Come posso configurare SVM con Microsoft AD gestito da AWS per le operazioni CIFS su FSx per ONTAP?

Breve descrizione

Per accedere ai dati utilizzando il protocollo Server Message Block (SMB), aggiungi la SVM al dominio. Puoi aggiungere una SVM a un dominio durante la creazione di una SVM dalla console Amazon FSx. Per ulteriori informazioni, consulta la pagina Creating a storage virtual machine (Creazione di una macchina virtuale di archiviazione).

Risoluzione

Aggiunta di una SVM a un dominio utilizzando la CLI NetApp ONTAP

1.    Apri la console Amazon FSx.

2.    Seleziona la scheda Administration (Amministrazione) nel file system FSx per ONTAP. Prendi nota dell'indirizzo IP dell'endpoint di gestione. Questo indirizzo IP consente di connettersi al cluster.

3.    Accedi con SSH all'endpoint di gestione del cluster FSx per ONTAP. Esegui questa operazione utilizzando una shell (interprete di comandi) Windows PowerShell o Linux sulla tua istanza Amazon Elastic Compute Cloud (Amazon EC2). Nel seguente comando di esempio, sostituisci l'IP di gestione con l'indirizzo IP dell'endpoint di gestione.

ssh fsxadmin@ management IP

Per ulteriori informazioni, consulta la sezione Using the NetApp ONTAP CLI (Utilizzo della CLI di NetApp ONTAP).

4.    Inserisci la password dell'account del servizio fsxadmin per connetterti all'endpoint di gestione FSx per ONTAP.

Nota: la password dell'account del servizio fsxadmin è impostata nella scheda Administration (Amministrazione) della console Amazon FSx.

5.    Dopo la connessione all'endpoint, esegui i seguenti comandi per completare l'operazione di aggiunta al dominio. Nei seguenti comandi di esempio, sostituisci svm name (nome svm), domain name (nome dominio), domain DNS IP (IP DNS dominio) e name of the computer object to be created for svm (nome dell'oggetto computer da creare per la svm) con i valori corretti per il tuo caso d'uso.

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    Per verificare se l'aggiunta al dominio ha avuto successo, verifica che gli oggetti del computer siano stati creati nell'unità organizzativa in Microsoft AD gestito da AWS. Inoltre, esegui i seguenti comandi per visualizzare lo stato delle SVM aggiunte al dominio e le impostazioni DNS:

vserver cifs show
vserver services name-service dns show

7.    Esegui il comando seguente per annullare l'aggiunta della SVM al dominio. Nel seguente comando di esempio, sostituisci svm name con il nome corretto della tua SVM.

vserver cifs delete -vserver svm name

Amministrazione delle condivisioni CIFS utilizzando la CLI di NetApp ONTAP

Nota: i seguenti comandi provengono dal sito Web di NetApp.

Crea condivisioni e aggiungi autorizzazioni alle condivisioni utilizzando la CLI di NetApp ONTAP. Per creare condivisioni, usa il comando vserver cifs share create. Quando crei condivisioni, definisci il path (percorso) e il share name (nome della condivisione). Inoltre, imposta varie proprietà di condivisione tra cui oplocks, attributecache e continuously-available.

Per esaminare i dettagli della condivisione, esegui il comando vserver cifs share show. Nel seguente comando, sostituisci svm name con il nome corretto della tua SVM.

vserver cifs share show -vserver svm name

Aggiungi le autorizzazioni alle condivisioni utilizzando il comando vserver cifs share access-control create, come mostrato nell'esempio seguente. Nel comando seguente, sostituisci myonpremdomain con il nome corretto del tuo dominio.

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

Il comando precedente aggiunge myonpremdomain\administrator alla condivisione C$ con Full Control.

Quando crei SVM con Microsoft AD gestito da AWS, specifica il gruppo Delegated file system administrators (Amministratori di file system delegati). Se questo gruppo non è specificato, il gruppo domain admin è l'impostazione predefinita. Poiché Microsoft AD gestito da AWS non ha accesso all'account amministratore del dominio, potresti non essere in grado di connetterti al file system. In tal caso, esegui il comando cifs share access-control per aggiungere l'utente o il gruppo richiesto al C$.

Dopo aver aggiunto le autorizzazioni, rivedi il controllo degli accessi eseguendo il comando vserver cifs share access-control show:

vserver cifs share access-control show -vserver new-svm

Facoltativamente, puoi aggiungere utenti o gruppi di Active Directory a gruppi specifici nella SVM eseguendo il comando vserver cifs users-and-groups local-group add-members:

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

Dopo aver aggiunto membri ai gruppi locali nella SVM, controlla l'appartenenza al gruppo usando il comando vserver cifs users-and-groups local-group show-members:

vserver cifs users-and-groups local-group show-members

Risoluzione dei problemi

Durante la creazione di un vserver CIFS con Microsoft AD gestito da AWS potresti riscontrare i seguenti errori:

ERROR: Error when creating - Failed to create the Active Directory machine account..Reason: SecD Error: no server available (ERRORE: errore durante la creazione. Impossibile creare l'account del computer Active Directory. Motivo: SecD Errore: nessun server disponibile)

L'errore precedente potrebbe verificarsi se la porta DNS 53 (TCP o UDP) è bloccata. Verifica che FSx per ONTAP per la SVM in questione possa comunicare con il server o i server DNS sulla porta 53 (UPD/TCP). Per convalidare e aggiornare i server DNS vserver, utilizzare il comando vserver services name-service. Per ulteriori informazioni, consulta la pagina vserver services name-service dns create (servizi vsserver name-service dns create) nella documentazione NetApp.

ERROR: Failed to create CIFS server XXXXXXXXXX. Reason: Kerberos Error: KDC Unreachable (ERRORE: impossibile creare il server CIFS XXXXXXXXXX. Motivo: errore Kerberos: KDC irraggiungibile)

L'errore precedente potrebbe verificarsi se la porta Kerberos 88 (TCP) o la porta 464 sono bloccate. Verifica che le porte siano aperte tra la SVM e la rete di Microsoft AD gestito da AWS.

ERROR: Error when creating - Failed to create the Active Directory machine account. Reason: LDAP Error: Cannot contact the LDAP server (ERRORE: errore durante la creazione: impossibile creare l'account del computer Active Directory. Motivo: errore LDAP: impossibile contattare il server LDAP)

Per risolvere l'errore precedente, completa i seguenti passaggi:

1.    Verifica che la LIF selezionata per l'uscita sia raggiungibile dal server LDAP.

2.    Assicurati che la porta LDAP 389 (TCP o UDP) non sia bloccata.

3.    Assicurati che la porta 636 sia attivata se usi LDAPS.

ERROR: Failed to create the Active Directory machine account. Reason: LDAP Error: Local error occurred (ERRORE: impossibile creare l'account del computer Active Directory. Motivo: errore LDAP: si è verificato un errore locale)

Per risolvere l'errore precedente, completa i seguenti passaggi:

1.    Utilizza il seguente comando per attivare LDAP sulla SVM:

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    Segui le istruzioni nella documentazione NetApp per installare la CA root autofirmata sulla SVM.

ERROR: Failed to create the Active Directory machine account. Reason: Socket receive error (ERRORE: impossibile creare l'account del computer di Active Directory. Motivo: errore di ricezione del socket)

Per risolvere l'errore precedente, attiva SMB2 come impostazione predefinita. SMB2 è disattivato per la comunicazione Domain Controller (DC) in FSx per le versioni ONTAP 8.3.2P5 e successive.

1.    Esegui il seguente comando per verificare le impostazioni SMB:

vserver cifs security show -vserver SVM

2.    Esegui il seguente comando per attivare SMB2:

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

Per ulteriori informazioni, consulta la pagina vserver cifs security modify (modifica della sicurezza cifs di vserver) nella documentazione NetApp.

ERROR: Failed to create the Active Directory machine account account. Reason: LDAP Error: A constraint violation occurred. (ERRORE: impossibile creare l'account dell'account del computer Active Directory. Motivo: errore LDAP: si è verificata una violazione del vincolo.)

Durante la creazione di CIFS, viene creato un nome principale del servizio (SPN) per il server CIFS. L'SPN è collegato all'account specificato nel comando di creazione CIFS. Per risolvere l'errore precedente, completa i seguenti passaggi:

1.    Utilizza il comando SetSPN per verificare gli SPN.

2.    Interroga Microsoft AD gestito da AWS per trovare un possibile SPN esistente dal prompt CMD. Nel seguente comando di esempio, sostituisci account con il tuo account.

setspn -q */account

Per eliminare l'SPN esistente, esegui il comando seguente da un controller di dominio. Nel comando seguente, sostituisci l'SPN con SPN dell'output del comando precedente e crea un account con il tuo account.

setspn -D SPN account

Per ulteriori informazioni, consulta la pagina Service principal names (Nomi principali dei servizi) nella documentazione Microsoft.

ERROR: Failed to create CIFS server. Reason: Failed to create the Active Directory machine account. Reason: LDAP Error: Strong authentication is required. (ERRORE: impossibile creare il server CIFS. Motivo: impossibile creare l'account del computer Active Directory. Motivo: errore LDAP: è richiesta un'autenticazione avanzata.)

L'errore precedente si verifica quando la policy del dominio richiede il sigillo e la firma LDAP. Questa funzionalità è stata aggiunta in FSx per ONTAP 9. Per risolvere questo problema, completa uno dei seguenti passaggi:

• Segui le istruzioni nella documentazione NetApp per attivare la firma e il sigillo LDAP.
• Esegui l'upgrade a ONTAP 9.5 o versioni successive e attiva LDAPS.
• Segui le istruzioni nella documentazione NetApp per configurare LDAP su TLS.
• Se nessuno dei passaggi precedenti è fattibile, disattiva il requisito della firma e del sigillo LDAP nel GPO o nel registro di dominio.

---