Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una vez que haya creado una conexión de Active Directory en Azure NetApp Files, puede modificarla. Al modificar una conexión de Active Directory, no todas las configuraciones se pueden modificar.
Para más información, consulte Descripción de las directrices para el diseño y planeamiento del sitio de Active Directory Domain Services para Azure NetApp Files.
Modificación de las conexiones de Active Directory
Seleccione Conexiones de Active Directory. A continuación, seleccione Editar para editar una conexión de AD existente.
En la ventana Editar Active Directory que aparece, modifique las configuraciones de conexión de Active Directory según sea necesario. Para obtener una explicación de los campos que puede modificar, consulte Opciones para conexiones de Active Directory.
Opciones para conexiones de Active Directory
| Nombre del campo | ¿Qué es? | ¿Es modificable? | Consideraciones e impactos | Efecto |
|---|---|---|---|---|
| DNS principal | Direcciones IP del servidor DNS principal para el dominio de Active Directory. | Sí | Ninguno* | La nueva dirección IP DNS se emplea para la resolución de DNS. |
| DNS secundario | Direcciones IP del servidor DNS secundario para el dominio de Active Directory. | Sí | Ninguno* | La nueva dirección IP DNS se usará para la resolución DNS en caso de que se produzca un error en el DNS principal. |
| Nombre de dominio DNS de AD | Nombre de dominio de Active Directory Domain Services al que desea unirse. | No | Ninguno | No disponible |
| Nombre del sitio de AD | Sitio al que está limitada la detección del controlador de dominio. | Sí | Debe coincidir con el nombre del sitio en sitios y servicios de Active Directory. Consulte la nota al pie.* | La detección de dominios se limita al nuevo nombre de sitio. Si no se especifica, se usa "Default-First-Site-Name". |
| Prefijo del servidor SMB (cuenta de equipo) | Asigne un prefijo de nomenclatura a la cuenta de equipo en Active Directory que Azure NetApp Files usará para la creación de cuentas nuevas. Consulte la nota al pie.* | Sí | Los volúmenes existentes se deben montar de nuevo a medida que se cambia el montaje para los recursos compartidos SMB y los volúmenes de Kerberos NFS.* | El cambio de nombre del prefijo del servidor de SMB después de crear la conexión de Active Directory es perjudicial. Tendrá que volver a montar los recursos compartidos SMB y los volúmenes de Kerberos NFS existentes después de cambiar el nombre del prefijo del servidor SMB, ya que la ruta de acceso de montaje cambiará. |
| Ruta de acceso de la unidad organizativa | La ruta de acceso LDAP para la unidad organizativa (UO) donde se crearán las cuentas de máquina del servidor SMB.
OU=second level, OU=first level |
No | Si está utilizando Azure NetApp Files con los servicios de dominio de Microsoft Entra, la ruta organizacional es OU=AADDC Computers al configurar Active Directory para su cuenta de NetApp. |
Las cuentas de equipo se colocarán en la unidad organizativa especificada. Si no se especifica, se usa el valor predeterminado de OU=Computers de forma predeterminada. |
| Cifrado AES | Para aprovechar la seguridad más segura con la comunicación basada en Kerberos, puede habilitar el cifrado AES-256 y AES-128 en el servidor SMB. | Sí | Si habilita el cifrado AES, las credenciales de usuario que se usan para unirse a Active Directory deben tener habilitada la opción de cuenta correspondiente más alta, que coincida con las funcionalidades habilitadas para Active Directory. Por ejemplo, si Active Directory solo tiene habilitado AES-128, debe habilitar la opción de cuenta AES-128 para las credenciales de usuario. Si Active Directory tiene la funcionalidad AES-256, debe habilitar la opción de cuenta AES-256 (que también admite AES-128). Si Active Directory no tiene ninguna funcionalidad de cifrado Kerberos, Azure NetApp Files usa DES de forma predeterminada.* | Habilitación del cifrado AES para la autenticación de Active Directory |
| Firma LDAP | Esta funcionalidad permite búsquedas LDAP seguras entre el servicio Azure NetApp Files y el controlador de dominio de Active Directory Domain Services especificado por el usuario. | Sí | Firma LDAP para requerir la directiva de grupo de inicio de sesión* | Esta opción proporciona maneras de aumentar la seguridad de la comunicación entre los clientes LDAP y los controladores de dominio de Active Directory. |
| Permitir usuarios de NFS locales con LDAP | Si está habilitada, esta opción administra el acceso para usuarios locales y usuarios LDAP. | Sí | Esta opción permite el acceso a los usuarios locales. No se recomienda y, si está habilitado, solo se debe usar durante un tiempo limitado y más adelante deshabilitado. | Si está habilitada, esta opción permite el acceso a usuarios locales y usuarios LDAP. Si la configuración requiere acceso solo para usuarios LDAP, debe deshabilitar esta opción. |
| LDAP sobre TLS | Si está habilitado, LDAP a través de TLS está configurado para admitir la comunicación LDAP segura con Active Directory. | Sí | Ninguno | Si ha habilitado LDAP a través de TLS y si el certificado de entidad de certificación raíz del servidor ya está presente en la base de datos, el certificado de CA protege el tráfico LDAP. Si se pasa un nuevo certificado, ese certificado se instalará. |
| Certificado de CA raíz del servidor | Cuando LDAP a través de SSL/TLS está habilitado, se requiere que el cliente LDAP tenga el certificado de entidad de certificación raíz autofirmada del servicio de certificados de Active Directory codificado en base64. | Sí | Ninguno* | Tráfico LDAP protegido con nuevo certificado solo si LDAP a través de TLS está habilitado |
| Ámbito de búsqueda LDAP | Consulte Creación y administración de conexiones de Active Directory. | Sí | - | - |
| Servidor preferido para el cliente LDAP | Puede designar hasta dos servidores de AD para que ldap intente conectarse primero. Consulte Descripción de las directrices para el diseño y planeamiento del sitio de Active Directory Domain Services. | Sí | Ninguno* | Podría impedir un tiempo de espera cuando el cliente LDAP busca conectarse al servidor de AD. |
| Conexiones SMB cifradas al controlador de dominio | Esta opción especifica si se debe usar el cifrado para la comunicación entre el servidor SMB y el controlador de dominio. Consulte Creación de conexiones de Active Directory para obtener más información sobre el uso de esta característica. | Sí | No se puede usar la creación de volúmenes habilitados para SMB, Kerberos y LDAP si el controlador de dominio no admite SMB3 | Use solo SMB3 para las conexiones cifradas del controlador de dominio. |
| Usuarios de políticas de copia de seguridad | Puede incluir más cuentas que requieran privilegios elevados a la cuenta de equipo creada para su uso con Azure NetApp Files. Para obtener más información, consulte Creación y administración de conexiones de Active Directory. F | Sí | Ninguno* | Se permitirá a las cuentas especificadas cambiar los permisos de NTFS en el nivel de archivo o carpeta. |
| Administradores | Especifica usuarios o grupos para conceder privilegios de administrador en el volumen a | Sí | Ninguno | La cuenta de usuario recibe privilegios de administrador |
| Nombre de usuario | Nombre de usuario del administrador de dominio de Active Directory | Sí | Ninguno* | Cambio de credencial para ponerse en contacto con el controlador de dominio |
| Contraseña | Contraseña del administrador de dominio de Active Directory | Sí | Ninguno* La contraseña no puede superar los 64 caracteres. |
Cambio de credencial para ponerse en contacto con el controlador de dominio |
| Dominio Kerberos: Nombre del Servidor de AD | Nombre de la máquina de Active Directory. Esta opción solo se usa al crear un volumen Kerberos. | Sí | Ninguno* | |
| Dominio Kerberos: IP de KDC | Especifica la dirección IP del servidor del Centro de distribución de Kerberos (KDC). KDC en Azure NetApp Files es un servidor de Active Directory. Solo puede modificar una dirección IP de KDC editando la configuración de AD. | Sí | Ninguno | Se usará una nueva dirección IP de KDC. |
| Región | Región en la que están asociadas las credenciales de Active Directory | No | Ninguno | No disponible |
| DN de usuario | El nombre de dominio de usuario, que invalida el DN base para las búsquedas de usuario; userDN anidado se puede especificar en formato OU=subdirectory, OU=directory, DC=domain, DC=com. |
Sí | Ninguno* | El ámbito de búsqueda de usuarios se limita al DN de usuario en lugar del DN base. |
| DN de grupo | Nombre de dominio de grupo. groupDN invalida el DN base para las búsquedas de grupos. groupDN anidado se puede especificar en formato OU=subdirectory, OU=directory, DC=domain, DC=com. |
Sí | Ninguno* | El ámbito de búsqueda de grupos se limita al DN de grupo en lugar del DN base. |
| Filtro de pertenencia a grupos | Filtro de búsqueda LDAP personalizado que se va a usar al buscar la pertenencia a grupos desde el servidor LDAP. groupMembershipFilter se puede especificar con el (gidNumber=*) formato . |
Sí | Ninguno* | Se usará el filtro de pertenencia a grupos al consultar la pertenencia a grupos de un usuario desde el servidor LDAP. |
| Usuarios con privilegios de seguridad | Puede conceder privilegios de seguridad (SeSecurityPrivilege) a los usuarios que requieren privilegios elevados para acceder a los volúmenes de Azure NetApp Files. Las cuentas de usuario especificadas podrán realizar determinadas acciones en recursos compartidos SMB de Azure NetApp Files que requieren privilegios de seguridad no asignados de forma predeterminada a los usuarios del dominio. Consulte Creación y administración de conexiones de Active Directory para obtener más información. |
Sí | El uso de esta característica es opcional y solo se admite para SQL Server. La cuenta de dominio usada para instalar SQL Server ya debe existir antes de agregarla al campo Usuarios con privilegios de seguridad. Al agregar la cuenta del instalador de SQL Server a los usuarios con privilegios de seguridad, el servicio Azure NetApp Files podría validar la cuenta poniéndose en contacto con el controlador de dominio. Es posible que se produzca un error en el comando si no puede ponerse en contacto con el controlador de dominio. Consulte error de instalación de SQL Server si la cuenta de instalación no tiene determinados derechos de usuario para obtener más información sobre SeSecurityPrivilege y SQL Server.* |
Permite a las cuentas que no son de administrador usar servidores SQL en los volúmenes de ANF. |
*No hay ningún impacto en una entrada modificada solo si las modificaciones se escriben correctamente. Si escribe datos incorrectamente, los usuarios y las aplicaciones perderán el acceso.