Azure NetApp Files 用の Active Directory の接続を変更する
Azure NetApp Files で Active Directory 接続を作成したら、それを変更できます。 Active Directory 接続を変更する場合、すべての構成を変更できるわけではありません。
詳細については、「Active Directory ドメイン Services サイトの設計と Azure NetApp Files の計画に関するガイドラインを理解する」を参照してください。
Active Directory 接続を変更する
[Active Directory 接続] を選択します。 次に、既存の AD 接続を編集するために [編集] を選択します。
表示された [Active Directory の編集] ウィンドウで、必要に応じて Active Directory 接続の構成を変更します。 変更できるフィールドの説明については、「Active Directory 接続のオプション」を参照してください。
Active Directory 接続のオプション
| フィールド名 | 説明 | 変更できますか? | 考慮事項と影響 | 結果 |
|---|---|---|---|---|
| プライマリ DNS | Active Directory ドメインのプライマリ DNS サーバーの IP アドレス。 | はい | なし* | DNS 解決には、新しい DNS IP が使用されます。 |
| セカンダリ DNS | Active Directory ドメインのセカンダリ DNS サーバーの IP アドレス。 | はい | なし* | プライマリ DNS に障害が発生した場合は、新しい DNS IP が DNS 解決に使用されます。 |
| AD DNS ドメイン名 | 参加させる Active Directory Domain Services のドメイン名。 | いいえ | なし | 該当なし |
| AD サイト名 | ドメイン コントローラの検出が制限されているサイト。 | はい | これは Active Directory のサイトとサービスのサイト名に一致している必要があります。 脚注を参照してください。* | ドメインの検出は、新しいサイト名に制限されます。 指定しない場合は、"Default-First-Site-Name" が使用されます。 |
| SMB サーバー (コンピューター アカウント) のプレフィックス | Azure NetApp Files で新しいアカウントの作成に使用される、Active Directory のコンピューター アカウントの命名規則プレフィックス。 脚注を参照してください。* | はい | SMB 共有と NFS Kerberos ボリュームのマウントが変更されるため、既存のボリュームを再度マウントする必要があります。* | Active Directory 接続を作成した後に SMB サーバー プレフィックスの名前を変更すると混乱が生じます。 SMB サーバー プレフィックスの名前を変更すると、マウント パスが変更されるため、既存の SMB 共有と NFS Kerberos ボリュームを再マウントする必要があります。 |
| 組織単位のパス | これは、SMB サーバー コンピューター アカウントが作成される組織単位 (OU) の LDAP パスです。 OU=second level, OU=first level |
いいえ | Microsoft Entra Domain Services と組み合わせて Azure NetApp Files を使用している場合、NetApp アカウント用に Active Directory を構成する際の組織単位のパスは OU=AADDC Computers になります。 |
コンピューター アカウントは、指定した OU の下に配置されます。 指定しない場合、既定では OU=Computers の既定値が使用されます。 |
| AES の暗号化 | Kerberos ベースの通信で最も強力なセキュリティを利用するには、SMB サーバーで AES-256 および AES-128 暗号化を有効にすることができます。 | はい | AES の暗号化を有効にする場合、Active Directory に参加するのに使用するユーザー資格情報では、ご利用の Active Directory で有効になっている機能と一致する、対応するアカウント オプションの中で最上位のものが有効になっている必要があります。 たとえば、ご利用の Active Directory に AES-128 のみが有効になっている場合は、ユーザー資格情報に対して AES-128 アカウント オプションを有効にする必要があります。 ご利用の Active Directory に AES-256 機能が含まれている場合は、AES-256 アカウント オプション (AES-128 もサポートしている) を有効にする必要があります。 Active Directory に Kerberos 暗号化機能が含まれていない場合、Azure NetApp Files では既定で DES が使用されます。* | Active Directory 認証に対して AES 暗号化を有効にする |
| LDAP 署名 | この機能により、Azure NetApp Files サービスと、ユーザー指定の Active Directory Domain Services ドメイン コントローラーとの間で、セキュリティで保護された LDAP 参照が可能になります。 | はい | グループ ポリシーでのサインインを要求する LDAP 署名* | このオプションにより、LDAP クライアントと Active Directory ドメイン コントローラー間の通信のセキュリティを強化する方法が提供されます。 |
| LDAP を使用するローカル NFS ユーザーを許可する | このオプションを有効にすると、ローカル ユーザーと LDAP ユーザーに対するアクセスが管理されます。 | はい | このオプションにより、ローカル ユーザーへのアクセスが許可されます。 これは推奨されません。有効にした場合は、制限された時間だけ使用し、後で無効にする必要があります。 | このオプションを有効にすると、ローカル ユーザーと LDAP ユーザーへのアクセスが許可されます。 構成で LDAP ユーザーのみのアクセスが必要な場合は、このオプションを無効にする必要があります。 |
| TLS 経由の LDAP | 有効にすると、LDAP over TLS は、Active Directory へのセキュリティで保護された LDAP 通信をサポートするように構成されます。 | はい | なし | LDAP over TLS が有効になっていて、サーバー ルート CA 証明書が既にデータベースに存在する場合、CA 証明書は LDAP トラフィックを保護します。 新しい証明書が渡されると、その証明書がインストールされます。 |
| サーバー ルート CA 証明書 | LDAP over SSL/TLS が有効になっている場合、LDAP クライアントは、base64 でエンコードされた Active Directory 証明書サービスの自己署名ルート CA 証明書を持つ必要があります。 | はい | なし* | LDAP over TLS が有効になっている場合にのみ、LDAP トラフィックが新しい証明書で保護されます |
| LDAP 検索範囲 | 「Active Directory 接続の作成と管理」を参照してください | はい | - | - |
| LDAP クライアントの優先サーバー | 最初に接続を試行する LDAP 用に、最大 2 つの AD サーバーを指定できます。 「Active Directory Domain Services サイトの設計と計画のガイドラインを理解する」を参照してください | はい | なし* | LDAP クライアントが AD サーバーへの接続を求めるときにタイムアウトを妨げる可能性があります。 |
| ドメイン コントローラーへの暗号化された SMB 接続 | このオプションは、SMB サーバーとドメイン コントローラー間の通信に暗号化を使用するかどうかを指定します。 この機能の使用の詳細については、Active Directory 接続の作成に関する記事を参照してください。 | はい | ドメイン コントローラーが SMB3 をサポートしていない場合、SMB、Kerberos、LDAP が有効になっているボリュームの作成は使用できません | 暗号化されたドメイン コントローラー接続のみに SMB3 を使用します。 |
| バックアップ ポリシー ユーザー | Azure NetApp Files で使用するために作成されたコンピューター アカウントに対して昇格された特権を必要とする追加のアカウントを含めることができます。 詳細については、「Active Directory 接続の作成と管理」を参照してください。 | はい | なし* | 指定したアカウントは、ファイルまたはフォルダー レベルで NTFS アクセス許可を変更できます。 |
| 管理者 | ボリュームの管理者特権を付与するユーザーまたはグループを指定する | はい | なし | ユーザー アカウントに管理者特権が付与されます |
| ユーザー名 | Active Directory ドメイン管理者のユーザー名 | はい | なし* | DC に接続するための資格情報の変更 |
| Password | Active Directory ドメイン管理者のパスワード | はい | なし* パスワードは 64 文字を超えることはできません。 |
DC に接続するための資格情報の変更 |
| Kerberos 領域: AD サーバー名 | Active Directory コンピューターの名前。 このオプションは、Kerberos ボリュームを作成する場合にのみ使用します。 | はい | なし* | |
| Kerberos 領域: KDC IP | Kerberos Distribution Center (KDC) サーバーの IP アドレスを指定します。 Azure NetApp Files の KDC は Active Directory サーバーです | はい | なし | 新しい KDC IP アドレスが使用されます |
| リージョン | Active Directory 資格情報が関連付けられているリージョン | いいえ | なし | 該当なし |
| ユーザー DN | ユーザー ドメイン名。ユーザー参照用のベース DN をオーバーライドします。OU=subdirectory, OU=directory, DC=domain, DC=com の形式で入れ子にした userDN を指定できます。 |
はい | なし* | ユーザー検索スコープは、ベース DN ではなくユーザー DN に制限されます。 |
| グループ DN | グループ ドメイン名。 groupDN は、グループ参照用のベース DN をオーバーライドします。 OU=subdirectory, OU=directory, DC=domain, DC=com の形式で入れ子にした groupDN を指定できます。 |
はい | なし* | グループ検索スコープは、ベース DN ではなくグループ DN に制限されます。 |
| グループ メンバーシップ フィルター | LDAP サーバーからグループ メンバーシップを検索するときに使用するカスタム LDAP 検索フィルター。groupMembershipFilter は、(gidNumber=*) の形式で指定できます。 |
はい | なし* | グループ メンバーシップ フィルターは、LDAP サーバーからユーザーのグループ メンバーシップを照会するときに使用されます。 |
| セキュリティ特権ユーザー | Azure NetApp Files ボリュームにアクセスするための昇格された特権を必要とするユーザーには、セキュリティ特権 (SeSecurityPrivilege) を付与できます。 指定されたユーザー アカウントは、ドメイン ユーザーに対して既定では割り当てられていないセキュリティ特権を必要とする Azure NetApp Files SMB 共有に対して特定のアクションを実行できます。 詳細については、「Active Directory 接続の作成と管理」を参照してください。 |
はい | この機能の使用はオプションであり、SQL Server でのみサポートされています。 SQL Server のインストールに使用するドメイン アカウントは、[Security privilege users]\(セキュリティ特権ユーザー\) フィールドに追加する前に既に作成されている必要があります。 SQL Server インストーラーのアカウントを [Security privilege users]\(セキュリティ特権ユーザー\) に追加するときに、ドメイン コントローラーに接続することで Azure NetApp Files サービスによってアカウントが検証される場合があります。 ドメイン コントローラーに接続できないと、コマンドが失敗するおそれがあります。 SeSecurityPrivilege と SQL Server の詳細については、「セットアップ アカウントに特定のユーザー権限がない場合に SQL Server のインストールが失敗する」を参照してください。* |
管理者以外のアカウントによる、ANF ボリューム上での SQL サーバーの使用を許可します。 |
*変更が正しく入力された場合に限り、変更されたエントリへの影響はありません。 データを誤って入力すると、ユーザーとアプリケーションはアクセスできなくなります。