Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Jakmile ve službě Azure NetApp Files vytvoříte připojení Active Directory , můžete ho upravit. Při úpravě připojení ke službě Active Directory není možné upravovat všechny konfigurace.
Další informace najdete v tématu Vysvětlení pokynů pro návrh a plánování lokality služby Active Directory Domain Services pro Službu Azure NetApp Files.
Úprava připojení služby Active Directory
Vyberte připojení služby Active Directory. Potom vyberte Upravit a upravte existující připojení AD.
V okně Upravit službu Active Directory , které se zobrazí, upravte konfigurace připojení služby Active Directory podle potřeby. Vysvětlení polí, která můžete upravit, najdete v tématu Možnosti připojení služby Active Directory.
Možnosti připojení služby Active Directory
| Název pole | Co to je | Je možné ho upravit? | Úvahy a dopady | Účinek |
|---|---|---|---|---|
| Primární DNS | Ip adresy primárního serveru DNS pro doménu služby Active Directory. | Ano | Žádný* | Nová IP adresa DNS se používá pro řešení DNS. |
| Sekundární DNS | IP adresy sekundárního serveru DNS pro doménu služby Active Directory. | Ano | Žádný* | Nová IP adresa DNS se použije pro překlad DNS v případě, že primární DNS selže. |
| Název domény AD DNS | Název domény služby Active Directory Domain Services, ke které se chcete připojit. | Ne | Žádný | není k dispozici |
| Název webu AD | Lokalita, na kterou je zjišťování řadiče domény omezené. | Ano | Měl by se shodovat s názvem lokality ve službě Active Directory Sites and Services. Viz poznámka pod čarou.* | Zjišťování domény je omezené na název nové lokality. Pokud není zadaný, použije se výchozí název_prvního_webu. |
| Předpona serveru SMB (účet počítače) | Předpona pojmenování pro účet počítače ve službě Active Directory, kterou azure NetApp Files použije k vytvoření nových účtů. Viz poznámka pod čarou.* | Ano | Svazky je potřeba znovu připojit, protože došlo ke změně způsobu připojení pro sdílené složky SMB a svazky NFS Kerberos. | Přejmenování předpony serveru SMB po vytvoření připojení ke službě Active Directory je rušivé. Po přejmenování předpony serveru SMB budete muset znovu připojit existující sdílené složky SMB a svazky Kerberos NFS, protože se změní cesta připojení. |
| Cesta organizační jednotky | Cesta LDAP pro organizační jednotku (OU), kde budou vytvořeny účty počítačů serveru SMB.
OU=second level, OU=first level |
Ne | Pokud používáte Azure NetApp Files se službou Microsoft Entra Domain Services, organizační cesta je OU=AADDC Computers při konfiguraci služby Active Directory pro váš účet NetApp. |
Účty počítačů se umístí do zadané organizační jednotky. Pokud není zadáno, použije se výchozí hodnota OU=Computers . |
| Šifrování AES | Pokud chcete využít nejsilnějšího zabezpečení při komunikaci založené na protokolu Kerberos, můžete na serveru SMB povolit šifrování AES-256 a AES-128. | Ano | Pokud povolíte šifrování AES, musí mít přihlašovací údaje uživatele použité k připojení ke službě Active Directory povolenou nejvyšší odpovídající možnost účtu, která odpovídá možnostem povoleným pro vaši službu Active Directory. Pokud má například služba Active Directory povolenou jenom AES-128, musíte pro přihlašovací údaje uživatele povolit možnost účtu AES-128. Pokud má služba Active Directory funkci AES-256, musíte povolit možnost účtu AES-256 (která také podporuje AES-128). Pokud vaše služba Active Directory nemá žádnou funkci šifrování Kerberos, azure NetApp Files ve výchozím nastavení používá des.* | Povolení šifrování AES pro ověřování Active Directory |
| Podepisování PROTOKOLU LDAP | Tato funkce umožňuje zabezpečené vyhledávání PROTOKOLU LDAP mezi službou Azure NetApp Files a uživatelem zadaným řadičem domény služby Active Directory Domain Services. | Ano | Podepisování LDAP pro vyžadování podepisování v zásadách skupiny. | Tato možnost poskytuje způsoby, jak zvýšit zabezpečení komunikace mezi klienty LDAP a řadiči domény služby Active Directory. |
| Povolit místní uživatele systému souborů NFS s protokolem LDAP | Pokud je tato možnost povolená, spravuje přístup pro místní uživatele a uživatele LDAP. | Ano | Tato možnost umožňuje přístup k místním uživatelům. Nedoporučuje se a pokud je tato možnost povolená, měla by se používat jenom po omezenou dobu a později je zakázaná. | Pokud je tato možnost povolená, umožňuje přístup místním uživatelům a uživatelům LDAP. Pokud vaše konfigurace vyžaduje přístup pouze pro uživatele LDAP, musíte tuto možnost zakázat. |
| LDAP přes protokol TLS | Pokud je povoleno, protokol LDAP přes PROTOKOL TLS je nakonfigurovaný tak, aby podporoval zabezpečenou komunikaci PROTOKOLU LDAP s active directory. | Ano | Žádný | Pokud jste povolili protokol LDAP přes protokol TLS a pokud už v databázi existuje certifikát kořenové certifikační autority serveru, certifikát certifikační autority zabezpečí provoz LDAP. Pokud se předá nový certifikát, nainstaluje se tento certifikát. |
| Kořenový certifikát CA serveru | Pokud je povolený LDAP přes SSL/TLS, klient LDAP musí mít samosignovaný certifikát kořenové certifikační autority služby Active Directory Certificate Service zakódovaný ve formátu Base64. | Ano | Žádný* | Provoz PROTOKOLU LDAP zabezpečený pomocí nového certifikátu pouze v případě, že je povolený protokol LDAP přes protokol TLS |
| Obor vyhledávání LDAP | Viz Vytvoření a správa připojení služby Active Directory | Ano | - | - |
| Upřednostňovaný server pro klienta LDAP | Pro protokol LDAP můžete určit až dva servery AD, které se mají nejprve pokusit o připojení. Přečtěte si pokyny pro návrh a plánování lokality služby Active Directory Domain Services. | Ano | Žádný* | Pokud se klient LDAP pokusí připojit k serveru AD, může dojít k vypršení časového limitu. |
| Šifrovaná připojení SMB k řadiči domény | Tato možnost určuje, jestli se má šifrování používat pro komunikaci mezi serverem SMB a řadičem domény. Další podrobnosti o použití této funkce najdete v tématu Vytvoření připojení služby Active Directory . | Ano | Vytvoření svazku s povoleným protokolem SMB, Kerberos a LDAP se nedá použít, pokud řadič domény nepodporuje protokol SMB3. | Protokol SMB3 používejte jenom pro šifrovaná připojení řadiče domény. |
| Uživatelé zásad zálohování | Můžete zahrnout další účty, které vyžadují zvýšená oprávnění k účtu počítače vytvořenému pro použití se službou Azure NetApp Files. Další informace najdete v tématu Vytváření a správa připojení služby Active Directory. F | Ano | Žádný* | Zadané účty budou moct změnit oprávnění NTFS na úrovni souboru nebo složky. |
| Správci | Zadejte uživatele nebo skupiny, kterým chcete udělit oprávnění správce na svazku. | Ano | Žádný | Uživatelský účet obdrží oprávnění správce. |
| Uživatelské jméno | Uživatelské jméno správce domény služby Active Directory | Ano | Žádný* | Změna přihlašovacích údajů pro kontaktní řadič domény |
| Heslo | Heslo správce domény služby Active Directory | Ano | Žádný* Heslo nesmí překročit 64 znaků. |
Změna přihlašovacích údajů pro kontaktní řadič domény |
| Sféra protokolu Kerberos: Název serveru AD | Název počítače služby Active Directory. Tato možnost se používá pouze při vytváření svazku Kerberos. | Ano | Žádný* | |
| Sféra Kerberos: IP KDC | Určuje IP adresu serveru KDC (Kerberos Distribution Center). KDC v Azure NetApp Files je server Active Directory. IP adresu služby KDC můžete upravit pouze úpravou nastavení AD. | Ano | Žádný | Použije se nová IP adresa služby KDC. |
| Región | Oblast, ve které jsou přidružené přihlašovací údaje služby Active Directory | Ne | Žádný | není k dispozici |
| Dn uživatele | Název domény uživatele, který přepíše základní DN pro vyhledávání uživatelů, vnořený název uživatele lze zadat ve formátu OU=subdirectory, OU=directory, DC=domain, DC=com. |
Ano | Žádný* | Uživatelský rozsah vyhledávání je omezen na DN uživatele místo základního DN. |
| Skupina DN | Skupinový název domény GroupDN přepíše základní DN pro vyhledávání skupin. Vnořený název skupiny je možné zadat ve OU=subdirectory, OU=directory, DC=domain, DC=com formátu. |
Ano | Žádný* | Rozsah vyhledávání skupiny je omezen na DN skupiny místo základního DN. |
| Filtr členství ve skupinách | Vlastní filtr vyhledávání LDAP, který se má použít při vyhledávání členství ve skupině ze serveru LDAP. groupMembershipFilter lze zadat pomocí (gidNumber=*) formátu. |
Ano | Žádný* | Filtr členství ve skupinách se použije při dotazování členství uživatele ze serveru LDAP. |
| Uživatelé oprávnění zabezpečení | Oprávnění zabezpečení (SeSecurityPrivilege) můžete udělit uživatelům, kteří vyžadují zvýšená oprávnění pro přístup ke svazkům Azure NetApp Files. Zadané uživatelské účty budou moct provádět určité akce u sdílených složek SMB služby Azure NetApp Files, které vyžadují oprávnění zabezpečení, které nejsou ve výchozím nastavení přiřazené uživatelům domény. Další informace najdete v tématu Vytváření a správa připojení služby Active Directory . |
Ano | Použití této funkce je volitelné a podporuje se pouze pro SQL Server. Účet domény použitý k instalaci SQL Serveru už musí existovat, než ho přidáte do pole Uživatelé s oprávněními zabezpečení. Když přidáte účet instalačního programu SQL Serveru k uživatelům s oprávněními zabezpečení, služba Azure NetApp Files může účet ověřit kontaktováním řadiče domény. Příkaz může selhat, pokud nemůže kontaktovat řadič domény. Pro více informací o a SQL Serveru si přečtěte SeSecurityPrivilege* |
Umožňuje účtům bez oprávnění správce používat servery SQL nad svazky ANF. |
*Upravená položka není ovlivněna pouze tehdy, pokud jsou změny zadány správně. Pokud zadáte data nesprávně, uživatelé a aplikace ztratí přístup.
Další kroky
- Pochopte pokyny pro návrh a plánování lokality služby Active Directory Domain Services pro Azure NetApp Files
- Konfigurujte LDAP služby AD DS s rozšířenými skupinami pro NFS.
- Konfigurace protokolu LDAP služby AD DS přes TLS
- Vytváření a správa připojení Active Directory