Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous rejoignez votre compte de stockage dans vos services de domaine Active Directory (AD DS), vous créez un principal AD, soit un compte d’ordinateur, soit un compte de service, avec un mot de passe. Le mot de passe du principal AD est l’une des clés Kerberos du compte de stockage. Selon la stratégie de mot de passe de l’unité d’organisation du principal AD, vous devez faire pivoter régulièrement le mot de passe du principal AD pour éviter les problèmes d’authentification. L’échec de la modification du mot de passe avant son expiration peut entraîner la perte de l’authentification Kerberos sur vos partages de fichiers Azure. Certains environnements AD peuvent également supprimer des principaux AD avec des mots de passe expirés à l’aide d’un script de nettoyage automatisé.
Au lieu de changer régulièrement le mot de passe, vous pouvez également placer le principal AD qui représente le compte de stockage dans une unité organisationnelle qui ne nécessite pas de renouvellement de mot de passe.
Il existe deux options pour le déclenchement de la rotation des mots de passe. Vous pouvez utiliser le module AzFilesHybrid ou Active Directory PowerShell. N’utilisez qu’une seule méthode, pas les deux.
S’applique à
| Modèle de gestion | Modèle de facturation | Niveau multimédia | Redondance | PME | Système de fichiers en réseau (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | V2 approvisionné | HDD (standard) | Local (LRS) |  |
 |
| Microsoft.Storage | V2 approvisionné | HDD (standard) | Zone (ZRS) | |
|
| Microsoft.Storage | V2 approvisionné | HDD (standard) | Géo (GRS) | |
|
| Microsoft.Storage | V2 approvisionné | HDD (standard) | GeoZone (GZRS) | |
|
| Microsoft.Storage | V1 approvisionné | SSD (Premium) | Local (LRS) | |
|
| Microsoft.Storage | V1 approvisionné | SSD (Premium) | Zone (ZRS) | |
|
| Microsoft.Storage | Paiement à l’utilisation | HDD (standard) | Local (LRS) | |
|
| Microsoft.Storage | Paiement à l’utilisation | HDD (standard) | Zone (ZRS) | |
|
| Microsoft.Storage | Paiement à l’utilisation | HDD (standard) | Géo (GRS) | |
|
| Microsoft.Storage | Paiement à l’utilisation | HDD (standard) | GeoZone (GZRS) | |
|
Option 1 : Utiliser le module AzFilesHybrid
Pour régénérer et faire pivoter le mot de passe du principal AD qui représente le compte de stockage, utilisez l’applet Update-AzStorageAccountADObjectPassword de commande à partir du module AzFilesHybrid. Pour exécuter Update-AzStorageAccountADObjectPassword, vous devez :
- Exécutez l’applet de commande à partir d’un client joint à un domaine.
- Disposez de l’autorisation propriétaire sur le compte de stockage.
- Disposez des autorisations AD DS pour modifier le mot de passe du principal AD qui représente le compte de stockage.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Après avoir pivoté vers kerb2, nous vous recommandons d'attendre plusieurs heures et d'utiliser à nouveau le cmdlet Update-AzStorageAccountADObjectPassword pour régénérer et revenir ensuite à kerb1, afin que les deux clés Kerberos soient régénérées.
Option 2 : Utiliser Active Directory PowerShell
Si vous ne souhaitez pas télécharger le module AzFilesHybrid, vous pouvez utiliser Active Directory PowerShell.
Important
Les applets de commande Windows Server Active Directory PowerShell décrites dans cette section doivent être exécutées dans Windows PowerShell 5.1 avec des privilèges élevés.
Remplacez dans le script suivant la balise <domain-object-identity> par la valeur appropriée pour votre environnement.
$KeyName = "kerb1" # Could be either the first or second Kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Effectuer un test de correspondance du mot de passe de compte AD DS à une clé Kerberos
Après avoir mis à jour le mot de passe du compte AD DS, vous pouvez le tester à l’aide de la commande PowerShell suivante.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose