ao criar um volume nos Arquivos NetApp do Azure, você pode associá-lo a um nome DNS. No entanto, o gerenciamento de registros DNS, incluindo registros PTR, está fora do escopo dos Arquivos NetApp do Azure. Os Arquivos NetApp do Azure fornecem a opção de associar um volume a um nome DNS para facilitar o acesso, mas não gerenciam os registros DNS associados a esse nome. Se você excluir um volume nos Arquivos NetApp do Azure, os registros DNS associados (como os registros A para encaminhar pesquisas de DNS) precisarão ser gerenciados e excluídos do servidor DNS ou do serviço DNS que você está usando.
- Os Arquivos NetApp do Azure dão suporte a atualizações de DNS dinâmicas padrão e seguras. Se você precisar de atualizações de DNS dinâmicas seguras, certifique-se de que as atualizações seguras estejam configuradas nos servidores DNS.
- Se as atualizações de DNS dinâmico não forem usadas, você precisará criar manualmente um registro A e um registro PTR para a(s) conta(s) de computador do AD DS criada(s) na Unidade Organizacional do AD do AD do AD (especificada na conexão do Azure NetApp Files AD) para dar suporte à Assinatura LDAP dos Arquivos NetApp do Azure, LDAP sobre TLS, SMB, protocolo duplo ou volumes Kerberos NFSv4.1.
- Para topologias do AD DS complexas ou grandes, as Políticas de DNS ou a priorização de sub-redes DNS podem ser necessárias para suportar volumes NFS habilitados para LDAP.
Requisitos da fonte de tempo
Os Arquivos NetApp do Azure usam time.windows.com como a fonte de tempo. Verifique se os controladores de domínio usados pelos Arquivos NetApp do Azure estão configurados para usar time.windows.com ou outra fonte de tempo de raiz precisa e estável (estrato 1). Se houver mais de cinco minutos de distorção entre os Arquivos NetApp do Azure e seus controladores de domínio cliente ou AS DS, a autenticação falhará; o acesso aos volumes do Azure NetApp Files também pode falhar.
Decidir qual AD DS usar com os Arquivos NetApp do Azure
Os Arquivos NetApp do Azure dão suporte aos Serviços de Domínio Ative Directory (AD DS) e aos Serviços de Domínio Microsoft Entra para conexões AD. Antes de criar uma conexão AD, você precisa decidir se deseja usar o AD DS ou os Serviços de Domínio Microsoft Entra.
Para obter mais informações, consulte Comparar Serviços de Domínio Ative Directory autogerenciados, ID do Microsoft Entra e Serviços de Domínio Microsoft Entra gerenciados.
Considerações sobre os Serviços de Domínio Ative Directory
Você deve usar os Serviços de Domínio Ative Directory (AD DS) nos seguintes cenários:
- Você tem usuários do AD DS hospedados em um domínio do AD DS local que precisam de acesso aos recursos dos Arquivos NetApp do Azure.
- Você tem aplicativos hospedados parcialmente no local e parcialmente no Azure que precisam de acesso aos recursos do Azure NetApp Files.
- Você não precisa da integração dos Serviços de Domínio Microsoft Entra com um locatário do Microsoft Entra em sua assinatura, ou os Serviços de Domínio Microsoft Entra são incompatíveis com seus requisitos técnicos.
Nota
Os Arquivos NetApp do Azure não oferecem suporte ao uso de Controladores de Domínio Somente Leitura (RODC) do AD DS.
Se você optar por usar o AD DS com os Arquivos NetApp do Azure, siga as orientações em Estender o AD DS para o Guia de Arquitetura do Azure e certifique-se de atender aos requisitos de rede e DNS dos Arquivos NetApp do Azure para o AD DS.
Considerações sobre os Serviços de Domínio do Microsoft Entra
Os Serviços de Domínio do Microsoft Entra são um domínio AD DS gerenciado que é sincronizado com seu locatário do Microsoft Entra. Os principais benefícios de usar os Serviços de Domínio Microsoft Entra são os seguintes:
- O Microsoft Entra Domain Services é um domínio autônomo. Como tal, não há necessidade de configurar a conectividade de rede entre o local e o Azure.
- Fornece experiência simplificada de implantação e gerenciamento.
Você deve usar os Serviços de Domínio do Microsoft Entra nos seguintes cenários:
- Não há necessidade de estender o AD DS do local para o Azure para fornecer acesso aos recursos do Azure NetApp Files.
- Suas políticas de segurança não permitem a extensão do AD DS local para o Azure.
- Você não tem um forte conhecimento do AD DS. Os Serviços de Domínio Microsoft Entra podem melhorar a probabilidade de bons resultados com os Arquivos NetApp do Azure.
Se você optar por usar os Serviços de Domínio Microsoft Entra com Arquivos NetApp do Azure, consulte a documentação dos Serviços de Domínio Microsoft Entra para obter diretrizes de arquitetura, implantação e gerenciamento. Certifique-se de que também cumpre os requisitos de Rede e DNS de Ficheiros NetApp do Azure.
Projetar topologia de site do AD DS para uso com Arquivos NetApp do Azure
Um design adequado para a topologia de site do AD DS é fundamental para qualquer arquitetura de solução que envolva volumes SMB, protocolo duplo ou Kerberos NFSv4.1 do Azure NetApp Files.
A topologia ou configuração incorreta do site do AD DS pode resultar nos seguintes comportamentos:
- Falha ao criar volumes SMB, protocolo duplo ou Kerberos NFSv4.1 do Azure NetApp Files
- Falha ao modificar a configuração da conexão ANF AD
- Fraco desempenho da consulta do cliente LDAP
- Problemas de autenticação
Uma topologia de site do AD DS para Arquivos NetApp do Azure é uma representação lógica da rede de Arquivos NetApp do Azure. A criação de uma topologia de site do AD DS para os Arquivos NetApp do Azure envolve o planejamento do posicionamento do controlador de domínio, a criação de sites, a infraestrutura DNS e as sub-redes de rede para garantir uma boa conectividade entre o serviço Azure NetApp Files, os clientes de armazenamento do Azure NetApp Files e os controladores de domínio do AD DS.
Além de vários controladores de domínio atribuídos ao site do AD DS configurado no Nome do Site do AD dos Arquivos NetApp do Azure, o site do AD DS dos Arquivos NetApp do Azure pode ter uma ou mais sub-redes atribuídas a ele.
Nota
É essencial que todos os controladores de domínio e sub-redes atribuídos ao site AD DS dos Arquivos NetApp do Azure estejam bem conectados (latência RTT inferior a 10ms) e acessíveis pelas interfaces de rede usadas pelos volumes dos Arquivos NetApp do Azure.
Se estiver a utilizar funcionalidades de rede Padrão, deve certificar-se de que quaisquer regras de Rotas Definidas pelo Utilizador (UDRs) ou de Grupo de Segurança de Rede (NSG) não bloqueiem a comunicação de rede dos Ficheiros NetApp do Azure com controladores de domínio AD DS atribuídos ao site AD DS dos Ficheiros NetApp do Azure.
Se você estiver usando Dispositivos Virtuais de Rede ou firewalls (como firewalls Palo Alto Networks ou Fortinet), eles deverão ser configurados para não bloquear o tráfego de rede entre os Arquivos NetApp do Azure e os controladores de domínio e sub-redes do AD DS atribuídos ao site AD DS dos Arquivos NetApp do Azure.
Como os Arquivos NetApp do Azure usam as informações do site do AD DS
Os Arquivos NetApp do Azure usam o Nome do Site do AD configurado nas conexões do Ative Directory para descobrir quais controladores de domínio estão presentes para dar suporte à autenticação, associação ao domínio, consultas LDAP e operações de tíquete Kerberos.
Deteção do controlador de domínio do AD DS
Os Arquivos NetApp do Azure iniciam a descoberta do controlador de domínio a cada quatro horas. Os Arquivos NetApp do Azure consultam o registro de recurso de serviço DNS (SRV) específico do site para determinar quais controladores de domínio estão no site do AD DS especificado no campo Nome do Site do AD da conexão do Azure NetApp Files AD. A descoberta do servidor do controlador de domínio do Azure NetApp Files verifica o status dos serviços hospedados nos controladores de domínio (como Kerberos, LDAP, Logon de Rede e LSA) e seleciona o controlador de domínio ideal para solicitações de autenticação.
Os registros de recursos do serviço DNS (SRV) para o site do AD DS especificado no campo Nome do Site do AD da conexão do Azure NetApp Files AD devem conter a lista de endereços IP para os controladores de domínio do AD DS que serão usados pelos Arquivos NetApp do Azure. Você pode verificar a validade do registro de recurso DNS (SRV) usando o nslookup utilitário.
Nota
Se você fizer alterações nos controladores de domínio no site do AD DS usado pelos Arquivos NetApp do Azure, aguarde pelo menos quatro horas entre a implantação de novos controladores de domínio do AD DS e a desativação dos controladores de domínio AD DS existentes. Esse tempo de espera permite que os Arquivos NetApp do Azure descubram os novos controladores de domínio do AD DS.
Certifique-se de que os registos DNS obsoletos associados ao controlador de domínio AD DS descontinuado são removidos do DNS. Isso garante que os Arquivos NetApp do Azure não tentarão se comunicar com o controlador de domínio aposentado.
Deteção de servidor LDAP do AD DS
Um processo de descoberta separado para servidores LDAP do AD DS ocorre quando o LDAP está habilitado para um volume NFS do Azure NetApp Files. Quando o cliente LDAP é criado nos Arquivos NetApp do Azure, os Arquivos NetApp do Azure consultam o registro de recurso do serviço de domínio AD DS (SRV) para obter uma lista de todos os servidores LDAP do AD DS no domínio e não os servidores LDAP do AD DS atribuídos ao site do AD DS especificado na conexão do AD.
Em topologias do AD DS grandes ou complexas, talvez seja necessário implementar políticas de DNS ou priorização de sub-rede DNS para garantir que os servidores LDAP do AD DS atribuídos ao site do AD DS especificado na conexão do AD sejam retornados.
Como alternativa, o processo de descoberta do servidor LDAP do AD DS pode ser substituído especificando até dois servidores AD preferenciais para o cliente LDAP.
Importante
Se os Arquivos NetApp do Azure não puderem acessar um servidor LDAP do AD DS descoberto durante a criação do cliente LDAP dos Arquivos NetApp do Azure, a criação do volume habilitado para LDAP falhará.
Consequências da configuração incorreta ou incompleta do Nome do Site do AD
A topologia ou configuração incorreta ou incompleta do site do AD DS pode resultar em falhas de criação de volume, problemas com consultas de cliente, falhas de autenticação e falhas para modificar conexões do Azure NetApp Files AD.
Importante
O campo Nome do Site do AD é necessário para criar uma conexão do Azure NetApp Files AD. O site do AD DS definido deve existir e estar configurado corretamente.
Os Arquivos NetApp do Azure usam o Site do AD DS para descobrir os controladores de domínio e as sub-redes atribuídas ao Site do AD DS definido no Nome do Site do AD. Todos os controladores de domínio atribuídos ao Site do AD DS devem ter boa conectividade de rede das interfaces de rede virtual do Azure usadas pelo ANF e estar acessíveis. As VMs do controlador de domínio do AD DS atribuídas ao Site do AD DS usadas pelos Arquivos NetApp do Azure devem ser excluídas das políticas de gerenciamento de custos que desligam as VMs.
Se os Arquivos NetApp do Azure não conseguirem acessar nenhum controlador de domínio atribuído ao site do AD DS, o processo de descoberta do controlador de domínio consultará o domínio do AD DS para obter uma lista de todos os controladores de domínio. A lista de controladores de domínio retornados dessa consulta é uma lista não ordenada. Como resultado, os Arquivos NetApp do Azure podem tentar usar controladores de domínio que não estão acessíveis ou bem conectados, o que pode causar falhas de criação de volume, problemas com consultas de cliente, falhas de autenticação e falhas para modificar conexões do Azure NetApp Files AD.
Você deve atualizar a configuração do Site do AD DS sempre que novos controladores de domínio forem implantados em uma sub-rede atribuída ao site do AD DS usado pela Conexão do AD dos Arquivos NetApp do Azure. Certifique-se de que os registros SRV DNS do site reflitam quaisquer alterações nos controladores de domínio atribuídos ao Site do AD DS usado pelos Arquivos NetApp do Azure. Você pode verificar a validade do registro de recurso DNS (SRV) usando o nslookup utilitário.
Nota
Os Arquivos NetApp do Azure não oferecem suporte ao uso de Controladores de Domínio Somente Leitura (RODC) do AD DS. Para impedir que os Arquivos NetApp do Azure usem um RODC, não configure o campo Nome do Site do AD das conexões do AD com um RODC.
Exemplo de configuração de topologia de site do AD DS para Arquivos NetApp do Azure
Uma topologia de site do AD DS é uma representação lógica da rede onde os Arquivos NetApp do Azure são implantados. Nesta seção, o cenário de configuração de exemplo para topologia de site do AD DS pretende mostrar um design de site básico do AD DS para Arquivos NetApp do Azure. Não é a única maneira de projetar topologia de rede ou site do AD para Arquivos NetApp do Azure.
Importante
Para cenários que envolvem AD DS complexos ou topologias de rede complexas, você deve ter um CSA do Microsoft Azure que revise a rede dos Arquivos NetApp do Azure e o design do Site do AD.
O diagrama a seguir mostra uma topologia de rede de exemplo: sample-network-topology.png 
Na topologia de rede de exemplo, um domínio AD DS local (anf.local) é estendido para uma rede virtual do Azure. A rede local está conectada à rede virtual do Azure usando um circuito de Rota Expressa do Azure.
A rede virtual do Azure tem quatro sub-redes: Sub-rede de Gateway, Sub-rede de Bastião do Azure, Sub-rede AD DS e uma Sub-rede Delegada de Arquivos NetApp do Azure. Os controladores de domínio redundantes do AD DS associados ao anf.local domínio são implantados na sub-rede do AD DS. A sub-rede AD DS recebe o intervalo de endereços IP 10.0.0.0/24.
Os Arquivos NetApp do Azure só podem usar um site do AD DS para determinar quais controladores de domínio serão usados para autenticação, consultas LDAP e Kerberos. No cenário de exemplo, dois objetos de sub-rede são criados e atribuídos a um site chamado ANF usando o utilitário Sites e Serviços do Ative Directory. Um objeto de sub-rede é mapeado para a sub-rede do AD DS, 10.0.0.0/24, e o outro objeto de sub-rede é mapeado para a sub-rede delegada ANF, 10.0.2.0/24.
Na ferramenta Sites e Serviços do Ative Directory, verifique se os controladores de domínio do AD DS implantados na sub-rede do AD DS estão atribuídos ao ANF site:
Para criar o objeto de sub-rede que mapeia para a sub-rede AD DS na rede virtual do Azure, clique com o botão direito do mouse no contêiner Sub-redes no utilitário Sites e Serviços do Ative Directory e selecione Nova Sub-rede....
Na caixa de diálogo Novo Objeto - Sub-rede, o intervalo de endereços IP 10.0.0.0/24 da Sub-rede AD DS é inserido no campo Prefixo. Selecione ANF como o objeto de site para a sub-rede. Selecione OK para criar o objeto de sub-rede e atribuí-lo ao ANF site.
Para verificar se o novo objeto de sub-rede está atribuído ao site correto, clique com o botão direito do mouse no objeto de sub-rede 10.0.0.0/24 e selecione Propriedades. O campo Site deve mostrar o objeto do ANF site:
Para criar o objeto de sub-rede que mapeia para a sub-rede delegada dos Arquivos NetApp do Azure na rede virtual do Azure, clique com o botão direito do mouse no contêiner Sub-redes no utilitário Sites e Serviços do Ative Directory e selecione Nova Sub-rede....
Considerações sobre replicação entre regiões
A replicação entre regiões do Azure NetApp Files permite replicar volumes de Arquivos NetApp do Azure de uma região para outra região para dar suporte aos requisitos de continuidade de negócios e recuperação de desastres (BC/DR).
Os volumes Kerberos SMB, protocolo duplo e NFSv4.1 dos Arquivos NetApp do Azure oferecem suporte à replicação entre regiões. A replicação desses volumes requer:
- Uma conta NetApp criada nas regiões de origem e de destino.
- Uma conexão do Ative Directory de Arquivos NetApp do Azure na conta NetApp criada nas regiões de origem e destino.
- Os controladores de domínio do AD DS são implantados e executados na região de destino.
- O design adequado da rede, do DNS e do site do AD DS dos Arquivos NetApp do Azure deve ser implantado na região de destino para permitir uma boa comunicação de rede dos Arquivos NetApp do Azure com os controladores de domínio do AD DS na região de destino.
- A conexão do Ative Directory na região de destino deve ser configurada para usar os recursos do Site DNS e do AD na região de destino.
Próximos passos
- Criar e gerir ligações do Active Directory
- Modificar conexões do Ative Directory
- Habilitar a autenticação LDAP do AD DS para volumes NFS
- Criar um volume SMB
- Criar um volume de protocolo duplo
- Erros para volumes SMB e dual-protocol
- Acessar volumes SMB de máquinas virtuais Windows ingressadas no Microsoft Entra