Modificación de conexiones de Active Directory para Azure NetApp Files
Una vez que haya creado una conexión de Active Directory en Azure NetApp Files, puede modificarla. Al modificar una conexión de Active Directory, no todas las configuraciones se pueden modificar.
Para más información, consulte Descripción de las directrices para Servicios de dominio de Active Directory diseño de sitios y planeamiento de Azure NetApp Files.
Modificación de las conexiones de Active Directory
Seleccione Conexiones de Active Directory. A continuación, seleccione Editar para editar una conexión de AD existente.
En la ventana Editar configuración de Active Directory que aparece, modifique las configuraciones de la conexión de Active Directory según sea necesario. Para obtener una explicación de los campos que puede modificar, consulte Opciones para conexiones de Active Directory.
Opciones para las conexiones de Active Directory
Nombre del campo | ¿Qué es? | ¿Es modificable? | Consideraciones e impactos | Efecto |
---|---|---|---|---|
DNS principal | Direcciones IP del servidor DNS principal para el dominio de Active Directory. | Sí | Ninguno* | La nueva dirección IP DNS se usa para la resolución DNS. |
DNS secundario | Direcciones IP del servidor DNS secundario para el dominio de Active Directory. | Sí | Ninguno* | Se usará una nueva dirección IP de DNS para la resolución de DNS si se produce un error en el DNS principal. |
Nombre de dominio DNS de AD | Nombre de dominio de la instancia de Active Directory Domain Services a la que desea unirse. | No | Ninguno | N/D |
Nombre de sitio de AD | Sitio al que está limitada la detección del controlador de dominio. | Sí | Debe coincidir con el nombre del sitio en Sitios y servicios de Active Directory. Consulte la nota al pie.* | La detección de dominios se limita al nuevo nombre de sitio. Si no se especifica, se usa "Default-First-Site-Name". |
Prefijo del servidor SMB (cuenta de equipo) | Asigne un prefijo de nomenclatura a la cuenta de equipo en Active Directory que Azure NetApp Files usará para la creación de cuentas nuevas. Consulte la nota al pie.* | Sí | Los volúmenes existentes se deben montar de nuevo a medida que se cambia el montaje para los recursos compartidos SMB y los volúmenes de Kerberos NFS.* | El cambio de nombre del prefijo del servidor de SMB después de crear la conexión de Active Directory es perjudicial. Tendrá que volver a montar los recursos compartidos SMB y los volúmenes de Kerberos NFS existentes después de cambiar el nombre del prefijo del servidor SMB, ya que la ruta de acceso de montaje cambiará. |
Ruta de acceso de la unidad organizativa | Ruta de acceso LDAP para la unidad organizativa (OU) donde se crearán las cuentas de equipo del servidor SMB. OU=second level , OU=first level |
No | Si usa Azure NetApp Files con Microsoft Entra Domain Services, la ruta de acceso de la organización es OU=AADDC Computers cuando configura Active Directory para su cuenta de NetApp. |
Las cuentas de equipo se colocarán en la unidad organizativa especificada. Si no se especifica, se usa el valor predeterminado OU=Computers . |
Cifrado AES | Para aprovechar la mayor seguridad con la comunicación basada en Kerberos, puede habilitar el cifrado AES-256 y AES-128 en el servidor SMB. | Sí | Si habilita el cifrado AES, las credenciales de usuario utilizadas para unir Active Directory deben tener habilitada la opción de cuenta más alta correspondiente que coincida con las funcionalidades habilitadas para Active Directory. Por ejemplo, si Active Directory solo tiene AES-128 habilitado, debe habilitar la opción de cuenta AES-128 para las credenciales de usuario. Si Active Directory tiene la funcionalidad AES-256, debe habilitar la opción de cuenta AES-256 (que también es compatible con AES-128). Si Active Directory no tiene ninguna funcionalidad de cifrado Kerberos, Azure NetApp Files usa DES de forma predeterminada.* | Habilitación del cifrado AES para la autenticación de Active Directory |
Firma LDAP | Esta funcionalidad permite realizar búsquedas LDAP seguras entre el servicio Azure NetApp Files y los controladores de dominio de Active Directory Domain Services especificados por el usuario. | Sí | Firma LDAP para requerir la directiva de grupo de inicio de sesión* | Esta opción proporciona maneras de aumentar la seguridad de la comunicación entre los clientes LDAP y los controladores de dominio de Active Directory. |
Permitir usuarios de NFS locales con LDAP | Si está habilitada, esta opción administra el acceso para usuarios locales y usuarios LDAP. | Sí | Esta opción permite el acceso a los usuarios locales. No se recomienda y, si está habilitado, solo se debe usar durante un tiempo limitado y más adelante deshabilitado. | Si está habilitada, esta opción permite el acceso a usuarios locales y usuarios LDAP. Si la configuración requiere acceso solo para usuarios LDAP, debe deshabilitar esta opción. |
LDAP sobre TLS | Si está habilitado, LDAP a través de TLS está configurado para admitir la comunicación LDAP segura con Active Directory. | Sí | None | Si ha habilitado LDAP a través de TLS y si el certificado de entidad de certificación raíz del servidor ya está presente en la base de datos, el certificado de CA protege el tráfico LDAP. Si se pasa un certificado nuevo, se instalará ese certificado. |
Certificado de CA raíz del servidor | Cuando está habilitado LDAP sobre SSL/TLS, el cliente LDAP debe tener el certificado de entidad de certificación raíz autofirmado del servicio de certificados de Active Directory codificado en Base 64. | Sí | Ninguno* | El tráfico LDAP se protege con el nuevo certificado solo si está habilitado LDAP sobre TLS. |
Ámbito de búsqueda de LDAP | Consulte Creación y administración de conexiones de Active Directory. | Sí | - | - |
Servidor preferido para el cliente LDAP | Puede designar hasta dos servidores de AD para que ldap intente conectarse primero. Consulte Descripción de las directrices para Servicios de dominio de Active Directory diseño y planeamiento del sitio. | Sí | Ninguno* | Podría impedir un tiempo de espera cuando el cliente LDAP busca conectarse al servidor de AD. |
Conexiones SMB cifradas al controlador de dominio | Esta opción especifica si se debe usar el cifrado para la comunicación entre el servidor SMB y el controlador de dominio. Consulte Creación de conexiones de Active Directory para más información sobre el uso de esta característica. | Sí | No se puede usar la creación de volúmenes habilitados para SMB, Kerberos y LDAP si el controlador de dominio no admite SMB3 | Use solo SMB3 para las conexiones cifradas del controlador de dominio. |
Usuarios de la directiva de copia de seguridad | Puede incluir más cuentas que requieran privilegios elevados a la cuenta de equipo creada para su uso con Azure NetApp Files. Para obtener más información, consulte Creación y administración de conexiones de Active Directory. F | Sí | Ninguno* | Se permitirá a las cuentas especificadas cambiar los permisos de NTFS en el nivel de archivo o carpeta. |
Administradores | Especificar usuarios o grupos para conceder privilegios de administrador en el volumen a | Sí | None | La cuenta de usuario recibe privilegios de administrador |
Nombre de usuario | Nombre de usuario del administrador del dominio de Active Directory | Sí | Ninguno* | Cambio de credencial para ponerse en contacto con el controlador de dominio |
Contraseña | Contraseña del administrador del dominio de Active Directory | Sí | Ninguno* La contraseña no puede superar los 64 caracteres. |
Cambio de credencial para ponerse en contacto con el controlador de dominio |
Dominio Kerberos: nombre del servidor de AD | Nombre de la máquina de Active Directory. Esta opción solo se usa al crear un volumen Kerberos. | Sí | Ninguno* | |
Dominio Kerberos: Dirección IP del KDC | Especifica la dirección IP del servidor del Centro de distribución de Kerberos (KDC). El KDC en Azure NetApp Files es un servidor de Active Directory. | Sí | None | Se usará una nueva dirección IP del KDC. |
Region | Región a la que están asociadas las credenciales de Active Directory | No | Ninguno | N/D |
DN de usuario | El nombre de dominio de usuario, que invalida el DN base para las búsquedas de usuario; userDN anidado se puede especificar en formato OU=subdirectory, OU=directory, DC=domain, DC=com . |
Sí | Ninguno* | El ámbito de búsqueda de usuarios se limita al DN de usuario en lugar del DN base. |
DN de grupo | Nombre de dominio del grupo. groupDN invalida el DN base para las búsquedas de grupos. groupDN anidado se puede especificar en formato OU=subdirectory, OU=directory, DC=domain, DC=com . |
Sí | Ninguno* | El ámbito de búsqueda de grupos se limita al DN de grupo en lugar del DN base. |
Filtro de pertenencia a grupos | Filtro de búsqueda LDAP personalizado que se usará al buscar la pertenencia a grupos desde el servidor LDAP. groupMembershipFilter se puede especificar con el formato (gidNumber=*) . |
Sí | Ninguno* | El filtro de pertenencia a grupos se usará al consultar la pertenencia a grupos de un usuario desde el servidor LDAP. |
Usuarios con privilegios de seguridad | Puede conceder privilegios de seguridad (SeSecurityPrivilege ) a los usuarios que requieran privilegios elevados para acceder a los volúmenes de Azure NetApp files. Se permitirá que las cuentas de usuario especificadas realicen determinadas acciones en recursos compartidos de SMB de Azure NetApp Files que requieren privilegios de seguridad no asignados de forma predeterminada a los usuarios del dominio. Consulte Creación y administración de conexiones de Active Directory para Azure NetApp Files para más información. |
Sí | El uso de esta característica es opcional y solo se admite para SQL Server. La cuenta de dominio usada para instalar SQL Server debe existir antes de agregarla al campo Security privilege users (Usuarios con privilegios de seguridad). Al agregar la cuenta del instalador de SQL Server a Security privilege users (Usuarios con privilegios de seguridad), el servicio Azure NetApp Files podría validar la cuenta poniéndose en contacto con el controlador de dominio. Es posible que se produzca un error en el comando si no puede ponerse en contacto con el controlador de dominio. Consulte Error en la instalación de SQL Server si la cuenta de instalación no tiene determinados derechos de usuario para obtener más información sobre SeSecurityPrivilege y SQL Server.* |
Permite a las cuentas que no son de administrador usar servidores SQL en los volúmenes de ANF. |
*No hay ningún impacto en una entrada modificada solo si las modificaciones se han escrito correctamente. Si escribe los datos incorrectamente, los usuarios y las aplicaciones perderán el acceso.