1 创建域账号

1.1 创建NFS专用域账号,并配置账号DES加密类型。

1.2 赋予账号Domain admin的权限

2 在NetApp上配置SVM

2.1 创建SVM和根卷

>vserver create -vserver nfs -rootvolume nfs_root -aggregate aggr1 -rootvolume-security-style unix -language C.UTF-8 -snapshot-policy default -is-repository false -ipspace Default

2.2 在SVM上启用NFS协议

>vserver nfs create -vserver nfs -access true -v4.1 enabled

2.3 创建广播域

>broadcast-domain create -broadcast-domain 192.168.10.1/24 -mtu 1500 -ipspace Default -ports NetApp-01:e0a,NetApp-02:e0a

2.4 创建逻辑接口(LIF)

>network interface create -vserver nfs -lif nfs_nfs_lif -role data -home-node NetApp-01 -home-port e0a -address 192.168.10.241 -netmask 255.255.255.0

2.5 SVM导出策略配置

2.5.1 SVM根卷创建导出策略

>vserver export-policy create -vserver nfs -policyname nfs_rootpol

2.5.2 为SVM根卷创建导出策略规则

>export-policy rule create -vserver nfs -policyname nfs_rootpol -protocol nfs4 -clientmatch 0.0.0.0/0 -rorule krb5 -rwrule never -anon 0 -superuser krb5 --ruleindex 1

2.5.3 将根卷链接到导出策略

>vol modify -vserver nfs -volume nfs_root -policy nfs_rootpol

2.6 SVM Kerberos配置

2.6.1 为SVM启用DES加密

>nfs modify -vserver nfs -permitted-enc-types des,des3

2.6.2 SVM配置DNS

>dns create -vserver nfs -domains ipshare.top -name-servers 192.168.10.240 -state enabled

2.6.3 创建Kerberos领域

>kerberos realm create -realm ipshare.top -kdc-vendor Microsoft -kdc-ip 192.168.10.240 -kdc-port 88 -clock-skew 5 -adminserver-ip 192.168.10.240 -adminserver-port 749 -passwordserver-ip 192.168.10.240 -passwordserver-port 464 -vserver nfs -adserver-name AD-IPSHARE -adserver-ip 192.168.10.240

2.6.4 在LIF上启用Kerberos

Kerberos interface enable -vsever nfs -lif nfs_nfs_lif -spn

nfs/ nfs_nfs_lif @ipshare.top -admin-username nfsadmin

3 在AD中启用DES

创建的LIF和NFS客户端将显示在Active Directory用户和计算机下

进入属性- >属性编辑器和编辑msDS-SupportedEncryptionTypes来0x3(为0x3支持的加密类型DES_CBC_CRC|DES_CBC_MD5)

4 Vmware ESXI配置

创建VMkernel并配置IP地址

在ESXi中配置DNS

配置网络时间协议(NTP)

将卷挂载到ESXi

>esxcli storage nfs41 add -H 192.168.10.241 -v NFS -s /vol01 -a SEC_KRB5