Active Directory kapcsolatok létrehozása és kezelése Azure NetApp fájlok számára

Az Azure NetApp Files számos szolgáltatásához Active Directory-kapcsolat szükséges. Az SMB-kötet, az NFSv4.1 Kerberos-kötet vagy a kettős protokollú kötet létrehozása előtt például Active Directory-kapcsolatra van szükség. Ez a cikk bemutatja, hogyan hozhat létre és kezelhet Active Directory-kapcsolatokat az Azure NetApp Fileshoz.

Az Active Directory-kapcsolatokra vonatkozó követelmények és szempontok

Fontos

Kövesse a Active Directory tartományi szolgáltatások azure NetApp Files Active Directory tartományi szolgáltatások (AD DS) vagy az Azure NetApp Fileshoz használt Microsoft Entra Domain Services webhelytervezési és -tervezési irányelveit ismertető útmutatót. Az AD-kapcsolat létrehozása előtt tekintse át az Azure NetApp Files Active Directory-kapcsolatainak módosítását, hogy megértse, milyen hatással van az AD-kapcsolat konfigurációs beállításainak módosítására az AD-kapcsolat létrehozása után. Az AD-kapcsolat konfigurációs beállításainak módosítása megzavarja az ügyfélhozzáférést, és bizonyos beállítások egyáltalán nem módosíthatók.

  • Azure NetApp Files-fiókot kell létrehozni abban a régióban, ahol az Azure NetApp Files-kötetek üzembe vannak helyezve.

  • Előfizetésenként régiónként csak egy Active Directory-(AD-) kapcsolatot konfigurálhat.

    Az Azure NetApp Files nem támogat több AD-kapcsolatot egyetlen régióban, még akkor sem, ha az AD-kapcsolatok különböző NetApp-fiókokban vannak létrehozva. Egyetlen előfizetésben azonban több AD-kapcsolat is lehet, ha az AD-kapcsolatok különböző régiókban találhatók. Ha egyetlen régióban több AD-kapcsolatra van szüksége, ehhez külön előfizetéseket használhat.

    Az AD-kapcsolat csak a létrehozott NetApp-fiókon keresztül látható. Engedélyezheti azonban, hogy a megosztott AD szolgáltatás lehetővé tegye, hogy az azonos előfizetésben és régióban lévő NetApp-fiókok ugyanazt az AD-kapcsolatot használják. Lásd: Több NetApp-fiók leképezése ugyanabban az előfizetésben és régióban egy AD-kapcsolatra.

  • Az Azure NetApp Files AD kapcsolati rendszergazdai fiókjának a következő tulajdonságokkal kell rendelkeznie:

    • Egy AD DS tartományi felhasználói fióknak kell lennie ugyanabban a tartományban, ahol az Azure NetApp Files számítógépfiókok létre lettek hozva.
    • Az AD-kapcsolat Szervezeti egység elérési útjának beállításában megadott AD DS szervezeti egység elérési útján számítógépfiókok (például AD-tartományhoz való csatlakozás) létrehozásához szükséges engedéllyel kell rendelkeznie.
    • Nem lehet csoport által felügyelt szolgáltatásfiók.
  • Az AD kapcsolatadminisztrátori fiók támogatja a Kerberos AES-128 és a Kerberos AES-256 titkosítási típusait az AD DS-vel való hitelesítéshez az Azure NetApp Files számítógépfiókjainak létrehozásához (például AD-tartományhoz való csatlakozási műveletek).

  • Ha engedélyezni szeretné az AES-titkosítást az Azure NetApp Files AD kapcsolatadminisztrátori fiókon, olyan AD tartományi felhasználói fiókot kell használnia, amely az alábbi AD DS-csoportok egyikének tagja:

    • Tartományi rendszergazdák
    • Vállalati rendszergazdák
    • Rendszergazdák
    • Fiókfelelősök
    • Microsoft Entra Domain Services Rendszergazda istrators _ (csak Microsoft Entra Domain Services)_
    • Másik lehetőségként az AD-kapcsolat rendszergazdai fiókján írási engedéllyel rendelkező msDS-SupportedEncryptionTypes AD-tartományi felhasználói fiók is használható a Kerberos titkosítástípus tulajdonság beállításához az AD kapcsolati rendszergazdai fiókban.

    Megjegyzés:

    Amikor úgy módosítja a beállítást, hogy engedélyezze az AES-t az AD kapcsolatadminisztrátori fiókon, ajánlott olyan felhasználói fiókot használni, amely írási engedéllyel rendelkezik az AD-objektumra, amely nem az Azure NetApp Files AD-rendszergazda. Ezt egy másik tartományi rendszergazdai fiókkal vagy egy fiókra való delegálással teheti meg. További információ: Rendszergazda istration delegálása szervezeti egység objektumokkal.

    Ha az AD-kapcsolat rendszergazdai fiókjában az AES-128 és az AES-256 Kerberos titkosítást is beállítja, az AD DS által támogatott legmagasabb szintű titkosítás lesz használva.

  • Az AD-kapcsolat rendszergazdai fiókjának AES-titkosítási támogatásának engedélyezéséhez futtassa az alábbi Active Directory PowerShell-parancsokat:

    Get-ADUser -Identity <ANF AD connection account username>
    Set-ADUser -KerberosEncryptionType <encryption_type>
    

    KerberosEncryptionType egy többértékű paraméter, amely támogatja az AES-128 és az AES-256 értékeket.

    További információkért tekintse meg a Set-ADUser dokumentációját.

  • Ha bizonyos Kerberos-titkosítási típusok engedélyezésére és letiltására van szükség az Azure NetApp Filesban használt, tartományhoz csatlakoztatott Windows-gazdagépek Active Directory-számítógépfiókjaihoz, akkor a csoportházirendet Network Security: Configure Encryption types allowed for Kerberoskell használnia.

    Ne állítsa be a beállításkulcsot HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes. Ezzel megszakítja a Kerberos-hitelesítést az Azure NetApp Files szolgáltatással azon Windows-gazdagépen, ahol ezt a beállításkulcsot manuálisan állította be.

    Megjegyzés:

    Az alapértelmezett házirend-beállítás a Network Security: Configure Encryption types allowed for Kerberos következő Not Defined: . Ha ez a házirend-beállítás be van állítva Not Defined, a DES kivételével minden titkosítási típus elérhető lesz a Kerberos-titkosításhoz. Lehetősége van csak bizonyos Kerberos-titkosítási típusok (például AES128_HMAC_SHA1 ) AES256_HMAC_SHA1támogatásának engedélyezésére. Az alapértelmezett szabályzatnak azonban a legtöbb esetben elegendőnek kell lennie, amikor engedélyezi az AES-titkosítási támogatást az Azure NetApp Files használatával.

    További információ: Hálózati biztonság: A Kerberos vagy a Támogatott Kerberos-titkosítási típusok Windows-konfigurációi számára engedélyezett titkosítási típusok konfigurálása

  • Az LDAP-lekérdezések csak az Active Directory-kapcsolatokban (az AD DNS-tartománynév mező) megadott tartományban lépnek érvénybe. Ez a viselkedés az NFS, az SMB és a kettős protokollú kötetekre vonatkozik.

  • LDAP-lekérdezés időtúllépései

    Alapértelmezés szerint az LDAP-lekérdezések időtúllépést eredményeznek, ha nem hajtható végre időben. Ha egy LDAP-lekérdezés időtúllépés miatt hiúsul meg, a felhasználó és/vagy csoportkeresés sikertelen lesz, és az Azure NetApp Files-kötethez való hozzáférés a kötet engedélybeállításaitól függően megtagadható.

    A lekérdezési időtúllépések nagy LDAP-környezetekben fordulhatnak elő, sok felhasználó- és csoportobjektummal, lassú WAN-kapcsolatokon keresztül, és ha egy LDAP-kiszolgáló túl van használva a kérésekkel. Az Azure NetApp Files LDAP-lekérdezések időtúllépési beállítása 10 másodpercre van állítva. Fontolja meg a felhasználó és a csoport DN-funkcióinak kihasználását az Active Directory Csatlakozás az LDAP-kiszolgáló kereséseinek szűréséhez, ha LDAP-lekérdezés időtúllépési problémái vannak.

Active Directory-kapcsolat létrehozása

  1. A NetApp-fiókjában válassza az Active Directory-kapcsolatok, majd a Csatlakozás lehetőséget.

    Screenshot showing the Active Directory connections menu. The join button is highlighted.

    Megjegyzés:

    Az Azure NetApp Files csak egy Active Directory-kapcsolatot támogat ugyanabban a régióban és ugyanazon előfizetésben.

  2. Az Active Directoryhoz való csatlakozás ablakban adja meg a következő információkat a használni kívánt tartományi szolgáltatások alapján:

    • Elsődleges DNS (kötelező)
      Ez az elsődleges DNS-kiszolgáló IP-címe, amely szükséges az Active Directory-tartománybeléptetési műveletekhez, az SMB-hitelesítéshez, a Kerberoshoz és az LDAP-műveletekhez.

    • Másodlagos DNS
      Ez annak a másodlagos DNS-kiszolgálónak az IP-címe, amely az Active Directory-tartománycsatlakozási műveletekhez, az SMB-hitelesítéshez, a Kerberoshoz és az LDAP-műveletekhez szükséges.

      Megjegyzés:

      Javasoljuk, hogy konfiguráljon egy másodlagos DNS-kiszolgálót. Lásd az Azure NetApp Files Active Directory tartományi szolgáltatások webhelytervezésének és tervezésének irányelveit. Győződjön meg arról, hogy a DNS-kiszolgáló konfigurációja megfelel az Azure NetApp Files követelményeinek. Ellenkező esetben előfordulhat, hogy az Azure NetApp Files szolgáltatásműveletei, SMB-hitelesítése, Kerberos- vagy LDAP-műveletei meghiúsulnak.

      A Microsoft Entra Domain Services használata esetén a Microsoft Entra Domain Services tartományvezérlőinek IP-címét kell használnia az elsődleges DNS-hez és a másodlagos DNS-hez.

    • AD DNS-tartománynév (kötelező)
      Ez az Azure NetApp Fileshoz (például contoso.com) használt AD DS teljes tartományneve.

    • AD-webhely neve (kötelező)
      Ezt az AD DS-webhelynevet fogja használni az Azure NetApp Files a tartományvezérlő felderítéséhez.

      Az AD DS és a Microsoft Entra Domain Services alapértelmezett webhelyneve az Default-First-Site-Name. Ha át szeretné nevezni a webhely nevét, kövesse a helynevek elnevezési konvencióit.

      Megjegyzés:

      Lásd az Azure NetApp Files Active Directory tartományi szolgáltatások webhelytervezésének és tervezésének irányelveit. Győződjön meg arról, hogy az AD DS-webhely kialakítása és konfigurálása megfelel az Azure NetApp Files követelményeinek. Ellenkező esetben előfordulhat, hogy az Azure NetApp Files szolgáltatásműveletei, SMB-hitelesítése, Kerberos- vagy LDAP-műveletei meghiúsulnak.

    • SMB-kiszolgáló (számítógépfiók) előtagja (kötelező)
      Ez az Azure NetApp Files SMB-hez, kettős protokollhoz és NFSv4.1 Kerberos-kötetekhez készült AD DS-ben létrehozott új számítógépfiókok elnevezési előtagja.

      Ha például a szervezet által a fájlszolgáltatásokhoz NAS-01használt elnevezési szabvány az , NAS-02és így tovább, akkor az előtagot kell használnia NAS .

      Az Azure NetApp Files szükség szerint további számítógépfiókokat hoz létre az AD DS-ben.

      Fontos

      Az Active Directory-kapcsolat létrehozása után az SMB-kiszolgáló előtagjának átnevezése zavaró. Az SMB-kiszolgáló előtagjának átnevezése után újra kell csatlakoztatnia a meglévő SMB-megosztásokat.

    • Szervezeti egység elérési útja
      Ez a szervezeti egység (OU) LDAP-elérési útja, ahol SMB-kiszolgálói számítógépfiókok jönnek létre. Vagyis. OU=second level, OU=first level Ha például a tartomány gyökerében létrehozott szervezeti egységet ANF szeretne használni, az érték a következő lesz OU=ANF: .

      Ha nincs megadva érték, az Azure NetApp Files fogja használni a tárolót CN=Computers .

      Ha az Azure NetApp Filest a Microsoft Entra Domain Services szolgáltatással használja, a szervezeti egység elérési útja a következő: OU=AADDC Computers

      Screenshot of the Join Active Directory input fields.

    • AES-titkosítás
      Ez a beállítás lehetővé teszi az AES-titkosítási hitelesítés támogatását az AD-kapcsolat rendszergazdai fiókjához.

      Screenshot of the AES description field. The field is a checkbox.

      A követelményekért tekintse meg az Active Directory-kapcsolatok követelményeit.

    • LDAP-aláírás

      Ez a beállítás engedélyezi az LDAP-aláírást. Ez a funkció lehetővé teszi az egyszerű hitelesítési és biztonsági réteg (SASL) LDAP-kötések integritás-ellenőrzését az Azure NetApp Filesból és a felhasználó által megadott Active Directory tartományi szolgáltatások tartományvezérlőkről.

      Az Azure NetApp Files támogatja az LDAP-csatornakötést, ha az Active Directory Csatlakozás ionban engedélyezve van az LDAP-aláírás és az LDAP TLS-beállításokon keresztüli beállítása. További információ: ADV190023 | A Microsoft útmutatója az LDAP-csatornakötés és az LDAP-aláírás engedélyezéséhez.

      Megjegyzés:

      Az AD DS számítógépfiók(ok) DNS PTR-rekordjait az Azure NetApp Files AD-kapcsolatában megadott AD DS szervezeti egységben kell létrehozni ahhoz, hogy az LDAP-aláírás működjön.

      Screenshot of the LDAP signing checkbox.

    • Helyi NFS-felhasználók engedélyezése LDAP-val Ezzel a beállítással a helyi NFS-ügyfélfelhasználók hozzáférhetnek az NFS-kötetekhez. Ha ezt a beállítást választja, letiltja az NFS-kötetek kiterjesztett csoportjait. Emellett a csoportok számát is 16-ra korlátozza. További információ: Engedélyezze az LDAP-val rendelkező helyi NFS-felhasználók számára a kettős protokollú kötet elérését.

    • LDAP TLS-en keresztül

      Ez a beállítás lehetővé teszi az LDAP TLS-en keresztül történő biztonságos kommunikációt egy Azure NetApp Files-kötet és az Active Directory LDAP-kiszolgáló között. Engedélyezheti az LDAP-t TLS-en keresztül az Azure NetApp Files NFS-, SMB- és kétprotokollos köteteihez.

      Megjegyzés:

      Az LDAP over TLS nem engedélyezhető, ha a Microsoft Entra tartományi szolgáltatásokat használja. A Microsoft Entra Domain Services LDAPS-t (636-os portot) használ az LDAP-forgalom védelmére a TLS-en keresztüli LDAP helyett (389-ös port).

      További információ: Active Directory tartományi szolgáltatások (AD DS) LDAP-hitelesítés engedélyezése NFS-kötetekhez.

    • Kiszolgáló legfelső szintű hitelesítésszolgáltatói tanúsítványa

      Ez a beállítás feltölti a TLS-en keresztül használt LDAP-tanúsítványt.

      További információ: Active Directory tartományi szolgáltatások (AD DS) LDAP-hitelesítés engedélyezése NFS-kötetekhez. 

    • LDAP keresési tartomány, felhasználói DN, csoport DN és csoporttagság szűrője

      Az LDAP keresési hatókör beállítás optimalizálja az Azure NetApp Files storage LDAP-lekérdezéseit a nagyméretű AD DS-topológiák és a kiterjesztett csoportokkal rendelkező LDAP- vagy Unix-biztonsági stílusok használatára egy kétprotokollos Azure NetApp Files-kötettel.

      A felhasználói DN és a csoport DN beállításai lehetővé teszik a keresési bázis beállítását az AD DS LDAP-ben.

      A Csoporttagság-szűrő beállítással egyéni keresési szűrőt hozhat létre az adott AD DS-csoportok tagjaihoz tartozó felhasználók számára.

      Screenshot of the LDAP search scope field, showing a checked box.

      Ezekről a lehetőségekről további információt az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez című témakörben talál.

    • LDAP-ügyfél előnyben részesített kiszolgálója

      Az LDAP-ügyfél előnyben részesített kiszolgálója beállítással legfeljebb két AD-kiszolgáló IP-címét küldheti el vesszővel elválasztott listaként. Ahelyett, hogy egymás után kapcsolatba lépne egy tartomány összes felderített AD-szolgáltatásával, az LDAP-ügyfél először a megadott kiszolgálókkal fog kapcsolatba lépni.

    • Titkosított SMB-kapcsolatok a tartományvezérlővel

      A tartományvezérlővel létesített titkosított SMB-kapcsolatok azt határozzák meg, hogy a titkosítás használható-e az SMB-kiszolgáló és a tartományvezérlő közötti kommunikációhoz. Ha engedélyezve van, a rendszer csak az SMB3-at használja a titkosított tartományvezérlő-kapcsolatokhoz.

      This feature is currently in preview. Ha ez az első alkalom, hogy titkosított SMB-kapcsolatokat használ a tartományvezérlőhöz, regisztrálnia kell azt:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      Ellenőrizze a szolgáltatásregisztráció állapotát:

      Megjegyzés:

      A RegistrationState legfeljebb 60 percig lehet állapotban Registering , mielőtt átváltanaRegistered. Várjon, amíg az állapot folytatódik Registered .

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
      

      Használhatja az Azure CLI-parancsokataz feature register is, és az feature show regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.

    • Biztonsági mentési szabályzat felhasználói Ez a beállítás további biztonsági jogosultságokat biztosít az AD DS-tartomány azon felhasználóinak vagy csoportjainak, amelyek emelt szintű biztonsági mentési jogosultságot igényelnek az Azure NetApp Files biztonsági mentési, visszaállítási és migrálási munkafolyamatainak támogatásához. A megadott AD DS-felhasználói fiókok vagy -csoportok emelt szintű NTFS-engedélyekkel rendelkeznek a fájl- vagy mappaszinten.

      Screenshot of the Backup policy users field showing an empty text input field.

      A Biztonsági mentési házirend felhasználói beállításainak használatakor a következő jogosultságok érvényesek:

      Privilege Leírás
      SeBackupPrivilege Biztonsági másolatot készít a fájlokról és könyvtárakról, felülírva az ACL-eket.
      SeRestorePrivilege Fájlok és könyvtárak visszaállítása, felülírva az ACL-eket.
      Állítsa be az érvényes felhasználó vagy csoport biztonsági azonosítóját fájltulajdonosként.
      SeChangeNotifyPrivilege Bejárás ellenőrzésének mellőzése.
      Az ilyen jogosultsággal rendelkező felhasználóknak nem kell bejárási (x) engedélyekkel rendelkezniük a mappák vagy szimlinkek áthaladásához.
    • Biztonsági jogosultsággal rendelkező felhasználók
      Ez a beállítás biztonsági jogosultságot (SeSecurityPrivilege) biztosít azOknak az AD DS-tartományfelhasználóknak vagy csoportoknak, amelyek emelt szintű jogosultságot igényelnek az Azure NetApp Files-kötetek eléréséhez. A megadott AD DS-felhasználók vagy -csoportok olyan SMB-megosztásokon hajthatnak végre bizonyos műveleteket, amelyekhez alapértelmezés szerint nem tartományi felhasználókhoz rendelt biztonsági jogosultság szükséges.

      Screenshot showing the Security privilege users box of Active Directory connections window.

      A Biztonsági jogosultság felhasználói beállítás használatakor a következő jogosultság érvényes:

      Privilege Leírás
      SeSecurityPrivilege Naplóműveletek kezelése.

      Ez a funkció az SQL Server olyan esetekben történő telepítéséhez használható, amikor egy nem rendszergazdai AD DS-tartományi fióknak ideiglenesen emelt szintű biztonsági jogosultságot kell biztosítani.

      Megjegyzés:

      A Biztonsági jogosultság felhasználói funkció használata az SMB folyamatos rendelkezésre állási megosztások funkciójára támaszkodik. Az SMB folyamatos rendelkezésre állása egyéni alkalmazásokban nem támogatott. Ez csak a Citrix App Laying, az FSLogix felhasználóiprofil-tárolók és a Microsoft SQL Server (nem Linux SQL Server) használatával támogatott számítási feladatok esetében.

      Fontos

      A Biztonsági jogosultság felhasználói funkció használatához várólista-kérelmet kell küldenie az Azure NetApp Files SMB folyamatos rendelkezésre állási megosztások nyilvános előzetes verziójának beküldési oldalán keresztül. A funkció használata előtt várjon egy hivatalos visszaigazoló e-mailt az Azure NetApp Files csapatától.
      Ez a funkció nem kötelező, és csak SQL Server esetén támogatott. Az SQL Server telepítéséhez használt AD DS-tartományfióknak már léteznie kell, mielőtt hozzáadná a Biztonsági jogosultság felhasználói beállításhoz. Amikor hozzáadja az SQL Server telepítőfiókot a Biztonsági jogosultsági felhasználók beállításhoz, az Azure NetApp Files szolgáltatás egy AD DS-tartományvezérlővel kapcsolatba lépve érvényesítheti a fiókot. Ez a művelet meghiúsulhat, ha az Azure NetApp Files nem tud kapcsolatba lépni az AD DS tartományvezérlővel.

      További információ az SQL Serverről és az SQL Serverről SeSecurityPrivilege : Az SQL Server telepítése meghiúsul, ha a telepítőfiók nem rendelkezik bizonyos felhasználói jogosultságokkal.

    • Rendszergazda istrators privilege users

      Ez a beállítás további biztonsági jogosultságokat biztosít az AD DS-tartomány azon felhasználóinak vagy csoportjainak, amelyek emelt szintű jogosultságot igényelnek az Azure NetApp Files-kötetek eléréséhez. A megadott fiókok fájl- vagy mappaszinten emelt szintű engedélyekkel rendelkeznek.

      Megjegyzés:

      A tartományi rendszergazdák automatikusan hozzáadódnak a Rendszergazda istrators jogosultsági felhasználói csoporthoz.

      Screenshot that shows the Administrators box of Active Directory connections window.

      A Rendszergazda istrators jogosultságfelhasználói beállítás használatakor a következő jogosultságok érvényesek:

      Privilege Leírás
      SeBackupPrivilege Biztonsági másolatot készít a fájlokról és könyvtárakról, felülírva az ACL-eket.
      SeRestorePrivilege Fájlok és könyvtárak visszaállítása, felülírva az ACL-eket.
      Állítsa be az érvényes felhasználó vagy csoport biztonsági azonosítóját fájltulajdonosként.
      SeChangeNotifyPrivilege Bejárás ellenőrzésének mellőzése.
      Az ilyen jogosultsággal rendelkező felhasználóknak nincs szükség a mappák vagy szimlinkek átjárási (x) engedélyére.
      SeTakeOwnershipPrivilege A fájlok vagy egyéb objektumok tulajdonjogának átvétele.
      SeSecurityPrivilege Naplóműveletek kezelése.
      SeChangeNotifyPrivilege Bejárás ellenőrzésének mellőzése.
      Az ilyen jogosultsággal rendelkező felhasználóknak nincs szükség a mappák vagy szimlinkek átjárási (x) engedélyére.
    • Hitelesítő adatok, beleértve a felhasználónevet és a jelszót

      Screenshot that shows Active Directory credentials fields showing username, password and confirm password fields.

      Fontos

      Bár az Active Directory 256 karakteres jelszavakat támogat, az Azure NetApp Fileshoz használható Active Directory-jelszavak száma nem haladhatja meg a 64 karaktert.

  3. Válassza a Csatlakozás lehetőséget.

    Megjelenik a létrehozott Active Directory-kapcsolat.

    Screenshot of the Active Directory connections menu showing a successfully created connection.

Több, ugyanabban az előfizetésben és régióban lévő NetApp-fiók leképezése AD-kapcsolatra

A Megosztott AD funkció lehetővé teszi, hogy az összes NetApp-fiók megossza az ugyanazon előfizetéshez és régióhoz tartozó NetApp-fiókok egyikével létrehozott Active Directory-(AD-) kapcsolatot. A funkció használatával például az ugyanabban az előfizetésben és régióban lévő összes NetApp-fiók használhatja a közös AD-konfigurációt SMB-kötet, NFSv4.1 Kerberos-kötet vagy kettős protokollú kötet létrehozásához. A funkció használatakor az AD-kapcsolat minden olyan NetApp-fiókban látható lesz, amely ugyanabban az előfizetésben és régióban található.

This feature is currently in preview. Az első használat előtt regisztrálnia kell a funkciót. A regisztráció után a funkció engedélyezve van, és a háttérben működik. Nincs szükség felhasználói felületi vezérlőre.

  1. A funkció regisztrálása:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    
  2. Ellenőrizze a szolgáltatásregisztráció állapotát:

    Megjegyzés:

    A RegistrationState legfeljebb 60 percig lehet állapotban Registering , mielőtt átváltanaRegistered. A folytatás előtt várjon, amíg az állapot regisztrálva van.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSharedAD
    

Használhatja az Azure CLI-parancsokataz feature register is, és az feature show regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.

Active Directory számítógépfiók jelszavának alaphelyzetbe állítása

Ha véletlenül alaphelyzetbe állítja az AD-számítógépfiók jelszavát az AD-kiszolgálón, vagy az AD-kiszolgáló nem érhető el, biztonságosan alaphelyzetbe állíthatja a számítógépfiók jelszavát, hogy megőrizze a kötetekkel való kapcsolatot. Az alaphelyzetbe állítás az SMB-kiszolgálón lévő összes kötetre hatással van.

A funkció regisztrálása

Az Active Directory számítógépfiók új jelszószolgáltatása jelenleg nyilvános előzetes verzióban érhető el. Ha először használja ezt a funkciót, először regisztrálnia kell a funkciót.

  1. Regisztrálja az Active Directory számítógépfiók új jelszó funkcióját:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Ellenőrizze a szolgáltatásregisztráció állapotát. A RegistrationState legfeljebb 60 percig lehet állapotban Registering , mielőtt átváltanaRegistered. Várjon, amíg az állapot folytatódik Registered .
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Használhatja az Azure CLI-parancsokataz feature register is, és az feature show regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.

Lépések

  1. Lépjen a kötet áttekintési menüjére. Válassza az Active Directory-fiók alaphelyzetbe állítása lehetőséget. Azure Volume Overview interface with the Reset Active Directory Account button highlighted. Másik megoldásként keresse meg a Kötetek menüt . Azonosítsa azt a kötetet, amelyhez alaphelyzetbe szeretné állítani az Active Directory-fiókot, és válassza ki a sor végén található három elemet (...). Válassza az Active Directory-fiók alaphelyzetbe állítása lehetőséget. Azure volume list with the Reset Active Directory Account button highlighted.
  2. Megjelenik egy figyelmeztető üzenet, amely ismerteti a művelet következményeit. A folytatáshoz írja be az igent a szövegmezőbe. Reset Active Directory Account warning message that reads: Warning! This action will reset the active directory account for the volume. This action is intended for users to regain access to volumes at their disposal and can cause data to be unreachable if executed when not needed.

Következő lépések