Изменение подключений к Active Directory для Azure NetApp Files
После создания подключения Active Directory в Azure NetApp Files его можно изменить. При изменении подключения Active Directory не все конфигурации изменяются.
Дополнительные сведения см. в руководстве по проектированию и планированию сайтов служб домен Active Directory для Azure NetApp Files.
Изменение подключений Active Directory
Выберите подключения Active Directory. Затем нажмите кнопку "Изменить ", чтобы изменить существующее подключение AD.
В появившемся окне "Изменить Active Directory" измените конфигурации подключений Active Directory по мере необходимости. Описание того, какие поля можно изменить, см. в разделе "Параметры подключений Active Directory".
Параметры подключений Active Directory
| Имя поля | Что это | Можно ли изменить? | Рекомендации и последствия | Действие |
|---|---|---|---|---|
| Основной DNS | IP-адреса основного DNS-сервера для домена Active Directory. | Да | Ни один* | Новый IP-адрес DNS используется для разрешения DNS. |
| Вторичный DNS | IP-адреса дополнительного DNS-сервера для домена Active Directory. | Да | Ни один* | Новый IP-адрес DNS будет использоваться для разрешения DNS в случае сбоя основного DNS. |
| Имя DNS-домена AD | Доменное имя служб домен Active Directory, которые вы хотите присоединить. | No | нет | Н/П |
| Имя сайта AD | Сайт, на котором ограничено обнаружение контроллера домена. | Да | Оно должно соответствовать имени сайта в Active Directory — "Cайты и службы". См. сноску.* | Обнаружение домена ограничено новым именем сайта. Если значение не указано, используется значение Default-First-Site-Name. |
| Префикс сервера S МБ (учетная запись компьютера) | Префикс именования учетной записи компьютера в Active Directory, которую Azure NetApp Files будет использовать для создания новых учетных записей. См. сноску.* | Да | Существующие тома необходимо снова подключить, так как подключение изменяется для общих папок S МБ и томов Kerberos NFS.* | Переименование префикса сервера SMB после создания подключения Active Directory нарушается. После переименования префикса сервера S МБ и томов NFS Kerberos необходимо повторно выполнить переименовку префикса сервера S МБ по мере изменения пути подключения. |
| Путь к подразделению | Путь LDAP для подразделения ,где будут созданы учетные записи сервера S МБ серверных компьютеров. OU=second level, OU=first level |
No | Если вы используете Azure NetApp Files с доменными службами Microsoft Entra, то путь организации заключается OU=AADDC Computers в настройке Active Directory для учетной записи NetApp. |
Учетные записи компьютеров будут размещены в указанном подразделении. Если значение не указано, по умолчанию используется значение по умолчанию OU=Computers . |
| Шифрование AES | Чтобы воспользоваться преимуществами самой надежной безопасности с помощью связи на основе Kerberos, можно включить шифрование AES-256 и AES-128 на сервере S МБ. | Да | Если включить шифрование AES, учетные данные пользователя, используемые для присоединения к Active Directory, должны иметь самый высокий соответствующий параметр учетной записи, соответствующий возможностям, включенным для Active Directory. Например, если в Active Directory включена только AES-128, необходимо включить параметр учетной записи AES-128 для учетных данных пользователя. Если в Active Directory есть возможность AES-256, необходимо включить параметр учетной записи AES-256 (который также поддерживает AES-128). Если в Active Directory нет возможности шифрования Kerberos, Azure NetApp Files использует DES по умолчанию.* | Включение шифрования AES для проверки подлинности Active Directory |
| Добавление подписи LDAP | Эта функция обеспечивает безопасный поиск LDAP между службой Azure NetApp Files и указанным пользователем контроллером домена служб домен Active Directory Services. | Да | Подписывание LDAP для обязательного входа в групповую политику* | Этот параметр позволяет повысить безопасность взаимодействия между клиентами LDAP и контроллерами домена Active Directory. |
| Доступ локальных пользователей NFS с LDAP | Если этот параметр включен, этот параметр управляет доступом для локальных пользователей и пользователей LDAP. | Да | Этот параметр позволяет получить доступ к локальным пользователям. Не рекомендуется использовать его только в течение ограниченного времени и более поздних версий. | Если этот параметр включен, этот параметр разрешает доступ к локальным пользователям и пользователям LDAP. Если для конфигурации требуется доступ только для пользователей LDAP, необходимо отключить этот параметр. |
| LDAP через TLS | Если этот параметр включен, протокол LDAP по протоколу TLS настроен для поддержки безопасного обмена данными LDAP с Active Directory. | Да | Не допускается | Если вы включили ПРОТОКОЛ LDAP по протоколу TLS и если сертификат корневого ЦС сервера уже присутствует в базе данных, сертификат ЦС защищает трафик LDAP. Если новый сертификат передается, этот сертификат будет установлен. |
| Сертификат корневого ЦС сервера | Если включен протокол LDAP по протоколу SSL/TLS, клиент LDAP должен иметь самозаверяющий корневой ЦС службы сертификатов Active Directory в кодировке Base64. | Да | Ни один* | Трафик LDAP, защищенный новым сертификатом, только если включен протокол LDAP по протоколу TLS |
| Область поиска LDAP | См. статью "Создание подключений Active Directory и управление ими" | Да | - | - |
| Предпочтительный сервер для клиента LDAP | Для протокола LDAP можно назначить до двух серверов AD, чтобы сначала попытаться подключиться. Ознакомьтесь с рекомендациями по проектированию и планированию сайтов служб домен Active Directory | Да | Ни один* | Потенциально препятствуют истечению времени ожидания, когда клиент LDAP стремится подключиться к серверу AD. |
| Зашифрованные подключения S МБ к контроллеру домена | Этот параметр указывает, следует ли использовать шифрование для обмена данными между S МБ сервером и контроллером домена. Дополнительные сведения об использовании этой функции см. в статье "Создание подключений Active Directory". | Да | S МБ, Kerberos и создание тома с поддержкой LDAP нельзя использовать, если контроллер домена не поддерживает S МБ 3 | Используется только S МБ 3 для зашифрованных подключений контроллера домена. |
| Пользователи политики резервного копирования | Вы можете включить дополнительные учетные записи, требующие повышенных привилегий для учетной записи компьютера, созданной для использования с Azure NetApp Files. Дополнительные сведения см. в статье "Создание подключений Active Directory и управление ими". F | Да | Ни один* | Указанным учетным записям можно будет изменять разрешения NTFS на уровне файлов и папок. |
| Администраторы | Указание пользователей или групп для предоставления прав администратора тому | Да | Не допускается | Учетная запись пользователя получает права администратора |
| Username | Имя пользователя администратора домена Active Directory | Да | Ни один* | Изменение учетных данных для контакта с контроллером домена |
| Password | Пароль администратора домена Active Directory | Да | Ни один* Пароль не может превышать 64 символов. |
Изменение учетных данных для контакта с контроллером домена |
| Область Kerberos: имя сервера AD | Имя компьютера Active Directory. Этот параметр используется только при создании тома Kerberos. | Да | Ни один* | |
| Область Kerberos: IP-адрес KDC | Указывает IP-адрес сервера Центра распространения Kerberos (KDC). KDC в Azure NetApp Files — это сервер Active Directory | Да | Не допускается | Будет использоваться новый IP-адрес KDC |
| Регион | Регион, в котором связаны учетные данные Active Directory | No | нет | Н/П |
| DN пользователя | Доменное имя пользователя, которое переопределяет базовое доменное имя для подстановок пользователей, вложенных пользователей, можно указать в OU=subdirectory, OU=directory, DC=domain, DC=com формате. |
Да | Ни один* | Поиск пользователей область ограничен DN пользователем вместо базового DN. |
| Группа DN | Имя домена группы. GroupDN переопределяет базовую DN для подстановок групп. Вложенный группированный идентификатор можно указать в OU=subdirectory, OU=directory, DC=domain, DC=com формате. |
Да | Ни один* | Поиск групп область ограничивается групповым DN вместо базового DN. |
| Фильтр членства в группах | Пользовательский фильтр поиска LDAP, используемый при поиске членства в группах с сервера LDAP. groupMembershipFilter можно указать формат (gidNumber=*) . |
Да | Ни один* | Фильтр членства в группах будет использоваться при запросе членства в группе пользователя с сервера LDAP. |
| Пользователи привилегий безопасности | Вы можете предоставить разрешение на привилегии безопасности (SeSecurityPrivilege) пользователям, которым требуется более высокий уровень привилегий для доступа к томам Azure NetApp Files. Пользователи указанных учетных записей, которым по умолчанию требуются привилегии безопасности, не назначенные пользователям домена, могут выполнять определенные действия на Azure NetApp Files в общих ресурсах SMB. Дополнительные сведения см. в статье "Создание подключений Active Directory и управление ими". |
Да | Использование этой функции необязательно и поддерживается только для SQL Server. Учетная запись домена, используемая для установки SQL Server, должна уже существовать, прежде чем ее можно будет добавить в поле Пользователи с привилегиями безопасности. При добавлении учетной записи установщика SQL Server к Пользователям с привилегиями безопасности служба Azure NetApp Files может проверить учетную запись, обратившись к контроллеру домена. Команда может завершиться ошибкой, если она не может связаться с контроллером домена. Если учетная запись установки установки не имеет определенных прав пользователя и SeSecurityPrivilege SQL Server, см. сбой установки SQL Server. |
Позволяет неадминистраторным учетным записям использовать серверы SQL на вершине томов ANF. |
*Нет влияния на измененную запись только в том случае, если изменения введены правильно. При неправильном вводе данных пользователи и приложения потеряют доступ.