エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

Kerberos認証およびNTLMv2認証の許可の確認(Hyper-V over SMB共有)

Hyper-V over SMBのノンストップ オペレーションを実行する場合、データSVMのCIFSサーバーおよびHyper-VサーバーでKerberos認証とNTLMv2認証の両方が許可されていなければなりません。CIFSサーバーとHyper-Vサーバーの両方について、使用できる認証方法を制御する設定を確認する必要があります。

タスク概要

Kerberos認証は、継続的可用性を備えた共有への接続を確立する際に必要になります。また、リモートVSSのプロセスでNTLMv2認証が使用されます。そのため、Hyper-V over SMB構成に対しては、両方の認証方法を使用した接続がサポートされている必要があります。

Kerberos認証とNTLMv2認証の両方が許可されるように、次の設定について確認する必要があります。

  • Storage Virtual Machine(SVM)でSMBのエクスポート ポリシーが無効になっている必要があります。

SVMでは、Kerberos認証とNTLMv2認証がどちらも常に有効になりますが、エクスポート ポリシーを使用することで認証方法に基づいてアクセスを制限することが可能です。

SMBのエクスポート ポリシーは省略可能で、デフォルトでは無効になっています。エクスポート ポリシーが無効になっていれば、CIFSサーバーでKerberos認証とNTLMv2認証の両方がデフォルトで許可されます。

  • CIFSサーバーとHyper-Vサーバーが属するドメインで、Kerberos認証とNTLMv2認証の両方を許可する必要があります。

Kerberos認証は、Active Directoryドメインに対してデフォルトで有効になります。ただし、NTLMv2認証は、セキュリティ ポリシーの設定またはグループ ポリシーで禁止されている場合があります。

手順
  1. 次の手順に従って、SVMでエクスポート ポリシーが無効になっていることを確認します。

    1. 権限レベルをadvancedに設定します。

      set -privilege advanced

    2. -is-exportpolicy-enabled CIFSサーバー オプションが false に設定されていることを確認します。

      vserver cifs options show -vserver vserver_name -fields vserver,is-exportpolicy-enabled

    3. admin権限レベルに戻ります。

      set -privilege admin

  2. SMBのエクスポート ポリシーが無効になっていない場合は無効にします。

    vserver cifs options modify -vserver vserver_name -is-exportpolicy-enabled false

  3. ドメインでNTLMv2認証とKerberos認証の両方が許可されていることを確認します。

    ドメインで許可されている認証方法を確認する方法については、Microsoft TechNetライブラリーを参照してください。

  4. ドメインでNTMLv2認証が許可されていない場合は、Microsoftのドキュメントに記載されたいずれかの方法でNTLMv2認証を有効にします。

次のコマンドは、SVM vs1でSMBのエクスポート ポリシーが無効になっていることを確認します。

cluster1::> set -privilege advanced
Warning: These advanced commands are potentially dangerous; use them
only when directed to do so by fujitsu support personnel.
Do you wish to continue? (y or n): y

cluster1::*> vserver cifs options show -vserver vs1 -fields vserver,is-exportpolicy-enabled

vserver  is-exportpolicy-enabled
-------- -----------------------
vs1      false

cluster1::*> set -privilege admin
Top of Page