Modificar ligações do Active Directory para o Azure NetApp Files
Depois de criar uma conexão do Ative Directory nos Arquivos NetApp do Azure, você pode modificá-la. Quando você modifica uma conexão do Ative Directory, nem todas as configurações são modificáveis.
Para obter mais informações, consulte Compreender as diretrizes para o design e o planejamento do site dos Serviços de Domínio Ative Directory para Arquivos NetApp do Azure.
Modificar conexões do Ative Directory
Selecione Conexões do Ative Directory. Em seguida, selecione Editar para editar uma conexão AD existente.
Na janela Editar Ative Directory exibida, modifique as configurações de conexão do Ative Directory conforme necessário. Para obter uma explicação de quais campos você pode modificar, consulte Opções para conexões do Ative Directory.
Opções para conexões do Ative Directory
Nome do Campo | O que é | É modificável? | Considerações e impactos | Efeito |
---|---|---|---|---|
DNS primário | Endereços IP do servidor DNS primário para o domínio do Ative Directory. | Sim | Nenhuma* | Novo IP DNS é usado para resolução de DNS. |
DNS secundário | Endereços IP do servidor DNS secundário para o domínio do Ative Directory. | Sim | Nenhuma* | O novo IP DNS será usado para resolução de DNS caso o DNS primário falhe. |
Nome de Domínio DNS do AD | O nome de domínio dos Serviços de Domínio Ative Directory ao qual pretende aderir. | Não | Nenhuma | N/A |
Nome do Site do AD | O site ao qual a descoberta do controlador de domínio é limitada. | Sim | Isso deve corresponder ao nome do site em Sites e Serviços do Ative Directory. Ver nota de rodapé.* | A descoberta de domínio está limitada ao novo nome do site. Se não for especificado, "Default-First-Site-Name" será usado. |
Prefixo do Servidor SMB (Conta de Computador) | Prefixo de nomeação para a conta de computador no Ative Directory que os Arquivos NetApp do Azure usarão para a criação de novas contas. Ver nota de rodapé.* | Sim | Os volumes existentes precisam ser montados novamente à medida que a montagem é alterada para compartilhamentos SMB e volumes Kerberos NFS.* | Renomear o prefixo do servidor SMB depois de criar a conexão do Ative Directory é perturbador. Você precisará remontar compartilhamentos SMB existentes e volumes Kerberos NFS depois de renomear o prefixo do servidor SMB, pois o caminho de montagem será alterado. |
Caminho da Unidade Organizacional | O caminho LDAP para a unidade organizacional (UO) onde as contas de computador do servidor SMB serão criadas. OU=second level , OU=first level |
Não | Se você estiver usando Arquivos NetApp do Azure com os Serviços de Domínio Microsoft Entra, o caminho organizacional será OU=AADDC Computers quando você configurar o Ative Directory para sua Conta NetApp. |
As contas de computador serão colocadas sob a UO especificada. Se não for especificado, o padrão de OU=Computers é usado por padrão. |
Encriptação AES | Para aproveitar a segurança mais forte com a comunicação baseada em Kerberos, você pode habilitar a criptografia AES-256 e AES-128 no servidor SMB. | Sim | Se você habilitar a criptografia AES, as credenciais de usuário usadas para ingressar no Ative Directory deverão ter a opção de conta correspondente mais alta habilitada, correspondendo aos recursos habilitados para o Ative Directory. Por exemplo, se o Ative Directory tiver apenas AES-128 habilitado, você deverá habilitar a opção de conta AES-128 para as credenciais do usuário. Se o Ative Directory tiver a capacidade AES-256, tem de ativar a opção de conta AES-256 (que também suporta AES-128). Se o Ative Directory não tiver nenhum recurso de criptografia Kerberos, os Arquivos NetApp do Azure usarão DES por padrão.* | Habilitar a criptografia AES para autenticação do Ative Directory |
Assinatura LDAP | Essa funcionalidade permite pesquisas LDAP seguras entre o serviço Arquivos NetApp do Azure e o controlador de domínio dos Serviços de Domínio Ative Directory especificado pelo usuário. | Sim | Assinatura LDAP para Exigir Entrada na política de grupo* | Esta opção fornece maneiras de aumentar a segurança da comunicação entre clientes LDAP e controladores de domínio do Ative Directory. |
Permitir utilizadores locais de NFS com LDAP | Se ativada, essa opção gerencia o acesso para usuários locais e usuários LDAP. | Sim | Esta opção permite o acesso a utilizadores locais. Não é recomendado e, se ativado, só deve ser usado por um tempo limitado e posteriormente desativado. | Se ativada, essa opção permite o acesso a usuários locais e usuários LDAP. Se sua configuração exigir acesso apenas para usuários LDAP, você deverá desativar essa opção. |
LDAP através de TLS | Se ativado, o LDAP sobre TLS é configurado para suportar comunicação LDAP segura com o Ative Directory. | Sim | None | Se você ativou o LDAP sobre TLS e se o certificado da autoridade de certificação raiz do servidor já está presente no banco de dados, o certificado da autoridade de certificação protege o tráfego LDAP. Se um novo certificado for passado, esse certificado será instalado. |
Certificado de autoridade de certificação raiz do servidor | Quando o LDAP sobre SSL/TLS está habilitado, o cliente LDAP precisa ter o certificado de CA raiz autoassinado do Serviço de Certificados do Ative Directory codificado em base64. | Sim | Nenhuma* | Tráfego LDAP protegido com novo certificado somente se LDAP sobre TLS estiver ativado |
Escopo de pesquisa LDAP | Consulte Criar e gerenciar conexões do Ative Directory | Sim | - | - |
Servidor preferencial para cliente LDAP | Você pode designar até dois servidores AD para que o LDAP tente se conectar primeiro. Consulte Compreender as diretrizes para o design e o planejamento do site dos Serviços de Domínio Ative Directory | Sim | Nenhuma* | Potencialmente impedir um tempo limite quando o cliente LDAP procura se conectar ao servidor AD. |
Conexões SMB criptografadas com o Controlador de Domínio | Esta opção especifica se a criptografia deve ser usada para comunicação entre o servidor SMB e o controlador de domínio. Consulte Criar conexões do Ative Directory para obter mais detalhes sobre como usar esse recurso. | Sim | A criação de volumes habilitados para SMB, Kerberos e LDAP não pode ser usada se o controlador de domínio não suportar SMB3 | Use apenas o SMB3 para conexões criptografadas do controlador de domínio. |
Usuários da política de backup | Você pode incluir mais contas que exigem privilégios elevados para a conta de computador criada para uso com os Arquivos NetApp do Azure. Para obter mais informações, consulte Criar e gerenciar conexões do Ative Directory. F | Sim | Nenhuma* | As contas especificadas terão permissão para alterar as permissões NTFS no nível de arquivo ou pasta. |
Administradores | Especifique usuários ou grupos para conceder privilégios de administrador no volume para | Sim | None | Conta de usuário recebe privilégios de administrador |
Username | Nome de usuário do administrador de domínio do Ative Directory | Sim | Nenhuma* | Alteração de credenciais para entrar em contato com o DC |
Palavra-passe | Senha do administrador de domínio do Ative Directory | Sim | Nenhuma* A palavra-passe não pode exceder 64 caracteres. |
Alteração de credenciais para entrar em contato com o DC |
Realm Kerberos: Nome do Servidor AD | O nome da máquina do Ative Directory. Essa opção só é usada ao criar um volume Kerberos. | Sim | Nenhuma* | |
Reino Kerberos: KDC IP | Especifica o endereço IP do servidor do Centro de Distribuição Kerberos (KDC). O KDC nos Arquivos NetApp do Azure é um servidor do Ative Directory | Sim | None | Um novo endereço IP KDC será usado |
País/Região | A região onde as credenciais do Ative Directory estão associadas | Não | Nenhuma | N/A |
DN do utilizador | Nome de domínio do usuário, que substitui o DN base para pesquisas de usuário O userDN aninhado pode ser especificado no OU=subdirectory, OU=directory, DC=domain, DC=com formato. |
Sim | Nenhuma* | O escopo de pesquisa do usuário fica limitado ao DN do usuário em vez do DN base. |
Grupo DN | Nome de domínio do grupo. groupDN substitui o DN base para pesquisas de grupo. O groupDN aninhado pode ser especificado no OU=subdirectory, OU=directory, DC=domain, DC=com formato. |
Sim | Nenhuma* | O escopo de pesquisa de grupo fica limitado a DN de grupo em vez de DN de base. |
Filtro de associação de grupo | O filtro de pesquisa LDAP personalizado a ser usado ao procurar membros de grupo do servidor LDAP. groupMembershipFilter pode ser especificado com o (gidNumber=*) formato. |
Sim | Nenhuma* | O filtro de associação de grupo será usado ao consultar a associação de grupo de um usuário a partir do servidor LDAP. |
Usuários com privilégios de segurança | Você pode conceder privilégio de segurança (SeSecurityPrivilege ) a usuários que exigem privilégios elevados para acessar os volumes dos Arquivos NetApp do Azure. As contas de usuário especificadas terão permissão para executar determinadas ações em compartilhamentos SMB do Azure NetApp Files que exigem privilégios de segurança não atribuídos por padrão aos usuários do domínio. Consulte Criar e gerenciar conexões do Ative Directory para obter mais informações. |
Sim | O uso desse recurso é opcional e tem suporte apenas para o SQL Server. A conta de domínio usada para instalar o SQL Server já deve existir antes de ser adicionada ao campo Usuários com privilégios de segurança. Quando você adiciona a conta do instalador do SQL Server a usuários de privilégios de segurança, o serviço Arquivos NetApp do Azure pode validar a conta entrando em contato com o controlador de domínio. O comando pode falhar se não conseguir entrar em contato com o controlador de domínio. Consulte A instalação do SQL Server falhará se a conta de Instalação não tiver determinados direitos de usuário para obter mais informações sobre SeSecurityPrivilege o SQL Server.* |
Permite que contas que não sejam de administrador usem servidores SQL sobre volumes ANF. |
*Não há impacto em uma entrada modificada somente se as modificações forem inseridas corretamente. Se você inserir dados incorretamente, os usuários e aplicativos perderão o acesso.