Uso de Azure Files con varios bosques de Active Directory

Se aplica a: ✔️ recursos compartidos de archivos SMB

Muchas organizaciones quieren usar la autenticación basada en identidad para recursos compartidos de archivos de Azure SMB en entornos que tienen varios bosques locales de Servicios de dominio de Active Directory (AD DS). Se trata de un escenario común de TI, especialmente después de fusiones y adquisiciones, donde los bosques de AD de la empresa adquirida están aislados de los bosques de AD de la empresa matriz. En este artículo se explica cómo funcionan las relaciones de confianza de bosque y se proporcionan instrucciones paso a paso para la configuración y validación de varios bosques.

Requisitos previos

• Dos controladores de dominio de AD DS con bosques diferentes y en redes virtuales diferentes
• Permisos suficientes de AD para realizar tareas administrativas (por ejemplo, Administrador de dominio)
• Si usa Azure RBAC, un único servidor de sincronización de Microsoft Entra Connect debe ser accesible para ambos bosques.

Funcionamiento de las relaciones de confianza de bosque

La autenticación local de Azure Files de AD DS solo admite el bosque de AD del servicio de dominio al que está registrada la cuenta de almacenamiento. De forma predeterminada, solo puede acceder a recursos compartidos de archivos de Azure mediante credenciales de AD DS desde un único bosque. Si necesita acceder al recurso compartido de archivos de Azure desde otro bosque, configure una confianza forest.

Una confianza de bosque es una confianza transitiva entre dos bosques de AD que permite a los usuarios de cualquiera de los dominios de un bosque autenticarse en cualquiera de los dominios del otro bosque.

Configuración de varios bosques

Para configurar una configuración de varios bosques, realice los pasos siguientes:

• Recopilación de información de dominio y conexiones de red virtual entre dominios
• Establecimiento y configuración de una confianza de bosque
• Configuración de la autenticación basada en identidades y cuentas de usuario híbridas

Recopilación de información de dominio

Para este ejercicio, tenemos dos controladores de dominio de AD DS locales con dos bosques diferentes y en redes virtuales diferentes.

Establecimiento y configuración de una confianza

Para permitir que los clientes de Forest 1 accedan a los recursos de dominio de Azure Files en Forest 2, debe establecer una confianza entre los dos bosques. Siga estos pasos para establecer la confianza.

1. Inicie sesión en una máquina que esté unida a un dominio de Forest 2 y abra la consola de Active Directory Domains and Trusts.

2. Haga clic con el botón derecho en el dominio local onpremad2.com y, después, seleccione la pestaña Confianzas.

3. Seleccione Nuevas confianzas para iniciar el Asistente para nueva confianza.

4. Especifique el nombre de dominio con el que quiera crear la confianza (en este ejemplo, onpremad1.com) y, después, seleccione Siguiente.

5. En Tipo de confianza, seleccione Confianza de bosque y después Siguiente.

6. En Dirección de confianza, seleccione Bidireccional y después Siguiente.

   

7. En Lados de confianza, seleccione Este dominio solo y después Siguiente.

8. Los usuarios del bosque especificado se pueden autenticar para usar todos los recursos del bosque local (autenticación en todo el bosque) o solo aquellos recursos que seleccione (autenticación selectiva). En Nivel de autenticación de confianza saliente, seleccione Autenticación en todo el bosque, que es la opción preferida cuando ambos bosques pertenecen a la misma organización. Seleccione Next (Siguiente).

9. Escriba una contraseña para la confianza y, a continuación, seleccione Siguiente. Debe usar la misma contraseña al crear esta relación de confianza en el dominio especificado.

   

10. Debería ver un mensaje que indica que la relación de confianza se ha creado correctamente. Para configurar la confianza, seleccione Siguiente.

11. Confirme la confianza saliente y seleccione Siguiente.

12. Escriba el nombre de usuario y la contraseña de un usuario que tenga privilegios de administrador del otro dominio.

Una vez superada la autenticación, se establece la confianza. Debería ver el dominio especificado onpremad1.com en la pestaña Confianzas .

Configuración de la autenticación basada en identidades y cuentas de usuario híbridas

Después de establecer la confianza, siga estos pasos para crear una cuenta de almacenamiento y un recurso compartido de archivos SMB para cada dominio, habilitar la autenticación de AD DS en las cuentas de almacenamiento y crear cuentas de usuario híbridas sincronizadas con Entra ID.

1. Inicie sesión en el portal de Azure y cree dos cuentas de almacenamiento, como onprem1sa y onprem2sa. Para obtener un rendimiento óptimo, implemente las cuentas de almacenamiento en la misma región que los clientes desde los que planea acceder a los recursos compartidos.

   Nota:

   No es necesario crear una segunda cuenta de almacenamiento. Estas instrucciones muestran un ejemplo de cómo acceder a las cuentas de almacenamiento que pertenecen a diferentes bosques. Si solo tiene una cuenta de almacenamiento, puede omitir las segundas instrucciones de configuración de la cuenta de almacenamiento.

2. Crear un recurso Azure SMB de archivos compartidos y asignar permisos a nivel de compartición en cada cuenta de almacenamiento.

3. Sincroniza tu AD local con Microsoft Entra ID utilizando la aplicación Microsoft Entra Connect Sync.

4. Unir una máquina virtual de Azure en Forest 1 a su AD DS local. Para información acerca de cómo unirse a un dominio, consulte Unión de un equipo a un dominio.

5. Habilite la autenticación de AD DS en la cuenta de almacenamiento asociada al bosque 1, como onprem1sa. Este paso crea una cuenta de equipo en el AD local denominada onprem1sa para representar la cuenta de almacenamiento Azure y une la cuenta de almacenamiento al dominio onpremad1.com. Puede comprobar que la identidad de AD que representa la cuenta de almacenamiento se creó buscando en Active Directory Users and Computers para onpremad1.com. En este ejemplo, vemos una cuenta de computadora denominada onprem1sa.

6. Para crear una cuenta de usuario, vaya a Active Directory > onpremad1.com. Haga clic con el botón derecho en Usuarios, seleccione Crear, escriba un nombre de usuario (por ejemplo, onprem1user) y active la casilla La contraseña no caduca nunca (opcional).

7. Opcional: si desea usar Azure RBAC para asignar permisos de nivel de recurso compartido, debe sincronizar el usuario con Entra ID mediante Microsoft Entra Connect. Normalmente Microsoft Entra Connect Sync se actualiza cada 30 minutos. Pero puede forzar que se sincronice inmediatamente si abre una sesión de PowerShell con privilegios elevados y ejecuta Start-ADSyncSyncCycle -PolicyType Delta. Es posible que primero tenga que instalar el módulo ADSync mediante la ejecución Import-Module ADSync. Para comprobar que el usuario está sincronizado con Entra ID, inicie sesión en el portal de Azure con la suscripción de Azure asociada al inquilino de varios bosques y seleccione Microsoft Entra ID. Seleccione Administrar > usuarios y busque el usuario que ha agregado (por ejemplo, onprem1user). La sincronización local habilitada debe indicar Sí.

8. Establezca permisos a nivel de recurso compartido utilizando roles de RBAC de Azure o un permiso predeterminado a nivel de recurso compartido.

   • Si el usuario se sincroniza con Entra ID, conceda un permiso a nivel de recurso compartido (rol Azure RBAC) al usuario onprem1user en la cuenta de almacenamiento onprem1sa para que el usuario pueda montar el recurso compartido de archivos. Para ello, vaya al recurso compartido de archivos que creó en onprem1sa y siga las instrucciones de Asignar permisos de nivel de recurso compartido para usuarios o grupos específicos de Microsoft Entra.
   • De lo contrario, use un permiso de nivel de recurso compartido predeterminado que se aplique a todas las identidades autenticadas.

Repita los pasos del 4 al 8 para el dominio Forest 2onpremad2.com (cuenta de almacenamiento onprem2sa/usuario onprem2user). Si tiene más de dos bosques, repita los pasos de cada bosque.

Configuración de permisos de directorio y de nivel de archivo (opcional)

En un entorno de varios bosques, use la utilidad de línea de comandos icacls para configurar los permisos de nivel de archivo y directorio para los usuarios de ambos bosques. Consulte Configure Windows ACL con icacls.

Si icacls produce un error de acceso denegado, siga estos pasos para configurar los permisos a nivel de directorio y archivo:

1. Elimine el montaje del recurso compartido existente: net use * /delete /y

2. Vuelva a montar el recurso compartido mediante el modelo de permisos Windows para el administrador de SMB o la clave de la cuenta de almacenamiento (no se recomienda). Consulte Montar recurso compartido de archivos SMB de Azure en Windows.

3. Establezca los permisos de icacls para el usuario en Bosque 2 en la cuenta de almacenamiento unida a Bosque 1 desde el cliente en Bosque 1.

Configuración de sufijos de dominio

Como se explicó anteriormente, Azure Files se registra en AD DS casi igual que un servidor de archivos normal. Crea una identidad (de forma predeterminada, una cuenta de equipo, pero también podría ser una cuenta de inicio de sesión de servicio) que representa la cuenta de almacenamiento en AD DS para la autenticación. La única diferencia es que el nombre de entidad de seguridad de servicio registrado de la cuenta de almacenamiento finaliza en file.core.windows.net, que no coincide con el sufijo del dominio. Debido al sufijo de dominio diferente, debe configurar una directiva de enrutamiento de sufijos para habilitar la autenticación de varios bosques.

Dado que el sufijo file.core.windows.net es el sufijo para todos los recursos de Azure Files en lugar de un sufijo para un dominio de AD específico, el controlador de dominio del cliente no sabe a qué dominio reenviar la solicitud. Por lo tanto, se produce un error en todas las solicitudes en las que el recurso no se encuentra en su propio dominio.

Por ejemplo, cuando los usuarios de un dominio de Bosque 1 quieren llegar a un recurso compartido de archivos con la cuenta de almacenamiento registrada en un dominio de Bosque 2, esto no funcionará automáticamente porque la entidad de servicio de la cuenta de almacenamiento no tiene un sufijo que coincida con el sufijo de ningún dominio de Bosque 1.

Puede configurar sufijos de dominio mediante uno de los métodos siguientes:

• Modifique el sufijo SPN de la cuenta de almacenamiento y agregue un registro CNAME (recomendado: funciona con dos o más bosques).
• Agregar sufijo de nombre personalizado y regla de enrutamiento (no funciona con más de dos bosques)

Modificación del sufijo SPN de la cuenta de almacenamiento y adición de un registro CNAME

Para resolver el problema de enrutamiento de dominio, modifique el sufijo SPN de la cuenta de almacenamiento asociada al recurso compartido de archivos Azure y agregue un registro CNAME para enrutar el nuevo sufijo al punto de conexión de la cuenta de almacenamiento. Con esta configuración, los clientes unidos a un dominio pueden acceder a las cuentas de almacenamiento unidas a cualquier bosque. Esta solución funciona para entornos que tienen dos o más bosques.

En este ejemplo, los dominios onpremad1.com y onpremad2.com tienen onprem1sa<>>>/c2> y onprem2sa como cuentas de almacenamiento asociadas a recursos compartidos de archivos Azure SMB en los dominios respectivos. Estos dominios se encuentran en bosques diferentes que confían entre sí para acceder a los recursos de los bosques de los demás. Quiere permitir el acceso a ambas cuentas de almacenamiento de clientes que pertenecen a cada bosque. Para ello, debe modificar los sufijos SPN de la cuenta de almacenamiento:

onprem1sa.onpremad1.com -> onprem1sa.file.core.windows.net

>

Este cambio permite a los clientes montar el recurso compartido mediante net use \\onprem1sa.onpremad1.com porque los clientes de onpremad1 o onpremad2 saben buscar onpremad1.com para encontrar el recurso adecuado para esa cuenta de almacenamiento.

Para usar este método, complete los pasos siguientes:

1. Asegúrese de establecer la confianza entre los dos bosques y configurar la autenticación basada en identidades y las cuentas de usuario híbridas , tal como se describe en las secciones anteriores.

2. Modifique el SPN de la cuenta de almacenamiento mediante la herramienta setspn. Puede encontrar <DomainDnsRoot> ejecutando el siguiente comando de PowerShell Active Directory: (Get-AdDomain).DnsRoot

   setspn -s cifs/<storage-account-name>.<DomainDnsRoot> <storage-account-name>
   

3. Agregue una entrada CNAME mediante Active Directory Administrador de DNS y siga los pasos siguientes para cada cuenta de almacenamiento del dominio al que está unida la cuenta de almacenamiento. Si usa un punto de conexión privado, agregue la entrada CNAME para asignarla al nombre del punto de conexión privado.

   1. Abra el Administrador de DNS de Active Directory.

   2. Vaya al dominio (por ejemplo, onpremad1.com).

   3. Vaya a "Zonas de búsqueda directa".

   4. Seleccione el nodo que tenga el nombre del dominio (por ejemplo, onpremad1.com) y haga clic con el botón derecho en Nuevo alias (CNAME).

   5. En el nombre del alias, escriba el nombre de la cuenta de almacenamiento.

   6. Para el nombre de dominio completo (FQDN), escriba <storage-account-name>.<domain-name>, como mystorageaccount.onpremad1.com.

   7. Para el FQDN del host de destino, escriba <storage-account-name>.file.core.windows.net

   8. Seleccione Aceptar.

      

Ahora, desde clientes unidos a un dominio, puede usar cuentas de almacenamiento unidas a cualquier bosque.

Adición del sufijo de nombre personalizado y la regla de enrutamiento

Si ya ha modificado el sufijo del nombre de la cuenta de almacenamiento y ha agregado un registro CNAME como se describe en la sección anterior, puede omitir este paso. Si no desea realizar cambios en DNS ni modificar el sufijo de nombre de la cuenta de almacenamiento, puede configurar una regla de enrutamiento de sufijos del bosque 1 al bosque 2 para un sufijo personalizado de file.core.windows.net.

En primer lugar, agregue un nuevo sufijo personalizado en el Bosque 2. Asegúrese de que tiene los permisos administrativos adecuados para cambiar la configuración y de que estableció confianza entre los dos bosques. A continuación, siga estos pasos:

1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en Forest 2.
2. Abra la consola Active Directory Domains and Trusts.
3. Haga clic con el botón derecho en Active Directory Domains and Trusts.
4. Seleccione Propiedades y luego Agregar.
5. Agregue "file.core.windows.net" como sufijo UPN.
6. Seleccione Aplicar y, después, Aceptar para cerrar el asistente.

A continuación, agregue la regla de enrutamiento de sufijos en el Bosque 1 para que se redirija al Bosque 2.

1. Inicie sesión en una máquina o VM que esté unida a un dominio en Forest 1.
2. Abra la consola Active Directory Domains and Trusts.
3. Haga clic con el botón derecho en el dominio al que desea acceder al recurso compartido de archivos. Seleccione la pestaña Confianzas. Seleccione el dominio Bosque 2 de las confianzas salientes.
4. Seleccione Propiedades y, después, Enrutamiento de sufijo de nombre.
5. Compruebe si aparece el sufijo "*.file.core.windows.net". Si no es así, seleccione Actualizar.
6. Seleccione "*.file.core.windows.net", y Habilitar y Aplicar.

Valide que la confianza funciona

Compruebe que la confianza funciona ejecutando el comando klist para mostrar el contenido de la caché de credenciales y la tabla de claves de Kerberos.

1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en Forest 1 y abra un símbolo del sistema de Windows.

2. Para mostrar la caché de credenciales de la cuenta de almacenamiento unida a un dominio en el bosque 2, ejecute uno de los siguientes comandos:

   • Si usó el método Modify storage account SPN suffix and add CNAME record, ejecute: klist get cifs/onprem2sa.onpremad2.com
   • Si ha usado el método Agregar sufijo de nombre personalizado y regla de enrutamiento, ejecute: klist get cifs/onprem2sa.file.core.windows.net

3. Debería ver una salida similar a la siguiente. La salida klist difiere ligeramente en función del método que usó para configurar los sufijos de dominio.

   Client: onprem1user @ ONPREMAD1.COM
   Server: cifs/onprem2sa.file.core.windows.net @ ONPREMAD2.COM
   KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
   Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
   Start Time: 11/22/2022 18:45:02 (local)
   End Time: 11/23/2022 4:45:02 (local)
   Renew Time: 11/29/2022 18:45:02 (local)
   Session Key Type: AES-256-CTS-HMAC-SHA1-96
   Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
   Kdc Called: onprem2.onpremad2.com
   

4. Inicie sesión en una computadora o máquina virtual que esté unida a un dominio en Forest 2 y abra un símbolo del sistema de Windows.

5. Para mostrar la memoria caché de credenciales de la cuenta de almacenamiento unida a un dominio en el bosque 1, ejecute uno de los siguientes comandos:

   • Si usó el método Modify storage account SPN suffix and add CNAME record, ejecute: klist get cifs/onprem1sa.onpremad1.com
   • Si ha usado el método Agregar sufijo de nombre personalizado y regla de enrutamiento, ejecute: klist get cifs/onprem1sa.file.core.windows.net

6. Debería ver una salida similar a la siguiente. La salida klist difiere ligeramente en función del método que usó para configurar los sufijos de dominio.

   Client: onprem2user @ ONPREMAD2.COM
   Server: krbtgt/ONPREMAD2.COM @ ONPREMAD2.COM
   KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
   Ticket Flags 0x40e10000 -> forwardable renewable pre_authent name_canonicalize
   Start Time: 11/22/2022 18:46:35 (local)
   End Time: 11/23/2022 4:46:35 (local)
   Renew Time: 11/29/2022 18:46:35 (local)
   Session Key Type: AES-256-CTS-HMAC-SHA1-96
   Cache Flags: 0x1 -> PRIMARY
   Kdc Called: onprem2
   
   Client: onprem2user @ ONPREMAD2.COM    
   Server: cifs/onprem1sa.file.core.windows.net @ ONPREMAD1.COM
   KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
   Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
   Start Time: 11/22/2022 18:46:35 (local)
   End Time: 11/23/2022 4:46:35 (local)
   Renew Time: 11/29/2022 18:46:35 (local)
   Session Key Type: AES-256-CTS-HMAC-SHA1-96
   Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
   Kdc Called: onpremad1.onpremad1.com
   

Si ve la salida anterior, ha terminado. De lo contrario, siga estos pasos a fin de proporcionar sufijos UPN alternativos para que la autenticación de varios bosques funcione.

En primer lugar, agregue un nuevo sufijo personalizado en el Bosque 1.

1. Inicie sesión en una máquina o VM que esté unida a un dominio en Forest 1.
2. Abra la consola Active Directory Domains and Trusts.
3. Haga clic con el botón derecho en Active Directory Domains and Trusts.
4. Seleccione Propiedades y luego Agregar.
5. Agregue un sufijo UPN alternativo, como "onprem1sa.file.core.windows.net".
6. Seleccione Aplicar y, después, Aceptar para cerrar el asistente.

A continuación, agregue la regla de enrutamiento de sufijo en Bosque 2.

1. Inicie sesión en una máquina o máquina virtual que esté unida a un dominio en Forest 2.
2. Abra la consola Active Directory Domains and Trusts.
3. Haga clic con el botón derecho en el dominio que quiera que acceda al recurso compartido de archivos y, después, seleccione la pestaña Confianzas y seleccione la confianza saliente del Bosque 2 donde se ha agregado el nombre de enrutamiento de sufijo.
4. Seleccione Propiedades y, después, Enrutamiento de sufijo de nombre.
5. Compruebe si aparece el sufijo "onprem1sa.file.core.windows.net". Si no es así, seleccione Actualizar.
6. Seleccione "onprem1sa.file.core.windows.net", y Habilitar y Aplicar.

Paso siguiente

Para obtener más información, consulte:

• Descripción general de Azure Files de la autenticación basada en identidad (solo SMB)