¿Cómo se configura una máquina virtual de almacenamiento (SVM) con AWS Managed Microsoft AD para los recursos compartidos del sistema común de archivos de Internet (CIFS) en FSx para ONTAP?

Descripción breve

Para acceder a los datos mediante el protocolo Server Message Block (SMB), una la SVM mediante dominio. Puede realizar la operación de unión mediante dominio al crear una SVM desde la consola de Amazon FSx. Para obtener más información, consulte Creating a virtual storage machine (Crear una máquina virtual de almacenamiento).

Resolución

Una mediante dominio la máquina virtual de almacenamiento (SVM) con la interfaz de línea de comandos (CLI) de NetApp ONTAP

1.    Abra la consola de Amazon FSx.

2.    Seleccione la pestaña Administration (Administración) que se encuentra bajo el sistema de archivos FSx para ONTAP. Anote la dirección IP del punto de conexión de administración. Utilizará la dirección IP para establecer conexión con el clúster.

3.    Acceda mediante el intérprete de órdenes seguro (SSH) al punto de conexión de administración del clúster de FSx para ONTAP. Complete esta acción mediante Windows PowerShell o un shell de Linux en la instancia de Amazon Elastic Compute Cloud (Amazon EC2). En el siguiente comando de ejemplo, sustituya IP de administración por la dirección IP del punto de conexión de administración.

ssh fsxadmin@ management IP

Para obtener más información, consulte Uso de la CLI de NetApp ONTAP.

4.    Ingrese la contraseña de la cuenta de servicio fsxadmin para establecer conexión con el punto de conexión de administración de FSx para ONTAP.

Nota: La contraseña de la cuenta de servicio fsxadmin se establece en la pestaña Administration (Administración) de la consola de Amazon FSx.

5.    Tras establecer conexión con el punto de conexión, ejecute los siguientes comandos para completar la operación de unión mediante dominio. En los siguientes comandos de ejemplo, sustituya svm name (nombre de la máquina virtual de almacenamiento), domain name (nombre del dominio), domain DNS IP (IP del DNS del dominio) y name of the computer object to be created for svm (nombre del objeto de computadora que se va a crear para la máquina virtual de almacenamiento) por los valores correctos en función del caso de uso.

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    Para comprobar si la unión mediante dominio se realizó correctamente, verifique que los objetos de computadora se hayan creado en la unidad de organización en AWS Managed Microsoft AD. Además, ejecute los siguientes comandos para ver el estado de las SVM unidas mediante dominio y la configuración de DNS:

vserver cifs show
vserver services name-service dns show

7.    Ejecute el siguiente comando para desvincular la SVM del dominio. En el siguiente comando de ejemplo, sustituya svm name (nombre de la máquina virtual de almacenamiento) por el nombre correcto de la SVM.

vserver cifs delete -vserver svm name

Administre los recursos compartidos de CIFS mediante la CLI de NetApp ONTAP

Nota: Los siguientes comandos provienen del sitio web de NetApp.

Cree recursos compartidos y agregue permisos a recursos compartidos mediante la CLI de NetApp ONTAP. Para crear recursos compartidos, utilice el comando vserver cifs share create. Al crear recursos compartidos, defina path (ruta) y share name (nombre del recurso compartido). Además, establezca diferentes propiedades del recurso compartido, como oplocks, attributecache y continuously-available.

Para revisar los detalles del recurso compartido, ejecute el comando vserver cifs share show. En el siguiente comando, sustituya svm name (nombre de la máquina virtual de almacenamiento) por el nombre correcto de la SVM.

vserver cifs share show -vserver svm name

Agregue permisos a los recursos compartidos mediante el comando vserver cifs share access-control create, como se indica en el siguiente ejemplo. En el siguiente comando, sustituya myonpremdomain por el nombre correcto del dominio.

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

El comando anterior agrega myonpremdomain\administrator al recurso compartido de C$ con control total.

Al crear la SVM con AWS Managed Microsoft AD, especifique el grupo de administradores delegados del sistema de archivos. Si no se especifica este grupo, el grupo administrador del dominio será el predeterminado. Dado que AWS Managed Microsoft AD no tiene acceso a la cuenta de administrador del dominio, es posible que no se pueda establecer conexión con el sistema de archivos. Si esto ocurre, ejecute el comando cifs share access-control para agregar el usuario o grupo requerido a C$.

Después de agregar los permisos, ejecute el comando vserver cifs share access-control show para revisar el control de acceso:

vserver cifs share access-control show -vserver new-svm

Opcionalmente, puede agregar usuarios o grupos de Active Directory a grupos específicos de la SVM al ejecutar el comando vserver cifs users-and-groups local-group add-members:

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

Después de agregar miembros a los grupos locales en la SVM, compruebe la pertenencia al grupo mediante el comando vserver cifs users-and-groups local-group show-members:

vserver cifs users-and-groups local-group show-members

Solución de problemas

Es posible que aparezcan los siguientes errores al crear el servidor virtual de CIFS junto con AWS Managed Microsoft AD:

ERROR: se produjo un error durante la creación: no se pudo crear la cuenta de máquina de Active Directory..Morivo: Error SecD: no hay servidor disponible

El error anterior se puede producir si el puerto 53 de DNS (TCP o UDP) está bloqueado. Compruebe que FSx para ONTAP correspondiente a la SVM en cuestión se puede comunicar con el servidor o servidores DNS en el puerto 53 (UPD/TCP). Para validar y actualizar los servidores de DNS de servidor virtual, utilice el comando vserver services name-service. Para obtener más información, consulte vserver services name-service dns create en la documentación de NetApp.

ERROR: no se pudo crear el servidor de CIFS XXXXXXXXXX. Motivo: error de Kerberos: no se pudo acceder a KDC

El error anterior se puede producir si el puerto 88 (TCP) o el puerto 464 de Kerberos están bloqueados. Verifique que los puertos están abiertos entre la SVM y la red de AWS Managed Microsoft AD.

ERROR: error durante la creación: no se pudo crear la cuenta de máquina de Active Directory. Motivo: error del protocolo ligero de acceso a directorios (LDAP): no se puede contactar con el servidor de LDAP

Para resolver el error anterior, siga los pasos que se indican a continuación:

1.    Verifique que el LIF seleccionado para la salida puede acceder al servidor de LDAP.

2.    Asegúrese de que el puerto de LDAP 389 (TCP o UDP) no esté bloqueado.

3.    Asegúrese de que el puerto 636 esté activado si se utiliza LDAPS.

ERROR: no se pudo crear la cuenta de máquina de Active Directory. Motivo: error de LDAP: se produjo un error local

Para resolver el error anterior, siga los pasos que se indican a continuación:

1.    Use el siguiente comando para activar LDAP en la SVM:

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    Siga las instrucciones que aparecen en la documentación de NetApp para instalar la entidad de certificación raíz autofirmada en la SVM.

ERROR: no se pudo crear la cuenta de máquina de Active Directory. Motivo: error de recepción del socket

Para resolver el error anterior, active SMB2 como ajuste predeterminado. SMB2 está desactivado para la comunicación del controlador de dominio (DC) en las versiones 8.3.2P5 y superiores de FSx para ONTAP.

1.    Ejecute el siguiente comando para verificar la configuración de SMB:

vserver cifs security show -vserver SVM

2.    Ejecute el siguiente comando para activar SMB2:

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

Para obtener más información, consulte vserver cifs security modify (modificar la seguridad de cifs de servidor virtual) en la documentación de NetApp.

ERROR: no se pudo crear la cuenta de máquina de Active Directory. Motivo: error de LDAP: se produjo una infracción de la restricción.

Durante la creación de CIFS, se crea un nombre de entidad principal de servicio (SPN) para el servidor de CIFS. El SPN se asocia a la cuenta que se especifique en el comando de creación de CIFS. Para resolver el error anterior, siga los pasos que se indican a continuación:

1.    Use el comando SetSPN para verificar los SPN.

2.    Consulte AWS Managed Microsoft AD para encontrar un posible SPN existente desde el indicador CMD. En el siguiente comando de ejemplo, sustituya account (cuenta) por la cuenta.

setspn -q */account

Para eliminar el SPN existente, ejecute el siguiente comando desde un controlador de dominio. En el siguiente comando, sustituya el SPN por el SPN del resultado del comando anterior y account (cuenta) por la cuenta.

setspn -D SPN account

Para obtener más información, consulte Service principal names (Nombres de entidades principales de servicio) en la documentación de Microsoft.

ERROR: no se pudo crear el servidor de CIFS. Motivo: no se pudo crear la cuenta de máquina de Active Directory. Motivo: error de LDAP: se requiere una autenticación segura.

El error anterior se produce cuando la política de dominio requiere el sellado y la firma de LDAP. Esta funcionalidad se agregó en FSx para ONTAP 9. Para resolver este problema, siga uno de los pasos que se indican a continuación:

• Siga las instrucciones que aparecen en la documentación de NetApp turn on LDAP signing and sealing (Activar la firma y el sellado de LDAP).
• Actualice a ONTAP 9.5 o a una versión posterior y active LDAPS.
• Siga las instrucciones que aparecen en la documentación de NetApp para configurar LDAP a través de TLS.
• Si ninguna de las opciones expuestas es viable, desactive el requisito de firma y sellado de LDAP en el GPO o registro del dominio.

---