Mengubah koneksi Active Directory untuk Azure NetApp Files
Setelah membuat koneksi Direktori Aktif di Azure NetApp Files, Anda dapat memodifikasinya. Saat Anda memodifikasi koneksi Direktori Aktif, tidak semua konfigurasi dapat dimodifikasi.
Untuk informasi selengkapnya, lihat Memahami panduan untuk desain dan perencanaan situs Active Directory Domain Services untuk Azure NetApp Files.
Mengubah koneksi Direktori Aktif
Pilih Koneksi Direktori Aktif. Lalu, pilih Edit untuk mengedit koneksi AD yang sudah ada.
Di jendela Edit Direktori Aktif yang muncul, ubah konfigurasi koneksi Direktori Aktif sesuai kebutuhan. Untuk penjelasan tentang bidang apa yang bisa Anda ubah, lihat Opsi untuk koneksi Direktori Aktif.
Opsi untuk koneksi Direktori Aktif
| Nama Bidang | Apa fungsinya | Apakah dapat dimodifikasi? | Pertimbangan & Dampak | Efek |
|---|---|---|---|---|
| DNS utama | Alamat IP server DNS utama untuk domain Direktori Aktif. | Ya | Tidak* | IP DNS baru digunakan untuk resolusi DNS. |
| DNS sekunder | Alamat IP server DNS sekunder untuk domain Direktori Aktif. | Ya | Tidak* | IP DNS baru akan digunakan untuk resolusi DNS jika DNS utama gagal. |
| Nama Domain AD DNS | Nama domain Active Directory Domain Services yang ingin Anda gabungkan. | No | Tidak | T/A |
| Nama Situs AD | Situs tempat penemuan pengendali domain dibatasi. | Ya | Ini harus cocok dengan nama situs di Situs dan Layanan Direktori Aktif. Lihat catatan kaki.* | Penemuan domain terbatas pada nama situs baru. Jika tidak ditentukan, "Default-First-Site-Name" digunakan. |
| Awalan SMB Server (Akun Komputer) | Awalan penamaan untuk akun komputer di Direktori Aktif yang akan digunakan Azure NetApp Files untuk pembuatan akun baru. Lihat catatan kaki.* | Ya | Volume yang ada perlu dipasang lagi karena pemasangan diubah untuk berbagi SMB dan volume NFS Kerberos.* | Mengganti nama awalan server SMB setelah Anda membuat koneksi Direktori Aktif akan mengganggu. Anda harus melepas berbagi SMB dan volume NFS Kerberos yang ada setelah mengganti nama awalan server SMB karena jalur pemasangan akan berubah. |
| Jalur Unit Organisasi | Jalur LDAP untuk unit organisasi (OU) tempat akun komputer server SMB akan dibuat. OU=second level, OU=first level |
No | Jika Anda menggunakan Azure NetApp Files dengan Microsoft Entra Domain Services, jalur organisasi adalah OU=AADDC Computers saat Anda mengonfigurasi Direktori Aktif untuk Akun NetApp Anda. |
Akun komputer akan ditempatkan di bawah unit organisasi yang ditentukan. Jika tidak ditentukan, default OU=Computers digunakan secara default. |
| Enkripsi AES | Untuk memanfaatkan keamanan terkuat dengan komunikasi berbasis Kerberos, Anda dapat mengaktifkan enkripsi AES-256 dan AES-128 di server SMB. | Ya | Jika Anda mengaktifkan enkripsi AES, kredensial pengguna yang digunakan untuk bergabung dengan Direktori Aktif harus mengaktifkan opsi akun terkait tertinggi, yang cocok dengan kemampuan yang diaktifkan untuk Direktori Aktif Anda. Misalnya, jika Direktori Aktif Anda hanya mengaktifkan AES-128, Anda harus mengaktifkan opsi akun AES-128 untuk kredensial pengguna. Jika Direktori Aktif Anda memiliki kemampuan AES-256, Anda harus mengaktifkan opsi akun AES-256 (yang juga mendukung AES-128). Jika Direktori Aktif Anda tidak memiliki kemampuan enkripsi Kerberos, Azure NetApp Files menggunakan DES secara default.* | Mengaktifkan enkripsi AES untuk Autentikasi Direktori Aktif |
| Penandatanganan LDAP | Fungsionalitas ini memungkinkan pencarian LDAP yang aman antara layanan Azure NetApp Files dan pengendali domain Active Directory Domain Services yang ditentukan pengguna. | Ya | Penandatanganan LDAP ke Memerlukan kebijakan grup Masuk* | Opsi ini menyediakan cara untuk meningkatkan keamanan untuk komunikasi antara klien LDAP dan pengontrol domain Direktori Aktif. |
| Mengizinkan pengguna NFS lokal dengan LDAP | Jika diaktifkan, opsi ini mengelola akses untuk pengguna lokal dan pengguna LDAP. | Ya | Opsi ini memungkinkan akses ke pengguna lokal. Ini tidak disarankan dan, jika diaktifkan, hanya boleh digunakan untuk waktu yang terbatas dan kemudian dinonaktifkan. | Jika diaktifkan, opsi ini memungkinkan akses ke pengguna lokal dan pengguna LDAP. Jika konfigurasi Anda hanya memerlukan akses untuk pengguna LDAP, Anda harus menonaktifkan opsi ini. |
| LDAP melalui TLS | Jika diaktifkan, LDAP melalui TLS dikonfigurasi untuk mendukung komunikasi LDAP yang aman ke direktori aktif. | Ya | Tidak | Jika Anda telah mengaktifkan LDAP melalui TLS dan jika sertifikat CA akar server sudah ada dalam database, maka sertifikat CA mengamankan lalu lintas LDAP. Jika sertifikat baru diteruskan, sertifikat tersebut akan diinstal. |
| Sertifikat OS akar server | Ketika LDAP melalui SSL/TLS diaktifkan, klien LDAP diharuskan memiliki sertifikat CA akar Layanan Sertifikat Direktori Aktif yang dikodekan sendiri oleh base64. | Ya | Tidak* | Lalu lintas LDAP diamankan dengan sertifikat baru hanya jika LDAP melalui TLS diaktifkan |
| Cakupan pencarian LDAP | Lihat Membuat dan mengelola koneksi Direktori Aktif | Ya | - | - |
| Server pilihan untuk klien LDAP | Anda dapat menunjuk hingga dua server AD untuk LDAP untuk mencoba koneksi dengan terlebih dahulu. Lihat Memahami panduan untuk desain dan perencanaan situs Active Directory Domain Services | Ya | Tidak* | Berpotensi menghambat waktu habis ketika klien LDAP berusaha terhubung ke server AD. |
| Koneksi SMB terenkripsi ke Pengendali Domain | Opsi ini menentukan apakah enkripsi harus digunakan untuk komunikasi antara server SMB dan pengendali domain. Lihat Membuat koneksi Direktori Aktif untuk detail selengkapnya tentang menggunakan fitur ini. | Ya | Pembuatan volume yang diaktifkan SMB, Kerberos, dan LDAP tidak dapat digunakan jika pengendali domain tidak mendukung SMB3 | Hanya gunakan SMB3 untuk koneksi pengontrol domain terenkripsi. |
| Pengguna kebijakan Backup | Anda dapat menyertakan lebih banyak akun yang memerlukan hak istimewa yang ditinggikan ke akun komputer yang dibuat untuk digunakan dengan Azure NetApp Files. Untuk informasi selengkapnya, lihat Membuat dan mengelola koneksi Direktori Aktif. F | Ya | Tidak* | Akun yang ditentukan akan diizinkan untuk mengubah izin NTFS pada tingkat file atau folder. |
| Administrator | Tentukan pengguna atau grup untuk memberikan hak istimewa administrator pada volume | Ya | Tidak | Akun pengguna menerima hak istimewa administrator |
| Nama Pengguna | Nama pengguna administrator domain Direktori Aktif | Ya | Tidak* | Perubahan kredensial untuk menghubungi DC |
| Kata sandi | Kata sandi administrator domain Direktori Aktif | Ya | Tidak* Kata sandi tidak boleh melebihi 64 karakter. |
Perubahan kredensial untuk menghubungi DC |
| Kerberos Realm: Nama Server AD | Nama komputer Direktori Aktif. Opsi ini hanya digunakan saat membuat volume Kerberos. | Ya | Tidak* | |
| Kerberos Realm: KDC IP | Menentukan alamat IP server Pusat Distribusi Kerberos (KDC). KDC di Azure NetApp Files adalah server Direktori Aktif | Ya | Tidak | Alamat IP KDC baru akan digunakan |
| Wilayah | Wilayah tempat kredensial Direktori Aktif dikaitkan | No | Tidak | T/A |
| Pengguna DN | Nama domain pengguna, yang mengambil alih DN dasar untuk pencarian pengguna Nested userDN dapat ditentukan dalam OU=subdirectory, OU=directory, DC=domain, DC=com format. |
Ya | Tidak* | Cakupan pencarian pengguna terbatas pada DN Pengguna, bukan DN dasar. |
| Grup DN | Nama domain grup. groupDN mengambil alih DN dasar untuk pencarian grup. GroupDN berlapis dapat ditentukan dalam OU=subdirectory, OU=directory, DC=domain, DC=com format. |
Ya | Tidak* | Cakupan pencarian grup terbatas pada DN Grup, bukan DN dasar. |
| Filter Keanggotaan Grup | Filter pencarian LDAP kustom yang akan digunakan saat mencari keanggotaan grup dari server LDAP. groupMembershipFilter dapat ditentukan dengan (gidNumber=*) format . |
Ya | Tidak* | Filter keanggotaan grup akan digunakan saat mengkueri keanggotaan grup pengguna dari server LDAP. |
| Pengguna Hak Istimewa Keamanan | Anda dapat memberikan hak istimewa keamanan (SeSecurityPrivilege) kepada pengguna yang memerlukan hak istimewa yang ditingkatkan untuk mengakses volume Azure NetApp Files. Akun pengguna yang ditentukan akan diizinkan untuk melakukan tindakan tertentu pada berbagi Azure NetApp Files SMB yang memerlukan hak istimewa keamanan yang tidak ditetapkan secara default kepada pengguna domain. Lihat Membuat dan mengelola koneksi Direktori Aktif untuk informasi selengkapnya. |
Ya | Menggunakan fitur ini bersifat opsional dan hanya didukung untuk SQL Server. Akun domain yang digunakan untuk menginstal SQL Server harus sudah ada sebelum Anda menambahkannya ke bidang Pengguna hak istimewa Keamanan. Ketika Anda menambahkan akun penginstal SQL Server ke pengguna hak istimewa Keamanan, layanan Azure NetApp Files mungkin memvalidasi akun dengan menghubungi pengontrol domain. Perintah mungkin gagal jika tidak dapat menghubungi pengendali domain. Lihat Penginstalan SQL Server gagal jika akun Penyiapan tidak memiliki hak pengguna tertentu untuk informasi selengkapnya tentang SeSecurityPrivilege dan SQL Server.* |
Memungkinkan akun non-administrator untuk menggunakan sever SQL di atas volume ANF. |
*Tidak ada dampak pada entri yang dimodifikasi hanya jika modifikasi dimasukkan dengan benar. Jika Anda salah memasukkan data, pengguna dan aplikasi akan kehilangan akses.