Kerberos認証およびNTLMv2認証の許可の確認(Hyper-V over SMB共有)
変更を提案
PDF
Hyper-V over SMBのノンストップオペレーションでは、データSVM上のCIFSサーバとHyper-VサーバでKerberos認証とNTLMv2認証の両方が許可されている必要があります。CIFSサーバとHyper-Vサーバの両方で、許可される認証方法を制御する設定を確認する必要があります。
継続的な可用性を実現する共有接続を確立するには、Kerberos認証が必要です。リモートVSSプロセスの一部ではNTLMv2認証が使用されます。そのため、Hyper-V over SMB構成では、両方の認証方法を使用した接続をサポートする必要があります。
Kerberos 認証と NTLMv2 認証の両方を許可するには、次の設定を構成する必要があります:
-
ストレージ仮想マシン(SVM)で SMB のエクスポート ポリシーを無効にする必要があります。
SVM では Kerberos 認証と NTLMv2 認証の両方が常に有効になっていますが、エクスポート ポリシーを使用して認証方法に基づいてアクセスを制限できます。
SMBのエクスポート ポリシーはオプションであり、デフォルトでは無効になっています。エクスポート ポリシーが無効になっている場合、CIFSサーバではKerberos認証とNTLMv2認証の両方がデフォルトで許可されます。
-
CIFS サーバーと Hyper-V サーバーが属するドメインは、Kerberos 認証と NTLMv2 認証の両方を許可する必要があります。
Active Directoryドメインでは、Kerberos認証がデフォルトで有効になっています。ただし、Security Policy設定またはGroup Policiesを使用して、NTLMv2認証を無効にできます。
-
SVM でエクスポート ポリシーが無効になっていることを確認するには、次の手順を実行します:
-
権限レベルをadvancedに設定します。
set -privilege advanced -
-is-exportpolicy-enabledCIFS サーバー オプションが `false`に設定されていることを確認します:vserver cifs options show -vserver vserver_name -fields vserver,is-exportpolicy-enabled -
admin権限レベルに戻ります。
set -privilege admin
-
-
SMB のエクスポート ポリシーが無効になっていない場合は、無効にします:
vserver cifs options modify -vserver vserver_name -is-exportpolicy-enabled false -
ドメインで NTLMv2 認証と Kerberos 認証の両方が許可されていることを確認します。
ドメインで許可されている認証方法を確認する方法については、Microsoft TechNetライブラリを参照してください。
-
ドメインが NTLMv2 認証を許可していない場合は、Microsoft のドキュメントに記載されているいずれかの方法を使用して NTLMv2 認証を有効にします。
次のコマンドは、SVM vs1でSMBのエクスポート ポリシーが無効になっていることを確認します。
cluster1::> set -privilege advanced Warning: These advanced commands are potentially dangerous; use them only when directed to do so by technical support personnel. Do you wish to continue? (y or n): y cluster1::*> vserver cifs options show -vserver vs1 -fields vserver,is-exportpolicy-enabled vserver is-exportpolicy-enabled -------- ----------------------- vs1 false cluster1::*> set -privilege admin