Active DirectoryドメインにSMBサーバを作成する
変更を提案
PDF
コマンドを使用すると、SVM上にSMBサーバを作成し、所属先のActive Directory(AD)ドメインを指定できます vserver cifs create。
データ処理に使用するSVMおよびLIFが、SMBプロトコルを許可するように設定されている必要があります。LIFは、SVM上で設定されているDNSサーバ、およびSMBサーバの追加先ドメインのADドメインコントローラに接続できる必要があります。
SMBサーバの追加先のADドメイン内のマシンアカウントの作成を許可されているすべてのユーザが、SVM上にSMBサーバを作成できます。これには、他のドメインのユーザを含めることができます。
ONTAP 9 .7以降では、権限のあるWindowsアカウントの名前とパスワードを指定する代わりに、keytabファイルのURIをAD管理者から提供することができます。URIを受け取ったら、コマンドのパラメータ `vserver cifs`にそのURIを含め `-keytab-uri`ます。
Activity DirectoryドメインにSMBサーバを作成する場合は、次の点に注意してください。
-
ドメインを指定するときは、Fully Qualified Domain Name(FQDN;完全修飾ドメイン名)を使用する必要があります。
-
デフォルト設定では、SMBサーバマシンアカウントはActive Directory CN=Computerオブジェクトに追加されます。
-
オプションを使用すると、SMBサーバを別の組織単位(OU)に追加できます
-ou。 -
必要に応じて、SMBサーバの1つ以上のNetBIOSエイリアス(最大200)をカンマで区切って追加できます。
SMBサーバのNetBIOSエイリアスを設定すると、他のファイルサーバのデータをSMBサーバに統合し、SMBサーバが元のサーバの名前に応答するようにする場合に役立ちます。
その他のオプションのパラメータと命名要件については、のマニュアルページを参照して `vserver cifs`ください。
|
SMB.1以降では、ONTAP 9バージョン2.0からドメインコントローラ(DC)への接続を有効にすることができます。この処理は、ドメインコントローラでSMB 1.0を無効にしている場合に必要です。SMB.2以降では、ONTAP 9 2.0がデフォルトで有効になります。 |
ONTAP 9 .8以降では、ドメインコントローラへの接続を暗号化するように指定できます。ONTAPオプションがに設定され true`ている場合、ドメインコントローラの通信に暗号化が必要です `-encryption-required-for-dc-connection。デフォルトはです。 `false`暗号化はONTAP 3でしかサポートされないため、このオプションを設定するとSMB3プロトコルのみがSMB-DC接続に使用されます。です。
"SMBの管理"SMBサーバ設定オプションの詳細については、を参照してください。
-
クラスタでSMBのライセンスが有効になっていることを確認します。
system license show -package cifsSMBライセンスはに含まれてい"ONTAP One"ます。ONTAP Oneをお持ちでなく、ライセンスがインストールされていない場合は、営業担当者にお問い合わせください。
SMBサーバを認証のみに使用する場合は、CIFSライセンスは必要ありません。
-
ADドメインにSMBサーバを作成します。
vserver cifs create -vserver vserver_name -cifs-server smb_server_name -domain FQDN [-ou organizational_unit][-netbios-aliases NetBIOS_name, ...][-keytab-uri {(ftp|http)://hostname|IP_address}][-comment text]ドメインに参加する場合、このコマンドの実行には数分かかることがあります。
次のコマンドは、ドメイン「 example.com`": 」に SMB サーバ「 'smb_server01' 」を作成します
cluster1::> vserver cifs create -vserver vs1.example.com -cifs-server smb_server01 -domain example.com
次のコマンドは、ドメイン「 m ydomain.com`" 」に SMB サーバ「 'smb_server02' 」を作成し、 keytab ファイルを使用して ONTAP 管理者を認証します。
cluster1::> vserver cifs create -vserver vs1.mydomain.com -cifs-server smb_server02 -domain mydomain.com -keytab-uri http://admin.mydomain.com/ontap1.keytab
-
コマンドを使用して、SMBサーバの設定を確認します
vserver cifs show。この例では、「 `s MB_SERVER01' 」という名前の SMB サーバが SVM vs1.example.com 上に作成され、「 example.com`" ドメイン」に追加されたことがコマンド出力に示されています。
cluster1::> vserver cifs show -vserver vs1 Vserver: vs1.example.com CIFS Server NetBIOS Name: SMB_SERVER01 NetBIOS Domain/Workgroup Name: EXAMPLE Fully Qualified Domain Name: EXAMPLE.COM Default Site Used by LIFs Without Site Membership: Authentication Style: domain CIFS Server Administrative Status: up CIFS Server Description: - List of NetBIOS Aliases: - -
必要に応じて、ドメインコントローラ(ONTAP 9 .8以降)との暗号化通信を有効にします。
vserver cifs security modify -vserver svm_name -encryption-required-for-dc-connection true
次のコマンドは、 SVM vs2.example.com の「 example.com`" 」ドメインに「 'MB_Server02' 」という名前の SMB サーバを作成します。マシン・アカウントは '`OU=eng 、 OU=corp 、 DC=example 、 DC=com コンテナに作成されますSMBサーバにはNetBIOSエイリアスが割り当てられます。
cluster1::> vserver cifs create -vserver vs2.example.com –cifs-server smb_server02 -domain example.com –ou OU=eng,OU=corp -netbios-aliases old_cifs_server01
cluster1::> vserver cifs show -vserver vs1
Vserver: vs2.example.com
CIFS Server NetBIOS Name: SMB_SERVER02
NetBIOS Domain/Workgroup Name: EXAMPLE
Fully Qualified Domain Name: EXAMPLE.COM
Default Site Used by LIFs Without Site Membership:
Authentication Style: domain
CIFS Server Administrative Status: up
CIFS Server Description: -
List of NetBIOS Aliases: OLD_CIFS_SERVER01
次のコマンドは、別のドメインのユーザ(ここでは信頼できるドメインの管理者)が、 SVM vs3.example.com 上に「 smb_server03 」という名前の SMB サーバを作成できるようにします。オプションは -domain、SMBサーバを作成するホームドメイン(DNSの設定で指定)の名前を指定します。オプションは username、信頼できるドメインの管理者を指定します。
-
ホームドメイン:example.com
-
信頼できるドメイン:trust.lab.com
-
信頼できるドメインのユーザ名: Administrator1
cluster1::> vserver cifs create -vserver vs3.example.com -cifs-server smb_server03 -domain example.com Username: Administrator1@trust.lab.com Password: . . .