Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Lightweight Directory Access Protocol (LDAP) über TLS verwenden, um die Kommunikation zwischen einem Azure NetApp Files-Volume und dem Active Directory LDAP-Server zu sichern. Sie können LDAP über TLS für NFS-, SMB- und Dualprotokollvolumes von Azure NetApp Files aktivieren.
Überlegungen
- DNS-Pointer-(PTR)-Einträge müssen für jeden AD DS-Domänencontroller vorhanden sein, der dem AD-Standortnamen in der Active Directory-Verbindung von Azure NetApp Files zugewiesen ist.
- PTR-Einträge müssen für alle Domänencontroller am Standort vorhanden sein, damit das AD DS LDAP über TLS ordnungsgemäß funktioniert.
- Verlängern Sie das Active Directory-Zertifikat vor dem Ablaufdatum für den fortgesetzten Zugriff.
Generieren und Exportieren des Zertifikats der Stammzertifizierungsstelle
Wenn Sie nicht über ein Root-CA-Zertifikat verfügen, müssen Sie eines generieren und es für die Verwendung mit LDAP über TLS-Authentifizierung exportieren.
Installieren Sie die Zertifizierungsstelle auf Windows Server.
Anzeigen von Zertifikaten mit dem Microsoft Management Console (MMC)-Snap-In. Verwenden Sie das Snap-In „Zertifikat-Manager“, um das Stamm- oder Ausstellerzertifikat für das lokale Gerät zu suchen. Sie sollten die Befehle des Snap-Ins „Zertifikatverwaltung“ über eine der folgenden Einstellungen ausführen:
- Windows-basierter Client, der der Domäne hinzugefügt wurde und auf dem das Stammzertifikat installiert ist
- Anderer Computer in der Domäne mit dem Stammzertifikat
Exportieren Sie das Zertifikat der Stammzertifizierungsstelle.
Zertifikate der Stammzertifizierungsstelle können aus den Verzeichnissen „Persönlich“ oder „Vertrauenswürdige Stammzertifizierungsstellen“ exportiert werden. Die folgende Abbildung zeigt die Stammzertifizierungsstelle im Verzeichnis „Persönlich“:
.Achten Sie darauf, dass das Zertifikat im Base64-codierten X.509-Format (.CER) exportiert wird:
Aktivieren von LDAP über TLS und Hochladen des Zertifikats der Stammzertifizierungsstelle
Wechseln Sie zum NetApp-Konto, das für das Volume verwendet wird, und wählen Sie dann Active Directory-Verbindungen aus.
Wählen Sie "Verknüpfen" aus, um eine neue AD-Verbindung zu erstellen oder bearbeiten, um eine vorhandene AD-Verbindung zu bearbeiten.
Aktivieren Sie im angezeigten Fenster Active Directory beitreten oder Active Directory bearbeiten das Kontrollkästchen LDAP über TLS, um LDAP über TLS für das Volume zu aktivieren. Wählen Sie dann die Option Serverzertifikat der Stammzertifizierungsstelle aus, und laden Sie das generierte Zertifikat der Stammzertifizierungsstelle hoch, das für das LDAP über TLS verwendet werden soll.
Stellen Sie sicher, dass der Name der Zertifizierungsstelle durch DNS aufgelöst werden kann. Dieser Name ist das Feld „Ausgestellt von“ oder „Aussteller“ im Zertifikat:
Wenn Sie ein ungültiges Zertifikat hochgeladen haben und über vorhandene AD-Konfigurationen, SMB-Volumes oder Kerberos-Volumes verfügen, tritt ein Fehler wie folgt auf:
Unable to validate the LDAP client configuration from LDAP server, please check connectivity or LDAP settings under AD connection.Um die Fehlerbedingung zu beheben, laden Sie ein gültiges Zertifikat der Stammzertifizierungsstelle in Ihr NetApp-Konto hoch, wie vom Windows Active Directory LDAP-Server für die LDAP-Authentifizierung erforderlich.
Deaktivieren Sie LDAP über TLS
Durch das Deaktivieren von LDAP über TLS werden verschlüsselte LDAP-Abfragen an Active Directory (LDAP-Server) beendet. Es gibt keine anderen Vorsichtsmaßnahmen oder Auswirkungen auf vorhandene Azure NetApp Files-Volumes.
Wechseln Sie zum NetApp-Konto, das für das Volume verwendet wird, und wählen Sie dann Active Directory-Verbindungen aus.
Wählen Sie "Bearbeiten" aus, um die vorhandene AD-Verbindung zu bearbeiten.
Im Fenster "Active Directory bearbeiten", das nun angezeigt wird, deaktivieren Sie das Kontrollkästchen LDAP über TLS und wählen dann Speichern, um LDAP über TLS für das Volume zu deaktivieren.