Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die Active Directory-Domänencontroller-Zugriffsübersicht

Beitragende

Sie müssen AD-Domänencontroller-Zugriff auf das Cluster oder SVM konfigurieren, bevor ein AD-Konto auf die SVM zugreifen kann. Falls Sie bereits einen SMB-Server für eine Daten-SVM konfiguriert haben, können Sie die SVM für einen AD-Zugriff auf das Cluster als Gateway oder „Tunnel“ konfigurieren. Wenn Sie keinen SMB-Server konfiguriert haben, können Sie ein Computerkonto für die SVM in der AD-Domäne erstellen.

ONTAP unterstützt die folgenden Authentifizierungsservices für Domänencontroller:

  • Kerberos

  • LDAP

  • Netzanmeldung

  • Lokale Sicherheitsbehörde (LSA)

ONTAP unterstützt die folgenden Sitzungsschlüsselalgorithmen für sichere Netlogon-Verbindungen:

Sitzungsschlüsselalgorithmus

Verfügbar ab…​

HMAC-SHA256, basierend auf dem Advanced Encryption Standard (AES)

Wenn auf dem Cluster ONTAP 9.9.1 oder früher ausgeführt wird und der Domänencontroller AES für sichere Netlogon-Dienste erzwingt, schlägt die Verbindung fehl. In diesem Fall müssen Sie Ihren Domänencontroller neu konfigurieren, um stattdessen starke Schlüsselverbindungen mit ONTAP zu akzeptieren.

ONTAP 9.10.1

DES und HMAC-MD5 (bei festem Schlüssel)

Alle ONTAP 9 Versionen

Wenn Sie AES-Sitzungsschlüssel während der Einrichtung des sicheren Netlogon-Kanals verwenden möchten, müssen Sie überprüfen, ob AES auf Ihrer SVM aktiviert ist.

  • Ab ONTAP 9.14.1 ist AES standardmäßig aktiviert, wenn Sie eine SVM erstellen, und Sie müssen die Sicherheitseinstellungen Ihrer SVM nicht ändern, um AES-Sitzungsschlüssel während der Einrichtung des sicheren Netlogon-Kanals zu verwenden.

  • In ONTAP 9.10.1 bis 9.13.1 ist AES beim Erstellen einer SVM standardmäßig deaktiviert. Sie müssen AES mit dem folgenden Befehl aktivieren:

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
Hinweis Beim Upgrade auf ONTAP 9.14.1 oder höher wird die AES-Einstellung für vorhandene SVMs, die mit älteren ONTAP Versionen erstellt wurden, nicht automatisch geändert. Sie müssen den Wert für diese Einstellung immer noch aktualisieren, um AES für diese SVMs zu aktivieren.

Konfigurieren Sie einen Authentifizierungstunnel

Falls Sie bereits einen SMB-Server für eine Daten-SVM konfiguriert haben, können Sie den verwenden security login domain-tunnel create Befehl zum Konfigurieren der SVM als Gateway, oder Tunnel, für AD-Zugriff auf das Cluster.

Bevor Sie beginnen
  • Sie müssen einen SMB-Server für eine Daten-SVM konfiguriert haben.

  • Sie müssen ein AD-Domänenbenutzerkonto aktiviert haben, um auf die Admin-SVM für das Cluster zuzugreifen.

  • Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

Wenn Sie seit ONTAP 9.10.1 über ein SVM-Gateway (Domain-Tunnel) für AD-Zugriff verfügen, können Sie Kerberos für die Admin-Authentifizierung verwenden, wenn Sie NTLM in Ihrer AD-Domäne deaktiviert haben. In früheren Versionen wurde Kerberos mit der Admin-Authentifizierung für SVM Gateways nicht unterstützt. Diese Funktion ist standardmäßig verfügbar; keine Konfiguration erforderlich.

Hinweis Kerberos-Authentifizierung wird immer zuerst versucht. Bei einem Fehler wird dann versucht, die NTLM-Authentifizierung zu aktivieren.
Schritt
  1. Konfigurieren Sie eine SMB-fähige Daten-SVM als Authentifizierungstunnel für AD-Domänencontroller-Zugriff auf das Cluster:

    security login domain-tunnel create -vserver svm_name

    Eine vollständige Befehlssyntax finden Sie im "Arbeitsblatt".

    Hinweis

    Die SVM muss ausgeführt werden, damit der Benutzer authentifiziert werden kann.

    Mit dem folgenden Befehl wird die SMB-fähige Daten-SVM „engData“ als Authentifizierungstunnel konfiguriert.

    cluster1::>security login domain-tunnel create -vserver engData

Erstellen Sie ein SVM-Computerkonto in der Domäne

Falls Sie noch keinen SMB-Server für eine Daten-SVM konfiguriert haben, können Sie den verwenden vserver active-directory create Befehl zum Erstellen eines Computerkontos für die SVM in der Domäne.

Über diese Aufgabe

Nach der Eingabe des vserver active-directory create Befehl, Sie werden aufgefordert, die Anmeldeinformationen für ein AD-Benutzerkonto mit ausreichenden Berechtigungen bereitzustellen, um der angegebenen Organisationseinheit in der Domäne Computer hinzuzufügen. Das Passwort des Kontos darf nicht leer sein.

Bevor Sie beginnen

Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.

Schritt
  1. Erstellen eines Computerkontos für eine SVM in der AD-Domäne:

    vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit

    Eine vollständige Befehlssyntax finden Sie im "Arbeitsblatt".

    Mit dem folgenden Befehl wird ein Computerkonto mit dem Namen „ADSERVER1“ in der Domäne „example.com`" für SVM “`engData“ erstellt. Sie werden nach Eingabe des Befehls zur Eingabe der Anmeldedaten für das AD-Benutzerkonto aufgefordert.

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com
    
    In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.
    
    Enter the user name: Administrator
    
    Enter the password: