跳到主要内容

在 Active Directory 域中创建 SMB 服务器

您可以使用 vserver cifs create 命令在 SVM 上创建 SMB 服务器,并指定其所属的 Active Directory (AD) 域。

开始之前

用于提供数据的 SVM 和 LIF 必须已配置为允许 SMB 协议。LIF 必须能够与 SVM 上配置的 DNS 服务器连接,还要能够与 SMB 服务器要加入的域的 AD 域控制器连接。

已获得授权,可在 SMB 服务器要加入的 AD 域中创建计算机帐户的任何用户,均可在 SVM 上创建 SMB 服务器。也包括其他域中的用户。

从 ONTAP 9.7 开始,AD 管理员可为您提供 keytab 文件的 URI,作为向您提供特权 Windows 帐户名称和密码的替代方法。收到 URI 时,请通过 vserver cifs 命令将其包含在 -keytab-uri 参数中。

关于本任务

在 Active Directory 域中创建 SMB 服务器时:

  • 指定域时必须使用标准域名 (FQDN)。

  • 默认设置为将 SMB 服务器计算机帐户加入 Active Directory CN=Computer 对象。

  • 可选择将 SMB 服务器添加到其他组织单位 (OU),方法是使用 -ou 选项。

  • 可以选择添加逗号分隔列表,其中包含 SMB 服务器的一个或多个 NetBIOS 别名(最多 200 个)。

    如果要将其他文件服务器的数据整合到 SMB 服务器,还希望 SMB 服务器与原始服务器的名称相对应,配置 SMB 服务器的 NetBIOS 别名就很有用。

vserver cifs 手册页中包含其他可选参数和命名要求。

默认情况下,已经为所有 Lenovo Data ONTAP 版本启用了 SMB 2.0。

《SMB/CIFS 参考》包含有关 SMB 服务器配置选项的详细信息。

  1. 验证 SMB/CIFS 已在集群上获得许可:system license show -package cifs

    如果未获得许可,请联系您的销售代表。

    如果 SMB 服务器仅用于认证,则不需要 CIFS 许可证。

  2. 在 AD 域中创建 SMB 服务器:vserver cifs create -vserver vserver_name -cifs-server smb_server_name -domain FQDN [-ou organizational_unit][-netbios-aliases NetBIOS_name, ...][-keytab-uri {(ftp|http)://hostname|IP_address}][-comment text]

    加入域时,此命令可能耗时数分钟才能完成。

    示例

    以下命令在域example.com中创建 SMB 服务器smb_server01

    cluster1::> vserver cifs create -vserver vs1.example.com -cifs-server smb_server01 -domain example.com

    以下命令在域mydomain.com中创建 SMB 服务器smb_server02,并且使用 keytab 文件认证 ONTAP 管理员:

    cluster1::> vserver cifs create -vserver vs1.mydomain.com -cifs-server smb_server02 -domain mydomain.com -keytab-uri http://admin.mydomain.com/ontap1.keytab
  3. 使用 vserver cifs show 命令验证 SMB 服务器配置。

    示例

    在此示例中,命令输出显示在 SVM vs1.example.com 上创建了名为 SMB_SERVER01 的 SMB 服务器,并将其加入了 example.com 域。

    cluster1::> vserver cifs show -vserver vs1

                                              Vserver: vs1.example.com
                             CIFS Server NetBIOS Name: SMB_SERVER01
                        NetBIOS Domain/Workgroup Name: EXAMPLE
                          Fully Qualified Domain Name: EXAMPLE.COM
    Default Site Used by LIFs Without Site Membership:
                                 Authentication Style: domain
                    CIFS Server Administrative Status: up
                              CIFS Server Description: -
                              List of NetBIOS Aliases: -


示例

以下命令在example.com域中的 SVM vs2.example.com 上创建名为smb_server02的 SMB 服务器。在OU=eng、OU=corp、DC=example、DC=com容器中创建了计算机帐户。为 SMB 服务器分配了 NetBIOS 别名。

cluster1::> vserver cifs create -vserver vs2.example.com –cifs-server smb_server02 -domain example.com –ou OU=eng,OU=corp -netbios-aliases old_cifs_server01

cluster1::> vserver cifs show -vserver vs1
                                          Vserver: vs2.example.com
                         CIFS Server NetBIOS Name: SMB_SERVER02
                    NetBIOS Domain/Workgroup Name: EXAMPLE
                      Fully Qualified Domain Name: EXAMPLE.COM
Default Site Used by LIFs Without Site Membership:
                             Authentication Style: domain
                CIFS Server Administrative Status: up
                          CIFS Server Description: -
                          List of NetBIOS Aliases: OLD_CIFS_SERVER01
以下命令允许另一域中的用户(本例中为可信域的管理员)在 SVM vs3.example.com 上创建名为smb_server03的 SMB 服务器。-domain 选项指定要创建 SMB 服务器的主域(在 DNS 配置中指定)的名称。username 选项指定可信域的管理员。
  • 主域:example.com
  • 可信域:trust.lab.com
  • 可信域中的用户名:Administrator1
cluster1::> vserver cifs create -vserver vs3.example.com -cifs-server smb_server03 -domain example.com

Username: Administrator1@trust.lab.com
Password: . . .
  • 创建用于执行 SMB/CIFS 身份验证的 keytab 文件
    从 ONTAP 9.7 开始,ONTAP 支持使用 Active Directory(AD)服务器和 keytab 文件进行 SVM 认证。AD 管理员生成一个 keytab 文件,并将其以统一资源标识符(URI)的形式提供给 ONTAP 管理员,而在 vserver cifs 命令需要对 AD 域进行 Kerberos 认证时,将提供此文件。