Como faço para configurar a SVM com o AWS Managed Microsoft AD para compartilhamentos CIFS no FSx para ONTAP?

Breve descrição

Para acessar os dados usando o protocolo Server Message Block (SMB), ingresse em um domínio da SVM. É possível ingressar em um domínio ao criar uma SVM a partir do console Amazon FSx. Para obter mais informações, consulte Criação de uma máquina virtual de armazenamento.

Resolução

Ingresse em um domínio da SVM usando a CLI do NetApp ONTAP

1.    Abra o console do Amazon FSx.

2.    Selecione a guia Administração sob o sistema de arquivos FSx para ONTAP. Anote o endereço IP do endpoint de gerenciamento. Esse endereço IP será usado para se conectar ao cluster.

3.    Faça uma conexão SSH com o endpoint de gerenciamento do cluster FSx para ONTAP. Faça isso usando um shell do Windows PowerShell ou Linux na instância do Amazon Elastic Compute Cloud (Amazon EC2). No exemplo de comando a seguir, substitua o IP de gerenciamento pelo endereço IP do endpoint de gerenciamento.

ssh fsxadmin@ management IP

Para obter mais informações, consulte Uso da CLI do NetApp ONTAP.

4.    Digite a senha da conta de serviço fsxadmin para se conectar ao endpoint de gerenciamento FSx para ONTAP.

Observação: a senha da conta do serviço fsxadmin é definida na guia Administração no console do Amazon FSx.

5.    Depois de conectar no endpoint, execute os seguintes comandos para concluir a operação de ingresso no domínio. Nos exemplos de comandos a seguir, substitua o nome da svm, nome do domínio, IP do DNS do domínio e o nome do objeto (computador) a ser criado para a svm pelos valores corretos para o caso de uso.

vserver services name-service dns create -vserver <svm name> -domains <domain name> -name-servers <domain DNS IP> 
vserver cifs create -vserver <svm name> -cifs-server <name of the computer object to be created for svm> -domain <domain name> -ou "Organizational Unit Distinguished Name"

6.    Para verificar se o ingresso no domínio foi bem-sucedido, verifique se os objetos do computador foram criados na unidade organizacional do AWS Managed Microsoft AD. Além disso, execute os seguintes comandos para visualizar o status das configurações de SVMs e DNS do domínio onde ingressou:

vserver cifs show
vserver services name-service dns show

7.    Execute o comando a seguir para desvincular a SVM do domínio. No exemplo de comando a seguir, substitua nome da svm pelo nome correto da SVM.

vserver cifs delete -vserver svm name

Administre compartilhamentos CIFS usando a CLI do NetApp ONTAP

Observação: os comandos a seguir são do site do NetApp.

Crie compartilhamentos e adicione permissões aos compartilhamentos usando a CLI do NetApp ONTAP. Para criar compartilhamentos, use o comando vserver cifs share create. Ao criar compartilhamentos, defina o caminho e o nome do compartilhamento. Além disso, defina diferentes propriedades de compartilhamento, incluindo oplocks, attributecache econtinuously-available.

Para analisar os detalhes do compartilhamento, execute o comando vserver cifs share show. No comando a seguir, substitua o nome da svm pelo nome correto da SVM.

vserver cifs share show -vserver svm name

Adicione permissões aos compartilhamentos usando o comando vserver cifs share access-control create, conforme exibido no exemplo a seguir. No comando a seguir, substitua myonpremdomain pelo nome correto do domínio.

vserver cifs share access-control create -share c$ -user-or-group myonpremdomain\administrator -permission Full_Control

O comando anterior adiciona myonpremdomain\ administrator ao compartilhamento C$ com controle total.

Ao criar a SVM com o AWS Managed Microsoft AD, especifique o grupo de Administradores do sistema de arquivos delegados. Caso esse grupo não seja especificado, o grupo de administração do domínio será o padrão. Como o AWS Managed Microsoft AD não tem acesso à conta de administrador do domínio, talvez não seja possível se conectar ao sistema de arquivos. Caso isso ocorra, execute o comando cifs share access-control para adicionar o usuário ou grupo necessário ao C$.

Depois de adicionar permissões, analise o controle de acesso executando o comando vserver cifs share access-control show:

vserver cifs share access-control show -vserver new-svm

Opcionalmente, é possível adicionar usuários ou grupos do Active Directory a grupos específicos na SVM executando o comando vserver cifs users-and-groups local-group add-members:

vserver cifs users-and-groups local-group add-members -group-name BUILTIN\Administrators -member-names myonpremdomain\ontap-admin -vserver new-svm

Depois de adicionar membros aos grupos locais na SVM, verifique a associação ao grupo usando o comando vserver cifs users-and-groups local-group show-members:

vserver cifs users-and-groups local-group show-members

Solução de problemas

É possível visualizar os seguintes erros ao criar o CIFS vserver junto com o AWS Managed Microsoft AD:

ERRO: Erro ao criar - Falha ao criar a conta da máquina do Active Directory. Motivo: Erro SecD: nenhum servidor disponível

O erro anterior pode ocorrer se a porta DNS 53 (TCP ou UDP) estiver bloqueada. Verifique se o FSx para ONTAP da SVM em questão consegue se comunicar com o servidor DNS ou com servidores na porta 53 (UPD/TCP). Para validar e atualizar servidores DNS vserver, use o comando vserver services name-service. Para obter mais informações, consulte vserver services name-service dns create na documentação do NetApp.

ERRO: Falha ao criar o servidor CIFS XXXXXXXXXX. Motivo: Erro Kerberos: KDC inacessível

O erro anterior pode ocorrer se a porta 88 (TCP) ou a porta 464 do Kerberos estiverem bloqueadas. Verifique se as portas estão abertas entre a SVM e a rede AWS Managed Microsoft AD.

ERRO: Erro ao criar - Falha ao criar a conta da máquina do Active Directory. Motivo: Erro de LDAP: Não é possível entrar em contato com o servidor LDAP

Para resolver o erro anterior, conclua as seguintes etapas:

1.    Verifique se o LIF selecionado para saída tem acessibilidade ao servidor LDAP.

2.    Confirme se a porta LDAP 389 (TCP ou UDP) não está bloqueada.

3.    Confirme se a porta 636 está ativada e se o LDAPS está em uso.

ERRO: Falha ao criar a conta da máquina no Active Directory. Motivo: Erro de LDAP: Ocorreu um erro local

Para resolver o erro anterior, conclua as seguintes etapas:

1.    Use o comando a seguir para ativar o LDAPs na SVM:

vserver cifs security modify -vserver <svm> -use-ldaps-for-ad-ldap true

2.    Siga as instruções na documentação do NetApp para instalar o CA raiz autoassinado na SVM.

ERRO: Falha ao criar a conta da máquina no Active Directory. Motivo: Erro de recebimento do soquete

Para resolver o erro anterior, ative o SMB2 como configuração padrão. O SMB2 está desativado para comunicação de controlador de domínio (DC) no FSx para ONTAP para as versões 8.3.2P5 e superiores.

1.    Execute o comando a seguir para verificar as configurações do SMB:

vserver cifs security show -vserver SVM

2.    Execute o seguinte comando para ativar o SMB2:

vserver cifs security modify -vserver svm -smb2-enabled-for-dc-connections true

Para obter mais informações, consulte vserver cifs security modify na documentação do NetApp.

ERRO: Falha ao criar a conta de máquina do Active Directory. Motivo: Erro de LDAP: Ocorreu uma violação de restrição.

Durante a criação do CIFS, um nome de entidade principal de serviço (SPN) é criado para o servidor CIFS. O SPN é vinculado à conta que foi especificada no comando de criação do CIFS. Para resolver o erro anterior, conclua as seguintes etapas:

1.    Use o comando SetSPN para verificar os SPNs.

2.    Consulte o AWS Managed Microsoft AD para encontrar um possível SPN existente no prompt do CMD. No exemplo de comando a seguir, substitua conta pela sua conta.

setspn -q */account

Para excluir o SPN existente, execute o comando a seguir a partir de um controlador de domínio. No comando a seguir, substitua SPN pelo SPN da saída do comando anterior e crie uma conta com a sua conta.

setspn -D SPN account

Para obter mais informações, consulte Nomes de entidades principais de serviços na documentação da Microsoft.

ERRO: Falha ao criar o servidor CIFS. Motivo: Falha ao criar a conta de máquina no Active Directory. Motivo: Erro de LDAP: Uma autenticação forte é necessária.

O erro anterior ocorre quando a política de domínio exige validação e assinatura do LDAP. Essa funcionalidade foi adicionada ao FSx para ONTAP 9. Para resolver esse problema, conclua uma das seguintes etapas:

• Siga as instruções na documentação do NetApp para ativar a assinatura e a validação do LDAP.
• Atualize para o ONTAP 9.5 ou posterior e ative o LDAPS.
• Siga as instruções na documentação do NetApp para configurar o LDAP sobre TLS.
• Caso nenhuma das opções anteriores seja viável, desative a exigência de assinatura e selagem de LDAP no GPO ou no registro do domínio.

---