你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
修改 Azure NetApp 文件的 Active Directory 连接
在 Azure NetApp 文档 中创建 Active Directory 连接后,可以对其进行修改。 修改 Active Directory 连接时,并非所有配置都是可修改的。
有关详细信息,请参阅了解Active Directory 域服务网站设计和Azure NetApp 文档规划指南。
修改 Active Directory 连接
选择“Active Directory 连接”。 然后选择“编辑”以编辑现有 AD 连接。
在出现的“编辑 Active Directory”窗口中,根据需要修改 Active Directory 连接配置。 有关可以修改哪些字段的说明,请参阅 Active Directory 连接选项。
Active Directory 连接选项
字段名称 | 介绍 | 是否可修改? | 注意事项和影响 | 效果 |
---|---|---|---|---|
主要 DNS | Active Directory 域的主要 DNS 服务器 IP 地址。 | 是 | 无* | 新的 DNS IP 用于 DNS 解析。 |
辅助 DNS | Active Directory 域的辅助 DNS 服务器 IP 地址。 | 是 | 无* | 当主要 DNS 发生故障时,新的 DNS IP 将用于 DNS 解析。 |
AD DNS 域名 | 这是你要联接的 Active Directory 域服务的域名。 | 否 | 无 | 空值 |
AD 站点名称 | 域控制器发现受限的站点。 | 是 | 这应与 Active Directory 站点和服务中的站点名称匹配。 请参阅脚注。* | 域发现仅限于新的站点名称。 如果未指定,则使用“Default-First-Site-Name”。 |
SMB 服务器(计算机帐户)前缀 | Active Directory 中计算机帐户的命名前缀,Azure NetApp 文档将用于创建新帐户。 请参阅脚注。* | 是 | 需要再次装载现有卷,因为 SMB 共享和 NFS Kerberos 卷的装载已发生更改。* | 创建 Active Directory 连接后重命名 SMB 服务器前缀会造成中断。 重命名 SMB 服务器前缀后,需要重新装载现有的 SMB 共享和 NFS Kerberos 卷,因为装载路径将发生变化。 |
组织单位路径 | 将在其中创建 SMB 服务器计算机帐户的组织单位(OU)的 LDAP 路径。 OU=second level , OU=first level |
否 | 如果对 Microsoft Entra 域服务使用 Azure NetApp 文档,则组织路径是在OU=AADDC Computers 为 NetApp 帐户配置 Active Directory 时。 |
计算机帐户将放置在指定的 OU 下。 如果未指定,则默认使用默认 OU=Computers 。 |
AES 加密 | 若要利用基于 Kerberos 的通信的最强安全性,可以在 SMB 服务器上启用 AES-256 和 AES-128 加密。 | 是 | 如果启用 AES 加密,则用于加入 Active Directory 的用户凭据必须启用最高对应帐户选项,该选项与为 Active Directory 启用的功能相匹配。 例如,如果 Active Directory 仅启用 AES-128,则必须为用户凭据启用 AES-128 帐户选项。 如果 Active Directory 具有 AES-256 功能,则必须启用 AES-256 帐户选项(该选项也支持 AES-128)。 如果 Active Directory 没有任何 Kerberos 加密功能,Azure NetApp 文档默认使用 DES。* | 为 Active Directory 身份验证启用 AES 加密 |
“LDAP 签名” | 此功能启用在 Azure NetApp 文件服务和用户指定的 Active Directory 域服务域控制器之间的安全 LDAP 查找。 | 是 | LDAP 签名“需要登录组策略”* | 此选项提供了提高 LDAP 客户端与 Active Directory 域控制器之间通信安全性的方法。 |
允许使用 LDAP 的本地 NFS 用户 | 如果启用,此选项将管理本地用户和 LDAP 用户的访问权限。 | 是 | 此选项允许访问本地用户。 不建议使用此功能,如果启用,则只能用于有限的时间和以后禁用。 | 如果启用,此选项允许访问本地用户和 LDAP 用户。 如果配置仅需要 LDAP 用户的访问权限,则必须禁用此选项。 |
LDAP over TLS | 如果启用,则通过 TLS 的 LDAP 配置为支持与 Active Directory 的安全 LDAP 通信。 | 是 | 无 | 如果已通过 TLS 启用了 LDAP,并且服务器根 CA 证书已存在于数据库中,则 CA 证书将保护 LDAP 流量。 如果传入新证书,将安装该证书。 |
服务器根 CA 证书 | 启用基于 SSL/TLS 的 LDAP 时,LDAP 客户端需要具有 Base64 编码的 Active Directory 证书服务的自签名根 CA 证书。 | 是 | 无* | 仅在启用基于 TLS 的 LDAP 时,LDAP 流量才能通过新证书得到保护 |
LDAP 搜索范围 | 请参阅 创建和管理 Active Directory 连接 | 是 | - | - |
LDAP 客户端的首选服务器 | 最多可以指定两个 AD 服务器,以便 LDAP 尝试与第一个服务器建立连接。 请参阅了解Active Directory 域服务网站设计和规划指南 | 是 | 无* | 当 LDAP 客户端试图连接到 AD 服务器时,可能会妨碍超时。 |
与域控制器的加密 SMB 连接 | 此选项指定是否应将加密用于 SMB 服务器和域控制器之间的通信。 有关如何使用此功能的更多详细信息,请参阅创建 Active Directory 连接。 | 是 | 如果域控制器不支持 SMB3,则无法使用启用了 SMB 的 SMB、Kerberos 和 LDAP 卷创建 | 仅对加密的域控制器连接使用 SMB3。 |
备份策略用户 | 可以包含更多帐户,这些帐户需要提升的权限才能用于Azure NetApp 文档的计算机帐户。 有关详细信息,请参阅 “创建和管理 Active Directory 连接”。F | 是 | 无* | 将允许指定的帐户在文件或文件夹级别更改 NTFS 权限。 |
管理员 | 指定要向卷授予管理员权限的用户或组 | 是 | 无 | 用户帐户接收管理员权限 |
用户名 | Active Directory 域管理员的用户名 | 是 | 无* | 用于联系 DC 的凭据更改 |
密码 | Active Directory 域管理员的密码 | 是 | 没有* 密码不能超过 64 个字符。 |
用于联系 DC 的凭据更改 |
Kerberos 领域:AD 服务器名称 | Active Directory 计算机名称。 此选项仅在创建 Kerberos 卷时使用。 | 是 | 无* | |
Kerberos 领域:KDC IP | 指定 Kerberos 分发中心 (KDC) 服务器的 IP 地址。 Azure NetApp 文件中的 KDC 是 Active Directory 服务器 | 是 | 无 | 将使用新的 KDC IP 地址 |
区域 | Active Directory 凭据关联的区域 | 否 | 无 | 空值 |
用户 DN | 用户域名,用户查找时优先于基准 DN 的嵌套的 userDN 可指定为 OU=subdirectory, OU=directory, DC=domain, DC=com 格式。 |
是 | 无* | 用户搜索范围仅限于用户 DN,而不是基准 DN。 |
组 DN | 组域名。 组查找时优先于基准 DN 的 groupDN。 嵌套的 groupDN 可指定为 OU=subdirectory, OU=directory, DC=domain, DC=com 格式。 |
是 | 无* | 组搜索范围仅限于组 DN,而不是基准 DN。 |
组成员身份筛选器 | 从 LDAP 服务器查找组成员身份时要使用的自定义 LDAP 搜索筛选器。可使用 (gidNumber=*) 格式指定 groupMembershipFilter 。 |
是 | 无* | 从 LDAP 服务器查询用户的组成员身份时,将使用组成员身份筛选器。 |
安全特权用户 | 可以向需要提升的权限来访问 Azure NetApp 文件卷的用户授予安全特权 (SeSecurityPrivilege )。 允许指定的用户帐户在 Azure NetApp 文件 SMB 共享上执行特定操作,这些共享要求默认情况下不向域用户分配安全特权。 有关详细信息,请参阅创建和管理 Active Directory 连接。 |
是 | 可选择性地使用此功能,且仅 SQL Server 支持使用此功能。 在添加到“安全特权用户”字段之前,用于安装 SQL Server 的域帐户必须已经存在。 将 SQL Server 安装程序的帐户添加到“安全特权用户”时,Azure NetApp 文件服务可能通过与域控制器联系来验证帐户。 如果命令无法联系域控制器,该命令可能会失败。 如果安装帐户没有特定用户权限,有关 SQL Server 的详细信息SeSecurityPrivilege ,请参阅 SQL Server 安装失败。* |
允许非管理员帐户使用基于 ANF 卷的 SQL 服务器。 |
*只有正确输入修改后,才不会对修改后的条目造成影响。 如果输入的数据不正确,用户和应用程序将失去访问权限。