如何在 FSx for ONTAP 上为 CIFS 共享配置 SVM 与 AWS Managed Microsoft AD？

4 分钟阅读

我想要在 Amazon FSx for NetApp ONTAP 上使用 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) for CIFS 时配置我的存储虚拟机（SVM）。

简短描述

要使用服务消息块（SMB）协议访问数据，需要将 SVM 加入域。您可以在从 Amazon FSx 控制台创建 SVM 时进行域加入。有关更多信息，请参阅创建存储虚拟机。

解决方法

使用 NetApp ONTAP CLI 执行 SVM 域加入

1. 打开 Amazon FSx 控制台。

2. 在 FSx for ONTAP 文件系统下选择 Administration（管理员）选项卡。记下管理端点 IP 地址。您可以使用此 IP 地址连接到集群。

3. 通过 SSH 进入 FSx for ONTAP 集群的管理端点。在 Amazon Elastic Compute Cloud（Amazon EC2）实例上使用 Windows PowerShell 或 Linux shell 执行此操作在以下示例命令中，将管理 IP 替换为您的管理端点 IP 地址。

ssh fsxadmin@ management IP

有关更多信息，请参阅使用 NetApp ONTAP REST API。

4. 输入 fsxadmin 服务账户密码，以连接到 FSx for ONTAP 管理端点。

**注意：**在 Amazon FSx 控制台中的 Administration（管理员）选项卡上设置 fsxadmin 服务账户。

5. 连接到端点后，运行以下命令以完成域加入操作。在以下示例命令中，将 svm 名称、域名、域 DNS IP 和要为 svm 创建的计算机对象名称替换为适用于您的使用案例的值。

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6. 要检查域加入是否成功，请验证是否已在 AWS Managed Microsoft AD 中的组织单位中创建计算机对象。此外，运行以下命令以查看您加入域的 SVM 和 DNS 设置的状态：

vserver cifs show
vserver services name-service dns show

7. 运行以下命令，以便从域中取消加入 SVM。在以下示例命令中，将 svm 名称替换为您的 svm 的正确名称。

vserver cifs delete -vserver svm name

使用 NetApp ONTAP CLI 管理 CIFS 共享

**注意：**以下命令来自 NetApp 网站。

使用 NetApp ONTAP CLI 创建共享并为这些共享添加权限。要创建共享，请使用 vserver cifs share create 命令。创建共享时，定义路径和共享名称。此外，设置不同的共享属性，包括 oplocks、attributecache 和 continuously-available。

要查看共享详细信息，请运行 vserver cifs share show 命令。在以下命令中，将 svm 名称替换为您的 svm 的正确名称。

vserver cifs share show -vserver svm name

如以下示例所示，使用 vserver cifs share access-control create 命令为共享添加权限。在以下示例中，将 myonpremdomain 替换为正确的域名。

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

前面的命令将通过完全控制为 C$ 添加 myonpremdomain\administrator。

使用 AWS Managed Microsoft AD 创建 SVM 时，请指定委托文件系统管理员组。如果未指定此组，则默认指定域管理员组。由于 AWS Managed Microsoft AD 没有域管理员账户的访问权限，则您可能无法连接到文件系统。如果出现此情况，请运行 cifs share access-control 命令，以便向 C$ 添加所需的用户或组。

添加权限后，请通过运行 vserver cifs share access-control show 命令查看访问权限控制。

vserver cifs share access-control show -vserver new-svm

您可以选择性地向 SVM 中的指定组添加 Active Directory 用户或组，方法是运行 vserver cifs users-and-groups local-group add-members 命令：

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

向 SVM 中的本地组添加成员后，请使用 vserver cifs users-and-groups local-group show-members 命令检查组成员资格：

vserver cifs users-and-groups local-group show-members

问题排查

在创建 CIFS 虚拟服务器和 AWS Managed Microsoft AD 时，您可能会看到以下错误：

ERROR: Error when creating - Failed to create the Active Directory machine account..Reason: SecD Error: no server available（错误：创建时出错 - 未能创建 Active Directory 计算机账户。原因：SecD 错误：无可用服务器）

如果 DNS 端口 53（TCP 或 UDP）被阻止，则可能会出现上述错误。验证相关 SVM 的 FSx for ONTAP 是否可以与端口 53（UPD/TCP）上的 DNS 服务器进行通信。要验证和更新虚拟服务器 DNS 服务器，请使用命令 vserver services name-service。有关更多信息，请参阅 NetApp 文档中的 vserver services name-service dns create。

ERROR: Failed to create CIFS server XXXXXXXXXX.Reason: Kerberos Error: KDC Unreachable（错误：未能创建 CIFS 服务器 XXXXXXXXXX。原因：Kerberos 错误：KDC 无法访问）

如果 Kerberos 端口 88（TCP）或端口 464 被阻止，则可能会发生上述错误。请验证 SVM 和 AWS Managed Microsoft AD 网络之间的端口是否已打开。

ERROR: Error when creating - Failed to create the Active Directory machine account.Reason: LDAP Error: Cannot contact the LDAP server（错误：创建时出错 - 未能创建 Active Directory 计算机账户。原因：LDAP 错误：无法联系 LDAP 服务器）

要解决上述错误，请执行如下操作：

1. 验证为出口选择的 LIF 是否可以访问 LDAP 服务器。

2. 确保 LDAP 端口 389（TCP 或 UDP）未被阻止。

3. 如果您使用的是 LDAPS，请确保端口 636 处于打开状态。

ERROR: Failed to create the Active Directory machine account.Reason: LDAP Error: Local error occurred（错误：未能创建 Active Directory 计算机账户。原因：LDAP 错误：发生本地错误）

要解决上述错误，请执行如下操作：

1. 请使用以下命令打开 SVM 上的 LDAP：

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2. 请按照 NetApp 文档中的说明进行操作，以便在 SVM 上安装自签名的根 CA。

ERROR: Failed to create the Active Directory machine account.Reason: Socket receive error（错误：未能创建 Active Directory 计算机账户。原因：套接字接收错误）

要解决上述错误，请将 SMB2 作为默认设置启用。在 FSx for ONTAP 版本 8.3.2P5 及更高版本中，SMB2 在域控制器（DC）中是关闭的。

1. 请运行以下命令以验证 SMB 设置：

vserver cifs security show -vserver SVM

2. 请运行以下命令以打开 SMB2：

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

有关更多信息，请参阅 NetApp 文档中的虚拟服务器 cifs 安全性修改。

ERROR: Failed to create the Active Directory machine account.Reason: LDAP Error: A constraint violation occurred.（错误：未能创建 Active Directory 计算机账户。原因：LDAP 错误：发生了违反约束条件的情况。）

在 CIFS 创建过程中，将为 CIFS 服务器创建服务主体名称（SPN）。SPN 连接到您在 CIFS 创建命令中指定的账户。要解决上述错误，请执行如下操作：

1. 使用 SetSPN 命令验证 SPN。

2. 通过 CMD 提示符查询 AWS Managed Microsoft AD，以查找可能的现有 SPN。在以下示例命令中，将 account 替换为您的账户。

setspn -q */account

要删除现有 SPN，请通过域控制器运行以下命令。在以下命令中，将 SPN 替换为前面命令输出中的 SPN 并将 account 替换为您的账户。

setspn -D SPN account

有关更多信息，请参阅 Microsoft 文档中的服务主体名称。

ERROR: Failed to create CIFS server.Reason: Failed to create the Active Directory machine account.Reason: LDAP Error: Strong authentication is required.（错误：未能创建 CIFS 服务器。原因：未能创建 Active Directory 计算机账户。原因：LDAP 错误：需要强大的身份验证。）

当域策略需要 LDAP 封存和签名时，会发生上述错误。此功能是在 FSx for ONTAP 9 中添加的。要解决此问题，请完成以下操作之一：