Modifier des connexions Active Directory pour Azure NetApp Files
Une fois que vous avez créé une connexion Active Directory dans Azure NetApp Files, vous pouvez la modifier. Lorsque vous modifiez une connexion Active Directory, toutes les configurations ne sont pas modifiables.
Pour plus d’informations, consultez Comprendre les instructions relatives à la conception et à la planification de services de domaine Active Directory site pour Azure NetApp Files.
Modifier des connexions Active Directory
Sélectionnez Connexions Active Directory. Sélectionnez ensuite Modifier pour modifier une connexion AD existante.
Dans la fenêtre Modifier Active Directory qui s’affiche, modifiez les configurations de connexion Active Directory en fonction des besoins. Pour obtenir une explication des champs que vous pouvez modifier, consultez Options pour les connexions Active Directory.
Options pour les connexions Active Directory
Nom du champ | Présentation | Est-ce modifiable ? | Considérations et impacts | Effet |
---|---|---|---|---|
DNS principal | Adresses IP du serveur DNS principal pour le domaine Active Directory. | Oui | Aucun* | Une nouvelle adresse IP DNS est utilisée pour la résolution DNS. |
DNS secondaire | Adresses IP du serveur DNS secondaire pour le domaine Active Directory. | Oui | Aucun* | La nouvelle adresse IP DNS sera utilisée pour la résolution DNS en cas de défaillance du DNS principal. |
Nom de domaine DNS AD | Nom de domaine des Active Directory Domain Services que vous souhaitez rejoindre. | Non | Aucun | S/O |
Nom de site Active Directory | Site sur lequel la détection du contrôleur de domaine est limitée. | Oui | Celui-ci doit correspondre au nom du site dans Sites et services Active Directory. Consultez la note de bas de page.* | La découverte de domaine est limitée au nouveau nom de site. S’il n’est pas spécifié, « Default-First-Site-Name » est utilisé. |
Préfixe de serveur SMB (compte d’ordinateur) | Préfixe de nommage pour le compte d’ordinateur dans Active Directory que Azure NetApp Files utilisera pour la création de comptes. Consultez la note de bas de page.* | Oui | Les volumes existants doivent être montés à nouveau, car le montage est modifié pour les partages SMB et les volumes NFS Kerberos.* | Le fait de renommer le préfixe de serveur SMB après la création de la connexion Active Directory entraîne une interruption. Vous devrez remonter les partages SMB existants et les volumes Kerberos NFS après avoir renommé le préfixe de serveur SMB, car le chemin de montage sera modifié. |
Chemin de l’unité d’organisation | Chemin LDAP de l’unité d’organisation (UO) où les comptes d’ordinateur serveur S Mo seront créés. OU=second level , OU=first level |
Non | Si vous utilisez Azure NetApp Files avec Microsoft Entra Domain Services, le chemin d’accès de l’organisation est OU=AADDC Computers lorsque vous configurez Active Directory pour votre compte NetApp. |
Les comptes d’ordinateur sont placés sous l’unité d’organisation spécifiée. Si elle n’est pas spécifiée, la valeur par défaut de OU=Computers est utilisée par défaut. |
Chiffrement AES | Pour tirer parti de la sécurité la plus forte avec la communication basée sur Kerberos, vous pouvez activer le chiffrement AES-256 et AES-128 sur le serveur SMB. | Oui | Si vous activez le chiffrement AES, les informations d’identification de l’utilisateur utilisées pour rejoindre Active Directory doivent avoir l’option de compte correspondante la plus élevée activée correspondant aux fonctionnalités activées pour votre instance Active Directory. Par exemple, si votre instance Active Directory n’a que AES-128 activé, vous devez activer l’option de compte AES-128 pour les informations d’identification de l’utilisateur. Si votre instance Active Directory possède la fonction AES-256, vous devez activer l’option de compte AES-256 (qui prend également en charge AES-128). Si votre annuaire Active Directory n’a aucune fonctionnalité de chiffrement Kerberos, Azure NetApp Files utilise DES par défaut.* | Activer le chiffrement AES pour l’authentification Active Directory |
Signature LDAP | Cette fonctionnalité permet de sécuriser les recherches LDAP entre le service Azure NetApp Files et les contrôleurs de domaine Active Directory Domain Services spécifiés par l’utilisateur. | Oui | Signature LDAP pour exiger la connexion à la stratégie de groupe* | Cette option permet d’augmenter la sécurité de la communication entre les clients LDAP et les contrôleurs de domaine Active Directory. |
Autoriser les utilisateurs NFS locaux avec LDAP | Si elle est activée, cette option gère l’accès pour les utilisateurs locaux et les utilisateurs LDAP. | Oui | Cette option autorise l’accès aux utilisateurs locaux. Elle n’est pas recommandée et, si elle est activée, ne doit être utilisée que pour une durée limitée et désactivée ultérieurement. | Si elle est activée, cette option autorise l’accès aux utilisateurs locaux et aux utilisateurs LDAP. Si votre configuration nécessite l’accès uniquement aux utilisateurs LDAP, vous devez désactiver cette option. |
LDAP sur TLS | Si cette option est activée, LDAP sur TLS est configuré pour prendre en charge la communication LDAP sécurisée vers Active Directory. | Oui | Aucun | Si vous avez activé LDAP via TLS et si le certificat d’autorité de certification racine du serveur est déjà présent dans la base de données, le certificat d’autorité de certification sécurise le trafic LDAP. Si un nouveau certificat est transmis, ce certificat est installé. |
Certificat d’autorité de certification racine de serveur | Lorsque le protocole LDAP sur SSL/TLS est activé, le client LDAP doit avoir un certificat d’autorité de certification racine auto-signé d’Active Directory codé en base64. | Oui | Aucun* | Trafic LDAP sécurisé avec le nouveau certificat uniquement si le protocole LDAP sur TLS est activé |
Étendue de recherche LDAP | Consultez Créer et gérer des connexions Active Directory | Oui | - | - |
Serveur préféré pour le client LDAP | Vous pouvez désigner jusqu’à deux serveurs AD pour que le protocole LDAP tente d’établir une connexion en premier. Consultez comprendre les instructions relatives à la conception et à la planification de sites services de domaine Active Directory | Oui | Aucun* | Entrave potentiellement un délai d’expiration lorsque le client LDAP cherche à se connecter au serveur AD. |
Connexions SMB chiffrées au contrôleur de domaine | Cette option spécifie si le chiffrement doit être utilisé pour la communication entre S Mo serveur et contrôleur de domaine. Pour plus d’informations sur l’utilisation de cette fonctionnalité, consultez Créer des connexions Active Directory. | Oui | La création de volumes compatibles S Mo, Kerberos et LDAP ne peut pas être utilisée si le contrôleur de domaine ne prend pas en charge S Mo 3 | Utilisez uniquement S Mo 3 pour les connexions de contrôleur de domaine chiffrées. |
Utilisateurs de stratégie de sauvegarde | Vous pouvez inclure d’autres comptes qui nécessitent des privilèges élevés pour le compte d’ordinateur créé pour une utilisation avec Azure NetApp Files. Pour plus d’informations, consultez Créer et gérer des connexions Active Directory. F | Oui | Aucun* | Les comptes spécifiés seront autorisés à modifier les autorisations NTFS au niveau du fichier ou du dossier. |
Administrateurs | Spécifier des utilisateurs ou des groupes pour accorder des privilèges d’administrateur sur le volume | Oui | Aucun | Le compte d’utilisateur reçoit des privilèges d’administrateur |
Nom d’utilisateur | Nom d’utilisateur de l’administrateur de domaine Active Directory | Oui | Aucun* | Modification des informations d’identification pour contacter le contrôleur de domaine |
Mot de passe | Nom d’utilisateur de l’administrateur de domaine Active Directory | Oui | Aucun* Le mot de passe ne peut pas dépasser 64 caractères. |
Modification des informations d’identification pour contacter le contrôleur de domaine |
Domaine Kerberos : nom du serveur AD | Nom de la machine Active Directory. Cette option est utilisée uniquement lors de la création d’un volume Kerberos. | Oui | Aucun* | |
Domaine Kerberos : adresse IP du KDC | Spécifie l’adresse IP du serveur du centre de distribution Kerberos (KDC). KDC dans Azure NetApp Files est un serveur Active Directory | Oui | Aucun | Une nouvelle adresse IP KDC sera utilisée |
Région | Région à laquelle les informations d’identification d’Active Directory sont associées | Non | Aucun | S/O |
Nom distinctif de l’utilisateur | Le nom de domaine de l’utilisateur, qui remplace le ND de base pour les recherches utilisateur, le ND de l’utilisateur imbriqué peut être spécifié au format OU=subdirectory, OU=directory, DC=domain, DC=com . |
Oui | Aucun* | L’étendue de recherche de l’utilisateur est limitée au ND de l’utilisateur au lieu du ND de base. |
ND du groupe | Nom de domaine du groupe. ND du groupe remplace le ND de base pour les recherches de groupe. Le ND du groupe imbriqué peut être spécifié au format OU=subdirectory, OU=directory, DC=domain, DC=com . |
Oui | Aucun* | L’étendue de recherche du groupe est limitée au ND du groupe au lieu du ND de base. |
Filtre d’appartenance au groupe | Le filtre de recherche LDAP personnalisé à utiliser lors de la recherche d’appartenance à un groupe à partir du serveur LDAP. groupMembershipFilter peut être spécifié au format (gidNumber=*) . |
Oui | Aucun* | Le filtre d’appartenance au groupe sera utilisé lors de l’interrogation de l’appartenance à un groupe d’un utilisateur à partir du serveur LDAP. |
Utilisateurs des privilèges de sécurité | Vous pouvez accorder des privilèges de sécurité ( SeSecurityPrivilege ) aux utilisateurs qui requièrent des privilèges élevés pour accéder aux volumes de Azure NetApp Files. Les comptes utilisateurs spécifiés auront l’autorisation d’exécuter certaines actions sur les partages SMB Azure NetApp Files qui requièrent que les privilèges de sécurité ne soient pas attribués par défaut aux utilisateurs de domaine. Pour plus d’informations, consultez Créer et gérer des connexions Active Directory. |
Oui | L’utilisation de cette fonctionnalité est facultative et prise en charge uniquement pour SQL Server. Le compte de domaine utilisé pour l’installation de SQL Server doit déjà exister avant que vous ne l’ajoutiez au champ Utilisateurs du privilège de sécurité. Lorsque vous ajoutez le compte du programme d’installation SQL Server aux Utilisateurs des privilèges de sécurité, le service Azure NetApp Files peut valider le compte en contactant le contrôleur de domaine. La commande peut échouer s’il ne peut pas contacter le contrôleur de domaine. L’installation de SQL Server échoue si le compte d’installation ne dispose pas de certains droits utilisateur pour plus d’informations sur SeSecurityPrivilege SQL Server.* |
Permet aux comptes non-administrateurs d’utiliser des serveurs SQL en plus des volumes ANF. |
* Il n’y a pas d’impact sur une entrée modifiée uniquement si les modifications sont entrées correctement. Si vous entrez des données de manière incorrecte, les utilisateurs et les applications perdront l’accès.