本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CLI 更新 SVM Active Directory 配置 NetApp
您可以使用 NetApp ONTAP CLI 将您的 SVM 加入和取消加入活动目录,也可以修改现有 SVM 活动目录配置。
使用 ONTAP API 将 SVM 加入 Active Directory
您可以使用 ONTAP CLI SVMs 将现有目录加入活动目录,如以下过程所述。即使 SVM 已经加入 Active Directory,也可以执行此过程。
要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将
management_endpoint_ip[~]$ssh fsxadmin@management_endpoint_ip有关更多信息,请参阅 使用管理文件系统 ONTAP CLI。
-
通过提供完整的目录 DNS 名称(
corp.example.com)和至少一个 DNS 服务器 IP 地址,为 Active Directory 创建 DNS 条目。::>vserver services name-service dns create -vserversvm_name-domainscorp.example.com-name-serversdns_ip_1,dns_ip_2要验证与 DNS 服务器的连接,请运行以下命令。
svm_name用您自己的信息替换。FsxId0ae30e5b7f1a50b6a::>vserver services name-service dns check -vserversvm_nameName Server Vserver Name Server Status Status Details ------------- --------------- ------------ -------------------------- svm_name 172.31.14.245 up Response time (msec): 0 svm_name 172.31.25.207 up Response time (msec): 1 2 entries were displayed. -
要将 SVM 加入 Active Directory,请运行以下命令。请注意,必须指定 Active Directory 中尚不存在的
computer_name,并为-domain提供目录 DNS 名称。对于-OU,输入您希望 SVM 加入的,以及 DC 格式的完整 DNS 名称。 OUs::>vserver cifs create -vserver svm_name -cifs-servercomputer_name-domaincorp.example.com-OUOU=Computers,OU=example,DC=corp,DC=example,DC=com要验证 Active Directory 连接的状态,请运行以下命令:
::>vserver cifs check -vserversvm_nameVserver : svm_name Cifs NetBIOS Name : svm_netBIOS_name Cifs Status : Running Site : Default-First-Site-Name Node Name DC Server Name DC Server IP Status Status Details --------------- -------------- --------------- ------ -------------- FsxId0ae30e5b7f1a50b6a-01 corp.example.com 172.31.14.245 up Response time (msec): 5 FsxId0ae30e5b7f1a50b6a-02 corp.example.com 172.31.14.245 up Response time (msec): 20 2 entries were displayed. -
如果此次加入后无法访问共享,请确定用于访问共享的账户是否具有权限。例如,如果您在托管 Active Directory 中使用默认
Admin帐户(委 AWS 托管理员),则必须在 ONTAP 中运行以下命令。netbios_domain与您的 Active Directory 的域名相对应(对于corp.example.com,此处使用的netbios_domain是example)。FsxId0123456789a::>vserver cifs users-and-groups local-group add-members -vserver svm_name -group-name BUILTIN\Administrators -member-names netbios_domain\admin
使用 ONTAP CLI 修改 Active Directory 配置
可以使用 ONTAP CLI 修改现有 Active Directory 配置。
要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将
management_endpoint_ip[~]$ssh fsxadmin@management_endpoint_ip有关更多信息,请参阅 使用管理文件系统 ONTAP CLI。
-
运行以下命令,暂时关闭 SVM 的 CIFS 服务器:
FsxId0123456789a::>vserver cifs modify -vserversvm_name-status-admin down -
如果需要修改 Active Directory 的 DNS 条目,请运行以下命令:
::>vserver services name-service dns modify -vserversvm_name-domainscorp.example.com-name-serversdns_ip_1,dns_ip_2可以使用
vserver services name-service dns check -vserver svm_name命令验证与 Active Directory 的 DNS 服务器的连接状态。::>vserver services name-service dns check -vserversvm_nameName Server Vserver Name Server Status Status Details ------------- --------------- ------------ -------------------------- svmciad dns_ip_1 up Response time (msec): 1 svmciad dns_ip_2 up Response time (msec): 1 2 entries were displayed. -
如果需要修改 Active Directory 配置本身,则可以使用以下命令更改现有字段,并替换以下项:
-
computer_name,如果你想修改 SVM 的 NetBIOS(计算机帐户)名称。 -
domain_name,如果你想修改域的名称。这应与本部分步骤 3 中所述的 DNS 域条目相对应(corp.example.com)。 -
organizational_unit,如果要修改 OU(OU=Computers,OU=example,DC=corp,DC=example,DC=com)。
您需要重新输入用于将此设备加入 Active Directory 的 Active Directory 凭证。
::>vserver cifs modify -vserversvm_name-cifs-server computer_name -domaindomain_name-OUorganizational_unit可以使用
vserver cifs check -vserver命令验证 Active Directory 连接的连接状态。svm_name -
-
完成 Active Directory 和 DNS 配置修改后,运行以下命令,恢复 CIFS 服务器:
::>vserver cifs modify -vserversvm_name-status-admin up
使用 ONTAP CLI 从您的 SVM 取消加入活动目录 NetApp
也可以按照以下步骤使用 NetApp ONTAP CLI 取消您的 SVM 与 Active Directory 的加入:
要访问 ONTAP CLI,请运行以下命令在 Amazon FSx for NetApp ONTAP 文件系统或 SVM 的管理端口上建立 SSH 会话。将
management_endpoint_ip[~]$ssh fsxadmin@management_endpoint_ip有关更多信息,请参阅 使用管理文件系统 ONTAP CLI。
-
运行以下命令,删除将您的设备从 Active Directory 取消加入的 CIFS 服务器。要使 ONTAP 删除 SVM 的计算机账户,请提供最初用于将 SVM 加入 Active Directory 的凭证。
FsxId0123456789a::>vserver cifs modify -vserversvm_name-status-admin down -
如果需要修改 Active Directory 的 DNS 条目,请运行以下命令:
FsxId0123456789a::vserver cifs delete -vserversvm_nameIn order to delete an Active Directory machine account for the CIFS server, you must supply the name and password of a Windows account with sufficient privileges to remove computers from the "CORP.ADEXAMPLE.COM" domain. Enter the user name:user_nameEnter the password: Warning: There are one or more shares associated with this CIFS server Do you really want to delete this CIFS server and all its shares? {y|n}:y -
运行以下命令,删除 Active Directory 的 DNS 服务器:
::vserver services name-service dns delete -vserversvm_name如果显示类似以下内容的警告(指明应将
dns作为ns-switch删除),并且您不打算将此设备重新加入 Active Directory,则可以删除ns-switch条目。Warning: "DNS" is present as one of the sources in one or more ns-switch databases but no valid DNS configuration was found for Vserver "svm_name". Remove "DNS" from ns-switch using the "vserver services name-service ns-switch" command. Configuring "DNS" as a source in the ns-switch setting when there is no valid configuration can cause protocol access issues. -
(可选)运行以下命令,删除
dns的ns-switch条目。验证源顺序,然后删除hosts数据库的dns条目,即修改sources,使其仅包含列出的其他源。在此示例中,唯一的其他源是files。::>vserver services name-service ns-switch show -vserversvm_name-database hostsVserver: svm_name Name Service Switch Database: hosts Name Service Source Order: files, dns::>vserver services name-service ns-switch modify -vserversvm_name-database hosts -sources files -
(可选)删除
dns条目,即修改数据库主机的sources以仅包含files。::>vserver services name-service ns-switch modify -vserver svm_name -database hosts -sources files
