FSx for ONTAP에서 CIFS 공유를 위해 AWS Managed Microsoft AD를 사용하여 SVM을 구성하려면 어떻게 해야 하나요?

간략한 설명

서버 메시지 블록(SMB) 프로토콜을 사용하여 데이터에 액세스하려면 SVM을 도메인 조인하세요. Amazon FSx 콘솔에서 SVM을 생성할 때 도메인 조인할 수 있습니다. 자세한 내용은 스토리지 가상 머신 생성을 참조하세요.

해결 방법

NetApp ONTAP CLI를 이용한 SVM 도메인 조인

1.    Amazon FSx 콘솔을 엽니다.

2.    FSx for ONTAP 파일 시스템 아래에서 Administration(관리) 탭을 선택합니다. Management endpoint IP address(관리 엔드포인트 IP 주소)를 기록해 둡니다. 이 IP 주소를 사용하여 클러스터에 연결합니다.

3.    FSx for ONTAP 클러스터의 관리 엔드포인트에 SSH로 연결합니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 Windows PowerShell 또는 Linux 쉘을 사용하세요. 다음 예제 명령에서 관리 IP를 관리 엔드포인트 IP 주소로 바꿉니다.

ssh fsxadmin@ management IP

자세한 내용은 NetApp ONTAP CLI 사용을 참조하세요.

4.    fsxadmin 서비스 계정 암호를 입력하여 FSx for ONTAP 관리 엔드포인트에 연결합니다.

참고: fsxadmin 서비스 계정 암호는 Amazon FSx 콘솔의 Administration(관리) 탭에서 설정합니다.

5.    엔드포인트에 연결한 후 다음 명령을 실행하여 도메인 조인 작업을 완료합니다. 다음 예제 명령에서 svm name(SVM 이름), domain name(도메인 이름), domain DNS IP(도메인 DNS IP), name of the computer object to be created for svm(SVM에 대해 생성할 컴퓨터 객체 이름)을 사용 사례에 맞는 올바른 값으로 바꿉니다.

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    도메인 조인이 성공했는지 확인하려면 AWS Managed Microsoft AD의 조직 단위에 컴퓨터 객체가 생성되었는지 확인하세요. 또한 다음 명령을 실행하여 도메인 조인된 SVM 및 DNS 설정의 상태를 확인하세요.

vserver cifs show
vserver services name-service dns show

7.    다음 명령을 실행하여 도메인에서 SVM을 조인 해제합니다. 다음 예제 명령에서 svm name을 SVM의 올바른 이름으로 변경합니다.

vserver cifs delete -vserver svm name

NetApp ONTAP CLI를 사용하여 CIFS 공유 관리

참고: 다음 명령은 NetApp 웹 사이트에서 가져온 것입니다.

NetApp ONTAP CLI를 사용하여 공유를 생성하고 공유에 권한을 추가합니다. 공유를 생성하려면 vserver cifs share create 명령을 사용합니다. 공유를 생성할 때 path(경로) 및 share name(공유 이름)을 정의합니다. 또한 oplocks, attributecache, continuously-available 등 다양한 공유 속성을 설정합니다.

공유 세부 정보를 검토하려면 vserver cifs share show 명령을 실행합니다. 다음 명령에서 svm name을 SVM의 올바른 이름으로 변경합니다.

vserver cifs share show -vserver svm name

다음 예와 같이 vserver cifs share access-control create 명령을 사용하여 공유에 권한을 추가합니다. 다음 명령에서 myonpremdomain을 올바른 도메인 이름으로 변경합니다.

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

위 명령은 Full Control(전체 제어)를 사용해 myonpremdomain\administrator를 C$ 공유에 추가합니다.

AWS Managed Microsoft AD를 사용하여 SVM을 생성할 경우 Delegated file system administrators(위임된 파일 시스템 관리자) 그룹을 지정하세요. 이 그룹을 지정하지 않으면 기본값은 domain admin(도메인 관리자) 그룹입니다. AWS Managed Microsoft AD가 도메인 관리자 계정에 액세스할 수 없으므로 파일 시스템에 연결하지 못할 수 있습니다. 이 경우 cifs share access-control 명령을 실행하여 필요한 사용자 또는 그룹을 C$에 추가합니다.

권한을 추가한 후 vserver cifs share access-control show 명령을 실행하여 액세스 제어를 검토하세요.

vserver cifs share access-control show -vserver new-svm

vserver cifs users-and-groups local-group add-members 명령을 실행하여 SVM의 특정 그룹에 Active Directory 사용자 또는 그룹을 선택적으로 추가할 수 있습니다.

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

SVM의 로컬 그룹에 멤버를 추가한 후 vserver cifs users-and-groups local-group show-members 명령을 사용해 그룹 멤버 자격을 확인하세요.

vserver cifs users-and-groups local-group show-members

문제 해결

AWS 관리형 Microsoft AD와 함께 CIFS vserver를 생성할 때 다음과 같은 오류가 표시될 수 있습니다.

ERROR: Error when creating - Failed to create the Active Directory machine account. Reason: SecD Error: no server available

DNS 포트 53(TCP 또는 UDP)이 차단된 경우 위 오류가 발생할 수 있습니다. 해당 SVM의 FSx for ONTAP이 DNS 서버 또는 포트 53(UPD/TCP)의 서버와 통신할 수 있는지 확인합니다. vserver DNS 서버를 검증하고 업데이트하려면 vserver services name-service 명령을 사용합니다. 자세한 내용은 NetApp 설명서에서 vserver 서비스 name-service dns 생성을 참조하세요.

ERROR: Failed to create CIFS server XXXXXXXXXX. Reason: Kerberos Error: KDC Unreachable

Kerberos 포트 88(TCP) 또는 포트 464가 차단된 경우 위 오류가 발생할 수 있습니다. SVM과 AWS Managed Microsoft AD 네트워크 사이에 포트가 열려 있는지 확인하세요.

ERROR: Error when creating - Failed to create the Active Directory machine account. Reason: LDAP Error: Cannot contact the LDAP server

앞의 오류를 해결하려면 다음 단계를 완료하세요.

1.    송신을 위해 선택한 LIF가 LDAP 서버에 연결할 수 있는지 확인합니다.

2.    LDAP 포트 389(TCP 또는 UDP)가 차단되지 않았는지 확인합니다.

3.    LDAPS를 사용하는 경우 포트 636이 켜져 있는지 확인합니다.

ERROR: Failed to create the Active Directory machine account. Reason: LDAP Error: Local error occurred

앞의 오류를 해결하려면 다음 단계를 완료하세요.

1.    다음 명령을 사용하여 SVM에서 LDAP를 켭니다.

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    NetApp 설명서의 지침에 따라 SVM에 자체 서명된 루트 CA를 설치합니다.

ERROR: Failed to create the Active Directory machine account. Reason: Socket receive error

위 오류를 해결하려면 SMB2를 기본 설정으로 켭니다. FSx for ONTAP 버전 8.3.2P5 이상에서는 도메인 컨트롤러(DC) 통신에 대해 SMB2가 꺼져 있습니다.

1.    다음 명령을 실행하여 SMB 설정을 확인합니다.

vserver cifs security show -vserver SVM

2.    다음 명령을 실행하여 SMB2를 켭니다.

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

자세한 내용은 NetApp 설명서의 vserver cifs 보안 수정을 참조하세요.

ERROR: Failed to create the Active Directory machine account. Reason: LDAP Error: A constraint violation occurred.

CIFS 생성 중에 CIFS 서버에 대한 서비스 보안 주체 이름(SPN)이 생성됩니다. SPN은 CIFS 생성 명령에서 지정한 계정에 연결됩니다. 앞의 오류를 해결하려면 다음 단계를 완료하세요.

1.    SetSPN 명령을 사용하여 SPN을 확인합니다.

2.    AWS Managed Microsoft AD를 쿼리하여 CMD 프롬프트에서 사용할 수 있는 기존 SPN을 찾습니다. 다음 예제 명령에서 account(계정)를 사용자 계정으로 바꿉니다.

setspn -q */account

기존 SPN을 삭제하려면 도메인 컨트롤러에서 다음 명령을 실행합니다. 다음 명령에서 SPN을 이전 명령 출력의 SPN으로 바꾸고 account(계정)를 사용자 계정으로 바꿉니다.

setspn -D SPN account

자세한 내용은 Microsoft 설명서의 서비스 보안 주체 이름을 참조하세요.

ERROR: Failed to create CIFS server. Reason: Failed to create the Active Directory machine account. Reason: LDAP Error: Strong authentication is required.

위 오류는 도메인 정책에 LDAP 봉인 및 서명이 필요할 때 발생합니다. 이 기능은 FSx for ONTAP 9에 추가되었습니다. 이 문제를 해결하려면 다음 단계 중 하나를 완료하세요.

• NetApp 설명서의 지침에 따라 LDAP 서명 및 봉인을 켭니다.
• ONTAP 9.5 이상으로 업그레이드하고 LDAPS를 켭니다.
• NetApp 설명서의 지침에 따라 TLS를 통한 LDAP를 구성합니다.
• 위의 옵션 중 어느 것도 실행할 수 없는 경우 도메인 GPO 또는 레지스트리에서 LDAP 서명 및 봉인 요구 사항을 해제하세요.

---