跳到主要内容

验证是否允许 Kerberos 和 NTLMv2 认证(Hyper-V over SMB 共享)

Hyper-V over SMB 的无中断运行要求,数据 SVM 上的 CIFS 服务器和 Hyper-V 服务器允许 Kerberos 和 NTLMv2 认证。必须验证 CIFS 服务器和 Hyper-V 服务器上控制允许的认证方法的设置。

关于本任务

进行持续可用的共享连接时需要进行 Kerberos 认证。远程 VSS 过程中会使用 NTLMv2 认证。因此,Hyper-V over SMB 配置必须支持使用这两种认证方法进行连接。

必须配置以下设置,以允许 Kerberos 和 NTLMv2 认证:

  • 必须在存储虚拟机(SVM)上禁用 SMB 的导出策略。

    SVM 上会始终启用 Kerberos 和 NTLMv2 认证,但可使用导出策略限制根据认证方法进行访问。

    默认情况下,SMB 的导出策略可选且处于禁用状态。如果禁用了导出策略,默认情况下允许在 CIFS 服务器上使用 Kerberos 和 NTLMv2 认证。

  • CIFS 服务器和 Hyper-V 服务器所属的域必须允许 Kerberos 和 NTLMv2 认证。

    Active Directory 域默认情况下已启用 Kerberos 认证。但可使用安全策略设置或组策略禁止 NTLMv2 认证。

  1. 执行以下操作,验证 SVM 上是否已禁用导出策略:
    1. 将权限级别设置为高级:set -privilege advanced
    2. 验证 -is-exportpolicy-enabled CIFS 服务器选项是否已设为 falsevserver cifs options show -vserver vserver_name -fields vserver,is-exportpolicy-enabled
    3. 恢复为管理员权限级别:set -privilege admin
  2. 如果尚未禁用 SMB 的导出策略,请禁用:vserver cifs options modify -vserver vserver_name -is-exportpolicy-enabled false
  3. 验证域中是否允许 NTLMv2 和 Kerberos 认证。

    有关如何确定域中允许了哪些认证方法的信息,请参阅 Microsoft TechNet 库。
  4. 如果域不允许 NTMLv2 认证,请使用 Microsoft 文档中介绍的一种方法来启用 NTLMv2 认证。

示例

以下命令验证 SVM vs1 上是否已禁用 SMB 的导出策略:

cluster1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use them
only when directed to do so by technical support personnel.
Do you wish to continue? (y or n): y

cluster1::*> vserver cifs options show -vserver vs1 -fields vserver,is-exportpolicy-enabled

vserver  is-exportpolicy-enabled
-------- -----------------------
vs1      false

cluster1::*> set -privilege admin