Úprava připojení služby Active Directory pro Azure NetApp Files
Jakmile ve službě Azure NetApp Files vytvoříte připojení Active Directory, můžete ho upravit. Při úpravě připojení ke službě Active Directory není možné upravovat všechny konfigurace.
Další informace najdete v tématu Vysvětlení pokynů pro návrh webu Doména služby Active Directory Services a plánování pro Azure NetApp Files.
Úprava připojení služby Active Directory
Vyberte připojení služby Active Directory. Potom vyberte Upravit a upravte existující připojení AD.
V okně Upravit službu Active Directory , které se zobrazí, upravte konfigurace připojení služby Active Directory podle potřeby. Vysvětlení polí, která můžete upravit, najdete v tématu Možnosti připojení služby Active Directory.
Možnosti připojení služby Active Directory
| Název pole | Co to je | Je možné ho upravit? | Důležité informace a dopady | Účinnost |
|---|---|---|---|---|
| Primární DNS | Ip adresy primárního serveru DNS pro doménu služby Active Directory. | Ano | Žádný* | Nová IP adresa DNS se používá pro překlad DNS. |
| Sekundární DNS | IP adresy sekundárního serveru DNS pro doménu služby Active Directory. | Ano | Žádný* | Nová IP adresa DNS se použije pro překlad DNS v případě, že primární DNS selže. |
| Název domény AD DNS | Název domény služeb Doména služby Active Directory, ke kterým se chcete připojit. | No | Nic | – |
| Název webu AD | Lokalita, na kterou je zjišťování řadiče domény omezené. | Ano | Měl by se shodovat s názvem lokality ve službě Active Directory Sites and Services. Viz poznámka pod čarou.* | Zjišťování domény je omezené na název nové lokality. Pokud není zadaný, použije se výchozí název_prvního_webu. |
| Předpona serveru SMB (účet počítače) | Předpona pojmenování pro účet počítače ve službě Active Directory, kterou azure NetApp Files použije k vytvoření nových účtů. Viz poznámka pod čarou.* | Ano | Stávající svazky je potřeba znovu připojit, protože se připojení změní pro sdílené složky SMB a svazky Kerberos NFS.* | Přejmenování předpony serveru SMB po vytvoření připojení ke službě Active Directory je rušivé. Po přejmenování předpony serveru SMB budete muset znovu připojit existující sdílené složky SMB a svazky Kerberos NFS, protože se změní cesta připojení. |
| Cesta organizační jednotky | Cesta LDAP pro organizační jednotku (OU), kde se vytvoří účty počítačů serveru SMB. OU=second level, OU=first level |
No | Pokud používáte Azure NetApp Files se službou Microsoft Entra Domain Services, cesta organizace je OU=AADDC Computers při konfiguraci služby Active Directory pro váš účet NetApp. |
Účty počítačů se umístí do zadané organizační jednotky. Pokud není zadáno, použije se výchozí hodnota OU=Computers . |
| Šifrování AES | Pokud chcete využít nejsilnějšího zabezpečení při komunikaci založené na protokolu Kerberos, můžete na serveru SMB povolit šifrování AES-256 a AES-128. | Ano | Pokud povolíte šifrování AES, musí mít přihlašovací údaje uživatele použité k připojení ke službě Active Directory povolenou nejvyšší odpovídající možnost účtu, která odpovídá možnostem povoleným pro vaši službu Active Directory. Pokud má například služba Active Directory povolenou jenom AES-128, musíte pro přihlašovací údaje uživatele povolit možnost účtu AES-128. Pokud má služba Active Directory funkci AES-256, musíte povolit možnost účtu AES-256 (která také podporuje AES-128). Pokud vaše služba Active Directory nemá žádnou funkci šifrování Kerberos, azure NetApp Files ve výchozím nastavení používá des.* | Povolení šifrování AES pro ověřování active directory |
| Podepisování PROTOKOLU LDAP | Tato funkce umožňuje zabezpečené vyhledávání PROTOKOLU LDAP mezi službou Azure NetApp Files a uživatelem zadaným řadičem domény Doména služby Active Directory Services. | Ano | Podepisování PROTOKOLU LDAP pro vyžadování zásad skupiny přihlašování* | Tato možnost poskytuje způsoby, jak zvýšit zabezpečení komunikace mezi klienty LDAP a řadiči domény služby Active Directory. |
| Povolit místní uživatele systému souborů NFS s protokolem LDAP | Pokud je tato možnost povolená, spravuje přístup pro místní uživatele a uživatele LDAP. | Ano | Tato možnost umožňuje přístup k místním uživatelům. Nedoporučuje se a pokud je tato možnost povolená, měla by se používat jenom po omezenou dobu a později je zakázaná. | Pokud je tato možnost povolená, umožňuje přístup místním uživatelům a uživatelům LDAP. Pokud vaše konfigurace vyžaduje přístup pouze pro uživatele LDAP, musíte tuto možnost zakázat. |
| LDAP přes protokol TLS | Pokud je povoleno, protokol LDAP přes PROTOKOL TLS je nakonfigurovaný tak, aby podporoval zabezpečenou komunikaci PROTOKOLU LDAP s active directory. | Ano | Nic | Pokud jste povolili protokol LDAP přes protokol TLS a pokud už v databázi existuje certifikát kořenové certifikační autority serveru, certifikát certifikační autority zabezpečí provoz LDAP. Pokud se předá nový certifikát, nainstaluje se tento certifikát. |
| Certifikát kořenové certifikační autority serveru | Pokud je povolený protokol LDAP přes PROTOKOL SSL/TLS, klient LDAP musí mít certifikát kořenové certifikační autority podepsané svým držitelem zakódovanou službou Active Directory Certificate Service s kódováním Base64. | Ano | Žádný* | Provoz PROTOKOLU LDAP zabezpečený pomocí nového certifikátu pouze v případě, že je povolený protokol LDAP přes protokol TLS |
| Obor vyhledávání LDAP | Viz Vytvoření a správa připojení služby Active Directory | Ano | - | - |
| Upřednostňovaný server pro klienta LDAP | Pro protokol LDAP můžete určit až dva servery AD, které se mají nejprve pokusit o připojení. Přečtěte si pokyny k návrhu a plánování webu Doména služby Active Directory Services. | Ano | Žádný* | Pokud se klient LDAP pokusí připojit k serveru AD, může dojít k vypršení časového limitu. |
| Šifrovaná připojení SMB k řadiči domény | Tato možnost určuje, jestli se má šifrování používat pro komunikaci mezi serverem SMB a řadičem domény. Další podrobnosti o použití této funkce najdete v tématu Vytvoření připojení služby Active Directory. | Ano | Vytvoření svazku s povoleným protokolem SMB, Kerberos a LDAP se nedá použít, pokud řadič domény nepodporuje protokol SMB3. | Protokol SMB3 používejte jenom pro šifrovaná připojení řadiče domény. |
| Uživatelé zásad zálohování | Můžete zahrnout další účty, které vyžadují zvýšená oprávnění k účtu počítače vytvořenému pro použití se službou Azure NetApp Files. Další informace najdete v tématu Vytváření a správa připojení služby Active Directory. F | Ano | Žádný* | Zadané účty budou moct změnit oprávnění NTFS na úrovni souboru nebo složky. |
| Správci | Zadejte uživatele nebo skupiny, pro které mají být udělena oprávnění správce svazku | Ano | Nic | Uživatelský účet obdrží oprávnění správce. |
| Username | Uživatelské jméno správce domény služby Active Directory | Ano | Žádný* | Změna přihlašovacích údajů na kontaktní řadič domény |
| Password | Heslo správce domény služby Active Directory | Ano | Žádný* Heslo nesmí překročit 64 znaků. |
Změna přihlašovacích údajů na kontaktní řadič domény |
| Sféra protokolu Kerberos: Název serveru AD | Název počítače služby Active Directory. Tato možnost se používá pouze při vytváření svazku Kerberos. | Ano | Žádný* | |
| Sféra kerberos: IP adresa služby KDC | Určuje IP adresu serveru KDC (Kerberos Distribution Center). KDC ve službě Azure NetApp Files je server Active Directory. | Ano | Nic | Použije se nová IP adresa služby KDC. |
| Oblast | Oblast, ve které jsou přidružené přihlašovací údaje služby Active Directory | No | Nic | – |
| Dn uživatele | Název domény uživatele, který přepíše základní název názvu domény pro vyhledávání uživatelů vnořený název uživatele, lze zadat ve OU=subdirectory, OU=directory, DC=domain, DC=com formátu. |
Ano | Žádný* | Obor vyhledávání uživatelů je omezen na NÁZEV uživatele místo základního názvu domény. |
| Název skupiny | Název domény skupiny groupDN přepíše základní dn pro vyhledávání skupin. Vnořený název skupiny je možné zadat ve OU=subdirectory, OU=directory, DC=domain, DC=com formátu. |
Ano | Žádný* | Obor vyhledávání skupiny je omezen na dn skupiny místo základního názvu dn. |
| Filtr členství ve skupinách | Vlastní filtr vyhledávání LDAP, který se má použít při vyhledávání členství ve skupině ze serveru LDAP. groupMembershipFilter lze zadat pomocí (gidNumber=*) formátu. |
Ano | Žádný* | Filtr členství ve skupinách se použije při dotazování členství uživatele ze serveru LDAP. |
| Uživatelé oprávnění zabezpečení | Oprávnění zabezpečení (SeSecurityPrivilege) můžete udělit uživatelům, kteří vyžadují zvýšená oprávnění pro přístup ke svazkům Azure NetApp Files. Zadané uživatelské účty budou moct provádět určité akce u sdílených složek SMB služby Azure NetApp Files, které vyžadují oprávnění zabezpečení, které nejsou ve výchozím nastavení přiřazené uživatelům domény. Další informace najdete v tématu Vytváření a správa připojení služby Active Directory. |
Ano | Použití této funkce je volitelné a podporuje se pouze pro SQL Server. Účet domény použitý k instalaci SQL Serveru už musí existovat, než ho přidáte do pole Uživatelé s oprávněními zabezpečení. Když přidáte účet instalačního programu SQL Serveru k uživatelům s oprávněními zabezpečení, služba Azure NetApp Files může účet ověřit kontaktováním řadiče domény. Příkaz může selhat, pokud nemůže kontaktovat řadič domény. Pokud instalační účet nemá určitá uživatelská práva, SeSecurityPrivilege přečtěte si, jestli instalace SQL Serveru selže.* |
Umožňuje účtům bez oprávnění správce používat servery SQL nad svazky ANF. |
*Změny nejsou ovlivněny upravenou položkou pouze v případě, že jsou změny zadány správně. Pokud zadáte data nesprávně, uživatelé a aplikace ztratí přístup.