Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie eine Active Directory-Verbindung in Azure NetApp-Dateien erstellt haben, können Sie sie ändern. Wenn Sie eine Active Directory-Verbindung ändern, können nicht alle Konfigurationen geändert werden.
Weitere Informationen finden Sie unter Grundlegendes zu Richtlinien für das Websitedesign und die Planung von Active Directory Domain Services für Azure NetApp-Dateien.
Ändern von Active Directory-Verbindungen
Wählen Sie Active Directory-Verbindungen aus. Wählen Sie dann "Bearbeiten" aus, um eine vorhandene AD-Verbindung zu bearbeiten.
Ändern Sie im daraufhin angezeigten Fenster "Active Directory bearbeiten " die Active Directory-Verbindungskonfigurationen nach Bedarf. Eine Erläuterung der Felder, die Sie ändern können, finden Sie unter "Optionen für Active Directory-Verbindungen".
Optionen für Active Directory-Verbindungen
| Feldname | Was es ist | Ist es änderbar? | Überlegungen und Auswirkungen | Effekt |
|---|---|---|---|---|
| Primärer DNS-Server | Primäre DNS-Server-IP-Adressen für die Active Directory-Domäne. | Ja | Nichts* | Für die DNS-Auflösung wird eine neue DNS-IP-Adresse verwendet. |
| Sekundäres DNS | IP-Adressen des sekundären DNS-Servers für die Active Directory-Domäne. | Ja | Nichts* | Neue DNS-IP wird für die DNS-Auflösung verwendet, falls primäres DNS fehlschlägt. |
| AD DNS-Domänenname | Der Domänenname Ihrer Active Directory-Domänendienste, die Sie beitreten möchten. | Nein | Nichts | Nicht verfügbar |
| AD-Standortname | Der Standort, auf den die Domänencontrollerermittlung beschränkt ist. | Ja | Dies sollte mit dem Websitenamen in Active Directory-Websites und -Diensten übereinstimmen. Siehe Fußnote.* | Die Domänenermittlung ist auf den neuen Websitenamen beschränkt. Wenn nicht angegeben, wird "Default-First-Site-Name" verwendet. |
| SMB-Serverpräfix (Computerkonto) | Benennungspräfix für das Computerkonto in Active Directory, das Azure NetApp Files für die Erstellung neuer Konten verwendet. Siehe Fußnote.* | Ja | Vorhandene Volumes müssen erneut eingebunden werden, wenn die Bereitstellung für SMB-Freigaben und NFS-Kerberos-Volumes geändert wird.* | Das Umbenennen des SMB-Serverpräfixes nach dem Erstellen der Active Directory-Verbindung sorgt für Unterbrechungen. Sie müssen vorhandene SMB-Freigaben und NFS-Kerberos-Volumes nach dem Umbenennen des SMB-Serverpräfixes erneut einbinden, da sich der Einbindungspfad ändert. |
| Organisationseinheitspfad | Der LDAP-Pfad für die Organisationseinheit (OU), in der SMB-Servercomputerkonten erstellt werden.
OU=second level, OU=first level |
Nein | Wenn Sie Azure NetApp-Dateien mit Microsoft Entra Domain Services verwenden, ist OU=AADDC Computers der Organisationspfad, wenn Sie Active Directory für Ihr NetApp-Konto konfigurieren. |
Computerkonten werden unter der angegebenen Organisationseinheit platziert. Wenn nicht angegeben, wird standardmäßig der Standardwert OU=Computers verwendet. |
| AES-Verschlüsselung | Um die stärkste Sicherheit mit kerberosbasierter Kommunikation zu nutzen, können Sie die AES-256- und AES-128-Verschlüsselung auf dem SMB-Server aktivieren. | Ja | Wenn Sie die AES-Verschlüsselung aktivieren, müssen die Benutzeranmeldeinformationen, die für den Beitritt zu Active Directory verwendet werden, über die höchste entsprechende Kontooption aktiviert sein und den für Ihr Active Directory aktivierten Funktionen entsprechen. Wenn Ihr Active Directory beispielsweise nur AES-128 aktiviert ist, müssen Sie die AES-128-Kontooption für die Benutzeranmeldeinformationen aktivieren. Wenn Ihr Active Directory über die AES-256-Funktion verfügt, müssen Sie die AES-256-Kontooption aktivieren (die auch AES-128 unterstützt). Wenn Ihr Active Directory über keine Kerberos-Verschlüsselungsfunktion verfügt, verwendet Azure NetApp-Dateien standardmäßig DES.* | Aktivieren der AES-Verschlüsselung für die Active Directory-Authentifizierung |
| LDAP-Signatur | Diese Funktionalität ermöglicht sichere LDAP-Nachschlagevorgänge zwischen dem Azure NetApp Files-Dienst und dem vom Benutzer angegebenen Active Directory Domain Services-Domänencontroller. | Ja | LDAP-Signierung, um Signierung in Gruppenrichtlinie zu erfordern* | Diese Option bietet Möglichkeiten, die Sicherheit für die Kommunikation zwischen LDAP-Clients und Active Directory-Domänencontrollern zu erhöhen. |
| Lokale NFS-Benutzer mit LDAP zulassen | Wenn diese Option aktiviert ist, verwaltet diese Option den Zugriff für lokale Benutzer und LDAP-Benutzer. | Ja | Diese Option ermöglicht den Zugriff auf lokale Benutzer. Es wird nicht empfohlen und sollte, falls aktiviert, nur für einen begrenzten Zeitraum und später deaktiviert werden. | Wenn diese Option aktiviert ist, ermöglicht diese Option den Zugriff auf lokale Benutzer und LDAP-Benutzer. Wenn Ihre Konfiguration nur für LDAP-Benutzer Zugriff erfordert, müssen Sie diese Option deaktivieren. |
| LDAP über TLS | Wenn diese Option aktiviert ist, ist LDAP über TLS so konfiguriert, dass die sichere LDAP-Kommunikation mit Active Directory unterstützt wird. | Ja | Nichts | Wenn Sie LDAP über TLS aktiviert haben und das Stammzertifizierungsstellenzertifikat des Servers bereits in der Datenbank vorhanden ist, sichert das Zertifizierungsstellenzertifikat LDAP-Datenverkehr. Wenn ein neues Zertifikat übergeben wird, wird dieses Zertifikat installiert. |
| Serverzertifikat der Stammzertifizierungsstelle | Wenn LDAP über SSL/TLS aktiviert ist, muss der LDAP-Client das selbstsignierte Stammzertifikat der Zertifizierungsstelle des Active Directory-Zertifikatdienstes in base64-codierter Form haben. | Ja | Nichts* | Der LDAP-Datenverkehr wird nur dann mit einem neuen Zertifikat gesichert, wenn LDAP über TLS aktiviert ist. |
| LDAP-Suchbereich | Siehe Erstellen und Verwalten von Active Directory-Verbindungen | Ja | - | - |
| Bevorzugter Server für LDAP-Client | Sie können bis zu zwei AD-Server für das LDAP festlegen, um zuerst eine Verbindung herzustellen. Weitere Informationen finden Sie unter Grundlegendes zu Richtlinien für Active Directory Domain Services Websitedesign und -planung. | Ja | Nichts* | Kann möglicherweise ein Timeout verhindern, wenn der LDAP-Client versucht, eine Verbindung mit dem AD-Server herzustellen. |
| Verschlüsselte SMB-Verbindungen mit Domänencontroller | Diese Option gibt an, ob die Verschlüsselung für die Kommunikation zwischen SMB-Server und Domänencontroller verwendet werden soll. Weitere Informationen zur Verwendung dieses Features finden Sie unter Erstellen von Active Directory-Verbindungen . | Ja | Die SMB-, Kerberos- und LDAP-aktivierte Volume-Erstellung kann nicht verwendet werden, wenn der Domänencontroller SMB3 nicht unterstützt. | Verwenden Sie SMB3 nur für verschlüsselte Domänencontrollerverbindungen. |
| Sicherungsrichtlinienbenutzende | Sie können weitere Konten einschließen, die erhöhte Berechtigungen für das Computerkonto benötigen, das für die Verwendung mit Azure NetApp Files erstellt wurde. Weitere Informationen finden Sie unter Erstellen und Verwalten von Active Directory-Verbindungen. F | Ja | Nichts* | Die angegebenen Konten dürfen die NTFS-Berechtigungen auf Datei- oder Ordnerebene ändern. |
| Administratoren | Angeben von Benutzenden oder Gruppen, denen Administratorrechte auf dem Volume erteilt werden sollen | Ja | Nichts | Benutzerkonto erhält Administratorrechte |
| Nutzername | Benutzername des Active Directory-Domänenadministrators | Ja | Nichts* | Änderung der Anmeldeinformationen zum Kontaktieren des Domänencontrollers |
| Passwort | Kennwort des Active Directory-Domänenadministrators | Ja | Nichts* Das Kennwort darf 64 Zeichen nicht überschreiten. |
Änderung der Anmeldeinformationen zum Kontaktieren des Domänencontrollers |
| Kerberos-Bereich: AD-Servername | Der Name des Active Directory-Computers. Diese Option wird nur beim Erstellen eines Kerberos-Volumes verwendet. | Ja | Nichts* | |
| Kerberos-Bereich: KDC-IP | Gibt die IP-Adresse des Kerberos-Verteilungscenterservers (KDC) an. KDC in Azure NetApp Files ist ein Active Directory-Server. Sie können eine KDC-IP nur ändern, indem Sie die AD-Einstellung bearbeiten. | Ja | Nichts | Es wird eine neue KDC-IP-Adresse verwendet. |
| Region | Die Region, in der die Active Directory-Anmeldeinformationen verknüpft sind | Nein | Nichts | Nicht verfügbar |
| Benutzer-DN | Der Benutzerdomänenname, der den Basis-DN für Benutzersuchen überschreibt. Ein geschachtelter Benutzerdomänenname (UserDN) kann im Format OU=subdirectory, OU=directory, DC=domain, DC=com angegeben werden. |
Ja | Nichts* | Der Benutzersuchbereich wird auf den Benutzer-DN anstelle des Basis-DN beschränkt. |
| Gruppe DN | Gruppendomänenname. groupDN überschreibt den Basis-DN für Gruppensuchen. Der geschachtelte Gruppendomänenname (groupDN) kann im Format OU=subdirectory, OU=directory, DC=domain, DC=com angegeben werden. |
Ja | Nichts* | Der Gruppensuchbereich wird auf Gruppen-DN anstatt auf Basis-DN begrenzt. |
| Gruppenmitgliedschaftsfilter | Der benutzerdefinierte LDAP-Suchfilter, der beim Nachschlagen der Gruppenmitgliedschaft vom LDAP-Server verwendet werden soll. groupMembershipFilter kann mit dem (gidNumber=*) Format angegeben werden. |
Ja | Nichts* | Der Gruppenmitgliedschaftsfilter wird beim Abfragen der Gruppenmitgliedschaft eines Benutzers vom LDAP-Server verwendet. |
| Benutzer mit Sicherheitsberechtigungen | Sie können Benutzern, die erhöhte Berechtigungen für den Zugriff auf die Azure NetApp Files-Volumes erfordern, Sicherheitsberechtigungen (SeSecurityPrivilege) gewähren. Die angegebenen Benutzerkonten können bestimmte Aktionen für SMB-Freigaben von Azure NetApp Files ausführen, die Sicherheitsberechtigungen erfordern, die domänenbenutzern standardmäßig nicht zugewiesen sind. Weitere Informationen finden Sie unter Erstellen und Verwalten von Active Directory-Verbindungen . |
Ja | Die Verwendung dieses Features ist optional und wird nur für SQL Server unterstützt. Das domänenkonto, das für die Installation von SQL Server verwendet wird, muss bereits vorhanden sein, bevor Sie es dem Feld "Sicherheitsberechtigungsbenutzer" hinzufügen. Wenn Sie das Konto des SQL Server-Installationsprogramms zu Sicherheitsberechtigungsbenutzern hinzufügen, überprüft der Azure NetApp Files-Dienst möglicherweise das Konto, indem Sie den Domänencontroller kontaktieren. Der Befehl schlägt möglicherweise fehl, wenn er sich nicht an den Domänencontroller wenden kann. Siehe SQL Server-Installation schlägt fehl, wenn das Setupkonto keine bestimmten Benutzerrechte hat , um weitere Informationen zu SeSecurityPrivilege und SQL Server zu erhalten.* |
Gestattet Konten ohne Administratorrechte, SQL-Server auf ANF-Volumes zu verwenden. |
*Es gibt keine Auswirkungen auf einen geänderten Eintrag nur, wenn die Änderungen richtig eingegeben werden. Wenn Sie Daten falsch eingeben, verlieren Benutzer und Anwendungen den Zugriff.