Ändern von Active Directory-Verbindungen für Azure NetApp Files
Nachdem Sie eine Active Directory-Verbindung in Azure NetApp-Dateien erstellt haben, können Sie sie ändern. Wenn Sie eine Active Directory-Verbindung ändern, können nicht alle Konfigurationen geändert werden.
Weitere Informationen finden Sie unter "Grundlegendes zu Richtlinien für Active Directory-Domäne Services-Websitedesign und -Planung für Azure NetApp Files".
Ändern von Active Directory-Verbindungen
Wählen Sie Active Directory-Verbindungen aus. Wählen Sie dann Bearbeiten aus, um eine vorhandene AD-Verbindung zu bearbeiten.
Ändern Sie im angezeigten Fenster Active Directory bearbeiten die Active Directory-Verbindungskonfigurationen nach Bedarf aus. Eine Erläuterung der Felder, die Sie ändern können, finden Sie unter "Optionen für Active Directory-Verbindungen".
Optionen für Active Directory-Verbindungen
| Feldname | Funktionsbeschreibung | Ist es änderbar? | Überlegungen und Auswirkungen | Auswirkung |
|---|---|---|---|---|
| Primäres DNS | IP-Adressen des primären DNS-Servers für die Active Directory-Domäne. | Ja | Keine* | Neue DNS-IP wird für die DNS-Auflösung verwendet. |
| Sekundäres DNS | IP-Adressen des sekundären DNS-Servers für die Active Directory-Domäne. | Ja | Keine* | Für die DNS-Auflösung wird eine neue DNS-IP-Adresse verwendet, falls der primäre DNS-Server fehlschlägt. |
| AD-DNS-Domänenname | Der Domänenname Ihrer Active Directory Domain Services, denen Sie beitreten möchten. | Nein | Keine | N/V |
| AD-Standortname | Der Standort, auf den die Domänencontrollerermittlung beschränkt ist. | Ja | Sollte dem Standortnamen in Active Directory-Standorte und -Dienste entsprechen. Siehe Fußnote.* | Do Standard Discovery ist auf den neuen Websitenamen beschränkt. Wenn nicht angegeben, wird "Default-First-Site-Name" verwendet. |
| Präfix des SMB-Servers (Computerkonto) | Benennungspräfix für das Computerkonto in Active Directory, das Azure NetApp Files für die Erstellung neuer Konten verwendet. Siehe Fußnote.* | Ja | Vorhandene Volumes müssen erneut eingebunden werden, wenn die Bereitstellung für SMB-Freigaben und NFS-Kerberos-Volumes geändert wird.* | Das Umbenennen des SMB-Serverpräfixes nach dem Erstellen der Active Directory-Verbindung sorgt für Unterbrechungen. Sie müssen vorhandene SMB-Freigaben und NFS-Kerberos-Volumes nach dem Umbenennen des SMB-Serverpräfixes erneut einbinden, da sich der Einbindungspfad ändert. |
| Pfad der Organisationseinheit | Der LDAP-Pfad für die Organisationseinheit (OU), in der SMB-Servercomputerkonten erstellt werden. OU=second level, OU=first level |
Nein | Wenn Sie Azure NetApp-Dateien mit Microsoft Entra Do Standard Services verwenden, ist OU=AADDC Computers der Organisationspfad, wenn Sie Active Directory für Ihr NetApp-Konto konfigurieren. |
Computerkonten werden unter der angegebenen ORGANISATIONSeinheit platziert. Falls nicht angegeben, wird standardmäßig der Standardwert von OU=Computers verwendet. |
| AES-Verschlüsselung | Um die höchste Sicherheit bei der Kerberos-basierten Kommunikation zu nutzen, können Sie die AES-256- und AES-128-Verschlüsselung auf dem SMB-Server aktivieren. | Ja | Wenn Sie AES-Verschlüsselung aktivieren, muss für die für den Beitritt zu Active Directory verwendeten Anmeldeinformationen die höchste entsprechende Kontooption aktiviert sein, die den für Ihr Active Directory aktivierten Funktionen entspricht. Wenn für Ihr Active Directory beispielsweise nur AES-128 aktiviert ist, müssen Sie die AES-128-Kontooption für die Anmeldeinformationen des Benutzers aktivieren. Wenn Ihr Active Directory die AES-256-Funktion aufweist, müssen Sie die AES-256-Kontooption aktivieren (die auch AES-128 unterstützt). Wenn Ihr Active Directory über keine Kerberos-Verschlüsselungsfunktion verfügt, verwendet Azure NetApp-Dateien standardmäßig DES.* | Aktivieren der AES-Verschlüsselung für die Active Directory-Authentifizierung |
| LDAP-Signatur | Diese Funktionalität ermöglicht sichere LDAP-Suchvorgänge zwischen dem Azure NetApp Files-Dienst und den benutzerseitig angegebenen Active Directory Domain Services-Domänencontrollern. | Ja | LDAP-Signierung, um Gruppenrichtlinie für Anmeldung zu erfordern* | Diese Option bietet Möglichkeiten, die Sicherheit für die Kommunikation zwischen LDAP-Clients und Active Directory-Controllern zu erhöhen Standard. |
| Lokale NFS-Benutzer mit LDAP zulassen | Wenn diese Option aktiviert ist, verwaltet diese Option den Zugriff für lokale Benutzer und LDAP-Benutzer. | Ja | Diese Option ermöglicht den Zugriff auf lokale Benutzer. Es wird nicht empfohlen und sollte, falls aktiviert, nur für einen begrenzten Zeitraum und später deaktiviert werden. | Wenn diese Option aktiviert ist, ermöglicht diese Option den Zugriff auf lokale Benutzer und LDAP-Benutzer. Wenn Ihre Konfiguration nur für LDAP-Benutzer Zugriff erfordert, müssen Sie diese Option deaktivieren. |
| LDAP über TLS | Wenn diese Option aktiviert ist, ist LDAP über TLS so konfiguriert, dass die sichere LDAP-Kommunikation mit Active Directory unterstützt wird. | Ja | Keine | Wenn Sie LDAP über TLS aktiviert haben und das Stammzertifizierungsstellenzertifikat des Servers bereits in der Datenbank vorhanden ist, sichert das Zertifizierungsstellenzertifikat LDAP-Datenverkehr. Wenn ein neues Zertifikat übergeben wird, wird dieses Zertifikat installiert. |
| Serverzertifikat der Stammzertifizierungsstelle | Wenn LDAP über SSL/TLS aktiviert ist, muss der LDAP-Client über ein base64-codiertes, selbstsigniertes Zertifikat der Stammzertifizierungsstelle des Active Directory-Zertifikatdiensts verfügen. | Ja | Keine* | LDAP-Datenverkehr wird nur dann mit dem neuem Zertifikat gesichert, wenn LDAP über TLS aktiviert ist. |
| LDAP-Suchbereich | Siehe Erstellen und Verwalten von Active Directory-Verbindungen | Ja | - | - |
| Bevorzugter Server für LDAP-Client | Sie können bis zu zwei AD-Server für das LDAP festlegen, um zuerst eine Verbindung herzustellen. Siehe Grundlegendes zu Richtlinien für Active Directory-Domäne Services-Websitedesign und -planung | Ja | Keine* | Möglicherweise behindern Sie ein Timeout, wenn der LDAP-Client versucht, eine Verbindung mit dem AD-Server herzustellen. |
| Verschlüsselte SMB-Verbindungen mit Domänencontroller | Diese Option gibt an, ob die Verschlüsselung für die Kommunikation zwischen SMB-Server und Do Standard Controllern verwendet werden soll. Weitere Informationen zu diesem Feature finden Sie unter Erstellen von Active Directory-Verbindungen. | Ja | SMB-, Kerberos- und LDAP-aktivierte Volumeerstellung kann nicht verwendet werden, wenn dies der Fehler ist Standard Controller SMB3 nicht unterstützt | Verwenden Sie SMB3 nur für verschlüsselte Do Standard Controllerverbindungen. |
| Sicherungsrichtlinienbenutzer | Sie können weitere Konten einschließen, die erhöhte Berechtigungen für das Computerkonto benötigen, das für die Verwendung mit Azure NetApp Files erstellt wurde. Weitere Informationen finden Sie unter Erstellen und Verwalten von Active Directory-Verbindungen. F | Ja | Keine* | Die angegebenen Konten dürfen die NTFS-Berechtigungen auf Datei- oder Ordnerebene ändern. |
| Administratoren | Angeben von Benutzern oder Gruppen, die Administratorberechtigungen für das Volume erteilen sollen | Ja | Keine | Benutzerkonto erhält Administratorrechte |
| Username | Benutzername des Active Directory-Domänenadministrators | Ja | Keine* | Änderung der Anmeldeinformationen zum Kontaktieren des Domänencontrollers |
| Kennwort | Kennwort des Active Directory-Domänenadministrators | Ja | Nichts* Das Kennwort darf 64 Zeichen nicht überschreiten. |
Änderung der Anmeldeinformationen zum Kontaktieren des Domänencontrollers |
| Kerberos-Bereich: AD-Servername | Der Name des Active Directory-Computers. Diese Option wird nur beim Erstellen eines Kerberos-Volumes verwendet. | Ja | Keine* | |
| Kerberos-Bereich: KDC-IP-Adresse | Gibt die IP-Adresse des Kerberos Distribution Center-Servers (KDC) an. KDC in Azure NetApp Files ist ein Active Directory-Server. | Ja | Keine | Eine neue KDC-IP-Adresse wird verwendet. |
| Region | Die Region, der die Active Directory-Anmeldeinformationen zugeordnet sind. | Nein | Keine | N/V |
| Benutzer-DN | Der Benutzerdomänenname, der den Basis-DN für Benutzersuchen überschreibt. Ein geschachtelter Benutzerdomänenname (UserDN) kann im Format OU=subdirectory, OU=directory, DC=domain, DC=com angegeben werden. |
Ja | Keine* | Der Benutzersuchbereich wird auf den Benutzer-DN anstelle des Basis-DN beschränkt. |
| Gruppen-DN | Gruppendomänenname. groupDN überschreibt den Basis-DN für Gruppensuchen. Der geschachtelte Gruppendomänenname (groupDN) kann im Format OU=subdirectory, OU=directory, DC=domain, DC=com angegeben werden. |
Ja | Keine* | Der Gruppensuchbereich wird auf den Gruppen-DN anstelle des Basis-DN beschränkt. |
| Gruppenmitgliedschaftsfilter | Der benutzerdefinierte LDAP-Suchfilter, der beim Suchen der Gruppenmitgliedschaft vom LDAP-Server aus verwendet werden soll. groupMembershipFilter lässt sich im Format (gidNumber=*) angeben. |
Ja | Keine* | Der Gruppenmitgliedschaftsfilter wird beim Abfragen der Gruppenmitgliedschaft eines Benutzers vom LDAP-Server aus verwendet. |
| Benutzer mit Sicherheitsberechtigungen | Sie können Benutzern, die erhöhte Rechte für den Zugriff auf die Azure NetApp Files-Volumes benötigen, Sicherheitsberechtigungen (SeSecurityPrivilege) zuweisen. Die angegebenen Benutzerkonten dürfen bestimmte Aktionen auf Azure NetApp Files-SMB-Freigaben durchführen, für die Sicherheitsberechtigungen erforderlich sind, die Domänenbenutzern nicht standardmäßig zugewiesen sind. Weitere Informationen finden Sie unter Erstellen und Verwalten von Active Directory-Verbindungen. |
Ja | Die Verwendung dieses Features ist optional und wird nur für SQL Server unterstützt. Das Domänenkonto, das für die Installation von SQL Server verwendet wird, muss bereits vorhanden sein, bevor Sie es zum Feld Benutzer mit Sicherheitsberechtigungen hinzufügen. Wenn Sie das Konto des SQL Server-Installers zu Benutzer mit Sicherheitsberechtigungen hinzufügen, überprüft der Azure NetApp Files-Dienst möglicherweise das Konto, indem er eine Verbindung zum Domänencontroller herstellt. Der Befehl schlägt möglicherweise fehl, wenn er nicht mit dem Do Standard Controller kontaktieren kann. Siehe SQL Server-Installation schlägt fehl, wenn das Setupkonto keine bestimmten Benutzerrechte hat, um weitere Informationen zu SeSecurityPrivilege und SQL Server zu erhalten.* |
Gestattet Konten ohne Administratorrechte, SQL-Server auf ANF-Volumes zu verwenden. |
*Es gibt nur dann keine Auswirkungen auf einen geänderten Eintrag, wenn die Änderungen ordnungsgemäß eingegeben wurden. Wenn Sie Daten falsch eingeben, verlieren Benutzer und Anwendungen den Zugriff.