Udostępnij za pośrednictwem


Konfigurowanie zaufania w chmurze między lokalnymi usługami AD DS i identyfikatorem entra firmy Microsoft na potrzeby uzyskiwania dostępu do usługi Azure Files

Wiele organizacji chce używać uwierzytelniania opartego na tożsamościach dla udziałów plików platformy Azure SMB w środowiskach obejmujących zarówno lokalna usługa Active Directory usług domenowych (AD DS) i Microsoft Entra ID (dawniej Azure Active Directory), ale nie spełniają wymagań wstępnych dotyczących systemu operacyjnego lub domeny.

W takich scenariuszach klienci mogą włączyć uwierzytelnianie Protokołu Kerberos firmy Microsoft dla tożsamości użytkowników hybrydowych, a następnie ustanowić zaufanie w chmurze między lokalnymi usługami AD DS i identyfikatorem Entra firmy Microsoft w celu uzyskania dostępu do udziałów plików SMB przy użyciu poświadczeń lokalnych. W tym artykule wyjaśniono, jak działa zaufanie do chmury, oraz przedstawiono instrukcje dotyczące konfigurowania i walidacji. Zawiera również kroki rotacji klucza Kerberos dla konta usługi w identyfikatorze Entra firmy Microsoft i obiekcie zaufanej domeny oraz kroki usuwania zaufanego obiektu domeny i wszystkich ustawień protokołu Kerberos, jeśli jest to konieczne.

W tym artykule skupiono się na uwierzytelnieniu tożsamości użytkowników hybrydowych, które są lokalnymi tożsamościami usług AD DS synchronizowanych z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect lub synchronizacji z chmurą microsoft Entra Connect. Tożsamości tylko w chmurze nie są obecnie obsługiwane w przypadku usługi Azure Files.

Dotyczy

Typ udziału plików SMB NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS Tak Nie
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS Tak Nie
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS Tak Nie.

Scenariusze

Poniżej przedstawiono przykłady scenariuszy, w których można skonfigurować zaufanie do chmury:

  • Masz tradycyjne lokalne usługi AD DS, ale nie możesz go używać do uwierzytelniania, ponieważ nie masz niezwiązanej łączności sieciowej z kontrolerami domeny.

  • Rozpoczęto migrację do chmury, ale obecnie aplikacje nadal działają w tradycyjnych lokalnych usługach AD DS.

  • Niektóre lub wszystkie maszyny klienckie nie spełniają wymagań systemu operacyjnego dotyczących uwierzytelniania Protokołu Kerberos firmy Microsoft.

Uprawnienia

Aby wykonać kroki opisane w tym artykule, potrzebne są następujące elementy:

  • Nazwa użytkownika i hasło administratora lokalna usługa Active Directory
  • Nazwa użytkownika i hasło konta administratora globalnego firmy Microsoft Entra

Wymagania wstępne

Przed zaimplementowaniem przychodzącego przepływu uwierzytelniania opartego na zaufaniu upewnij się, że spełnione są następujące wymagania wstępne:

Wstępnie wymagane Opis
Klienci muszą mieć system Windows 10, Windows Server 2012 lub nowszą wersję systemu Windows.
Klienci muszą być połączeni z usługą Active Directory (AD). Domena musi mieć poziom funkcjonalności systemu Windows Server 2012 lub wyższy. Możesz określić, czy klient jest przyłączony do usługi AD, uruchamiając polecenie dsregcmd: dsregcmd.exe /status
Dzierżawa firmy Microsoft Entra. Dzierżawa firmy Microsoft Entra to granica zabezpieczeń tożsamości, która jest pod kontrolą działu IT organizacji. Jest to wystąpienie identyfikatora Entra firmy Microsoft, w którym znajdują się informacje o jednej organizacji.
Subskrypcja platformy Azure w ramach tej samej dzierżawy firmy Microsoft Entra, której planujesz używać do uwierzytelniania.
Konto usługi Azure Storage w subskrypcji platformy Azure. Konto usługi Azure Storage to zasób, który działa jako kontener do grupowania wszystkich usług danych z usługi Azure Storage, w tym plików.
Należy zainstalować program Microsoft Entra Connect lub synchronizację z chmurą Microsoft Entra Connect. Te rozwiązania są używane w środowiskach hybrydowych, w których tożsamości istnieją zarówno w usłudze Microsoft Entra ID, jak i w lokalnych usługach AD DS.

Włączanie uwierzytelniania Protokołu Kerberos firmy Microsoft

Jeśli włączono już uwierzytelnianie Protokołu Kerberos firmy Microsoft w usłudze Entra na koncie magazynu, możesz pominąć ten krok i przejść do sekcji Tworzenie i konfigurowanie zaufanego obiektu domeny Protokołu Kerberos firmy Microsoft.

Możesz włączyć uwierzytelnianie Kerberos firmy Microsoft w usłudze Azure Files dla kont użytkowników hybrydowych przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby włączyć uwierzytelnianie kerberos firmy Microsoft w usłudze Microsoft Entra przy użyciu witryny Azure Portal, wykonaj następujące kroki.

  1. Zaloguj się do witryny Azure Portal i wybierz konto magazynu, dla którego chcesz włączyć uwierzytelnianie Kerberos firmy Microsoft.

  2. W obszarze Magazyn danych wybierz pozycję Udziały plików.

  3. Obok pozycji Active Directory wybierz stan konfiguracji (na przykład Nieskonfigurowane).

    Zrzut ekranu witryny Azure Portal przedstawiający ustawienia udziału plików dla konta magazynu. Wybrano ustawienia konfiguracji usługi Active Directory.

  4. W obszarze Microsoft Entra Kerberos wybierz pozycję Skonfiguruj.

  5. Zaznacz pole wyboru Microsoft Entra Kerberos.

    Zrzut ekranu witryny Azure Portal przedstawiający ustawienia konfiguracji usługi Active Directory dla konta magazynu. Wybrano pozycję Microsoft Entra Kerberos.

  6. Opcjonalnie: Jeśli chcesz skonfigurować uprawnienia na poziomie katalogu i pliku za pośrednictwem Eksplorator plików systemu Windows, musisz określić nazwę domeny i identyfikator GUID domeny dla lokalnej usługi AD. Te informacje można uzyskać od administratora domeny lub uruchamiając następujące polecenie cmdlet programu PowerShell usługi Active Directory z lokalnego klienta przyłączonego do usługi AD: Get-ADDomain. Nazwa domeny powinna być wyświetlana w danych wyjściowych w obszarze DNSRoot , a identyfikator GUID domeny powinien być wymieniony w obszarze ObjectGUID. Jeśli wolisz skonfigurować uprawnienia na poziomie katalogu i pliku przy użyciu list icacls, możesz pominąć ten krok. Jeśli jednak chcesz użyć list icacls, klient będzie potrzebować niezmpedowanej łączności sieciowej z lokalną usługą AD.

  7. Wybierz pozycję Zapisz.

Ostrzeżenie

Jeśli wcześniej włączono uwierzytelnianie protokołu Kerberos firmy Microsoft entra za pomocą ręcznej ograniczonej wersji zapoznawczej w celu przechowywania profilów FSLogix na maszynach wirtualnych dołączonych do usługi Microsoft Entra, hasło dla jednostki usługi konta magazynu jest ustawione na wygaśnięcie co sześć miesięcy. Po wygaśnięciu hasła użytkownicy nie będą mogli pobierać biletów Protokołu Kerberos do udziału plików. Aby rozwiązać ten problem, zobacz "Błąd — hasło jednostki usługi wygasło w identyfikatorze Entra firmy Microsoft" w obszarze Potencjalne błędy podczas włączania uwierzytelniania Kerberos firmy Microsoft dla użytkowników hybrydowych.

Po włączeniu uwierzytelniania Microsoft Entra Kerberos należy jawnie udzielić zgody administratora na nową aplikację Microsoft Entra zarejestrowaną w dzierżawie firmy Microsoft Entra. Ta jednostka usługi jest generowana automatycznie i nie jest używana do autoryzacji do udziału plików, więc nie należy wprowadzać żadnych zmian w jednostce usługi innej niż udokumentowane w tym miejscu. Jeśli to zrobisz, może zostać wyświetlony błąd.

Uprawnienia interfejsu API można skonfigurować w witrynie Azure Portal , wykonując następujące kroki:

  1. Otwórz Microsoft Entra ID.
  2. W menu usługi w obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji.
  3. Wybierz pozycję Wszystkie aplikacje.
  4. Wybierz aplikację z nazwą zgodną z ciągiem [Konto magazynu] <your-storage-account-name>.file.core.windows.net.
  5. W menu usługi w obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
  6. Wybierz pozycję Udziel zgody administratora dla użytkownika [Nazwa katalogu], aby udzielić zgody dla trzech żądanych uprawnień interfejsu API (openid, profile i User.Read) dla wszystkich kont w katalogu.
  7. Wybierz Tak, aby potwierdzić.

Ważne

Jeśli łączysz się z kontem magazynu za pośrednictwem prywatnego punktu końcowego/łącza prywatnego przy użyciu uwierzytelniania Microsoft Entra Kerberos, musisz również dodać nazwę FQDN łącza prywatnego do aplikacji Microsoft Entra konta magazynu. Aby uzyskać instrukcje, zobacz wpis w naszym przewodniku rozwiązywania problemów.

Wyłączanie uwierzytelniania wieloskładnikowego na koncie magazynu

Protokół Kerberos firmy Microsoft nie obsługuje używania uwierzytelniania wieloskładnikowego do uzyskiwania dostępu do udziałów plików platformy Azure skonfigurowanych za pomocą protokołu Kerberos firmy Microsoft. Należy wykluczyć aplikację Microsoft Entra reprezentującą konto magazynu z zasad dostępu warunkowego uwierzytelniania wieloskładnikowego, jeśli mają zastosowanie do wszystkich aplikacji.

Aplikacja konta magazynu powinna mieć taką samą nazwę jak konto magazynu na liście wykluczeń dostępu warunkowego. Podczas wyszukiwania aplikacji konta magazynu na liście wykluczeń dostępu warunkowego wyszukaj: [Konto magazynu] <your-storage-account-name>.file.core.windows.net

Pamiętaj, aby zastąpić <your-storage-account-name> odpowiednią wartością.

Ważne

Jeśli nie wykluczysz zasad uwierzytelniania wieloskładnikowego z aplikacji konta magazynu, nie będzie można uzyskać dostępu do udziału plików. Próba mapowania udziału plików przy użyciu net use spowoduje wyświetlenie komunikatu o błędzie z komunikatem "Błąd systemu 1327: Ograniczenia konta uniemożliwiają temu użytkownikowi zalogowanie się. Na przykład: puste hasła nie są dozwolone, czasy logowania są ograniczone lub wymuszono ograniczenie zasad.

Aby uzyskać wskazówki dotyczące wyłączania uwierzytelniania wieloskładnikowego, zobacz następujące tematy:

Przypisywanie uprawnień na poziomie udziału

Po włączeniu dostępu opartego na tożsamościach dla każdego udziału należy przypisać użytkowników i grupy mają dostęp do tego określonego udziału. Gdy użytkownik lub grupa będzie mieć dostęp do udziału, listy ACL systemu Windows (nazywane również uprawnieniami NTFS) na poszczególnych plikach i katalogach przejmują. Umożliwia to szczegółową kontrolę nad uprawnieniami, podobnie jak udział SMB na serwerze z systemem Windows.

Aby ustawić uprawnienia na poziomie udziału, postępuj zgodnie z instrukcjami w temacie Przypisywanie uprawnień na poziomie udziału do tożsamości.

Konfigurowanie uprawnień na poziomie katalogu i pliku

Po wprowadzeniu uprawnień na poziomie udziału można przypisać uprawnienia na poziomie katalogu/pliku do użytkownika lub grupy. Wymaga to używania urządzenia z niezmpedowaną łącznością sieciową z lokalną usługą AD.

Aby skonfigurować uprawnienia na poziomie katalogu i pliku, postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień na poziomie katalogu i pliku za pośrednictwem protokołu SMB.

Tworzenie i konfigurowanie obiektu zaufanej domeny protokołu Kerberos firmy Microsoft

Aby utworzyć i skonfigurować obiekt zaufanej domeny protokołu Kerberos firmy Microsoft, użyjesz modułu Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD programu PowerShell. Ten moduł umożliwia organizacjom tożsamości hybrydowej używanie nowoczesnych poświadczeń dla swoich aplikacji i umożliwia firmie Microsoft Entra ID uzyskanie zaufanego źródła zarówno do uwierzytelniania w chmurze, jak i w środowisku lokalnym.

Konfigurowanie obiektu zaufanej domeny

Użyjesz modułu Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD programu PowerShell, aby skonfigurować zaufany obiekt domeny w lokalnej domenie usługi AD i zarejestrować informacje o zaufaniu przy użyciu identyfikatora entra firmy Microsoft. Spowoduje to utworzenie relacji zaufania powiązanej z lokalną usługą AD, która umożliwia usłudze Microsoft Entra ID zaufanie do lokalnej usługi AD.

Musisz skonfigurować tylko zaufany obiekt domeny raz na domenę. Jeśli zrobiono to już dla domeny, możesz pominąć tę sekcję i przejść do sekcji Konfigurowanie klientów w celu pobrania biletów Protokołu Kerberos.

Instalowanie modułu Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD w programie PowerShell

  1. Uruchom sesję programu Windows PowerShell z opcją Uruchom jako administrator .

  2. Zainstaluj moduł Zarządzania uwierzytelnianiem hybrydowym usługi Azure AD programu PowerShell przy użyciu następującego skryptu. Skrypt:

    • Włącza protokół TLS 1.2 na potrzeby komunikacji.
    • Instaluje dostawcę pakietów NuGet.
    • Rejestruje repozytorium PSGallery.
    • Instaluje moduł PowerShellGet.
    • Instaluje moduł PowerShell zarządzania uwierzytelnianiem hybrydowym usługi Azure AD.
      • Program PowerShell do zarządzania uwierzytelnianiem hybrydowym usługi Azure AD korzysta z modułu AzureADPreview, który udostępnia zaawansowane funkcje zarządzania firmą Microsoft Entra.
      • Aby chronić przed niepotrzebnymi konfliktami instalacji z modułem programu PowerShell usługi Azure AD, to polecenie zawiera flagę -AllowClobber opcji.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-PackageProvider -Name NuGet -Force

if (@(Get-PSRepository | ? {$_.Name -eq "PSGallery"}).Count -eq 0){
    Register-PSRepository -DefaultSet-PSRepository -Name "PSGallery" -InstallationPolicy Trusted
}

Install-Module -Name PowerShellGet -Force

Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

Tworzenie obiektu zaufanej domeny

  1. Uruchom sesję programu Windows PowerShell z opcją Uruchom jako administrator .

  2. Ustaw typowe parametry. Dostosuj poniższy skrypt przed jego uruchomieniem.

    • $domain Ustaw parametr na nazwę domeny lokalna usługa Active Directory.
    • Po wyświetleniu monitu przez Get-Credentialprogram wprowadź nazwę użytkownika i hasło administratora lokalna usługa Active Directory.
    • $cloudUserName Ustaw parametr na nazwę użytkownika uprzywilejowanego konta administratora globalnego dla dostępu do chmury Firmy Microsoft Entra.

    Uwaga

    Jeśli chcesz użyć bieżącego konta logowania systemu Windows dla lokalna usługa Active Directory dostępu, możesz pominąć krok, w którym poświadczenia są przypisane do parametru$domainCred. Jeśli to podejście zostanie uwzględnione, nie uwzględnij parametru -DomainCredential w poleceniach programu PowerShell, wykonując ten krok.

    $domain = "your on-premesis domain name, for example contoso.com"
    
    $domainCred = Get-Credential
    
    $cloudUserName = "Azure AD user principal name, for example admin@contoso.onmicrosoft.com"
    
  3. Sprawdź bieżące ustawienia domeny protokołu Kerberos.

    Uruchom następujące polecenie, aby sprawdzić bieżące ustawienia protokołu Kerberos w domenie:

    Get-AzureAdKerberosServer -Domain $domain `
        -DomainCredential $domainCred `
        -UserPrincipalName $cloudUserName
    

    Jeśli jest to pierwsze wywołanie dowolnego polecenia protokołu Kerberos firmy Microsoft Entra, zostanie wyświetlony monit o dostęp do chmury Firmy Microsoft Entra.

    • Wprowadź hasło dla konta administratora globalnego firmy Microsoft Entra.
    • Jeśli Twoja organizacja używa innych nowoczesnych metod uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe firmy Microsoft lub karta inteligentna, postępuj zgodnie z instrukcjami, zgodnie z żądaniem logowania.

    Jeśli po raz pierwszy konfigurujesz ustawienia protokołu Kerberos firmy Microsoft Entra, polecenie cmdlet Get-AzureAdKerberosServer wyświetla puste informacje, jak w następujących przykładowych danych wyjściowych:

    ID                  :
    UserAccount         :
    ComputerAccount     :
    DisplayName         :
    DomainDnsName       :
    KeyVersion          :
    KeyUpdatedOn        :
    KeyUpdatedFrom      :
    CloudDisplayName    :
    CloudDomainDnsName  :
    CloudId             :
    CloudKeyVersion     :
    CloudKeyUpdatedOn   :
    CloudTrustDisplay   :
    

    Jeśli domena obsługuje już uwierzytelnianie FIDO, Get-AzureAdKerberosServer polecenie cmdlet wyświetla informacje o koncie usługi Microsoft Entra, jak w poniższych przykładowych danych wyjściowych. Pole CloudTrustDisplay zwraca pustą wartość.

    ID                  : XXXXX
    UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=contoso, DC=com
    ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=contoso, DC=com
    DisplayName         : XXXXXX_XXXXX
    DomainDnsName       : contoso.com
    KeyVersion          : 53325
    KeyUpdatedOn        : 2/24/2024 9:03:15 AM
    KeyUpdatedFrom      : ds-aad-auth-dem.contoso.com
    CloudDisplayName    : XXXXXX_XXXXX
    CloudDomainDnsName  : contoso.com
    CloudId             : XXXXX
    CloudKeyVersion     : 53325
    CloudKeyUpdatedOn   : 2/24/2024 9:03:15 AM
    CloudTrustDisplay   :
    
  4. Dodaj zaufany obiekt domeny.

    Uruchom polecenie cmdlet Set-AzureAdKerberosServer programu PowerShell, aby dodać zaufany obiekt domeny. Pamiętaj, aby uwzględnić -SetupCloudTrust parametr. Jeśli nie ma konta usługi Microsoft Entra, to polecenie tworzy nowe konto usługi Microsoft Entra. To polecenie spowoduje utworzenie żądanego obiektu zaufanej domeny tylko wtedy, gdy istnieje konto usługi Microsoft Entra.

    Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $cloudUserName -DomainCredential $domainCred -SetupCloudTrust
    

    Uwaga

    Aby uniknąć błędu LsaCreateTrustedDomainEx w wielu lasach domeny, 0x549 podczas uruchamiania polecenia w domenie podrzędnej:

    1. Uruchom polecenie w domenie głównej (uwzględnij -SetupCloudTrust parametr).
    2. Uruchom to samo polecenie w domenie podrzędnej bez parametru -SetupCloudTrust .

    Po utworzeniu obiektu zaufanej domeny można sprawdzić zaktualizowane ustawienia protokołu Kerberos przy użyciu Get-AzureAdKerberosServer polecenia cmdlet programu PowerShell, jak pokazano w poprzednim kroku. Set-AzureAdKerberosServer Jeśli polecenie cmdlet zostało pomyślnie uruchomione z parametrem -SetupCloudTrust , CloudTrustDisplay pole powinno teraz zwrócić Microsoft.AzureAD.Kdc.Service.TrustDisplaywartość , jak w następujących przykładowych danych wyjściowych:

    ID                  : XXXXX
    UserAccount         : CN=krbtgt-AzureAD, CN=Users, DC=contoso, DC=com
    ComputerAccount     : CN=AzureADKerberos, OU=Domain Controllers, DC=contoso, DC=com
    DisplayName         : XXXXXX_XXXXX
    DomainDnsName       : contoso.com
    KeyVersion          : 53325
    KeyUpdatedOn        : 2/24/2024 9:03:15 AM
    KeyUpdatedFrom      : ds-aad-auth-dem.contoso.com
    CloudDisplayName    : XXXXXX_XXXXX
    CloudDomainDnsName  : contoso.com
    CloudId             : XXXXX
    CloudKeyVersion     : 53325
    CloudKeyUpdatedOn   : 2/24/2024 9:03:15 AM
    CloudTrustDisplay   : Microsoft.AzureAD.Kdc.Service.TrustDisplay
    

    Uwaga

    Suwerenne chmury platformy Azure wymagają ustawienia TopLevelNames właściwości, która jest domyślnie ustawiona windows.net . Wdrożenia suwerennej chmury platformy Azure usługi SQL Managed Instance używają innej nazwy domeny najwyższego poziomu, takiej jak usgovcloudapi.net azure US Government. Ustaw zaufany obiekt domeny na tę nazwę domeny najwyższego poziomu przy użyciu następującego polecenia programu PowerShell: Set-AzureADKerberosServer -Domain $domain -DomainCredential $domainCred -CloudCredential $cloudCred -SetupCloudTrust -TopLevelNames "usgovcloudapi.net,windows.net". Możesz sprawdzić to ustawienie za pomocą następującego polecenia programu PowerShell: Get-AzureAdKerberosServer -Domain $domain -DomainCredential $domainCred -UserPrincipalName $cloudUserName | Select-Object -ExpandProperty CloudTrustDisplay.

Konfigurowanie klientów w celu pobierania biletów protokołu Kerberos

Zidentyfikuj identyfikator dzierżawy firmy Microsoft Entra i użyj zasad grupy, aby skonfigurować maszyny klienckie, z których chcesz zainstalować/używać udziałów plików platformy Azure. Należy to zrobić na każdym kliencie, na którym będzie używana usługa Azure Files.

Skonfiguruj te zasady grupy na klientach na wartość "Włączone": Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

  1. Wdróż następujące ustawienie zasad grupy na maszynach klienckich przy użyciu przychodzącego przepływu opartego na zaufaniu:

    1. Edytuj ustawienia zasad Szablony administracyjne\System\Kerberos\Określ serwery proxy usługi KDC dla klientów protokołu Kerberos.

    2. Wybierz pozycję Włączone.

    3. W obszarze Opcje wybierz pozycję Pokaż.... Spowoduje to otwarcie okna dialogowego Pokaż zawartość.

      Zrzut ekranu przedstawiający okno dialogowe umożliwiające włączenie opcji

    4. Zdefiniuj ustawienia serwerów proxy usługi KDC przy użyciu mapowań w następujący sposób. Zastąp identyfikator dzierżawy entra firmy Microsoft symbolem zastępczym your_Azure_AD_tenant_id . Zanotuj spację poniżej https i przed zamknięciem / w mapowaniu wartości.

      Nazwa wartości Wartość
      KERBEROS.MICROSOFTONLINE.COM <https login.microsoftonline.com:443:your_Azure_AD_tenant_id/kerberos />

      Zrzut ekranu przedstawiający okno dialogowe

    5. Wybierz przycisk OK , aby zamknąć okno dialogowe "Pokaż zawartość".

    6. Wybierz pozycję Zastosuj w oknie dialogowym "Określ serwery proxy centrum dystrybucji kluczy dla klientów kerberos".

Obracanie klucza Kerberos

Można okresowo obracać klucz Kerberos dla utworzonego konta usługi Microsoft Entra i zaufanego obiektu domeny na potrzeby zarządzania.

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey

Po obróceniu klucza propagacja zmienionego klucza między serwerami dystrybucji kluczy Kerberos trwa kilka godzin. Ze względu na ten czas dystrybucji kluczy można obrócić klucz raz w ciągu 24 godzin. Jeśli musisz ponownie obrócić klucz w ciągu 24 godzin z jakiegokolwiek powodu, na przykład po utworzeniu obiektu zaufanej domeny, możesz dodać -Force parametr:

Set-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName -SetupCloudTrust `
   -RotateServerKey -Force

Usuwanie obiektu zaufanej domeny

Dodany obiekt zaufanej domeny można usunąć przy użyciu następującego polecenia:

Remove-AzureADKerberosServerTrustedDomainObject -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

To polecenie spowoduje usunięcie tylko zaufanego obiektu domeny. Jeśli domena obsługuje uwierzytelnianie FIDO, możesz usunąć zaufany obiekt domeny przy zachowaniu konta usługi Microsoft Entra wymaganego dla usługi uwierzytelniania FIDO.

Usuń wszystkie ustawienia protokołu Kerberos

Możesz usunąć zarówno konto usługi Microsoft Entra, jak i zaufany obiekt domeny, używając następującego polecenia:

Remove-AzureAdKerberosServer -Domain $domain `
   -DomainCredential $domainCred `
   -UserPrincipalName $cloudUserName

Następny krok