如何使用適用於 FSx for ONTAP 上 CIFS 共用的 AWS Managed Microsoft AD 設定 SVM?

4 分的閱讀內容
0

我想在針對 Amazon FSx for NetApp ONTAP 上的 CIFS 使用 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 時設定儲存虛擬機器 (SVM)。

簡短描述

若要使用伺服器訊息區塊 (SMB) 通訊協定存取資料,請將 SVM 加入網域。您可以在從 Amazon FSx 主控台建立 SVM 時加入網域。如需詳細資訊,請參閱建立儲存虛擬機器

解決方案

使用 NetApp ONTAP CLI 加入 SVM 網域

1.    開啟 Amazon FSx 主控台

2.    在您的 FSx for ONTAP 檔案系統下選取管理索引標籤。記錄管理端點 IP 地址。您將使用此 IP 地址連線至叢集。

3.    透過 SSH 連線至 FSx for ONTAP 叢集的管理端點。使用 Windows PowerShell 或 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上的 Linux Shell 執行此動作。在下列範例命令中,使用您的管理端點 IP 地址取代管理 IP。

ssh fsxadmin@ management IP

如需詳細資訊,請參閱使用 NetApp ONTAP CLI

4.    輸入 fsxadmin 服務帳戶密碼以連線至 FSx for ONTAP 管理端點。

備註:fsxadmin 服務帳戶密碼在 Amazon FSx 主控台的管理索引標籤上設定。

5.    連線到端點後,執行下列命令以完成網域加入操作。在下列範例命令中,將 svm 名稱網域名稱網域 DNS IP要為 svm 建立之電腦物件的名稱取代為您的使用案例的正確值。

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    若要檢查網域加入是否成功,請確認電腦物件是否已在 AWS Managed Microsoft AD 的組織單位中建立。此外,請執行下列命令以檢視已加入網域的 SVM 和 DNS 設定的狀態:

vserver cifs show
vserver services name-service dns show

7.    執行下列命令以取消將 SVM 加入網域。在下面的命令中,用正確的 SVM 名稱取代 svm 名稱

vserver cifs delete -vserver svm name

使用 NetApp ONTAP CLI 管理 CIFS 共用

**備註:**以下命令來自 NetApp 網站。

使用 NetApp ONTAP CLI 建立共用並將許可新增至共用。若要建立共用,請使用 vserver cifs share create 指令。建立共用時,請定義路徑共用名稱。此外,設定不同的共用屬性,包括 oplocksattributecachecontinuously-available

若要檢閱共用詳細資訊,請執行 vserver cifs share show 命令。在下面的命令中,用正確的 SVM 名稱取代 svm 名稱

vserver cifs share show -vserver svm name

使用 vserver cifs share access-control create 命令將許可新增至共用,如下列範例所示。在下列命令中,請使用正確的網域名稱取代 myonpremdomain

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

上述命令會使用完全控制將 myonpremdomain\administrator 新增至 C$ 共用。

使用 AWS Managed Microsoft AD 建立 SVM 時,請指定委派檔案系統管理員群組。如果未指定此群組,則預設為網域管理員群組。由於 AWS Managed Microsoft AD 無法存取網域管理員帳戶,因此您可能無法連線至檔案系統。如果發生這種情況,請執行 cifs share access-control 命令,將所需的使用者或群組新增至 C$。

新增許可之後,請執行 vserver cifs share access-control show 命令檢閱存取控制:

vserver cifs share access-control show -vserver new-svm

您可以選擇性地執行 vserver cifs users-and-groups local-group add-members 命令,將 Active Directory 使用者或群組新增至 SVM 中的特定群組:

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

將成員新增至 SVM 中的本機群組之後,請使用 vserver cifs users-and-groups local-group show-members 命令檢查群組成員資格:

vserver cifs users-and-groups local-group show-members

疑難排解

在建立 CIFS 虛擬伺服器和 AWS Managed Microsoft AD 時,您可能會看到下列錯誤:

錯誤:建立時出錯 - 無法建立 Active Directory 機器帳戶.. 原因:SecD 錯誤:沒有可用的伺服器

如果 DNS 連接埠 53 (TCP 或 UDP) 遭到封鎖,就可能會發生上述錯誤。驗證適用於問題中 SVM 的 FSx for ONTAP 可以與 DNS 伺服器或連接埠 53 (UPD/TCP) 上的伺服器通訊。要驗證和更新 vserver DNS 伺服器,請使用命令 vserver services name-service。如需詳細資訊,請參閱 NetApp 文件中的 vserver services name-service dns create

錯誤:無法建立 CIFS 伺服器 XXXXXXXXXX。原因:Kerberos 錯誤:KDC 無法存取

如果 Kerberos 連接埠 88 (TCP) 或連接埠 464 遭到封鎖,就可能會發生上述錯誤。確認已在 SVM 和 AWS Managed Microsoft AD 網路之間開啟這些連接埠。

錯誤:建立時出錯 - 無法建立 Active Directory 機器帳戶。原因:LDAP 錯誤:無法聯絡 LDAP 伺服器

若要解決上述錯誤,請完成以下步驟:

1.    確認選取用於輸出的 LIF 可連線至 LDAP 伺服器。

2.    請確定 LDAP 連接埠 389 (TCP 或 UDP) 未遭到封鎖。

3.    如果您使用的是 LDAPS,請確定連接埠 636 已開啟。

錯誤:無法建立 Active Directory 機器帳戶。原因:LDAP 錯誤:發生本機錯誤

若要解決上述錯誤,請完成以下步驟:

1.    使用下面的命令在 SVM 上開啟 LDAP:

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    依照 NetApp 文件中的指示,在 SVM 上安裝自我簽署的根 CA

錯誤:無法建立 Active Directory 機器帳戶。原因:通訊端接收錯誤

若要解決上述錯誤,請開啟 SMB2 作為預設設定。在 FSx for ONTAP 8.3.2P5 版本及更新版本中,針對網域控制站 (DC) 通訊開啟 SMB2。

1.    執行下列命令以驗證 SMB 設定:

vserver cifs security show -vserver SVM

2.    執行下列命令以開啟 SMB2:

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

如需詳細資訊,請參閱 NetApp 文件中的 vserver cifs security modify

錯誤:無法建立 Active Directory 機器帳戶。原因:LDAP 錯誤:發生限制條件違規。

在 CIFS 建立期間,會為 CIFS 伺服器建立服務主體名稱 (SPN)。SPN 會連接至您在 CIFS 建立命令中指定的帳戶。若要解決上述錯誤,請完成以下步驟:

1.    使用 setSPN 命令驗證 SPN。

2.    查詢 AWS Managed Microsoft AD,從 CMD 提示中找到可能的現有 SPN。在下列範例指令中,將帳戶取代為您的帳戶。

setspn -q */account

若要刪除現有的 SPN,請從網域控制站執行下列命令。在下列命令中,將 SPN 取代為上述命令輸出中的 SPN,並將帳戶取代為您的帳戶。

setspn -D SPN account

如需詳細資訊,請參閱 Microsoft 文件中的服務主體名稱

錯誤:無法建立 CIFS 伺服器。原因:無法建立 Active Directory 機器帳戶。原因:LDAP 錯誤:需要強式驗證。

當網域政策需要 LDAP 密封和簽署時,就會發生上述錯誤。此功能已在 FSx for ONTAP 9 中新增。若要解決此問題,請完成下列其中一個步驟:

  • 請依照 NetApp 文件中的指示開啟 LDAP 簽署和密封
  • 升級至 ONTAP 9.5 或更新版本,然後開啟 LDAP。
  • 請依照 NetApp 說明文件中的指示透過 TLS 設定 LDAP
  • 如果上述選項都不可行,請在網域 GPO 或登錄檔中關閉 LDAP 簽署和密封的要求。

AWS 官方
AWS 官方已更新 1 年前