Usar arquivos do Azure com várias florestas do Active Directory

Aplica-se a: ✔️ Compartilhamentos de arquivos do Azure SMB

Muitas organizações desejam usar a autenticação baseada em identidade para compartilhamentos de arquivos do Azure SMB em ambientes que têm várias florestas locais dos Serviços de Domínio Ative Directory (AD DS). Este é um cenário comum de TI, especialmente após fusões e aquisições, onde as florestas de AD da empresa adquirida estão isoladas das florestas de AD da empresa-mãe. Este artigo explica como funcionam as relações de confiança entre florestas e fornece instruções passo a passo para a configuração e validação de múltiplas florestas.

Prerequisites

• Dois controladores de domínio AD DS com florestas diferentes e em redes virtuais diferentes (VNETs)
• Permissões AD suficientes para realizar tarefas administrativas (por exemplo, Administrador de Domínio)
• Se estiver a usar o Azure RBAC, ambas as florestas devem ser acessíveis por um único servidor Microsoft Entra Connect Sync.

Como funcionam as relações de confiança em florestas

A autenticação do AD DS on-premises para Azure Files é suportada apenas contra a floresta AD do serviço de domínio em que a conta de armazenamento está registada. Você só pode aceder a partilhas de ficheiros Azure com as credenciais do AD DS de uma única floresta por padrão. Se precisar aceder à sua partilha de ficheiros Azure a partir de uma floresta diferente, terá que configurar uma forest trust.

Um "forest trust" é uma confiança transitiva entre duas florestas AD que permite que utilizadores em qualquer um dos domínios de uma floresta sejam autenticados em qualquer um dos domínios da outra floresta.

Configuração de múltiplas florestas

Para configurar um ambiente multi-floresta, realizaremos os seguintes passos:

• Recolher informações de domínio e ligações VNET entre domínios
• Estabelecer e configurar uma confiança de floresta
• Configurar autenticação baseada em identidade e contas de utilizador híbridas

Coletar informações de domínio

Para este exercício, temos dois controladores de domínio do AD DS no local, com duas florestas diferentes e em VNETs distintas.

Estabelecer e configurar a confiança

Para permitir que clientes da Floresta 1 acedam aos recursos de domínio do Azure Files na Floresta 2, devemos estabelecer uma relação de confiança entre as duas florestas. Siga estes passos para estabelecer a confiança.

1. Inicie sessão num computador que está associado ao domínio na Floresta 2 e abra o console Domínios e Relações de Confiança do Active Directory.

2. Clique com o botão direito do rato no domínio local onpremad2.com e, em seguida, selecione o separador Trusts.

3. Selecione New Trusts para iniciar o New Trust Wizard.

4. Especifique o nome de domínio com o qual deseja criar confiança (neste exemplo, onpremad1.com) e selecione Avançar.

5. Em Tipo de Confiança, selecione Confiança na floresta e, em seguida, selecione Avançar.

6. Para Direção de Confiança, selecione Bidirecional e depois selecione Seguinte.

   

7. Em Lados da Confiança, selecione Apenas este domínio e, em seguida, selecione Seguinte.

8. Utilizadores na floresta especificada podem ser autenticados para usar todos os recursos na floresta local (autenticação em toda a floresta) ou apenas aqueles recursos que selecionar (autenticação seletiva). Para Nível de Autenticação de Confiança de Saída, seleccione Autenticação a nível de floresta, que é a opção preferida quando ambas as florestas pertencem à mesma organização. Selecione Avançar.

9. Introduza uma palavra-passe para o trust e depois selecione Next. A mesma senha deve ser usada ao criar essa relação de confiança no domínio especificado.

   

10. Você verá uma mensagem informando que a relação de confiança foi criada com êxito. Para configurar a confiança, selecione Avançar.

11. Confirme a confiança de saída e selecione Seguinte.

12. Digite o nome de usuário e a senha de um usuário que tenha privilégios de administrador do outro domínio.

Depois que a autenticação for aprovada, a confiança será estabelecida e você poderá ver o domínio especificado onpremad1.com listado na guia Relações de confiança .

Configurar autenticação baseada em identidade e contas de utilizador híbridas

Depois que a confiança for estabelecida, siga estas etapas para criar uma conta de armazenamento e um compartilhamento de arquivos SMB para cada domínio, habilitar a autenticação do AD DS nas contas de armazenamento e criar contas de usuário híbridas sincronizadas com a ID do Microsoft Entra.

1. Inicie sessão no portal do Azure e crie duas contas de armazenamento, como onprem1sa e onprem2sa. Para um desempenho ideal, recomendamos que distribua as contas de armazenamento na mesma região que os clientes a partir da qual planeia aceder às partilhas.

   Nota

   Não é necessário criar uma segunda conta de armazenamento. Estas instruções destinam-se a mostrar um exemplo de como acessar contas de armazenamento que pertencem a florestas diferentes. Se tiver apenas uma conta de armazenamento, pode ignorar as instruções de configuração da segunda conta de armazenamento.

2. Crie uma partilha de ficheiros Azure SMB e atribua permissões ao nível da partilha em cada conta de armazenamento.

3. Sincronize o seu AD no local com o Microsoft Entra ID usando a aplicação Microsoft Entra Connect Sync.

4. Junte uma VM do Azure em Forest 1 ao seu AD DS local. Para obter informações sobre como associar a um domínio, consulte Associar um Computador a um Domínio.

5. Ativar a autenticação AD DS na conta de armazenamento associada ao Forest 1, por exemplo onprem1sa. Isto criará uma conta de computador no seu AD local chamada onprem1sa para representar a conta de armazenamento do Azure e juntar a conta de armazenamento ao domínio onpremad1.com. Pode verificar que a identidade AD que representa a conta de armazenamento foi criada, olhando no Active Directory Users and Computers para onpremad1.com. Neste exemplo, veria uma conta de computador chamada onprem1sa.

6. Crie uma conta de utilizador navegando para Active Directory > onpremad1.com. Clique com o botão direito em Utilizadores, selecione Criar, introduza um nome de utilizador (por exemplo, onprem1user) e assinale a caixa A senha nunca expira (opcional).

7. Opcional: Se pretende utilizar o Azure RBAC para atribuir permissões ao nível de partilha, deve sincronizar o utilizador com o Microsoft Entra ID usando o Microsoft Entra Connect. Normalmente, o Microsoft Entra Connect Sync atualiza a cada 30 minutos. No entanto, pode forçá-lo a sincronizar imediatamente, abrindo uma sessão do PowerShell com privilégios elevados e executando Start-ADSyncSyncCycle -PolicyType Delta. Pode ser necessário instalar primeiro o módulo ADSync executando Import-Module ADSync. Para verificar se o utilizador foi sincronizado com o Microsoft Entra ID, entre no portal do Azure com a assinatura do Azure associada ao seu ambiente multi-florestas e selecione Microsoft Entra ID. Selecione Gerir > Utilizadores e procure o utilizador que adicionou (por exemplo, onprem1user). Sincronização no local ativada deve dizer Sim.

8. Defina permissões a nível de partilha usando os papéis do Azure RBAC ou uma permissão padrão a nível de partilha.

   • Se o utilizador estiver sincronizado com o Microsoft Entra ID, pode conceder uma permissão ao nível de partilha (função do Azure RBAC) ao utilizador onprem1user na conta de armazenamento onprem1sa para que o utilizador possa montar a partilha de ficheiros. Para fazer isto, navegue até à partilha de ficheiros que criou em onprem1sa e siga as instruções em Atribuir permissões ao nível da partilha para utilizadores ou grupos específicos do Microsoft Entra.
   • Caso contrário, pode utilizar uma permissão de nível de partilha predefinido que se aplica a todas as identidades autenticadas.

Repita as etapas 4 a 8 para onpremad2.com de domínio Forest2 (conta de armazenamento onprem2sa/user onprem2user). Se tiver mais de duas florestas, repita os passos para cada floresta.

Configure permissões a nível de diretório e ficheiro (opcional)

Em um ambiente de várias florestas, use o utilitário de linha de comando icacls para configurar permissões de diretório e nível de arquivo para usuários em ambas as florestas. Consulte Configurar ACLs do Windows com icacls.

Se o icacls falhar com um erro Acesso negado , siga estas etapas para configurar permissões de diretório e nível de arquivo.

1. Apagar a partilha montada existente: net use * /delete /y

2. Remonte o compartilhamento usando o modelo de permissão do Windows para administrador SMB ou a chave da conta de armazenamento (não recomendado). Consulte Montar partilha de ficheiros Azure SMB no Windows.

3. Definir permissões de icacls para o utilizador em Forest2 na conta de armazenamento associada a Forest1 a partir do cliente em Forest1.

Configurar sufixos de domínio

Conforme explicado acima, a forma como o Azure Files se regista no AD DS é quase igual a um servidor de ficheiros normal, onde é criada uma identidade (por padrão, uma conta de computador, que também pode ser uma conta de logon de serviço) que representa a conta de armazenamento no AD DS para autenticação. A única diferença é que o SPN (nome principal de serviço) registrado da conta de armazenamento termina com file.core.windows.net, que não corresponde ao sufixo de domínio. Devido ao sufixo de domínio diferente, você precisará configurar uma política de roteamento de sufixo para habilitar a autenticação de várias florestas.

Como o sufixo file.core.windows.net é o sufixo para todos os recursos do Azure Files em vez de um sufixo para um domínio específico do AD, o controlador de domínio do cliente não sabe para qual domínio encaminhar a solicitação e, portanto, falhará em todas as solicitações em que o recurso não for encontrado em seu próprio domínio.

Por exemplo, quando os usuários em um domínio na Floresta 1 desejam acessar um compartilhamento de arquivos com a conta de armazenamento registrada em um domínio na Floresta 2, isso não funcionará automaticamente porque a entidade de serviço da conta de armazenamento não tem um sufixo correspondente ao sufixo de qualquer domínio na Floresta 1.

Você pode configurar sufixos de domínio usando um dos seguintes métodos:

• Modificar o sufixo da conta de armazenamento e adicionar um registro CNAME (recomendado - funcionará com duas ou mais florestas)
• Adicionar sufixo de nome personalizado e regra de roteamento (não funcionará com mais de duas florestas)

Modificar o sufixo de nome da conta de armazenamento e adicionar o registro CNAME

Você pode resolver o problema de roteamento de domínio modificando o sufixo do nome da conta de armazenamento associado ao compartilhamento de arquivos do Azure e adicionando um registro CNAME para rotear o novo sufixo para o ponto de extremidade da conta de armazenamento. Com esta configuração, os clientes ligados ao domínio podem acessar contas de armazenamento ligadas a qualquer floresta. Isto funciona para ambientes que têm duas ou mais florestas.

No nosso exemplo, temos os domínios onpremad1.com e onpremad2.com, e temos onprem1sa e onprem2sa como contas de armazenamento associadas a partilhas de ficheiros SMB do Azure nos respetivos domínios. Esses domínios estão em florestas diferentes que confiam umas nas outras para acessar recursos nas florestas umas das outras. Queremos permitir o acesso a ambas as contas de armazenamento a partir de clientes que pertencem a cada floresta. Para fazer isto, precisamos modificar os sufixos SPN da conta de armazenamento.

onprem1sa.onpremad1.com -> onprem1sa.file.core.windows.net

onprem2sa.onpremad2.com -> onprem2sa.file.core.windows.net

Isso permitirá que os clientes montem o compartilhamento com net use \\onprem1sa.onpremad1.com porque os clientes em onpremad1 ou onpremad2 saberão pesquisar onpremad1.com para encontrar o recurso correto para essa conta de armazenamento.

Para utilizar este método, siga os seguintes passos:

1. Certifique-se de ter estabelecido confiança entre as duas florestas e configurado autenticação baseada em identidade e contas de utilizador híbridas conforme descrito nas seções anteriores.

2. Modificar o SPN da conta de armazenamento usando a ferramenta setspn. Pode encontrar <DomainDnsRoot> executando o seguinte comando Active Directory PowerShell: (Get-AdDomain).DnsRoot

   setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
   

3. Adicione uma entrada CNAME usando o Gestor de DNS do Active Directory e siga os passos abaixo para cada conta de armazenamento no domínio ao qual a conta de armazenamento está associada. Se estiver a usar um endpoint privado, adicione a entrada CNAME para mapear para o nome do endpoint privado.

   1. Abra o Gerenciador de DNS do Ative Directory.

   2. Vá para o seu domínio (por exemplo, onpremad1.com).

   3. Vá para "Zonas de pesquisa direta".

   4. Selecione o nó com o nome do seu domínio (por exemplo, onpremad1.com) e clique com o botão direito do mouse em Novo Alias (CNAME).

   5. Para o nome de alias, insira o nome da sua conta de armazenamento.

   6. Para o nome de domínio totalmente qualificado (FQDN), introduza <storage-account-name>.<domain-name>, tal como mystorageaccount.onpremad1.com.

   7. Para o FQDN do anfitrião de destino, introduza <storage-account-name>.file.core.windows.net

   8. Selecione OK.

      

Agora, a partir de clientes associados ao domínio, deverá ser possível utilizar contas de armazenamento associadas a qualquer floresta.

Adicione sufixo de nome personalizado e regra de encaminhamento

Se já modificou o sufixo do nome da conta de armazenamento e adicionou um registo CNAME conforme descrito na seção anterior, pode ignorar este passo. Se preferir não fazer alterações no DNS ou modificar o sufixo do nome da conta de armazenamento, pode configurar uma regra de encaminhamento de sufixo de Forest 1 para Forest 2 para um sufixo personalizado de file.core.windows.net.

Primeiro, adicione um novo sufixo personalizado na Floresta 2. Certifique-se de que tem as permissões administrativas apropriadas para alterar a configuração e de que estabeleceu confiança entre as duas florestas. Em seguida, siga estes passos:

1. Inicie sessão numa máquina ou VM que faz parte de um domínio no Forest 2.
2. Abra a consola Active Directory Domains and Trusts.
3. Clique com o botão direito do mouse em Domínios e Relações de Confiança do Ative Directory.
4. Selecione Properties e, em seguida, selecione Add.
5. Adicione "file.core.windows.net" como sufixo UPN.
6. Selecione Aplicar e, em seguida, OK para fechar o assistente.

Em seguida, adicione a regra de encaminhamento de sufixo em Forest 1, para que redirecione para Forest 2.

1. Faça login numa máquina ou VM que está ligada a um domínio em Forest 1.
2. Abra a consola Active Directory Domains and Trusts.
3. Clique com o botão direito do rato no domínio que pretende aceder à partilha de ficheiros e, em seguida, selecione o separador Relações de confiança e selecione o domínio Floresta 2 a partir de relações de confiança de saída.
4. Selecione Propriedades e depois Nome Sufixo de Roteamento.
5. Verifique se o sufixo "*.file.core.windows.net" aparece. Se não, selecione Atualizar.
6. Selecione "*.file.core.windows.net", depois selecione Enable e Apply.

Validar se a confiança está a funcionar

Agora, vamos validar se a confiança está a funcionar, executando o comando klist para exibir o conteúdo da cache de credenciais Kerberos e da tabela de chaves.

1. Inicie sessão numa máquina ou VM que esteja ligada a um domínio em Forest 1 e abra uma linha de comandos do Windows.
2. Para exibir a cache de credenciais para a conta de armazenamento associada ao domínio em Forest 2, execute um dos seguintes comandos:
   • Se usou o método Modificar o sufixo do nome da conta de armazenamento e adicionar o registo CNAME, execute: klist get cifs/onprem2sa.onpremad2.com
   • Se utilizou o método Adicionar sufixo de nome personalizado e regra de encaminhamento, execute: klist get cifs/onprem2sa.file.core.windows.net
3. Deverá ver um resultado semelhante ao seguinte. A saída do klist irá diferir ligeiramente, dependendo do método utilizado para configurar os sufixos de domínio.

Client: onprem1user @ ONPREMAD1.COM
Server: cifs/onprem2sa.file.core.windows.net @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:45:02 (local)
End Time: 11/23/2022 4:45:02 (local)
Renew Time: 11/29/2022 18:45:02 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onprem2.onpremad2.com

4. Inicie sessão numa máquina ou VM que está ligada a um domínio em Forest 2 e abra um prompt de comandos do Windows.
5. Para apresentar a cache de credenciais para a conta de armazenamento ligada ao domínio em Forest 1, execute um dos seguintes comandos:
   • Se usou o método Modificar o sufixo do nome da conta de armazenamento e adicionar o registo CNAME, execute: klist get cifs/onprem1sa.onpremad1.com
   • Se utilizou o método Adicionar sufixo de nome personalizado e regra de encaminhamento, execute: klist get cifs/onprem1sa.file.core.windows.net
6. Deverá ver um resultado semelhante ao seguinte. A saída do klist irá diferir ligeiramente, dependendo do método utilizado para configurar os sufixos de domínio.

Client: onprem2user @ ONPREMAD2.COM
Server: krbtgt/ONPREMAD2.COM @ ONPREMAD2.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -> PRIMARY
Kdc Called: onprem2

Client: onprem2user @ ONPREMAD2.COM    
Server: cifs/onprem1sa.file.core.windows.net @ ONPREMAD1.COM
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
Start Time: 11/22/2022 18:46:35 (local)
End Time: 11/23/2022 4:46:35 (local)
Renew Time: 11/29/2022 18:46:35 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
Kdc Called: onpremad1.onpremad1.com

Se você vir a saída acima, você está pronto. Se não o fizer, siga estes passos para fornecer sufixos UPN alternativos de modo a que a autenticação multi-floresta funcione.

Primeiro, adicione um novo sufixo personalizado na Floresta 1.

1. Faça login numa máquina ou VM que está ligada a um domínio em Forest 1.
2. Abra a consola Active Directory Domains and Trusts.
3. Clique com o botão direito do mouse em Domínios e Relações de Confiança do Ative Directory.
4. Selecione Properties e, em seguida, selecione Add.
5. Adicione um sufixo UPN alternativo, como "onprem1sa.file.core.windows.net".
6. Selecione Aplicar e depois OK para fechar o assistente.

Em seguida, adicione a regra de encaminhamento de sufixo em Forest 2.

1. Inicie sessão numa máquina ou VM que pertence a um domínio na Floresta 2.
2. Abra a consola Active Directory Domains and Trusts.
3. Clique com o botão direito do rato no domínio que pretende aceder ao compartilhamento de ficheiros, depois selecione o separador Confianças e selecione a confiança de saída da Floresta 2 onde foi adicionado o nome de roteamento de sufixo.
4. Selecione Propriedades e depois Nome Sufixo de Roteamento.
5. Verifique se o sufixo "onprem1sa.file.core.windows.net" aparece. Se não, selecione Atualizar.
6. Selecione "onprem1sa.file.core.windows.net" e, em seguida, selecione Ativar e Aplicar.

Próximos passos

Para obter mais informações, veja estes recursos:

• Visão geral do suporte à autenticação baseada em identidade dos Arquivos do Azure (somente SMB)
• Perguntas frequentes sobre arquivos do Azure