Modyfikowanie połączeń Active Directory dla usługi Azure NetApp Files
Po utworzeniu połączenia usługi Active Directory w usłudze Azure NetApp Files możesz go zmodyfikować. Podczas modyfikowania połączenia usługi Active Directory nie wszystkie konfiguracje można modyfikować.
Aby uzyskać więcej informacji, zobacz Understand guidelines for domena usługi Active Directory Services site design and planning for Azure NetApp Files (Omówienie wytycznych dotyczących projektowania i planowania lokacji usług domena usługi Active Directory Services dla usługi Azure NetApp Files).
Modyfikowanie połączeń usługi Active Directory
Wybierz pozycję Połączenia usługi Active Directory. Następnie wybierz pozycję Edytuj , aby edytować istniejące połączenie usługi AD.
W wyświetlonym oknie Edytowanie usługi Active Directory zmodyfikuj konfiguracje połączeń usługi Active Directory zgodnie z potrzebami. Aby uzyskać wyjaśnienie pól, które można modyfikować, zobacz Opcje połączeń usługi Active Directory.
Opcje połączeń usługi Active Directory
Nazwa pola | Co to jest | Czy można go modyfikować? | Zagadnienia i wpływ | Efekt |
---|---|---|---|---|
Podstawowy system DNS | Podstawowe adresy IP serwera DNS dla domeny usługi Active Directory. | Tak | Brak* | Nowy adres IP DNS jest używany do rozpoznawania nazw DNS. |
Pomocnicza usługa DNS | Pomocnicze adresy IP serwera DNS dla domeny usługi Active Directory. | Tak | Brak* | Nowy adres IP DNS będzie używany do rozpoznawania nazw DNS w przypadku awarii podstawowej usługi DNS. |
Nazwa domeny DNS usługi AD | Nazwa domeny usług domena usługi Active Directory, które chcesz dołączyć. | Nie. | Brak | Nie dotyczy |
Nazwa witryny usługi AD | Lokacja, do której odnajdywanie kontrolera domeny jest ograniczone. | Tak | Powinna być zgodna z nazwą lokacji w lokacjach i usługach Active Directory. Zobacz przypis dolny.* | Odnajdywanie domeny jest ograniczone do nowej nazwy lokacji. Jeśli nie zostanie określony, zostanie użyta opcja "Default-First-Site-Name". |
Prefiks serwera SMB (konta komputera) | Prefiks nazewnictwa konta komputera w usłudze Active Directory, który będzie używany przez usługę Azure NetApp Files do tworzenia nowych kont. Zobacz przypis dolny.* | Tak | Istniejące woluminy muszą być ponownie zainstalowane, ponieważ instalacja zostanie zmieniona dla udziałów SMB i woluminów Kerberos systemu plików NFS.* | Zmiana nazwy prefiksu serwera SMB po utworzeniu połączenia usługi Active Directory jest zakłócająca. Po zmianie nazwy prefiksu serwera SMB należy ponownie zainstalować istniejące udziały SMB i woluminy Kerberos systemu plików NFS. |
Ścieżka jednostki organizacyjnej | Ścieżka LDAP dla jednostki organizacyjnej (OU), w której zostaną utworzone konta komputerów serwera SMB. OU=second level , OU=first level |
Nie. | Jeśli używasz usługi Azure NetApp Files z usługami Microsoft Entra Domain Services, ścieżka organizacyjna jest OU=AADDC Computers używana podczas konfigurowania usługi Active Directory dla konta usługi NetApp. |
Konta komputerów zostaną umieszczone w określonej jednostki organizacyjnej. Jeśli nie zostanie określony, wartość domyślna OU=Computers jest używana domyślnie. |
Szyfrowanie AES | Aby skorzystać z najsilniejszych zabezpieczeń przy użyciu komunikacji opartej na protokole Kerberos, możesz włączyć szyfrowanie AES-256 i AES-128 na serwerze SMB. | Tak | Jeśli włączysz szyfrowanie AES, poświadczenia użytkownika używane do dołączenia do usługi Active Directory muszą mieć włączoną najwyższą odpowiednią opcję konta, pasując do możliwości włączonej usługi Active Directory. Jeśli na przykład usługa Active Directory ma włączoną tylko usługę AES-128, musisz włączyć opcję konta AES-128 dla poświadczeń użytkownika. Jeśli usługa Active Directory ma funkcję AES-256, musisz włączyć opcję konta AES-256 (która obsługuje również usługę AES-128). Jeśli usługa Active Directory nie ma żadnych funkcji szyfrowania Kerberos, usługa Azure NetApp Files domyślnie używa des.* | Włączanie szyfrowania AES na potrzeby uwierzytelniania usługi Active Directory |
Podpisywanie LDAP | Ta funkcja umożliwia bezpieczne wyszukiwanie LDAP między usługą Azure NetApp Files i określonym przez użytkownika kontrolerem domeny usług domena usługi Active Directory Services. | Tak | Podpisywanie LDAP do opcji Wymagaj logowania w zasadach grupy* | Ta opcja umożliwia zwiększenie bezpieczeństwa komunikacji między klientami LDAP i kontrolerami domeny usługi Active Directory. |
Zezwalaj na lokalnych użytkowników systemu NFS przy użyciu protokołu LDAP | Jeśli ta opcja jest włączona, ta opcja zarządza dostępem dla użytkowników lokalnych i użytkowników LDAP. | Tak | Ta opcja umożliwia dostęp do użytkowników lokalnych. Nie jest to zalecane i, jeśli jest włączone, powinno być używane tylko przez ograniczony czas i później wyłączone. | Jeśli ta opcja jest włączona, ta opcja umożliwia dostęp do użytkowników lokalnych i użytkowników LDAP. Jeśli konfiguracja wymaga dostępu tylko dla użytkowników LDAP, należy wyłączyć tę opcję. |
Komunikacja LDAP przez protokół TLS | Jeśli jest włączona, protokół LDAP za pośrednictwem protokołu TLS jest skonfigurowany do obsługi bezpiecznej komunikacji LDAP z usługą Active Directory. | Tak | None | Jeśli włączono protokół LDAP za pośrednictwem protokołu TLS i jeśli certyfikat głównego urzędu certyfikacji serwera jest już obecny w bazie danych, certyfikat urzędu certyfikacji zabezpiecza ruch LDAP. Jeśli nowy certyfikat zostanie przekazany, ten certyfikat zostanie zainstalowany. |
Certyfikat głównego urzędu certyfikacji serwera | Po włączeniu protokołu LDAP za pośrednictwem protokołu SSL/TLS klient LDAP musi mieć certyfikat głównego urzędu certyfikacji z podpisem własnym usługi certyfikatów Active Directory zakodowany w formacie base64. | Tak | Brak* | Ruch LDAP zabezpieczony przy użyciu nowego certyfikatu tylko wtedy, gdy protokół LDAP za pośrednictwem protokołu TLS jest włączony |
Zakres wyszukiwania LDAP | Zobacz Tworzenie połączeń usługi Active Directory i zarządzanie nimi | Tak | - | - |
Preferowany serwer dla klienta LDAP | Można wyznaczyć maksymalnie dwa serwery usługi AD dla protokołu LDAP, aby spróbować nawiązać połączenie z pierwszym. Zobacz Understand guidelines for domena usługi Active Directory Services site design and planning (Omówienie wytycznych dotyczących projektowania i planowania lokacji usług domena usługi Active Directory Services) | Tak | Brak* | Potencjalnie utrudniają przekroczenie limitu czasu, gdy klient LDAP próbuje nawiązać połączenie z serwerem usługi AD. |
Zaszyfrowane połączenia SMB z kontrolerem domeny | Ta opcja określa, czy szyfrowanie powinno być używane do komunikacji między serwerem SMB i kontrolerem domeny. Aby uzyskać więcej informacji na temat korzystania z tej funkcji, zobacz Tworzenie połączeń usługi Active Directory. | Tak | Nie można użyć protokołu SMB, Protokołu Kerberos i woluminu z obsługą protokołu LDAP, jeśli kontroler domeny nie obsługuje protokołu SMB3 | Używaj tylko protokołu SMB3 dla szyfrowanych połączeń kontrolera domeny. |
Użytkownicy zasad kopii zapasowych | Możesz uwzględnić więcej kont, które wymagają podwyższonego poziomu uprawnień do konta komputera utworzonego do użycia z usługą Azure NetApp Files. Aby uzyskać więcej informacji, zobacz Tworzenie połączeń usługi Active Directory i zarządzanie nimi. F | Tak | Brak* | Określone konta będą mogły zmienić uprawnienia systemu plików NTFS na poziomie pliku lub folderu. |
Administratorzy | Określ użytkowników lub grupy, aby przyznać uprawnienia administratora na woluminie do | Tak | None | Konto użytkownika otrzymuje uprawnienia administratora |
Username | Nazwa użytkownika administratora domeny usługi Active Directory | Tak | Brak* | Zmiana poświadczeń na kontakt z kontrolerem domeny |
Password | Hasło administratora domeny usługi Active Directory | Tak | Brak* Hasło nie może przekraczać 64 znaków. |
Zmiana poświadczeń na kontakt z kontrolerem domeny |
Obszar Kerberos: nazwa serwera usługi AD | Nazwa maszyny usługi Active Directory. Ta opcja jest używana tylko podczas tworzenia woluminu Kerberos. | Tak | Brak* | |
Obszar kerberos: adres IP centrum dystrybucji kluczy | Określa adres IP serwera centrum dystrybucji Kerberos (KDC). Centrum dystrybucji kluczy w usłudze Azure NetApp Files jest serwerem usługi Active Directory | Tak | None | Zostanie użyty nowy adres IP centrum dystrybucji kluczy |
Region (Region) | Region, w którym są skojarzone poświadczenia usługi Active Directory | Nie. | Brak | Nie dotyczy |
Nazwa wyróżniająca użytkownika | Nazwa domeny użytkownika, która zastępuje podstawową nazwę wyróżniającą dla zagnieżdżonych nazw użytkowników, można określić w OU=subdirectory, OU=directory, DC=domain, DC=com formacie. |
Tak | Brak* | Zakres wyszukiwania użytkownika jest ograniczony do nazwy wyróżniającej użytkownika zamiast podstawowego dn. |
Grupa DN | Nazwa domeny grupy. nazwa groupDN zastępuje podstawową nazwę wyróżniającą wyszukiwania grup. Zagnieżdżona nazwa groupDN może być określona w OU=subdirectory, OU=directory, DC=domain, DC=com formacie. |
Tak | Brak* | Zakres wyszukiwania grup jest ograniczony do grupy DN zamiast podstawowego dn. |
Filtr członkostwa w grupie | Niestandardowy filtr wyszukiwania LDAP, który ma być używany podczas wyszukiwania członkostwa w grupie z serwera LDAP. groupMembershipFilter można określić za pomocą (gidNumber=*) formatu . |
Tak | Brak* | Filtr członkostwa w grupie będzie używany podczas wykonywania zapytań dotyczących członkostwa w grupie użytkownika z serwera LDAP. |
Użytkownicy z uprawnieniami zabezpieczeń | Uprawnienia zabezpieczeń (SeSecurityPrivilege ) można przyznać użytkownikom, którzy wymagają podwyższonego poziomu uprawnień dostępu do woluminów usługi Azure NetApp Files. Określone konta użytkowników będą mogły wykonywać określone akcje w udziałach SMB usługi Azure NetApp Files, które domyślnie nie wymagają uprawnień zabezpieczeń przypisanych do użytkowników domeny. Aby uzyskać więcej informacji, zobacz Tworzenie połączeń usługi Active Directory i zarządzanie nimi. |
Tak | Korzystanie z tej funkcji jest opcjonalne i obsługiwane tylko dla programu SQL Server. Konto domeny używane do instalowania programu SQL Server musi już istnieć przed dodaniem go do pola Użytkownicy uprawnień zabezpieczeń. Po dodaniu konta instalatora programu SQL Server do użytkowników uprawnień zabezpieczeń usługa Azure NetApp Files może zweryfikować konto, kontaktując się z kontrolerem domeny. Polecenie może zakończyć się niepowodzeniem, jeśli nie może skontaktować się z kontrolerem domeny. Zobacz Instalacja programu SQL Server kończy się niepowodzeniem, jeśli konto instalatora nie ma pewnych praw użytkownika, aby uzyskać więcej informacji na temat SeSecurityPrivilege programu SQL Server.* |
Umożliwia kontom niebędącym administratorem używanie serwerów SQL na woluminach ANF. |
*Nie ma wpływu na zmodyfikowany wpis tylko wtedy, gdy modyfikacje zostały wprowadzone poprawnie. Jeśli wprowadzisz dane niepoprawnie, użytkownicy i aplikacje utracą dostęp.
Następne kroki
- Omówienie wytycznych dotyczących projektowania i planowania lokacji usług domena usługi Active Directory Services dla usługi Azure NetApp Files
- Konfigurowanie protokołu LDAP usług AD DS z rozszerzonymi grupami dla systemu plików NFS
- Konfigurowanie protokołu LDAP usług AD DS za pośrednictwem protokołu TLS
- Tworzenie połączeń usługi Active Directory i zarządzanie nimi