Active Directory-kapcsolatok módosítása Azure NetApp fájlok számára
Miután létrehozott egy Active Directory-kapcsolatot az Azure NetApp Filesban, módosíthatja azt. Active Directory-kapcsolat módosításakor nem minden konfiguráció módosítható.
További információkért lásd az Azure NetApp Files Active Directory tartományi szolgáltatások webhelytervezési és -tervezési irányelveit.
Active Directory-kapcsolatok módosítása
Válassza ki az Active Directory-kapcsolatokat. Ezután válassza a Szerkesztés lehetőséget egy meglévő AD-kapcsolat szerkesztéséhez.
A megjelenő Active Directory szerkesztése ablakban szükség szerint módosítsa az Active Directory kapcsolatkonfigurációit. A módosítható mezők ismertetését az Active Directory-kapcsolatok beállításai című témakörben találja.
Az Active Directory-kapcsolatok beállításai
| Mező neve | Leírás | Módosítható? | Szempontok és hatások | Hatály |
|---|---|---|---|---|
| Elsődleges DNS | Az Active Directory-tartomány elsődleges DNS-kiszolgálói IP-címei. | Igen | Nincs* | A rendszer új DNS-IP-címet használ a DNS-feloldáshoz. |
| Másodlagos DNS | Az Active Directory-tartomány másodlagos DNS-kiszolgálói IP-címei. | Igen | Nincs* | Az elsődleges DNS meghibásodása esetén a rendszer új DNS-IP-címet használ a DNS-feloldáshoz. |
| AD DNS-tartománynév | A csatlakoztatni kívánt Active Directory tartományi szolgáltatások tartományneve. | Nem | Egyik sem | n/a |
| AD-webhely neve | Az a hely, amelyre a tartományvezérlő felderítése korlátozott. | Igen | Ennek meg kell egyeznie az Active Directory helyek és szolgáltatások helynevével. Lásd a lábjegyzetet.* | A tartományfelderítés az új webhelynévre korlátozódik. Ha nincs megadva, a rendszer az "Default-First-Site-Name" nevet használja. |
| SMB-kiszolgáló (számítógépfiók) előtagja | Az Azure NetApp Files által az új fiókok létrehozásához használt active directorybeli számítógépfiók elnevezési előtagja. Lásd a lábjegyzetet.* | Igen | A meglévő köteteket újra csatlakoztatni kell, mivel az SMB-megosztások és az NFS Kerberos-kötetek csatlakoztatása módosul.* | Az Active Directory-kapcsolat létrehozása után az SMB-kiszolgáló előtagjának átnevezése zavaró. A meglévő SMB-megosztásokat és NFS Kerberos-köteteket az SMB-kiszolgáló előtagjának átnevezése után újra kell csatlakoztatnia, mivel a csatlakoztatási útvonal megváltozik. |
| Szervezeti egység elérési útja | Annak a szervezeti egységnek (szervezeti egységnek) az LDAP-elérési útja, ahol SMB-kiszolgálói számítógépfiókok jönnek létre. OU=second level, OU=first level |
Nem | Ha Azure NetApp Files-fájlokat használ a Microsoft Entra Domain Services szolgáltatással, a szervezeti útvonal OU=AADDC Computers az, amikor konfigurálja az Active Directoryt a NetApp-fiókjához. |
A számítógépfiókok a megadott szervezeti egység alá kerülnek. Ha nincs megadva, a rendszer alapértelmezés szerint az alapértelmezett értéket OU=Computers használja. |
| AES-titkosítás | A Kerberos-alapú kommunikációval a legerősebb biztonság kihasználásához engedélyezheti az AES-256 és az AES-128 titkosítást az SMB-kiszolgálón. | Igen | Ha engedélyezi az AES-titkosítást, az Active Directoryhoz való csatlakozáshoz használt felhasználói hitelesítő adatoknak engedélyezniük kell a legmagasabb megfelelő fiókbeállítást, amely megfelel az Active Directoryhoz engedélyezett képességeknek. Ha például az Active Directoryban csak az AES-128 van engedélyezve, engedélyeznie kell az AES-128 fiók beállítását a felhasználói hitelesítő adatokhoz. Ha az Active Directory rendelkezik az AES-256 képességgel, engedélyeznie kell az AES-256-fiók beállítást (amely az AES-128-at is támogatja). Ha az Active Directory nem rendelkezik Kerberos-titkosítási képességgel, az Azure NetApp Files alapértelmezés szerint DES-t használ.* | AES-titkosítás engedélyezése az Active Directory-hitelesítéshez |
| LDAP-aláírás | Ez a funkció biztonságos LDAP-kereséseket tesz lehetővé az Azure NetApp Files szolgáltatás és a felhasználó által megadott Active Directory tartományi szolgáltatások tartományvezérlő között. | Igen | LDAP-aláírás a csoportházirendbe való bejelentkezés megköveteléséhez* | Ez a beállítás módot kínál az LDAP-ügyfelek és az Active Directory-tartományvezérlők közötti kommunikáció biztonságának növelésére. |
| Helyi NFS-felhasználók engedélyezése LDAP használatával | Ha engedélyezve van, ez a beállítás kezeli a helyi felhasználók és LDAP-felhasználók hozzáférését. | Igen | Ez a beállítás lehetővé teszi a helyi felhasználók elérését. Ez nem ajánlott, és ha engedélyezve van, csak korlátozott ideig és később tiltható le. | Ha engedélyezve van, ez a beállítás lehetővé teszi a helyi felhasználók és AZ LDAP-felhasználók elérését. Ha a konfiguráció csak LDAP-felhasználók számára igényel hozzáférést, tiltsa le ezt a beállítást. |
| LDAP TLS-en keresztül | Ha engedélyezve van, a TLS-en keresztüli LDAP úgy van konfigurálva, hogy támogassa az Active Directoryval folytatott biztonságos LDAP-kommunikációt. | Igen | Egyik sem | Ha engedélyezte az LDAP-t a TLS-en keresztül, és ha a kiszolgáló legfelső szintű hitelesítésszolgáltatói tanúsítványa már megtalálható az adatbázisban, akkor a hitelesítésszolgáltatói tanúsítvány biztosítja az LDAP-forgalmat. Ha új tanúsítványt ad át, a rendszer telepíti a tanúsítványt. |
| Kiszolgáló legfelső szintű hitelesítésszolgáltatói tanúsítványa | Ha az LDAP SSL/TLS protokollon keresztül engedélyezve van, az LDAP-ügyfélnek rendelkeznie kell a base64 kódolású Active Directory Tanúsítványszolgáltatás önaláírt legfelső szintű hitelesítésszolgáltatói tanúsítványával. | Igen | Nincs* | Az LDAP-forgalom csak akkor védett új tanúsítvánnyal, ha a TLS-en keresztüli LDAP engedélyezve van |
| LDAP keresési hatókör | Lásd: Active Directory-kapcsolatok létrehozása és kezelése | Igen | - | - |
| LDAP-ügyfél előnyben részesített kiszolgálója | Legfeljebb két AD-kiszolgálót jelölhet ki az LDAP számára, hogy először megkísérelje a kapcsolatot. Lásd: A Active Directory tartományi szolgáltatások webhely tervezésének és tervezésének irányelvei | Igen | Nincs* | Az LDAP-ügyfél az AD-kiszolgálóhoz való csatlakozás során akadályozhatja az időtúllépést. |
| Titkosított SMB-kapcsolatok a tartományvezérlővel | Ez a beállítás azt határozza meg, hogy titkosítást kell-e használni az SMB-kiszolgáló és a tartományvezérlő közötti kommunikációhoz. A funkció használatáról további információt az Active Directory-kapcsolatok létrehozása című témakörben talál. | Igen | Az SMB, a Kerberos és az LDAP által engedélyezett kötetlétrehozás nem használható, ha a tartományvezérlő nem támogatja az SMB3-at | Csak az SMB3-at használja titkosított tartományvezérlő-kapcsolatokhoz. |
| Biztonsági mentési szabályzat felhasználói | További fiókokat is felvehet, amelyek emelt szintű jogosultságot igényelnek az Azure NetApp Files használatához létrehozott számítógépfiókhoz. További információ: Active Directory-kapcsolatok létrehozása és kezelése. F | Igen | Nincs* | A megadott fiókok fájl- vagy mappaszinten módosíthatják az NTFS-engedélyeket. |
| Rendszergazdák | Felhasználók vagy csoportok megadása a kötet rendszergazdai jogosultságainak megadásához | Igen | Egyik sem | A felhasználói fiók rendszergazdai jogosultságokat kap |
| Felhasználónév | Az Active Directory tartományi rendszergazdájának felhasználóneve | Igen | Nincs* | Hitelesítő adatok módosítása a tartományvezérlővel való kapcsolatfelvételhez |
| Jelszó | Az Active Directory tartományi rendszergazdájának jelszava | Igen | Nincs* A jelszó nem haladhatja meg a 64 karaktert. |
Hitelesítő adatok módosítása a tartományvezérlővel való kapcsolatfelvételhez |
| Kerberos-tartomány: AD-kiszolgáló neve | Az Active Directory-gép neve. Ez a beállítás csak Kerberos-kötet létrehozásakor használható. | Igen | Nincs* | |
| Kerberos Realm: KDC IP | A Kerberos Distribution Center (KDC) kiszolgáló IP-címét adja meg. A KDC az Azure NetApp Filesban egy Active Directory-kiszolgáló | Igen | Egyik sem | A rendszer új KDC IP-címet használ |
| Régió | Az a régió, ahol az Active Directory hitelesítő adatai vannak társítva | Nem | Egyik sem | n/a |
| Felhasználói DN | A beágyazott userDN felhasználói keresések alapszintű DN-ét felülbíráló felhasználónevet formázhatja OU=subdirectory, OU=directory, DC=domain, DC=com . |
Igen | Nincs* | A felhasználói keresési hatókör az alapszintű DN helyett a felhasználói DN-re lesz korlátozva. |
| Csoport DN-je | Csoport tartományneve. A groupDN felülbírálja a csoportkeresések alapszintű DN-ét. A beágyazott groupDN formátumot OU=subdirectory, OU=directory, DC=domain, DC=com is megadhat. |
Igen | Nincs* | A csoport keresési hatóköre az alapszintű DN helyett a csoport DN-ére lesz korlátozva. |
| Csoporttagság szűrője | Az egyéni LDAP keresési szűrő, amelyet az LDAP-kiszolgáló csoporttagságának keresésekor használ. groupMembershipFilter formátummal (gidNumber=*) adható meg. |
Igen | Nincs* | A csoporttagság-szűrőt akkor használja a rendszer, amikor lekérdezi egy felhasználó csoporttagságát az LDAP-kiszolgálóról. |
| Biztonsági jogosultsággal rendelkező felhasználók | Az Azure NetApp Files-kötetek eléréséhez emelt szintű jogosultságot igénylő felhasználók számára biztonsági jogosultságot (SeSecurityPrivilege) adhat. A megadott felhasználói fiókok bizonyos műveleteket hajthatnak végre olyan Azure NetApp Files SMB-megosztásokon, amelyekhez alapértelmezés szerint nem tartományi felhasználókhoz rendelt biztonsági jogosultság szükséges. További információ: Active Directory-kapcsolatok létrehozása és kezelése. |
Igen | A funkció használata nem kötelező, és csak az SQL Server esetében támogatott. Az SQL Server telepítéséhez használt tartományi fióknak már léteznie kell, mielőtt hozzáadja a Biztonsági jogosultságok felhasználói mezőhöz. Amikor hozzáadja az SQL Server telepítő fiókját a biztonsági jogosultsági felhasználókhoz, az Azure NetApp Files szolgáltatás a tartományvezérlővel kapcsolatba lépve érvényesítheti a fiókot. A parancs sikertelen lehet, ha nem tud kapcsolatba lépni a tartományvezérlővel. Tekintse meg, hogy az SQL Server telepítése meghiúsul, ha a telepítőfiók nem rendelkezik bizonyos felhasználói jogosultságokkal a további SeSecurityPrivilege információkért és az SQL Serverhez.* |
Lehetővé teszi, hogy a nem rendszergazdai fiókok az ANF-köteteken felül SQL-eket használjanak. |
*A módosított bejegyzésre csak akkor van hatással, ha a módosításokat helyesen adta meg. Ha helytelenül ad meg adatokat, a felhasználók és az alkalmazások elveszítik a hozzáférést.