Sdílet prostřednictvím


Úprava připojení služby Active Directory pro Azure NetApp Files

Jakmile ve službě Azure NetApp Files vytvoříte připojení Active Directory, můžete ho upravit. Při úpravě připojení ke službě Active Directory není možné upravovat všechny konfigurace.

Další informace najdete v tématu Vysvětlení pokynů pro návrh webu Doména služby Active Directory Services a plánování pro Azure NetApp Files.

Úprava připojení služby Active Directory

  1. Vyberte připojení služby Active Directory. Potom vyberte Upravit a upravte existující připojení AD.

  2. V okně Upravit službu Active Directory , které se zobrazí, upravte konfigurace připojení služby Active Directory podle potřeby. Vysvětlení polí, která můžete upravit, najdete v tématu Možnosti připojení služby Active Directory.

Možnosti připojení služby Active Directory

Název pole Co to je Je možné ho upravit? Důležité informace a dopady Účinnost
Primární DNS Ip adresy primárního serveru DNS pro doménu služby Active Directory. Ano Žádný* Nová IP adresa DNS se používá pro překlad DNS.
Sekundární DNS IP adresy sekundárního serveru DNS pro doménu služby Active Directory. Ano Žádný* Nová IP adresa DNS se použije pro překlad DNS v případě, že primární DNS selže.
Název domény AD DNS Název domény služeb Doména služby Active Directory, ke kterým se chcete připojit.  No Nic
Název webu AD Lokalita, na kterou je zjišťování řadiče domény omezené. Ano Měl by se shodovat s názvem lokality ve službě Active Directory Sites and Services. Viz poznámka pod čarou.* Zjišťování domény je omezené na název nové lokality. Pokud není zadaný, použije se výchozí název_prvního_webu.
Předpona serveru SMB (účet počítače) Předpona pojmenování pro účet počítače ve službě Active Directory, kterou azure NetApp Files použije k vytvoření nových účtů. Viz poznámka pod čarou.* Ano Stávající svazky je potřeba znovu připojit, protože se připojení změní pro sdílené složky SMB a svazky Kerberos NFS.* Přejmenování předpony serveru SMB po vytvoření připojení ke službě Active Directory je rušivé. Po přejmenování předpony serveru SMB budete muset znovu připojit existující sdílené složky SMB a svazky Kerberos NFS, protože se změní cesta připojení.
Cesta organizační jednotky Cesta LDAP pro organizační jednotku (OU), kde se vytvoří účty počítačů serveru SMB. OU=second level, OU=first level No Pokud používáte Azure NetApp Files se službou Microsoft Entra Domain Services, cesta organizace je OU=AADDC Computers při konfiguraci služby Active Directory pro váš účet NetApp. Účty počítačů se umístí do zadané organizační jednotky. Pokud není zadáno, použije se výchozí hodnota OU=Computers .
Šifrování AES Pokud chcete využít nejsilnějšího zabezpečení při komunikaci založené na protokolu Kerberos, můžete na serveru SMB povolit šifrování AES-256 a AES-128. Ano Pokud povolíte šifrování AES, musí mít přihlašovací údaje uživatele použité k připojení ke službě Active Directory povolenou nejvyšší odpovídající možnost účtu, která odpovídá možnostem povoleným pro vaši službu Active Directory. Pokud má například služba Active Directory povolenou jenom AES-128, musíte pro přihlašovací údaje uživatele povolit možnost účtu AES-128. Pokud má služba Active Directory funkci AES-256, musíte povolit možnost účtu AES-256 (která také podporuje AES-128). Pokud vaše služba Active Directory nemá žádnou funkci šifrování Kerberos, azure NetApp Files ve výchozím nastavení používá des.* Povolení šifrování AES pro ověřování active directory
Podepisování PROTOKOLU LDAP Tato funkce umožňuje zabezpečené vyhledávání PROTOKOLU LDAP mezi službou Azure NetApp Files a uživatelem zadaným řadičem domény Doména služby Active Directory Services. Ano Podepisování PROTOKOLU LDAP pro vyžadování zásad skupiny přihlašování* Tato možnost poskytuje způsoby, jak zvýšit zabezpečení komunikace mezi klienty LDAP a řadiči domény služby Active Directory.
Povolit místní uživatele systému souborů NFS s protokolem LDAP Pokud je tato možnost povolená, spravuje přístup pro místní uživatele a uživatele LDAP. Ano Tato možnost umožňuje přístup k místním uživatelům. Nedoporučuje se a pokud je tato možnost povolená, měla by se používat jenom po omezenou dobu a později je zakázaná. Pokud je tato možnost povolená, umožňuje přístup místním uživatelům a uživatelům LDAP. Pokud vaše konfigurace vyžaduje přístup pouze pro uživatele LDAP, musíte tuto možnost zakázat.
LDAP přes protokol TLS Pokud je povoleno, protokol LDAP přes PROTOKOL TLS je nakonfigurovaný tak, aby podporoval zabezpečenou komunikaci PROTOKOLU LDAP s active directory. Ano Nic Pokud jste povolili protokol LDAP přes protokol TLS a pokud už v databázi existuje certifikát kořenové certifikační autority serveru, certifikát certifikační autority zabezpečí provoz LDAP. Pokud se předá nový certifikát, nainstaluje se tento certifikát.
Certifikát kořenové certifikační autority serveru Pokud je povolený protokol LDAP přes PROTOKOL SSL/TLS, klient LDAP musí mít certifikát kořenové certifikační autority podepsané svým držitelem zakódovanou službou Active Directory Certificate Service s kódováním Base64. Ano Žádný* Provoz PROTOKOLU LDAP zabezpečený pomocí nového certifikátu pouze v případě, že je povolený protokol LDAP přes protokol TLS
Obor vyhledávání LDAP Viz Vytvoření a správa připojení služby Active Directory Ano - -
Upřednostňovaný server pro klienta LDAP Pro protokol LDAP můžete určit až dva servery AD, které se mají nejprve pokusit o připojení. Přečtěte si pokyny k návrhu a plánování webu Doména služby Active Directory Services. Ano Žádný* Pokud se klient LDAP pokusí připojit k serveru AD, může dojít k vypršení časového limitu.
Šifrovaná připojení SMB k řadiči domény Tato možnost určuje, jestli se má šifrování používat pro komunikaci mezi serverem SMB a řadičem domény. Další podrobnosti o použití této funkce najdete v tématu Vytvoření připojení služby Active Directory. Ano Vytvoření svazku s povoleným protokolem SMB, Kerberos a LDAP se nedá použít, pokud řadič domény nepodporuje protokol SMB3. Protokol SMB3 používejte jenom pro šifrovaná připojení řadiče domény.
Uživatelé zásad zálohování Můžete zahrnout další účty, které vyžadují zvýšená oprávnění k účtu počítače vytvořenému pro použití se službou Azure NetApp Files. Další informace najdete v tématu Vytváření a správa připojení služby Active Directory. F Ano Žádný* Zadané účty budou moct změnit oprávnění NTFS na úrovni souboru nebo složky.
Správci Zadejte uživatele nebo skupiny, pro které mají být udělena oprávnění správce svazku Ano Nic Uživatelský účet obdrží oprávnění správce.
Username Uživatelské jméno správce domény služby Active Directory Ano Žádný* Změna přihlašovacích údajů na kontaktní řadič domény
Password Heslo správce domény služby Active Directory Ano Žádný*

Heslo nesmí překročit 64 znaků.
Změna přihlašovacích údajů na kontaktní řadič domény
Sféra protokolu Kerberos: Název serveru AD Název počítače služby Active Directory. Tato možnost se používá pouze při vytváření svazku Kerberos. Ano Žádný*
Sféra kerberos: IP adresa služby KDC Určuje IP adresu serveru KDC (Kerberos Distribution Center). KDC ve službě Azure NetApp Files je server Active Directory. Ano Nic Použije se nová IP adresa služby KDC.
Oblast Oblast, ve které jsou přidružené přihlašovací údaje služby Active Directory No Nic
Dn uživatele Název domény uživatele, který přepíše základní název názvu domény pro vyhledávání uživatelů vnořený název uživatele, lze zadat ve OU=subdirectory, OU=directory, DC=domain, DC=com formátu. Ano Žádný* Obor vyhledávání uživatelů je omezen na NÁZEV uživatele místo základního názvu domény.
Název skupiny Název domény skupiny groupDN přepíše základní dn pro vyhledávání skupin. Vnořený název skupiny je možné zadat ve OU=subdirectory, OU=directory, DC=domain, DC=com formátu. Ano Žádný* Obor vyhledávání skupiny je omezen na dn skupiny místo základního názvu dn.
Filtr členství ve skupinách Vlastní filtr vyhledávání LDAP, který se má použít při vyhledávání členství ve skupině ze serveru LDAP. groupMembershipFilter lze zadat pomocí (gidNumber=*) formátu. Ano Žádný* Filtr členství ve skupinách se použije při dotazování členství uživatele ze serveru LDAP.
Uživatelé oprávnění zabezpečení Oprávnění zabezpečení (SeSecurityPrivilege) můžete udělit uživatelům, kteří vyžadují zvýšená oprávnění pro přístup ke svazkům Azure NetApp Files. Zadané uživatelské účty budou moct provádět určité akce u sdílených složek SMB služby Azure NetApp Files, které vyžadují oprávnění zabezpečení, které nejsou ve výchozím nastavení přiřazené uživatelům domény. Další informace najdete v tématu Vytváření a správa připojení služby Active Directory. Ano Použití této funkce je volitelné a podporuje se pouze pro SQL Server. Účet domény použitý k instalaci SQL Serveru už musí existovat, než ho přidáte do pole Uživatelé s oprávněními zabezpečení. Když přidáte účet instalačního programu SQL Serveru k uživatelům s oprávněními zabezpečení, služba Azure NetApp Files může účet ověřit kontaktováním řadiče domény. Příkaz může selhat, pokud nemůže kontaktovat řadič domény. Pokud instalační účet nemá určitá uživatelská práva, SeSecurityPrivilege přečtěte si, jestli instalace SQL Serveru selže.* Umožňuje účtům bez oprávnění správce používat servery SQL nad svazky ANF.

*Změny nejsou ovlivněny upravenou položkou pouze v případě, že jsou změny zadány správně. Pokud zadáte data nesprávně, uživatelé a aplikace ztratí přístup.

Další kroky