تعديل اتصالات Active Directory لملفات Azure NetApp
بمجرد إنشاء اتصال Active Directory في Azure NetApp Files، يمكنك تعديله. عند تعديل اتصال Active Directory، لا تكون جميع التكوينات قابلة للتعديل.
لمزيد من المعلومات، راجع فهم إرشادات خدمات مجال Active Directory تصميم الموقع والتخطيط لملفات Azure NetApp.
تعديل اتصالات Active Directory
حدد اتصالات Active Directory. ثم حدد تحرير لتحرير اتصال AD موجود.
في نافذة Edit Active Directory التي تظهر، قم بتعديل تكوينات اتصال Active Directory حسب الحاجة. للحصول على شرح عن الحقول التي يمكنك تعديلها، راجع خيارات اتصالات Active Directory.
خيارات اتصالات Active Directory
اسم الحقل | ما هو | هل هو قابل للتعديل؟ | الاعتبارات والتأثيرات | التأثير |
---|---|---|---|---|
DNS الأساسي | عناوين IP لخادم DNS الأساسي لمجال Active Directory. | نعم | اي* | يتم استخدام DNS IP جديد لتحليل DNS. |
DNS الثانوي | عناوين IP لخادم DNS الثانوي لمجال Active Directory. | نعم | اي* | سيتم استخدام DNS IP جديد لحل DNS في حالة فشل DNS الأساسي. |
اسم مجال AD DNS | اسم مجال خدمات مجال Active Directory الذي تريد الانضمام إليه. | لا | بلا | غير متوفر |
اسم موقع AD | الموقع الذي يكون اكتشاف وحدة التحكم بالمجال محدودا فيه. | نعم | يجب أن يتطابق هذا مع اسم الموقع في مواقع وخدمات Active Directory. راجع الحاشية السفلية.* | يقتصر اكتشاف المجال على اسم الموقع الجديد. إذا لم يتم تحديده، يتم استخدام "Default-First-Site-Name". |
بادئة خادم SMB (حساب الكمبيوتر) | بادئة التسمية لحساب الكمبيوتر في Active Directory الذي ستستخدمه Azure NetApp Files لإنشاء حسابات جديدة. راجع الحاشية السفلية.* | نعم | يجب تحميل وحدات التخزين الموجودة مرة أخرى حيث يتم تغيير التحميل لمشاركات SMB ووحدات تخزين NFS Kerberos.* | إعادة تسمية بادئة خادم SMB بعد إنشاء اتصال Active Directory معطلة. ستحتاج إلى إعادة تحميل مشاركات SMB الحالية ووحدات تخزين NFS Kerberos بعد إعادة تسمية بادئة خادم SMB حيث سيتغير مسار التحميل. |
مسار الوحدة التنظيمية | مسار LDAP للوحدة التنظيمية (OU) حيث سيتم إنشاء حسابات كمبيوتر خادم SMB. OU=second level , OU=first level |
لا | إذا كنت تستخدم Azure NetApp Files مع Microsoft Entra Domain Services، فإن المسار التنظيمي هو OU=AADDC Computers عند تكوين Active Directory لحساب NetApp الخاص بك. |
سيتم وضع حسابات الكمبيوتر ضمن الوحدة التنظيمية المحددة. إذا لم يتم تحديده، يتم استخدام الإعداد الافتراضي ل OU=Computers بشكل افتراضي. |
تشفير AES | للاستفادة من أقوى أمان مع الاتصال المستند إلى Kerberos، يمكنك تمكين تشفير AES-256 و AES-128 على خادم SMB. | نعم | إذا قمت بتمكين تشفير AES، يجب أن يكون لدى بيانات اعتماد المستخدم المستخدمة للانضمام إلى Active Directory أعلى خيار حساب مطابق ممكن، مطابقا الإمكانات الممكنة ل Active Directory الخاص بك. على سبيل المثال، إذا تم تمكين AES-128 فقط في Active Directory، فيجب تمكين خيار حساب AES-128 لبيانات اعتماد المستخدم. إذا كان Active Directory الخاص بك يحتوي على إمكانية AES-256، يجب تمكين خيار حساب AES-256 (الذي يدعم أيضا AES-128). إذا لم يكن لدى Active Directory أي إمكانية تشفير Kerberos، فإن Azure NetApp Files تستخدم DES بشكل افتراضي.* | تمكين تشفير AES لمصادقة Active Directory |
توقيع LDAP | تمكن هذه الوظيفة عمليات بحث LDAP الآمنة بين خدمة Azure NetApp Files ووحدة التحكم بالمجال خدمات مجال Active Directory المحددة من قبل المستخدم. | نعم | توقيع LDAP إلى طلب تسجيل الدخول إلى نهج المجموعة* | يوفر هذا الخيار طرقا لزيادة أمان الاتصال بين عملاء LDAP ووحدات تحكم مجال Active Directory. |
السماح لمستخدمي NFS المحليين باستخدام LDAP | في حالة التمكين، يدير هذا الخيار الوصول للمستخدمين المحليين ومستخدمي LDAP. | نعم | يسمح هذا الخيار بالوصول إلى المستخدمين المحليين. لا يوصى باستخدامه، وإذا تم تمكينه، يجب استخدامه لفترة محدودة فقط وتعطيله لاحقا. | إذا تم تمكينه، يسمح هذا الخيار بالوصول إلى المستخدمين المحليين ومستخدمي LDAP. إذا كان التكوين يتطلب الوصول لمستخدمي LDAP فقط، يجب تعطيل هذا الخيار. |
LDAP عبر TLS | إذا تم تمكينه، يتم تكوين LDAP عبر TLS لدعم اتصال LDAP الآمن إلى الدليل النشط. | نعم | بلا | إذا قمت بتمكين LDAP عبر TLS وإذا كانت شهادة المرجع المصدق الجذر للخادم موجودة بالفعل في قاعدة البيانات، فإن شهادة المرجع المصدق تؤمن حركة مرور LDAP. إذا تم تمرير شهادة جديدة، فسيتم تثبيت هذه الشهادة. |
شهادة المرجع المصدق الجذر للخادم | عند تمكين LDAP عبر SSL/TLS، يطلب من عميل LDAP الحصول على شهادة المرجع المصدق الجذر الموقعة ذاتيا لخدمة شهادة Active Directory المشفرة بواسطة base64. | نعم | اي* | يتم تأمين حركة مرور LDAP بشهادة جديدة فقط إذا تم تمكين LDAP عبر TLS |
نطاق بحث LDAP | راجع إنشاء اتصالات Active Directory وإدارتها | نعم | - | - |
الخادم المفضل لعميل LDAP | يمكنك تعيين ما يصل إلى خادمي AD ل LDAP لمحاولة الاتصال أولا. راجع فهم إرشادات تصميم الموقع وتخطيطه خدمات مجال Active Directory | نعم | اي* | من المحتمل أن يعيق المهلة عندما يسعى عميل LDAP للاتصال بخادم AD. |
اتصالات SMB المشفرة بوحدة تحكم المجال | يحدد هذا الخيار ما إذا كان يجب استخدام التشفير للاتصال بين خادم SMB ووحدة التحكم بالمجال. راجع إنشاء اتصالات Active Directory لمزيد من التفاصيل حول استخدام هذه الميزة. | نعم | لا يمكن استخدام إنشاء وحدة التخزين الممكنة من SMB وKerberos وLDAP إذا لم تدعم وحدة التحكم بالمجال SMB3 | استخدم SMB3 فقط لاتصالات وحدة تحكم المجال المشفرة. |
مستخدمو نهج النسخ الاحتياطي | يمكنك تضمين المزيد من الحسابات التي تتطلب امتيازات مرتفعة إلى حساب الكمبيوتر الذي تم إنشاؤه للاستخدام مع Azure NetApp Files. لمزيد من المعلومات، راجع إنشاء اتصالات Active Directory وإدارتها. و | نعم | اي* | وسيسمح للحسابات المحددة بتغيير أذونات NTFS على مستوى الملف أو المجلد. |
المسؤولون | حدد المستخدمين أو المجموعات لمنح امتيازات المسؤول على وحدة التخزين إلى | نعم | بلا | يتلقى حساب المستخدم امتيازات المسؤول |
اسم مستخدم | اسم المستخدم لمسؤول مجال Active Directory | نعم | اي* | تغيير بيانات الاعتماد للاتصال ب DC |
كلمة المرور | كلمة مرور مسؤول مجال Active Directory | نعم | اي* لا يمكن أن تتجاوز كلمة المرور 64 حرفا. |
تغيير بيانات الاعتماد للاتصال ب DC |
نطاق Kerberos: اسم خادم AD | اسم جهاز Active Directory. يتم استخدام هذا الخيار فقط عند إنشاء وحدة تخزين Kerberos. | نعم | اي* | |
نطاق Kerberos: KDC IP | تحديد عنوان IP لخادم مركز توزيع Kerberos (KDC). KDC في Azure NetApp Files هو خادم Active Directory | نعم | بلا | سيتم استخدام عنوان IP KDC جديد |
المنطقة | المنطقة التي يتم فيها ربط بيانات اعتماد Active Directory | لا | بلا | غير متوفر |
DN المستخدم | اسم مجال المستخدم، الذي يتجاوز DN الأساسي للبحث عن المستخدم يمكن تحديد OU=subdirectory, OU=directory, DC=domain, DC=com اسم المستخدم المتداخل بالتنسيق. |
نعم | اي* | يقتصر نطاق بحث المستخدم على اسم المستخدم DN بدلا من DN الأساسي. |
مجموعة DN | اسم مجال المجموعة. يتجاوز groupDN DN الأساسي للبحث عن المجموعة. يمكن تحديد groupDN المتداخلة بالتنسيق OU=subdirectory, OU=directory, DC=domain, DC=com . |
نعم | اي* | يقتصر نطاق بحث المجموعة على Group DN بدلا من DN الأساسي. |
عامل تصفية عضوية المجموعة | عامل تصفية بحث LDAP المخصص الذي سيتم استخدامه عند البحث عن عضوية المجموعة من خادم LDAP. groupMembershipFilter يمكن تحديده بالتنسيق (gidNumber=*) . |
نعم | اي* | سيتم استخدام عامل تصفية عضوية المجموعة أثناء الاستعلام عن عضوية مجموعة مستخدم من خادم LDAP. |
مستخدمو امتيازات الأمان | يمكنك منح امتياز الأمان (SeSecurityPrivilege ) للمستخدمين الذين يحتاجون إلى امتياز مرتفع للوصول إلى وحدات تخزين Azure NetApp Files. سيسمح لحسابات المستخدمين المحددة بتنفيذ إجراءات معينة على مشاركات Azure NetApp Files SMB التي تتطلب امتياز أمان لم يتم تعيينه افتراضيا لمستخدمي المجال. راجع إنشاء اتصالات Active Directory وإدارتها لمزيد من المعلومات. |
نعم | استخدام هذه الميزة اختياري ومدعم فقط ل SQL Server. يجب أن يكون حساب المجال المستخدم لتثبيت SQL Server موجودا بالفعل قبل إضافته إلى حقل مستخدمي امتياز الأمان. عند إضافة حساب مثبت SQL Server إلى مستخدمي امتيازات الأمان، قد تتحقق خدمة Azure NetApp Files من صحة الحساب عن طريق الاتصال بوحدة التحكم بالمجال. قد يفشل الأمر إذا تعذر عليه الاتصال بوحدة تحكم المجال. راجع فشل تثبيت SQL Server إذا لم يكن لحساب الإعداد حقوق مستخدم معينة للحصول على مزيد من المعلومات حول SeSecurityPrivilege وSQL Server.* |
يسمح للحسابات غير المسؤولة باستخدام SQL severs أعلى وحدات تخزين ANF. |
*لا يوجد أي تأثير على إدخال معدل فقط إذا تم إدخال التعديلات بشكل صحيح. إذا أدخلت البيانات بشكل غير صحيح، فسيفقد المستخدمون والتطبيقات إمكانية الوصول.