Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

驗證是否同時允許Kerberos和NTLMv2驗證(Hyper-V over SMB共享)

貢獻者
PDF

Hyper-V over SMB的不中斷營運需要資料SVM和Hyper-V伺服器上的CIFS伺服器同時允許Kerberos和NTLMv2驗證。您必須驗證CIFS伺服器和Hyper-V伺服器上的設定、以控制允許的驗證方法。

關於這項工作

建立持續可用的共用連線時、必須進行Kerberos驗證。遠端VSS程序的一部分使用了NTLMv2驗證。因此、Hyper-V over SMB組態必須支援使用這兩種驗證方法的連線。

下列設定必須設定為允許Kerberos和NTLMv2驗證:

  • 必須在儲存虛擬機器(SVM)上停用SMB的匯出原則。

在SVM上一律會啟用Kerberos和NTLMv2驗證、但匯出原則可用來根據驗證方法來限制存取。

SMB的匯出原則是選用的、預設為停用。如果停用匯出原則、則CIFS伺服器預設會允許Kerberos和NTLMv2驗證。

  • CIFS伺服器和Hyper-V伺服器所屬的網域必須同時允許Kerberos和NTLMv2驗證。

Active Directory網域預設會啟用Kerberos驗證。不過、可以使用「安全性原則」設定或「群組原則」來禁止NTLMv2驗證。

步驟

  1. 請執行下列步驟、確認SVM上的匯出原則已停用:

    1. 將權限層級設為進階:

      set -privilege advanced

    2. 確認 -is-exportpolicy-enabled CIFS 伺服器選項設為 false

      vserver cifs options show -vserver vserver_name -fields vserver,is-exportpolicy-enabled

    3. 返回管理權限層級:

      set -privilege admin

  2. 如果未停用SMB的匯出原則、請停用這些原則:

    vserver cifs options modify -vserver vserver_name -is-exportpolicy-enabled false

  3. 確認網域中同時允許使用NTLMv2和Kerberos驗證。

    如需判斷網域中允許使用哪些驗證方法的相關資訊,請參閱Microsoft TechNet程式庫。

  4. 如果網域不允許NTMLv2驗證、請使用Microsoft文件中所述的其中一種方法來啟用NTLMv2驗證。

範例

下列命令可驗證SVM VS1上的SMB匯出原則是否已停用:

cluster1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use them
only when directed to do so by technical support personnel.
Do you wish to continue? (y or n): y

cluster1::*> vserver cifs options show -vserver vs1 -fields vserver,is-exportpolicy-enabled

vserver  is-exportpolicy-enabled
-------- -----------------------
vs1      false

cluster1::*> set -privilege admin