Sdílet prostřednictvím

Vytváření a správa připojení Active Directory pro Azure NetApp Files

Několik funkcí služby Azure NetApp Files vyžaduje, abyste měli připojení ke službě Active Directory. Před vytvořením svazku SMB, svazku Kerberos NFSv4.1 nebo svazku se dvěma protokoly musíte mít například připojení služby Active Directory. V tomto článku se dozvíte, jak vytvořit a spravovat připojení Active Directory pro Azure NetApp Files.

Požadavky a důležité informace pro připojení ke službě Active Directory

Important

Musíte postupovat podle pokynů popsaných v pokynech k návrhu webu služby Active Directory Domain Services a plánování služby Azure NetApp Files pro službu Active Directory Domain Services (AD DS) nebo microsoft Entra Domain Services používané se službou Azure NetApp Files.

Před vytvořením připojení AD zkontrolujte úpravu připojení Active Directory pro Azure NetApp Files , abyste pochopili dopad provádění změn možností konfigurace připojení AD po vytvoření připojení AD. Změny možností konfigurace připojení AD jsou rušivé pro klientský přístup a některé možnosti se vůbec nedají změnit.

  • Účet Azure NetApp Files musí být vytvořen v oblasti, ve které se mají nasazovat svazky Azure NetApp Files.

  • Služba Azure NetApp Files ve výchozím nastavení umožňuje jedno připojení Active Directory (AD) na předplatné a účet. Výchozí nastavení můžete upravit tak, aby se pro každý účet NetApp vytvořilo jedno připojení Active Directory.

  • Účet správce připojení AD služby Azure NetApp Files musí mít následující vlastnosti:

    • Musí se jednat o uživatelský účet domény služby AD DS ve stejné doméně, ve které se vytvářejí účty počítačů Azure NetApp Files.
    • Musí mít oprávnění k vytváření účtů počítačů (například připojení k doméně AD) ve specifikované cestě organizační jednotky AD DS v možnosti cesta organizační jednotky pro připojení AD.
    • Nemůže se jednat o skupinový účet spravované služby.

  • Účet správce připojení AD podporuje typy šifrování Kerberos AES-128 a Kerberos AES-256 pro ověřování pomocí ad DS pro vytvoření účtu počítače Azure NetApp Files (například operace připojení k doméně AD).

  • Pokud chcete povolit šifrování AES, měli byste nejprve povolit typy šifrování AES-128, AES-256, RC4 a DES ve službě Active Directory (AD) a pak povolit AES v řídicí rovině. Nejprve musíte povolit šifrování ve službě Active Directory.

Important

Šifrování AES-256 se vyžaduje, pokud plánujete používat řadiče domény s Windows Serverem 2025 v prostředí služby Active Directory.

  • Pokud chcete povolit podporu šifrování AES pro účet správce v připojení AD, spusťte následující příkazy PowerShellu služby Active Directory:

    Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>

    KerberosEncryptionType je parametr s více hodnotami, který podporuje hodnoty DES, RC4, AES-128 a AES-256.

    Další informace najdete v Set-ADUser dokumentaci.

  • Pokud chcete povolit šifrování AES v účtu správce připojení AD služby Azure NetApp Files, musíte použít uživatelský účet domény AD, který je členem jedné z následujících skupin SLUŽBY AD DS:

    • Správci domény
    • Podnikoví správci
    • Administrators
    • Operátoři účtu
    • Správci služeb Microsoft Entra Domain Services (pouze Microsoft Entra Domain Services)
    • Případně můžete použít uživatelský účet domény AD s oprávněním msDS-SupportedEncryptionTypes k zápisu pro účet správce připojení AD také k nastavení vlastnosti typu šifrování Kerberos v účtu správce připojení AD.

    Note

    Když upravíte nastavení pro povolení AES v účtu správce připojení AD, je osvědčeným postupem použít uživatelský účet, který má oprávnění k zápisu k objektu AD, který není správcem služby Azure NetApp Files AD. Můžete to udělat s jiným účtem správce domény nebo delegováním ovládacího prvku na účet. Další informace naleznete v tématu Delegování správy pomocí objektů organizační jednotky.

    Pokud pro účet správce připojení AD nastavíte šifrování AES-128 i AES-256, klient Windows vyjedná nejvyšší úroveň šifrování podporované službou AD DS. Pokud jsou například podporovány AES-128 i AES-256 a klient podporuje AES-256, použije se AES-256.

  • Pokud změníte IP adresu distribučního centra Kerberos (KDC) nebo název serveru AD, musíte počkat na dobu životnosti lístku Kerberos, aby se svazek připojil ke stejnému klientovi NFS s Linuxem. Životnost lístku Kerberos se dá nakonfigurovat v klientovi i v KDC. Ve výchozím nastavení nastaví Microsoft Active Directory životnost lístku Kerberos na 600 minut (10 hodin).
Další informace najdete v tématu Maximální životnost lístku služby.

  • Pokud potřebujete povolit a zakázat určité typy šifrování Kerberos pro účty počítačů služby Active Directory pro hostitele Windows připojené k doméně používané se službou Azure NetApp Files, musíte použít zásady Network Security: Configure Encryption types allowed for Kerberosskupiny .

    Nenastavujte klíč HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesregistru . Tím se přeruší ověřování Kerberos pomocí služby Azure NetApp Files pro hostitele s Windows, kde byl tento klíč registru nastaven ručně.

    Note

    Výchozí nastavení politiky pro Network Security: Configure Encryption types allowed for Kerberos je Not Defined. Pokud je toto nastavení zásad nastavené na Not Defined, budou pro šifrování Kerberos k dispozici všechny typy šifrování s výjimkou DES. Máte možnost povolit podporu pouze pro určité typy šifrování Kerberos (například AES128_HMAC_SHA1AES256_HMAC_SHA1). Výchozí zásada by ale měla být ve většině případů dostatečná při povolování podpory šifrování AES ve službě Azure NetApp Files.

    Další informace najdete v tématu Zabezpečení sítě: Konfigurace typů šifrování povolených pro protokol Kerberos nebo Konfigurace systému Windows pro podporované typy šifrování Kerberos

  • Dotazy LDAP se projeví jenom v doméně zadané v připojeních služby Active Directory (pole Název domény SLUŽBY AD DNS ). Toto chování se týká svazků NFS, SMB a duálních protokolů.

  • Vypršení časových limitů dotazů LDAP

    Ve výchozím nastavení vypršel časový limit dotazů LDAP, pokud je nelze včas dokončit. Pokud dotaz LDAP selže kvůli vypršení časového limitu, vyhledávání uživatele nebo skupiny selže a v závislosti na nastavení oprávnění svazku může být odepřen přístup ke svazku Azure NetApp Files.

    K vypršení časového limitu dotazů může dojít ve velkých prostředích LDAP s mnoha objekty uživatelů a skupin, přes pomalé připojení WAN a pokud je server LDAP s požadavky nadměrně využíván. Nastavení časového limitu služby Azure NetApp Files pro dotazy LDAP je nastavené na 10 sekund. Pokud dochází k problémům s vypršením časového limitu dotazů LDAP, zvažte využití funkcí DN uživatelů a skupin v připojení ke službě Active Directory pro server LDAP k filtrování hledání.

Účty NetApp a typ služby Active Directory

K potvrzení typu účtu Active Directory můžete použít stránku přehledu účtu NetApp. Pro typ AD existují tři hodnoty:

  • NA: Existující účet NetApp, který podporuje pouze jednu konfiguraci AD pro každé předplatné a oblast. Konfigurace AD se nesdílí s jinými účty NetApp v předplatném.

  • Více AD: Účet NetApp podporuje jednu konfiguraci AD v každém účtu NetApp v předplatném. To umožňuje při použití více účtů NetApp více než jedno připojení AD na jedno předplatné.

    Note

    Ujistěte se, že používáte rozhraní API verze 2024-11-01 nebo novější pro použití služby Multi AD.

  • Sdílená služba AD: Účet NetApp podporuje pouze jednu konfiguraci AD na předplatné a oblast, ale konfigurace se sdílí mezi účty NetApp v předplatném a oblasti.

Další informace o vztahu mezi účty NetApp a předplatnými najdete v tématu Hierarchie úložiště služby Azure NetApp Files.

Vytvoření připojení ke službě Active Directory

  1. V účtu NetApp vyberte připojení ke službě Active Directory a pak se připojte.

    Snímek obrazovky s nabídkou připojení ke službě Active Directory Tlačítko spojení je zvýrazněné.

    Note

    Služba Azure NetApp Files ve výchozím nastavení podporuje pouze jedno připojení Active Directory ve stejné oblasti a stejném předplatném. Toto nastavení můžete upravit tak, aby se pro každý účet NetApp vytvořilo jedno připojení Active Directory.

  2. V okně Připojit se ke službě Active Directory zadejte následující informace na základě služby Domain Services, kterou chcete použít:

    • Primární DNS (povinné)
      Toto je IP adresa primárního serveru DNS, který se vyžaduje pro operace připojení k doméně služby Active Directory, ověřování SMB, Kerberos a operace LDAP.

    • Sekundární DNS
      Toto je IP adresa sekundárního serveru DNS, který se vyžaduje pro operace připojení k doméně služby Active Directory, ověřování SMB, Kerberos a operace LDAP.

      Note

      Doporučujeme nakonfigurovat sekundární server DNS. Přečtěte si pokyny pro návrh a plánování lokality služby Active Directory Domain Services pro Službu Azure NetApp Files. Ujistěte se, že konfigurace vašeho serveru DNS splňuje požadavky služby Azure NetApp Files. Jinak může dojít k selhání operací služby Azure NetApp Files, ověřování protokolu SMB, kerberos nebo operací LDAP.

      Pokud používáte službu Microsoft Entra Domain Services, použijte IP adresy řadičů domény služby Microsoft Entra Domain Services pro primární DNS a sekundární DNS.

    • Název domény AD DNS (povinné)
      Toto je plně kvalifikovaný název domény služby AD DS používané se službou Azure NetApp Files (například contoso.com).

    • Název webu AD (povinné)
      Toto je název lokality služby AD DS, který Azure NetApp Files používá ke zjišťování řadiče domény.

      Výchozí název webu služby AD DS i služby Microsoft Entra Domain Services je Default-First-Site-Name. Pokud chcete název webu přejmenovat, postupujte podle zásad vytváření názvů pro názvy webů .

      Note

      Přečtěte si pokyny pro návrh a plánování lokality služby Active Directory Domain Services pro Službu Azure NetApp Files. Ujistěte se, že návrh a konfigurace webu AD DS splňuje požadavky pro Azure NetApp Files. Jinak může dojít k selhání operací služby Azure NetApp Files, ověřování protokolu SMB, kerberos nebo operací LDAP.

    • Předpona serveru SMB (účet počítače) (povinné)
      Toto je předpona názvu pro nové účty počítačů vytvořené v AD DS pro svazky SMB, svazky duálního protokolu a svazky Kerberos NFSv4.1 služby Azure NetApp Files.

      Pokud je například standard pojmenování, který vaše organizace používá pro souborové služby NAS-01, NAS-02a tak dále, použijete NAS pro předponu.

      Azure NetApp Files podle potřeby vytvoří další účty počítačů ve službě AD DS.

      Important

      Přejmenování předpony serveru SMB po vytvoření připojení ke službě Active Directory je rušivé. Po přejmenování předpony serveru SMB je potřeba znovu připojit existující sdílené složky SMB.

    • Cesta organizační jednotky
      Toto je cesta LDAP pro organizační jednotku (OU), kde se vytvoří účty počítačů serveru SMB. To znamená, OU=second level, OU=first level. Pokud například chcete použít organizační jednotky s názvem ANF vytvořené v kořenovém adresáři domény, hodnota by byla OU=ANF.

      Pokud není k dispozici žádná hodnota, Azure NetApp Files použije CN=Computers kontejner.

      Pokud používáte Azure NetApp Files se službou Microsoft Entra Domain Services, cesta organizační jednotky je OU=AADDC Computers

      Snímek obrazovky vstupních polí Připojení k Active Directory

    • Šifrování AES
      Tato možnost umožňuje podporu ověřování šifrování AES pro účet správce připojení AD.

      Snímek obrazovky s polem popisu AES Toto pole je zaškrtávací políčko.

      Požadavky najdete v tématu Požadavky pro připojení služby Active Directory .

    • Podepisování PROTOKOLU LDAP

      Tato možnost umožňuje podepisování protokolu LDAP. Tato funkce umožňuje ověřování integrity pro SASL vazby LDAP ze služby Azure NetApp Files a pro zadané uživatelem řadiče domény služby Active Directory Domain Services.

      Azure NetApp Files podporuje vazbu kanálu LDAP, pokud jsou v připojení ke službě Active Directory povolené možnosti podepisování protokolu LDAP i protokolu LDAP přes protokol TLS. Další informace najdete v tématu ADV190023 | Pokyny Microsoftu pro povolení kanálového propojení LDAP a podepisování LDAP

      Note

      Záznamy PTR DNS pro účty počítačů služby AD DS musí být vytvořeny v Organizační jednotce služby AD DS, která je specifikována v připojení Azure NetApp Files AD, aby podepisování LDAP fungovalo.

      Snímek obrazovky s zaškrtávacím políčkem podpisování LDAP

    • Povolit místním uživatelům NFS prostřednictvím LDAP Tato možnost umožňuje místním uživatelům klientského systému NFS získat přístup ke svazkům NFS. Nastavením této možnosti zakážete rozšířené skupiny pro svazky NFS, což omezuje počet podporovaných skupin pro uživatele na 16. Pokud je tato možnost povolená, skupiny přesahující limit 16 skupin nejsou zahrnuty v přístupových oprávněních. Další informace naleznete v tématu Povolit místním uživatelům NFS s LDAP přístup ke svazku se dvěma protokoly.

    • LDAP přes TLS

      Tato možnost umožňuje protokol LDAP přes PROTOKOL TLS pro zabezpečenou komunikaci mezi svazkem Azure NetApp Files a serverem LDAP služby Active Directory. Protokol LDAP můžete povolit přes protokol TLS pro svazky NFS, SMB a duální protokoly služby Azure NetApp Files.

      Note

      Protokol LDAP přes protokol TLS nesmí být povolen, pokud používáte službu Microsoft Entra Domain Services. Služba Microsoft Entra Domain Services používá protokol LDAPS (port 636) k zabezpečení provozu LDAP místo protokolu LDAP přes protokol TLS (port 389).

      Další informace naleznete v tématu Povolení ověřování LDAP služby Active Directory Domain Services (AD DS) pro svazky NFS.

    • Certifikát kořenové certifikační autority serveru

      Tato možnost nahraje certifikát certifikační autority použitý s protokolem LDAP přes protokol TLS.

      Další informace naleznete v tématu Povolení ověřování LDAP služby Active Directory Domain Services (AD DS) pro svazky NFS. 

    • Obor vyhledávání LDAP, DN uživatele, DN skupiny a filtr členství ve skupinách

      Možnost oboru vyhledávání LDAP optimalizuje dotazy LDAP úložiště Azure NetApp Files pro použití s velkými topologiemi AD DS a LDAP s rozšířenými skupinami nebo stylem zabezpečení unixu se svazkem se dvěma protokoly služby Azure NetApp Files.

      Možnosti DN uživatele a dn skupiny umožňují nastavit základnu vyhledávání v PROTOKOLU LDAP služby AD DS. Tyto možnosti omezují oblasti vyhledávání pro dotazy LDAP, zkracují dobu hledání a pomáhají zkrátit časový limit dotazů LDAP.

      Možnost Filtr členství ve skupinách umožňuje vytvořit vlastní vyhledávací filtr pro uživatele, kteří jsou členy konkrétních skupin služby AD DS.

      Snímek obrazovky s polem oboru vyhledávání LDAP se zaškrtávacím políčku

      Informace o těchto možnostech najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS .

    • Upřednostňovaný server pro klienta LDAP

      Upřednostňovaný server pro klienta LDAP umožňuje odeslat IP adresy až dvou serverů AD jako seznam oddělený čárkami. Místo postupného kontaktování všech zjištěných služeb AD pro doménu bude klient LDAP nejprve kontaktovat zadané servery.

    • Šifrovaná připojení SMB k řadiči domény

      Šifrovaná připojení SMB k řadiči domény určuje, jestli se má šifrování použít pro komunikaci mezi serverem SMB a řadičem domény. Pokud je tato možnost povolená, použije se pro šifrovaná připojení řadiče domény jenom protokol SMB3.

      Tato funkce je aktuálně dostupná jako ukázková verze. Pokud k řadiči domény používáte poprvé šifrovaná připojení SMB, musíte ho zaregistrovat:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Zkontrolujte stav registrace funkce:

      Note

      Stav registrace může být ve Registering stavu až 60 minut před změnou naRegistered. Než budete pokračovat, počkejte, až bude stav Registered.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Můžete také použít příkazy Azure CLIaz feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

    • Uživatelé zásad zálohování Tato možnost uděluje uživatelům nebo skupinám domény služby AD DS přidaná oprávnění zabezpečení, která vyžadují zvýšená oprávnění zálohování pro podporu pracovních postupů zálohování, obnovení a migrace ve službě Azure NetApp Files. Zadané uživatelské účty nebo skupiny služby AD DS budou mít zvýšená oprávnění NTFS na úrovni souboru nebo složky.

      Snímek obrazovky s polem Uživatelé zásad zálohování zobrazující prázdné textové vstupní pole

      Následující oprávnění se použijí při použití nastavení uživatelé zásad zálohování :

      Privilege Description
      SeBackupPrivilege Zálohujte soubory a adresáře a ignorujte všechny ACL.
      SeRestorePrivilege Obnovte soubory a adresáře, přepište všechny ACL.
      Jako vlastníka souboru nastavte libovolný platný identifikátor SID uživatele nebo skupiny.
      SeChangeNotifyPrivilege Obejití kontroly procházení
      Uživatelé s tímto oprávněním nemusí mít oprávnění procházet (x) pro procházení složek nebo symlinků.

    • Uživatelé s oprávněními zabezpečení
      Tato možnost uděluje oprávnění zabezpečení (SeSecurityPrivilege) uživatelům nebo skupinám domény služby AD DS, kteří vyžadují zvýšená oprávnění pro přístup ke svazkům Azure NetApp Files. Zadaná uživatelé nebo skupiny služby AD DS budou moct provádět určité akce u sdílených složek SMB, které ve výchozím nastavení nevyžadují oprávnění zabezpečení nepřiřazené uživatelům domény.

      Snímek obrazovky s oknem Uživatelé oprávnění zabezpečení v okně připojení služby Active Directory

      Následující oprávnění platí, když použijete nastavení Uživatelé oprávnění zabezpečení :

      Privilege Description
      SeSecurityPrivilege Spravovat operace záznamů

      Tato funkce se používá k instalaci SQL Serveru v určitých scénářích, kdy je nutné dočasně zvýšit bezpečnostní oprávnění u účtu domény AD DS, který obvykle nemá práva správce.

      Note

      Použití funkce Uživatelé s oprávněními zabezpečení spoléhá na funkci SMB Kontinuální Sdílení Dostupnosti. Ve vlastních aplikacích není podporována nepřetržitá dostupnost protokolu SMB. Podporuje se pouze pro úlohy používající kontejnery profilů uživatelů Citrix App Layering, FSLogix a Microsoft SQL Server (ne Linux SQL Server).

      Important

      Tato funkce je volitelná a podporovaná pouze u SQL Serveru. Účet domény služby AD DS používaný k instalaci SQL Serveru už musí existovat, než ho přidáte do možnosti Uživatelé s oprávněními zabezpečení . Když přidáte účet instalačního programu SQL Serveru do možnosti Uživatelé s oprávněními zabezpečení , služba Azure NetApp Files může účet ověřit kontaktováním řadiče domény služby AD DS. Tato akce může selhat, pokud Azure NetApp Files nemůže kontaktovat řadič domény služby AD DS.

      Další informace o SeSecurityPrivilege a SQL Serveru viz Selhání instalace SQL Serveru, pokud účet instalace nemá určitá uživatelská práva.

    • Uživatelé s oprávněními správců

      Tato možnost uděluje uživatelům nebo skupinám domény služby AD DS další oprávnění zabezpečení, která vyžadují zvýšená oprávnění pro přístup ke svazkům Azure NetApp Files. Zadané účty budou mít zvýšená oprávnění na úrovni souboru nebo složky.

      Note

      Správci domény se automaticky přidají do skupiny uživatelů s oprávněními správců.

      Snímek obrazovky znázorňující okno Správci v okně připojení služby Active Directory

      Note

      Toto oprávnění je užitečné pro migrace dat.

      Následující oprávnění platí, když použijete nastavení Oprávnění správců :

      Privilege Description
      SeBackupPrivilege Zálohujte soubory a adresáře a ignorujte všechny ACL.
      SeRestorePrivilege Obnovte soubory a adresáře, přepište všechny ACL.
      Jako vlastníka souboru nastavte libovolný platný identifikátor SID uživatele nebo skupiny.
      SeChangeNotifyPrivilege Obejití kontroly procházení
      Uživatelé s tímto oprávněním nemusí mítx oprávnění k procházení složek nebo symlink.
      SeTakeOwnershipPrivilege Převzít vlastnictví souborů nebo jiných objektů
      SeSecurityPrivilege Spravovat operace záznamů
      SeChangeNotifyPrivilege Obejití kontroly procházení
      Uživatelé s tímto oprávněním nemusí mítx oprávnění k procházení složek nebo symlink.

    • Přihlašovací údaje, včetně uživatelského jména a hesla

      Snímek obrazovky zobrazující pole přihlašovacích údajů služby Active Directory zobrazující pole uživatelského jména, hesla a potvrzení hesla

      Important

      I když Active Directory podporuje 256mísícová hesla, hesla Active Directory se službou Azure NetApp Files nesmí překročit 64 znaků.

  3. Vyberte Připojit se.

    Zobrazí se připojení služby Active Directory, které jste vytvořili.

    Snímek obrazovky s nabídkou připojení služby Active Directory zobrazující úspěšně vytvořené připojení

Vytvoření jednoho připojení Active Directory na účet NetApp

Aktuální výchozí chování služby Azure NetApp Files podporuje jedno připojení AD pro každé předplatné a oblast. Povolením této funkce upravíte chování tak, aby každý účet NetApp v rámci předplatného Azure měl své vlastní připojení AD. Když je tato funkce povolená, nově vytvořené účty NetApp udržují vlastní připojení AD.

Po nakonfigurování se připojení AD účtu NetApp použije při vytváření svazku SMB, svazku Kerberos NFSv4.1 nebo svazku se dvěma protokoly. To znamená, že Azure NetApp Files podporuje více než jedno připojení AD na předplatné Azure při použití více účtů NetApp.

Note

Pokud má předplatné tuto funkci i sdílenou funkci Active Directory povolenou, její stávající účty stále sdílejí konfiguraci AD. Všechny nové účty NetApp vytvořené v předplatném můžou používat vlastní konfigurace AD. Konfiguraci můžete potvrdit na stránce přehledu účtu v poli Typ AD .

Important

Rozsah každé konfigurace AD je omezen na nadřazený účet NetApp.

Registrace funkce

Možnost vytvořit jedno připojení AD pro každý účet NetApp je obecně dostupná. Před prvním použitím je potřeba tuto funkci zaregistrovat. Po registraci je funkce povolená a funguje na pozadí.

  1. Zaregistrujte funkci:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

  2. Zkontrolujte stav registrace funkce:

    Note

    Stav registrace může být ve Registering stavu až 60 minut před změnou naRegistered. Počkejte, až bude stav Zaregistrován, než budete pokračovat.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

    Můžete také použít příkazy Azure CLIaz feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

Mapování několika účtů NetApp ve stejném předplatném a regionu do jednoho připojení AD (náhled)

Funkce Sdílené AD umožňuje všem účtům NetApp sdílet připojení AD vytvořené jedním z účtů NetApp, které patří do stejného předplatného a stejné oblasti. Pomocí této funkce můžou například všechny účty NetApp ve stejném předplatném a oblasti používat společnou konfiguraci AD k vytvoření svazku SMB, svazku Kerberos NFSv4.1 nebo svazku se dvěma protokoly. Když použijete tuto funkci, připojení AD se zobrazí ve všech účtech NetApp, které jsou ve stejném předplatném a stejné oblasti.

Po zavedení této funkce pro vytvoření jednoho připojení AD na účet NetApp se nové registrace funkcí pro funkci Sdílené AD nepřijímají.

Note

Pokud jste již zapsáni do verze Preview pro Sdílený AD, můžete se zaregistrovat k použití jednoho připojení AD na účet NetApp. Pokud jste aktuálně dosáhli maximálního počtu 10 účtů NetApp na jednu oblast Azure na jedno předplatné, musíte zahájit žádost o podporu , aby se limit zvýšil. Konfiguraci můžete potvrdit na stránce přehledu účtu v poli Typ AD .

Resetování hesla účtu počítače služby Active Directory

Pokud omylem resetujete heslo účtu počítače AD na serveru AD nebo je server AD nedostupný, můžete heslo účtu počítače bezpečně resetovat, aby se zachovalo připojení ke svazkům. Resetování ovlivní všechny svazky na serveru SMB.

Registrace funkce

Funkce resetování hesla účtu počítače služby Active Directory je aktuálně ve verzi Public Preview. Pokud tuto funkci používáte poprvé, musíte ji nejprve zaregistrovat.

  1. Zaregistrujte funkci resetování hesla účtu počítače služby Active Directory :
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Zkontrolujte stav registrace funkce. Stav registrace může být ve Registering stavu až 60 minut před změnou naRegistered. Než budete pokračovat, počkejte, až bude stav Registered.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Můžete také použít příkazy Azure CLIaz feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

Steps

  1. Přejděte na nabídku Přehled svazku. Vyberte Obnovit účet služby Active Directory. Rozhraní přehledu svazků Azure s tlačítkem Resetovat účet služby Active Directory zvýrazněným. Alternativně můžete přejít do nabídky Svazky. Určete svazek, pro který chcete resetovat účet služby Active Directory, a vyberte tři tečky (...) na konci řádku. Vyberte Obnovit účet služby Active Directory. Seznam svazků Azure se zvýrazněným tlačítkem Resetovat účet služby Active Directory
  2. Zobrazí se zpráva s upozorněním, která vysvětluje důsledky této akce. Pokud chcete pokračovat, zadejte do textového pole ano . Resetovat zprávu upozornění účtu služby Active Directory, která zní: Upozornění! Tato akce resetuje účet služby Active Directory pro daný svazek. Tato akce je určená pro uživatele k opětovnému získání přístupu ke svazkům, které mají k dispozici, a může způsobit, že data nebudou dostupná, pokud se provede, když to není potřeba.

Další kroky

  • Last updated on