FSx for ONTAP で CIFS 共有用に AWS Managed Microsoft AD を使用して SVM を設定するにはどうすればよいですか?

簡単な説明

Server Message Block (SMB) プロトコルを使用してデータにアクセスするには、SVM にドメイン参加します。Amazon FSx コンソールから SVM を作成するときに、ドメインに参加できます。詳細については、「ストレージ仮想マシンの作成」を参照してください。

解決方法

NetApp ONTAP CLI を使用した SVM ドメイン参加

1.    Amazon FSx コンソールを開きます。

2.    FSx for ONTAP ファイルシステムの [Administration] (管理) タブを選択します。管理エンドポイントの IP アドレスを書き留めておきます。この IP アドレスを使用してクラスターに接続します。

3.    FSx for ONTAP クラスターの管理エンドポイントに SSH 接続します。これは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで Windows PowerShell または Linux シェルを使用して実行します。次のコマンド例では、管理 IP を管理エンドポイント IP アドレスに置き換えます。

ssh fsxadmin@ management IP

詳細については、「NetApp ONTAP CLI を使用する」を参照してください。

4.    fsxadmin サービスアカウントのパスワードを入力して、FSx for ONTAP 管理エンドポイントに接続します。

注: fsxadmin サービスアカウントのパスワードは、Amazon FSx コンソールの [Administration] (管理) タブで設定されます。

5.    エンドポイントに接続したら、次のコマンドを実行してドメイン参加オペレーションを完了します。次のコマンド例では、[svm name] (svm 名)、[domain name] (ドメイン名)、[domain DNS IP] (ドメイン DNS IP)、[name of the computer object to be created for svm] (svm 用に作成するコンピュータオブジェクトの名前) を実際のユースケースに適した値に置き換えます。

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    ドメイン参加が成功したかどうかを確認するには、コンピュータオブジェクトが AWS Managed Microsoft AD の組織単位で作成されていることを検証します。また、次のコマンドを実行して、ドメインに参加している SVM のステータスと DNS の設定を表示します。

vserver cifs show
vserver services name-service dns show

7.    次のコマンドを実行して、SVM のドメイン参加を解除します。次のコマンド例では、svm name をご使用の SVM の正しい名前に置き換えます。

vserver cifs delete -vserver svm name

NetApp ONTAP CLI を使用して CIFS 共有を管理する

注: 次のコマンドは NetApp のウェブサイトからのものです。

NetApp ONTAP CLI を使用して共有を作成し、その共有に許可を追加します。共有を作成するには、vserver cifs share create コマンドを使用します。共有を作成する際には、[path] (パス) と [share name] (共有名) を定義します。また、[oplocks]、[attributecache]、[continuously-available] など、さまざまな共有プロパティを設定します。

共有の詳細を確認するには、vserver cifs share show コマンドを実行します。次のコマンドでは、svm name をご使用の SVM の正しい名前に置き換えます。

vserver cifs share show -vserver svm name

次の例に示すように、vserver cifs share access-control create コマンドを使用して共有に許可を追加します。次のコマンドで、myonpremdomain をご使用のドメインの正しい名前に置き換えます。

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

前述のコマンドは、myonpremdomain\administrator を Full Control で C$ 共有に追加します。

AWS Managed Microsoft AD で SVM を作成する場合は、[Delegated file system administrators] (委任されたファイルシステム管理者) グループを指定します。このグループが指定されない場合、[domain admin] (ドメイン管理者) グループがデフォルトとなります。AWS Managed Microsoft AD にはドメイン管理者アカウントへのアクセス権がないため、ファイルシステムに接続できない場合があります。このような場合は、cifs share access-control コマンドを実行して、必要なユーザーまたはグループを C$ に追加します。

許可を追加したら、vserver cifs share access-control show コマンドを実行してアクセスコントロールを確認します。

vserver cifs share access-control show -vserver new-svm

オプションで、vserver cifs users-and-groups local-group add-members コマンドを実行して、Active Directory ユーザーまたはグループを SVM 内の特定のグループに追加できます。

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

SVM のローカルグループにメンバーを追加したら、vserver cifs users-and-groups local-group show-members コマンドを使用してグループのメンバーシップを確認します。

vserver cifs users-and-groups local-group show-members

トラブルシューティング

CIFS vserver を AWS Managed Microsoft AD と一緒に作成すると、次のエラーが表示される場合があります。

「ERROR: Error when creating - Failed to create the Active Directory machine account..Reason: SecD Error: no server available」(エラー: 作成中にエラーが発生しました - Active Directory マシンアカウントを作成できませんでした..理由: SecD エラー: 使用可能なサーバーがありません)

前述のエラーは、DNS ポート 53 (TCP または UDP) がブロックされている場合に発生する可能性があります。該当の SVM の FSx for ONTAP がポート 53 (UPD/TCP) で DNS サーバーと通信できることを検証します。vserver DNS サーバーを検証および更新するには、コマンド vserver services name-service を使用します。詳細については、NetApp ドキュメントの「vserver services name-service dns create」を参照してください。

「ERROR: Failed to create CIFS server XXXXXXXXXX.Reason: Kerberos Error: KDC Unreachable」(エラー: CIFS サーバー XXXXXXXXXX を作成できませんでした。理由: Kerberos エラー: KDC に到達できません)

前述のエラーは、Kerberos ポート 88 (TCP) またはポート 464 がブロックされている場合に発生する可能性があります。SVM と AWS Managed Microsoft AD ネットワーク間のポートが開いていることを検証します。

「ERROR: Error when creating - Failed to create the Active Directory machine account.Reason: LDAP Error: Cannot contact the LDAP server」(エラー: 作成中にエラーが発生しました - Active Directory マシンアカウントを作成できませんでした。理由: LDAP エラー: LDAP サーバーに接続できません)

前述のエラーを解決するには、次のステップを実行します。

1.    エグレス用に選択した LIF が LDAP サーバーに到達できることを検証します。

2.    LDAP ポート 389 (TCP または UDP) がブロックされていないことを確認します。

3.    LDAPS を使用している場合は、ポート 636 がオンになっていることを確認してください。

「ERROR: Failed to create the Active Directory machine account.Reason: LDAP Error: Local error occurred」(エラー: Active Directory マシンアカウントを作成できませんでした。理由: LDAP エラー: ローカルエラーが発生しました)

前述のエラーを解決するには、次のステップを実行します。

1.    次のコマンドを実行して SVM の LDAP をオンにします。

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    NetApp のドキュメントの手順に従って、自己署名ルート CA を SVM にインストールします。

「ERROR: Failed to create the Active Directory machine account.Reason: Socket receive error」(エラー: Active Directory マシンアカウントを作成できませんでした。理由: ソケット受信エラー)

前述のエラーを解決するには、SMB2 をデフォルト設定としてオンにします。SMB2 は、FSx for ONTAP バージョン 8.3.2P5 以降の Domain Controller (DC) 通信についてオフになっています。

1.    次のコマンドを実行して SMB の設定を検証します。

vserver cifs security show -vserver SVM

2.    次のコマンドを実行して SMB2 をオンにします。

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

詳細については、NetApp ドキュメントの「vserver cifs security modify」を参照してください。

「ERROR: Failed to create the Active Directory machine account account.Reason: LDAP Error: A constraint violation occurred.」(エラー: Active Directory マシンアカウントを作成できませんでした。理由: LDAP エラー: 制約違反が発生しました。)

CIFS の作成中に、CIFS サーバーのサービスプリンシパル名 (SPN) が作成されます。SPN は、CIFS 作成コマンドで指定したアカウントにアタッチされます。前述のエラーを解決するには、次のステップを実行します。

1.    SetSPN コマンドを使用して SPN を検証します。

2.    AWS Managed Microsoft AD にクエリを実行して、CMD プロンプトから既存の SPN を探します。次のコマンド例では、account をご使用のアカウントに置き換えます。

setspn -q */account

既存の SPN を削除するには、ドメインコントローラーから次のコマンドを実行します。次のコマンドで、SPN を前述のコマンド出力の SPN に置き換え、account をご使用のアカウントに置き換えます。

setspn -D SPN account

詳細については、Microsoft ドキュメントの「Service principal names」(サービスプリンシパル名) を参照してください。

「ERROR: Failed to create CIFS server.Reason: Failed to create the Active Directory machine account.Reason: LDAP Error: Strong authentication is required.」(エラー: CIFS サーバーを作成できませんでした。理由: Active Directory マシンアカウントを作成できませんでした。理由: LDAP エラー: 強力な認証が必要です。)

前述のエラーは、ドメインポリシーで LDAP の封印と署名が必要な場合に発生します。この機能は、FSx for ONTAP 9 で追加されました。この問題を解決するには、次のいずれかのステップを実行します。

• NetApp のドキュメントの手順に従って、LDAP の署名と封印をオンにします。
• ONTAP 9.5 以降にアップグレードし、LDAPS をオンにします。
• NetApp のドキュメントの指示に従って、TLS 経由の LDAP を設定します。
• 前述のいずれのオプションも実行不可である場合は、ドメイン GPO またはレジストリで LDAP の署名と封印の必須化をオフにします。

---