Sdílet prostřednictvím

Vytvoření a správa připojení služby Active Directory pro Azure NetApp Files

  • Článek

Několik funkcí služby Azure NetApp Files vyžaduje, abyste měli připojení ke službě Active Directory. Před vytvořením svazku SMB, svazku Kerberos NFSv4.1 nebo svazku se dvěma protokoly musíte mít například připojení služby Active Directory. V tomto článku se dozvíte, jak vytvořit a spravovat připojení Active Directory pro Azure NetApp Files.

Požadavky a důležité informace pro připojení ke službě Active Directory

Důležité

Musíte postupovat podle pokynů popsaných v pokynech k návrhu webu služby Doména služby Active Directory Services a plánování služby Azure NetApp Files pro Doména služby Active Directory Services (AD DS) nebo microsoft Entra Domain Services používané se službou Azure NetApp Files.

Před vytvořením připojení AD zkontrolujte úpravu připojení Active Directory pro Azure NetApp Files , abyste pochopili dopad provádění změn možností konfigurace připojení AD po vytvoření připojení AD. Změny možností konfigurace připojení AD jsou rušivé pro klientský přístup a některé možnosti nelze vůbec změnit.

  • Účet Azure NetApp Files musí být vytvořen v oblasti, ve které se mají nasazovat svazky Azure NetApp Files.

  • Služba Azure NetApp Files ve výchozím nastavení umožňuje pro každé předplatné jenom jedno připojení Active Directory (AD).

    Pro každý účet NetApp můžete vytvořit jedno připojení Active Directory.

    Před registrací do této funkce zkontrolujte pole typu Active Directory na stránce vašeho účtu.

  • Účet správce připojení AD služby Azure NetApp Files musí mít následující vlastnosti:

    • Musí se jednat o uživatelský účet domény služby AD DS ve stejné doméně, ve které se vytvářejí účty počítačů Azure NetApp Files.
    • Musí mít oprávnění k vytváření účtů počítačů (například připojení k doméně AD) v cestě organizační jednotky služby AD DS určené v možnosti cesta organizační jednotky pro připojení AD.
    • Nemůže se jednat o skupinový účet spravované služby.

  • Účet správce připojení AD podporuje typy šifrování Kerberos AES-128 a Kerberos AES-256 pro ověřování pomocí ad DS pro vytvoření účtu počítače Azure NetApp Files (například operace připojení k doméně AD).

  • Pokud chcete povolit šifrování AES v účtu správce připojení AD služby Azure NetApp Files, musíte použít uživatelský účet domény AD, který je členem jedné z následujících skupin SLUŽBY AD DS:

    • Domain Admins
    • Enterprise Admins
    • Správci
    • Account Operators
    • Správci služeb Microsoft Entra Domain Services _ (pouze Microsoft Entra Domain Services)_
    • Případně můžete použít uživatelský účet domény AD s oprávněním msDS-SupportedEncryptionTypes k zápisu pro účet správce připojení AD také k nastavení vlastnosti typu šifrování Kerberos v účtu správce připojení AD.

    Poznámka:

    Když upravíte nastavení pro povolení AES v účtu správce připojení AD, je osvědčeným postupem použít uživatelský účet, který má oprávnění k zápisu k objektu AD, který není správcem služby Azure NetApp Files AD. Můžete to udělat s jiným účtem správce domény nebo delegováním ovládacího prvku na účet. Další informace naleznete v tématu Delegování správy pomocí objektů organizační jednotky.

    Pokud pro účet správce připojení AD nastavíte šifrování AES-128 i AES-256, klient Windows vyjedná nejvyšší úroveň šifrování podporované službou AD DS. Pokud jsou například podporovány AES-128 i AES-256 a klient podporuje AES-256, použije se AES-256.

  • Pokud chcete povolit podporu šifrování AES pro účet správce v připojení AD, spusťte následující příkazy PowerShellu služby Active Directory:

    Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>

    KerberosEncryptionType je parametr s více hodnotami, který podporuje hodnoty AES-128 a AES-256.

    Další informace najdete v dokumentaci Set-ADUser.

  • Pokud potřebujete povolit a zakázat určité typy šifrování Kerberos pro účty počítačů služby Active Directory pro hostitele Windows připojené k doméně používané se službou Azure NetApp Files, musíte použít zásady Network Security: Configure Encryption types allowed for Kerberosskupiny .

    Nenastavujte klíč HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesregistru . Tím se přeruší ověřování Kerberos pomocí služby Azure NetApp Files pro hostitele s Windows, kde byl tento klíč registru nastaven ručně.

    Poznámka:

    Výchozí nastavení zásad je Network Security: Configure Encryption types allowed for Kerberos Not Defined. Pokud je toto nastavení zásad nastavené na Not Defined, budou pro šifrování Kerberos k dispozici všechny typy šifrování s výjimkou DES. Máte možnost povolit podporu pouze pro určité typy šifrování Kerberos (například AES128_HMAC_SHA1 AES256_HMAC_SHA1). Výchozí zásada by ale měla být ve většině případů dostatečná při povolování podpory šifrování AES ve službě Azure NetApp Files.

    Další informace najdete v tématu Zabezpečení sítě: Konfigurace typů šifrování povolených pro protokol Kerberos nebo Konfigurace systému Windows pro podporované typy šifrování Kerberos

  • Dotazy LDAP se projeví jenom v doméně zadané v připojeních služby Active Directory ( pole Název domény SLUŽBY AD DNS). Toto chování se týká svazků NFS, SMB a duálních protokolů.

  • Vypršení časových limitů dotazů LDAP

    Ve výchozím nastavení vyprší časový limit dotazů LDAP, pokud je nelze včas dokončit. Pokud dotaz LDAP selže kvůli vypršení časového limitu, vyhledávání uživatele nebo skupiny selže a v závislosti na nastavení oprávnění svazku může být odepřen přístup ke svazku Azure NetApp Files.

    K vypršení časového limitu dotazů může dojít ve velkých prostředích LDAP s mnoha objekty uživatelů a skupin, přes pomalé připojení WAN a pokud je server LDAP s požadavky nadměrně využíván. Nastavení časového limitu služby Azure NetApp Files pro dotazy LDAP je nastavené na 10 sekund. Pokud dochází k problémům s vypršením časového limitu dotazů LDAP, zvažte využití funkcí DN uživatele a skupiny v připojení ke službě Active Directory pro server LDAP.

Účty NetApp a typ služby Active Directory

K potvrzení typu účtu Active Directory můžete použít stránku přehledu účtu NetApp. Pro typ AD existují tři hodnoty:

  • NA: Existující účet NetApp, který podporuje pouze jednu konfiguraci AD pro každé předplatné a oblast. Konfigurace AD se nesdílí s jinými účty NetApp v předplatném.
  • Více AD: Účet NetApp podporuje jednu konfiguraci AD v každém účtu NetApp v předplatném. To umožňuje při použití více účtů NetApp více než jedno připojení AD na jedno předplatné.
  • Sdílená služba AD: Účet NetApp podporuje pouze jednu konfiguraci AD na předplatné a oblast, ale konfigurace se sdílí mezi účty NetApp v předplatném a oblasti.

Další informace o vztahu mezi účty NetApp a předplatnými najdete v tématu Hierarchie úložiště služby Azure NetApp Files.

Vytvoření připojení ke službě Active Directory

  1. V účtu NetApp vyberte připojení ke službě Active Directory a pak se připojte.

    Snímek obrazovky s nabídkou připojení ke službě Active Directory Tlačítko spojení je zvýrazněné.

    Poznámka:

    Azure NetApp Files podporuje pouze jedno připojení Active Directory ve stejné oblasti a stejném předplatném.

  2. V okně Připojit se ke službě Active Directory zadejte následující informace na základě služby Domain Services, kterou chcete použít:

    • Primární DNS (povinné)
      Toto je IP adresa primárního serveru DNS, který se vyžaduje pro operace připojení k doméně služby Active Directory, ověřování SMB, Kerberos a operace LDAP.

    • Sekundární DNS
      Toto je IP adresa sekundárního serveru DNS, který se vyžaduje pro operace připojení k doméně služby Active Directory, ověřování SMB, Kerberos a operace LDAP.

      Poznámka:

      Doporučujeme nakonfigurovat sekundární server DNS. Přečtěte si pokyny pro návrh webu Doména služby Active Directory Services a plánování pro Azure NetApp Files. Ujistěte se, že konfigurace vašeho serveru DNS splňuje požadavky služby Azure NetApp Files. Jinak může dojít k selhání operací služby Azure NetApp Files, ověřování protokolu SMB, kerberos nebo operací LDAP.

      Pokud používáte službu Microsoft Entra Domain Services, použijte IP adresy řadičů domény služby Microsoft Entra Domain Services pro primární DNS a sekundární DNS.

    • Název domény AD DNS (povinné)
      Toto je plně kvalifikovaný název domény služby AD DS používané se službou Azure NetApp Files (například contoso.com).

    • Název webu AD (povinné)
      Toto je název lokality služby AD DS, který Azure NetApp Files používá ke zjišťování řadiče domény.

      Výchozí název webu služby AD DS i služby Microsoft Entra Domain Services je Default-First-Site-Name. Pokud chcete název webu přejmenovat, postupujte podle zásad vytváření názvů pro názvy webů.

      Poznámka:

      Přečtěte si pokyny pro návrh webu Doména služby Active Directory Services a plánování pro Azure NetApp Files. Ujistěte se, že návrh a konfigurace webu AD DS splňuje požadavky pro Azure NetApp Files. Jinak může dojít k selhání operací služby Azure NetApp Files, ověřování protokolu SMB, kerberos nebo operací LDAP.

    • Předpona serveru SMB (účet počítače) (povinné)
      Toto je předpona pojmenování pro nové účty počítačů vytvořené ve službě AD DS pro svazky SMB služby Azure NetApp Files, duální protokol a svazky Kerberos NFSv4.1.

      Pokud je například standard pojmenování, který vaše organizace používá pro souborové služby NAS-01, NAS-02a tak dále, použijete NAS pro předponu.

      Azure NetApp Files podle potřeby vytvoří další účty počítačů ve službě AD DS.

      Důležité

      Přejmenování předpony serveru SMB po vytvoření připojení ke službě Active Directory je rušivé. Po přejmenování předpony serveru SMB budete muset znovu připojit existující sdílené složky SMB.

    • Cesta organizační jednotky
      Toto je cesta LDAP pro organizační jednotku (OU), kde se vytvoří účty počítačů serveru SMB. To znamená, OU=second level, OU=first levelže . Pokud například chcete použít organizační jednotky s názvem ANF vytvořené v kořenovém adresáři domény, hodnota by byla OU=ANF.

      Pokud není zadaná žádná hodnota, Azure NetApp Files použije CN=Computers kontejner.

      Pokud používáte Azure NetApp Files se službou Microsoft Entra Domain Services, cesta organizační jednotky je OU=AADDC Computers

      Snímek obrazovky se vstupními poli Připojit ke službě Active Directory

    • Šifrování AES
      Tato možnost umožňuje podporu ověřování šifrování AES pro účet správce připojení AD.

      Snímek obrazovky s polem popisu AES Toto pole je zaškrtávací políčko.

      Požadavky najdete v tématu Požadavky pro připojení služby Active Directory.

    • Podepisování PROTOKOLU LDAP

      Tato možnost umožňuje podepisování protokolu LDAP. Tato funkce umožňuje ověřování integrity pro protokoly LDAP protokolu SASL (Simple Authentication and Security Layer) vazby ze služby Azure NetApp Files a uživatelem zadaných řadičů domény Doména služby Active Directory Services.

      Azure NetApp Files podporuje vazbu kanálu LDAP, pokud jsou v připojení ke službě Active Directory povolené možnosti podepisování protokolu LDAP i protokolu LDAP přes protokol TLS. Další informace najdete v tématu ADV190023 | Pokyny microsoftu pro povolení vazby kanálu LDAP a podepisování PROTOKOLU LDAP

      Poznámka:

      Záznamy PTR DNS pro účty počítačů služby AD DS musí být vytvořeny v organizační jednotce SLUŽBY AD DS zadané v připojení AZURE NetApp Files AD, aby podepisování LDAP fungovalo.

      Snímek obrazovky s zaškrtávacím políčkam podepisování PROTOKOLU LDAP

    • Povolit místním uživatelům systému souborů NFS s protokolem LDAP Tato možnost umožňuje místním uživatelům klienta NFS přístup ke svazkům NFS. Nastavením této možnosti zakážete rozšířené skupiny pro svazky NFS, což omezuje počet podporovaných skupin pro uživatele na 16. Pokud je tato možnost povolená, skupiny nad rámec limitu 16 skupin nejsou v přístupových oprávněních dodrženy. Další informace naleznete v tématu Povolit místním uživatelům SYSTÉMU SOUBORŮ NFS přístup ke svazku se dvěma protokoly.

    • LDAP přes TLS

      Tato možnost umožňuje protokol LDAP přes PROTOKOL TLS pro zabezpečenou komunikaci mezi svazkem Azure NetApp Files a serverem LDAP služby Active Directory. Protokol LDAP můžete povolit přes protokol TLS pro svazky NFS, SMB a duální protokoly služby Azure NetApp Files.

      Poznámka:

      Protokol LDAP přes protokol TLS nesmí být povolen, pokud používáte službu Microsoft Entra Domain Services. Služba Microsoft Entra Domain Services používá protokol LDAPS (port 636) k zabezpečení provozu LDAP místo protokolu LDAP přes protokol TLS (port 389).

      Další informace naleznete v tématu Povolení ověřování LDAP služby Doména služby Active Directory Services (AD DS) pro svazky NFS.

    • Certifikát kořenové certifikační autority serveru

      Tato možnost nahraje certifikát certifikační autority použitý s protokolem LDAP přes protokol TLS.

      Další informace naleznete v tématu Povolení ověřování LDAP služby Doména služby Active Directory Services (AD DS) pro svazky NFS. 

    • Obor vyhledávání LDAP, DN uživatele, DN skupiny a filtr členství ve skupinách

      Možnost oboru vyhledávání LDAP optimalizuje dotazy LDAP úložiště Azure NetApp Files pro použití s velkými topologiemi AD DS a LDAP s rozšířenými skupinami nebo stylem zabezpečení unixu se svazkem se dvěma protokoly služby Azure NetApp Files.

      Možnosti DN uživatele a dn skupiny umožňují nastavit základnu vyhledávání v PROTOKOLU LDAP služby AD DS. Tyto možnosti omezují oblasti vyhledávání pro dotazy LDAP, zkracují dobu hledání a pomáhají zkrátit časové limity dotazů LDAP.

      Možnost Filtr členství ve skupinách umožňuje vytvořit vlastní vyhledávací filtr pro uživatele, kteří jsou členy konkrétních skupin služby AD DS.

      Snímek obrazovky s polem oboru vyhledávání LDAP se zaškrtávacím políčku

      Informace o těchto možnostech najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.

    • Upřednostňovaný server pro klienta LDAP

      Upřednostňovaný server pro klienta LDAP umožňuje odeslat IP adresy až dvou serverů AD jako seznam oddělený čárkami. Místo postupného kontaktování všech zjištěných služeb AD pro doménu bude klient LDAP nejprve kontaktovat zadané servery.

    • Šifrovaná připojení SMB k řadiči domény

      Šifrovaná připojení SMB k řadiči domény určuje, jestli se má šifrování použít pro komunikaci mezi serverem SMB a řadičem domény. Pokud je tato možnost povolená, použije se pro šifrovaná připojení řadiče domény jenom protokol SMB3.

      Tato funkce je aktuálně dostupná jako ukázková verze. Pokud k řadiči domény používáte poprvé šifrovaná připojení SMB, musíte ho zaregistrovat:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Zkontrolujte stav registrace funkce:

      Poznámka:

      Stav registrace může být ve Registering stavu až 60 minut před změnou naRegistered. Než budete pokračovat, počkejte, až bude Registered stav.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Můžete také použít příkazy az feature register Azure CLI a az feature show zaregistrovat funkci a zobrazit stav registrace.

    • Uživatelé zásad zálohování Tato možnost uděluje uživatelům nebo skupinám domény služby AD DS přidaná oprávnění zabezpečení, která vyžadují zvýšená oprávnění zálohování pro podporu pracovních postupů zálohování, obnovení a migrace ve službě Azure NetApp Files. Zadané uživatelské účty nebo skupiny služby AD DS budou mít zvýšená oprávnění NTFS na úrovni souboru nebo složky.

      Snímek obrazovky s polem Uživatelé zásad zálohování zobrazující prázdné textové vstupní pole

      Následující oprávnění se použijí při použití nastavení zásad zálohování:

      Privilege Popis
      SeBackupPrivilege Zálohujte soubory a adresáře a přepisujte všechny seznamy ACL.
      SeRestorePrivilege Obnovte soubory a adresáře a přepisujte všechny seznamy ACL.
      Jako vlastníka souboru nastavte libovolný platný identifikátor SID uživatele nebo skupiny.
      SeChangeNotifyPrivilege Vynechat kontrolu přecházení
      Uživatelé s tímto oprávněním nemusí mít oprávnění procházet (x) pro procházení složek nebo symlinků.

    • Uživatelé s oprávněními zabezpečení
      Tato možnost uděluje oprávnění zabezpečení (SeSecurityPrivilege) uživatelům nebo skupinám domény služby AD DS, kteří vyžadují zvýšená oprávnění pro přístup ke svazkům Azure NetApp Files. Zadaná uživatelé nebo skupiny služby AD DS budou moct provádět určité akce u sdílených složek SMB, které ve výchozím nastavení nevyžadují oprávnění zabezpečení nepřiřazené uživatelům domény.

      Snímek obrazovky s oknem Uživatelé oprávnění zabezpečení v okně připojení služby Active Directory

      Následující oprávnění platí, když použijete nastavení Uživatelé oprávnění zabezpečení:

      Privilege Popis
      SeSecurityPrivilege Správa operací protokolu

      Tato funkce se používá k instalaci SQL Serveru v určitých scénářích, kdy musí být dočasně udělen účet domény služby AD DS bez oprávnění správce.

      Poznámka:

      Použití funkce Uživatelé s oprávněními zabezpečení spoléhá na funkci smb Continuous Availability Shares. Ve vlastních aplikacích není podporována nepřetržitá dostupnost protokolu SMB. Podporuje se jenom pro úlohy používající citrix App Layering, kontejnery profilů uživatelů FSLogix a Microsoft SQL Server (ne Linux SQL Server).

      Důležité

      Použití funkce Uživatelé s oprávněními zabezpečení vyžaduje, abyste odeslali požadavek na seznam čekání prostřednictvím stránky pro odesílání sdílených složek smb s nepřetržitou dostupností SMB ve verzi Public Preview. Před použitím této funkce počkejte na oficiální potvrzovací e-mail od týmu Azure NetApp Files.
      Tato funkce je volitelná a podporovaná pouze u SQL Serveru. Účet domény služby AD DS používaný k instalaci SQL Serveru už musí existovat, než ho přidáte do možnosti Uživatelé s oprávněními zabezpečení. Když přidáte účet instalačního programu SQL Serveru do možnosti Uživatelé s oprávněními zabezpečení, služba Azure NetApp Files může účet ověřit kontaktováním řadiče domény služby AD DS. Tato akce může selhat, pokud Azure NetApp Files nemůže kontaktovat řadič domény SLUŽBY AD DS.

      Další informace o SeSecurityPrivilege systému SQL Server najdete v tématu Selhání instalace SYSTÉMU SQL Server, pokud účet instalace nemá určitá uživatelská práva.

    • Uživatelé s oprávněními správců

      Tato možnost uděluje uživatelům nebo skupinám domény služby AD DS další oprávnění zabezpečení, která vyžadují zvýšená oprávnění pro přístup ke svazkům Azure NetApp Files. Zadané účty budou mít zvýšená oprávnění na úrovni souboru nebo složky.

      Poznámka:

      Správci domény se automaticky přidají do skupiny uživatelů s oprávněními správců.

      Snímek obrazovky znázorňující okno Správci v okně připojení služby Active Directory

      Poznámka:

      Toto oprávnění je užitečné pro migrace dat.

      Následující oprávnění platí, když použijete nastavení Oprávnění správců :

      Privilege Popis
      SeBackupPrivilege Zálohujte soubory a adresáře a přepisujte všechny seznamy ACL.
      SeRestorePrivilege Obnovte soubory a adresáře a přepisujte všechny seznamy ACL.
      Jako vlastníka souboru nastavte libovolný platný identifikátor SID uživatele nebo skupiny.
      SeChangeNotifyPrivilege Vynechat kontrolu přecházení
      Uživatelé s tímto oprávněním nemusí mítx oprávnění k procházení složek nebo symlink.
      SeTakeOwnershipPrivilege Převzít vlastnictví souborů nebo jiných objektů
      SeSecurityPrivilege Správa operací protokolu
      SeChangeNotifyPrivilege Vynechat kontrolu přecházení
      Uživatelé s tímto oprávněním nemusí mítx oprávnění k procházení složek nebo symlink.

    • Přihlašovací údaje, včetně uživatelského jména a hesla

      Snímek obrazovky zobrazující pole přihlašovacích údajů služby Active Directory zobrazující pole uživatelského jména, hesla a potvrzení hesla

      Důležité

      I když Active Directory podporuje 256mísícová hesla, hesla Active Directory se službou Azure NetApp Files nesmí překročit 64 znaků.

  3. Vyberte Připojit se.

    Zobrazí se připojení služby Active Directory, které jste vytvořili.

    Snímek obrazovky s nabídkou připojení služby Active Directory zobrazující úspěšně vytvořené připojení

Vytvoření jednoho připojení Active Directory na účet NetApp (Preview)

Díky této funkci může mít každý účet NetApp v rámci předplatného Azure vlastní připojení AD. Po nakonfigurování se připojení AD účtu NetApp použije při vytváření svazku SMB, svazku Kerberos NFSv4.1 nebo svazku se dvěma protokoly. To znamená, že Azure NetApp Files podporuje více než jedno připojení AD pro každé předplatné Azure, když se použije více účtů NetApp.

Poznámka:

Pokud má předplatné povolenou funkci Sdílené služby Active Directory , její stávající účty stále sdílejí konfiguraci AD. Všechny nové účty NetApp vytvořené v předplatném můžou používat vlastní konfigurace AD. Konfiguraci můžete potvrdit na stránce přehledu účtu v poli Typ AD.

Důležité informace

  • Rozsah každé konfigurace AD je omezen na nadřazený účet NetApp.

Registrace funkce

Funkce pro vytvoření jednoho připojení AD na účet NetApp je aktuálně ve verzi Preview. Před prvním použitím je potřeba tuto funkci zaregistrovat. Po registraci je funkce povolená a funguje na pozadí.

  1. Zaregistrujte funkci:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

  2. Zkontrolujte stav registrace funkce:

    Poznámka:

    Stav registrace může být ve Registering stavu až 60 minut před změnou naRegistered. Než budete pokračovat, počkejte, až se stav Zaregistruje .

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

Můžete také použít příkazy az feature register Azure CLI a az feature show zaregistrovat funkci a zobrazit stav registrace.

Mapování několika účtů NetApp ve stejném předplatném a oblasti na jedno připojení AD (Preview)

Funkce Sdílené AD umožňuje všem účtům NetApp sdílet připojení AD vytvořené jedním z účtů NetApp, které patří do stejného předplatného a stejné oblasti. Pomocí této funkce můžou například všechny účty NetApp ve stejném předplatném a oblasti používat společnou konfiguraci AD k vytvoření svazku SMB, svazku Kerberos NFSv4.1 nebo svazku se dvěma protokoly. Když použijete tuto funkci, připojení AD se zobrazí ve všech účtech NetApp, které jsou ve stejném předplatném a stejné oblasti.

Po zavedení funkce pro vytvoření připojení AD na účet NetApp se nová registrace funkcí pro funkci Sdílené AD nepřijímají.

Poznámka:

Pokud jste už zaregistrovaní ve verzi Preview pro Sdílenou SLUŽBU AD, můžete se zaregistrovat k použití jednoho připojení AD na účet NetApp. Pokud aktuálně splňujete maximálně 10 účtů NetApp na oblast Azure na předplatné, musíte zahájit žádost o podporu, aby se limit zvýšil. Konfiguraci můžete potvrdit na stránce přehledu účtu v poli Typ AD.

Resetování hesla účtu počítače služby Active Directory

Pokud omylem resetujete heslo účtu počítače AD na serveru AD nebo je server AD nedostupný, můžete heslo účtu počítače bezpečně resetovat, aby se zachovalo připojení ke svazkům. Resetování ovlivní všechny svazky na serveru SMB.

Registrace funkce

Funkce resetování hesla účtu počítače služby Active Directory je aktuálně ve verzi Public Preview. Pokud tuto funkci používáte poprvé, musíte ji nejprve zaregistrovat.

  1. Zaregistrujte funkci resetování hesla účtu počítače služby Active Directory:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Zkontrolujte stav registrace funkce. Stav registrace může být ve Registering stavu až 60 minut před změnou naRegistered. Než budete pokračovat, počkejte, až bude Registered stav.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Můžete také použít příkazy az feature register Azure CLI a az feature show zaregistrovat funkci a zobrazit stav registrace.

Kroky

  1. Přejděte do nabídky Přehled svazku. Vyberte Obnovit účet služby Active Directory. Rozhraní Přehled svazků Azure se zvýrazněným tlačítkem Resetovat účet služby Active Directory Případně přejděte do nabídky Svazky . Určete svazek, pro který chcete resetovat účet služby Active Directory, a vyberte tři tečky (...) na konci řádku. Vyberte Obnovit účet služby Active Directory. Seznam svazků Azure se zvýrazněným tlačítkem Resetovat účet služby Active Directory
  2. Zobrazí se zpráva s upozorněním, která vysvětluje důsledky této akce. Pokud chcete pokračovat, zadejte do textového pole ano . Resetovat zprávu upozornění účtu služby Active Directory, která čte: Upozornění! Tato akce resetuje účet služby Active Directory pro svazek. Tato akce je určená pro uživatele, aby znovu získali přístup ke svazkům a v případě potřeby můžou být data nedostupná.

Další kroky