Wie konfiguriere ich SVM mit AWS Managed Microsoft AD für CIFS-Shares in FSx für ONTAP?

Lesedauer: 8 Minute
0

Ich möchte meine virtuellen Speichermaschinen (SVMs) konfigurieren, wenn ich AWS Directory Service für Microsoft Active Directory (AWS Managed Microsoft AD) für CIFS auf Amazon FSx für NetApp ONTAP verwende.

Kurzbeschreibung

Um über das SMB-Protokoll (Server Message Block) auf Daten zuzugreifen, treten Sie der SVM-Domain bei. Sie können einer Domain beitreten, wenn Sie eine SVM von der Amazon-FSx-Konsole aus erstellen. Weitere Informationen finden Sie unter Erstellen einer virtuellen Speichermaschine.

Lösung

SVM-Domainbeitritt mit der NetApp-ONTAP-CLI

1.    Öffnen Sie die Amazon FSx-Konsole.

2.    Wählen Sie Ihr FSx-für-ONTAP-Dateisystem aus und wählen Sie dann die Registerkarte Administration. Notieren Sie sich die IP-Adresse des Verwaltungsendpunkts. Sie werden diese IP-Adresse verwenden, um eine Verbindung zum Cluster herzustellen.

3.    SSH in den FSx für den Verwaltungsendpunkt des ONTAP-Clusters. Verwenden Sie dazu eine Windows PowerShell oder eine Linux-Shell auf Ihrer Amazon-EC2-Instance (Amazon Elastic Compute Cloud). Ersetzen Sie im folgenden Beispielbefehl die Verwaltungs-IP durch die IP-Adresse Ihres Verwaltungsendpunkts.

ssh fsxadmin@ management IP

Weitere Informationen finden Sie unter Verwenden der NetApp-ONTAP-CLI.

4.    Geben Sie das Passwort für das fsxadmin-Servicekonto ein, um eine Verbindung zum FSx-für-ONTAP-Verwaltungsendpunkt herzustellen.

Hinweis: Das Passwort für das fsxadmin-Servicekonto wird auf der Registerkarte Administration in der Amazon-FSx-Konsole festgelegt.

5.    Führen Sie nach der Verbindung mit dem Endpunkt die folgenden Befehle aus, um den Vorgang zum Domainbeitritt abzuschließen. Ersetzen Sie in den folgenden Beispielbefehlen den SVM-Namen, den Domainnamen, die Domain-DNS-IP und den Namen des Computerobjekts, das für svm erstellt werden soll durch die richtigen Werte für Ihren Anwendungsfall.

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    Um zu überprüfen, ob der Domainbeitritt erfolgreich ist, stellen Sie sicher, dass die Computerobjekte in der Organisationseinheit im AWS Managed Microsoft AD erstellt wurden. Führen Sie außerdem die folgenden Befehle aus, um den Status Ihrer mit der Domain verbundenen SVMs und DNS-Einstellungen einzusehen:

vserver cifs show
vserver services name-service dns show

7.    Führen Sie den folgenden Befehl aus, um die SVM von der Domain zu trennen. Ersetzen Sie im folgenden Befehl svm name durch den richtigen Namen für Ihre SVM.

vserver cifs delete -vserver svm name

CIFS-Shares mit der NetApp-ONTAP-CLI verwalten

Hinweis: Die folgenden Befehle stammen von der NetApp-Website.

Erstellen Sie Shares und fügen Sie den Shares mithilfe der NetApp-ONTAP-CLI Berechtigungen hinzu. Verwenden Sie den Befehl vserver cifs share create, um Shares zu erstellen. Legen Sie beim Erstellen von Shares den Pfad und den Share-Namen fest. Stellen Sie außerdem verschiedene Share-Eigenschaften fest, darunter oplocks, attributecache und continuously-available.

Führen Sie den Befehl vserver cifs share show aus, um die Share-Details zu überprüfen. Ersetzen Sie im folgenden Befehl svm name durch den richtigen Namen für Ihre SVM.

vserver cifs share show -vserver svm name

Fügen Sie mithilfe des Befehls vserver cifs share access-control create Berechtigungen zu den Shares hinzu, wie im folgenden Beispiel gezeigt. Ersetzen Sie im folgenden Befehl myonpremdomain durch den richtigen Namen Ihrer Domain.

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

Der vorherige Befehl fügt myonpremdomain\administrator zum C$-Share mit Vollzugriff hinzu.

Wenn Sie SVM mit AWS Managed Microsoft AD erstellen, geben Sie die Gruppe der delegierten Dateisystemadministratoren an. Wenn diese Gruppe nicht angegeben ist, ist die Gruppe domain admin die Standardeinstellung. Da AWS Managed Microsoft AD keinen Zugriff auf das Domainadministratorkonto hat, können Sie möglicherweise keine Verbindung zum Dateisystem herstellen. Führen Sie in diesem Fall den Befehl cifs share access-control aus, um den erforderlichen Benutzer oder die erforderliche Gruppe zum C$ hinzuzufügen.

Überprüfen Sie nach dem Hinzufügen von Berechtigungen die Zugriffskontrolle, indem Sie den Befehl vserver cifs share access-control show ausführen:

vserver cifs share access-control show -vserver new-svm

Sie können optional Active-Directory-Benutzer oder -Gruppen zu bestimmten Gruppen in der SVM hinzufügen, indem Sie den Befehl vserver cifs users-and-groups local-group add-members ausführen:

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

Nachdem Sie Mitglieder zu den lokalen Gruppen in SVM hinzugefügt haben, überprüfen Sie die Gruppenmitgliedschaft mit dem Befehl vserver cifs users-and-groups local-group show-members:

vserver cifs users-and-groups local-group show-members

Fehlerbehebung

Beim Erstellen eines CIFS-vserver zusammen mit AWS Managed Microsoft AD werden möglicherweise die folgenden Fehler angezeigt:

ERROR: Error when creating - Failed to create the Active Directory machine account. Reason: SecD Error: no server available (FEHLER: Fehler bei der Erstellung – Das Active-Directory-Maschinenkonto konnte nicht erstellt werden. Grund: SecD Fehler: kein Server verfügbar)

Der vorherige Fehler kann auftreten, wenn der DNS-Port 53 (TCP oder UDP) blockiert ist. Stellen Sie sicher, dass FSx für ONTAP für die betreffende SVM mit dem oder den DNS-Server(n) auf Port 53 (UPD/TCP) kommunizieren kann. Verwenden Sie den Befehl vserver services name-service, um vserver-DNS-Server zu validieren und zu aktualisieren. Weitere Informationen finden Sie unter vserver services name-service dns create in der NetApp-Dokumentation.

ERROR: Failed to create CIFS server XXXXXXXXXX. Reason: Kerberos Error: KDC Unreachable (FEHLER: CIFS-Server XXXXXXXXXX konnte nicht erstellt werden. Grund: Kerberos-Fehler: KDC unerreichbar)

Der vorherige Fehler kann auftreten, wenn Kerberos-Port 88 (TCP) oder Port 464 blockiert ist. Stellen Sie sicher, dass die Ports zwischen der SVM und dem AWS-Managed-Microsoft-AD-Netzwerk geöffnet sind.

ERROR: Error when creating - Failed to create the Active Directory machine account. Reason: LDAP Error: Cannot contact the LDAP server (FEHLER: Fehler bei der Erstellung – Das Active-Directory-Maschinenkonto konnte nicht erstellt werden. Grund: LDAP-Fehler: Der LDAP-Server kann nicht kontaktiert werden)

Gehen Sie wie folgt vor, um den vorherigen Fehler zu beheben:

1.    Stellen Sie sicher, dass die für den ausgehenden Datenverkehr ausgewählte LIF für den LDAP-Server erreichbar ist.

2.    Stellen Sie sicher, dass der LDAP-Port 389 (TCP oder UDP) nicht blockiert ist.

3.    Stellen Sie sicher, dass Port 636 aktiviert ist, wenn Sie LDAPS verwenden.

ERROR: Failed to create the Active Directory machine account. Reason: LDAP Error: Local error occurred (FEHLER: Das Active-Directory-Maschinenkonto konnte nicht erstellt werden. Grund: LDAP-Fehler: Lokaler Fehler aufgetreten)

Gehen Sie wie folgt vor, um den vorherigen Fehler zu beheben:

1.    Verwenden Sie den folgenden Befehl, um LDAPs auf der SVM zu aktivieren:

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    Folgen Sie den Anweisungen in der NetApp-Dokumentation, um die selbstsignierte Root-CA auf der SVM zu installieren.

ERROR: Failed to create the Active Directory machine account. Reason: Socket receive error (FEHLER: Das Active-Directory-Maschinenkonto konnte nicht erstellt werden. Grund: Socket-Empfangsfehler)

Um den vorherigen Fehler zu beheben, aktivieren Sie SMB2 als Standardeinstellung. SMB2 ist für die Domaincontroller-Kommunikation (DC) in FSx für ONTAP in den Versionen 8.3.2P5 und höher deaktiviert.

1.    Führen Sie den folgenden Befehl aus, um die SMB-Einstellungen zu überprüfen.

vserver cifs security show -vserver SVM

2.    Führen Sie den folgenden Befehl aus, um SMB2 zu aktivieren:

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

Weitere Informationen finden Sie unter vserver cifs security modify in der NetApp-Dokumentation.

ERROR: Failed to create the Active Directory machine account. Reason: LDAP Error: A constraint violation occurred. (FEHLER: Das Active-Directory-Maschinenkonto konnte nicht erstellt werden. Grund: LDAP-Fehler: Eine Beschränkungsverletzung ist aufgetreten.)

Während der CIFS-Erstellung wird ein Service Principal Name (SPN) für den CIFS-Server erstellt. Der SPN wird an das Konto angehängt, das Sie im CIFS-Erstellungsbefehl angeben. Gehen Sie wie folgt vor, um den vorherigen Fehler zu beheben:

1.    Verwenden Sie den Befehl SetSPN, um die SPNs zu überprüfen.

2.    Fragen Sie das AWS Managed Microsoft AD ab, um in der CMD-Eingabeaufforderung nach einem möglichen vorhandenen SPN zu suchen. Ersetzen Sie im folgenden Beispielbefehl account durch Ihr Konto.

setspn -q */account

Um den vorhandenen SPN zu löschen, führen Sie den folgenden Befehl von einem Domaincontroller aus. Ersetzen Sie im folgenden Befehl SPN durch den SPN aus der vorherigen Befehlsausgabe und account durch Ihr Konto.

setspn -D SPN account

Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Dienstprinzipalnamen.

ERROR: Failed to create CIFS server. Reason: Failed to create the Active Directory machine account. Reason: LDAP Error: Strong authentication is required. (FEHLER: CIFS-Server konnte nicht erstellt werden. Grund: Das Active-Directory-Maschinenkonto konnte nicht erstellt werden. Grund: LDAP-Fehler: Starke Authentifizierung ist erforderlich.)

Der vorherige Fehler tritt auf, wenn die Domainrichtlinie das Versiegeln und Signieren von LDAP erfordert. Diese Funktion wurde in FSx für ONTAP 9 hinzugefügt. Führen Sie einen der folgenden Schritte aus, um dieses Problem zu beheben:

  • Folgen Sie den Anweisungen in der NetApp-Dokumentation, um das Signieren und Versiegeln von LDAP zu aktivieren.
  • Führen Sie ein Upgrade auf ONTAP 9.5 oder höher durch und aktivieren Sie LDAPS.
  • Folgen Sie den Anweisungen in der NetApp-Dokumentation, um LDAP über TLS zu konfigurieren.
  • Wenn keine der oben genannten Optionen möglich ist, deaktivieren Sie die Anforderung zur LDAP-Signatur und -Versiegelung im Domain-GPO oder Registry.

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Monaten