Active Directory-verbindingen aanpassen voor Azure NetApp Files
Nadat u een Active Directory-verbinding hebt gemaakt in Azure NetApp Files, kunt u deze wijzigen. Wanneer u een Active Directory-verbinding wijzigt, kunnen niet alle configuraties worden gewijzigd.
Zie Richtlijnen voor Active Directory-domein Services-siteontwerp en -planning voor Azure NetApp Files voor meer informatie.
Active Directory-verbindingen wijzigen
Selecteer Active Directory-verbindingen. Selecteer vervolgens Bewerken om een bestaande AD-verbinding te bewerken.
Wijzig indien nodig in het venster Active Directory bewerken dat wordt weergegeven active Directory-verbindingsconfiguraties. Zie Opties voor Active Directory-verbindingen voor een uitleg van de velden die u kunt wijzigen.
Opties voor Active Directory-verbindingen
| Veldnaam | Wat het is | Kan het worden gewijzigd? | Overwegingen en gevolgen | Effect |
|---|---|---|---|---|
| Primaire DNS | IP-adressen van primaire DNS-servers voor het Active Directory-domein. | Ja | Geen* | Er wordt een nieuw DNS-IP-adres gebruikt voor DNS-omzetting. |
| Secundaire DNS | IP-adressen van secundaire DNS-servers voor het Active Directory-domein. | Ja | Geen* | Er wordt een nieuw DNS-IP-adres gebruikt voor DNS-omzetting voor het geval de primaire DNS mislukt. |
| AD DNS-domeinnaam | De domeinnaam van uw Active Directory-domein Services waaraan u wilt deelnemen. | Nee | Geen | N.v.t. |
| AD-sitenaam | De site waarop de detectie van de domeincontroller is beperkt. | Ja | Dit moet overeenkomen met de sitenaam in Active Directory-sites en -services. Zie voetnoot.* | Domeindetectie is beperkt tot de nieuwe sitenaam. Als dit niet is opgegeven, wordt 'Default-First-Site-Name' gebruikt. |
| Voorvoegsel SMB Server (computeraccount) | Naamgevingsvoorvoegsel voor het computeraccount in Active Directory dat Door Azure NetApp Files wordt gebruikt voor het maken van nieuwe accounts. Zie voetnoot.* | Ja | Bestaande volumes moeten opnieuw worden gekoppeld wanneer de koppeling wordt gewijzigd voor SMB-shares en NFS Kerberos-volumes.* | De naam van het voorvoegsel van de SMB-server wijzigen nadat u de Active Directory-verbinding hebt gemaakt, is verstorend. U moet bestaande SMB-shares en NFS Kerberos-volumes opnieuw koppelen nadat u de naam van het SMB-servervoorvoegsel hebt gewijzigd, omdat het koppelingspad wordt gewijzigd. |
| Pad naar organisatie-eenheid | Het LDAP-pad voor de organisatie-eenheid (OE) waar SMB-servercomputeraccounts worden gemaakt. OU=second level, OU=first level |
Nee | Als u Azure NetApp Files gebruikt met Microsoft Entra Domain Services, is OU=AADDC Computers het organisatiepad wanneer u Active Directory configureert voor uw NetApp-account. |
Computeraccounts worden onder de opgegeven organisatie-eenheid geplaatst. Als dit niet is opgegeven, wordt de standaardwaarde OU=Computers standaard gebruikt. |
| AES-versleuteling | Als u wilt profiteren van de sterkste beveiliging met kerberos-communicatie, kunt u AES-256- en AES-128-versleuteling inschakelen op de SMB-server. | Ja | Als u AES-versleuteling inschakelt, moeten de gebruikersreferenties die worden gebruikt om lid te worden van Active Directory de hoogst overeenkomende accountoptie hebben ingeschakeld, die overeenkomt met de mogelijkheden die zijn ingeschakeld voor uw Active Directory. Als uw Active Directory bijvoorbeeld alleen AES-128 heeft ingeschakeld, moet u de AES-128-accountoptie voor de gebruikersreferenties inschakelen. Als uw Active Directory de mogelijkheid AES-256 heeft, moet u de AES-256-accountoptie inschakelen (die ook AES-128 ondersteunt). Als uw Active Directory geen Kerberos-versleutelingsmogelijkheid heeft, gebruikt Azure NetApp Files standaard DES.* | AES-versleuteling inschakelen voor Active Directory-verificatie |
| LDAP-ondertekening | Deze functionaliteit maakt beveiligde LDAP-zoekopdrachten mogelijk tussen de Azure NetApp Files-service en de door de gebruiker opgegeven Active Directory-domein Services-domeincontroller. | Ja | LDAP-ondertekening voor Aanmelden bij groepsbeleid vereisen* | Deze optie biedt manieren om de beveiliging voor communicatie tussen LDAP-clients en Active Directory-domeincontrollers te verbeteren. |
| Lokale NFS-gebruikers met LDAP toestaan | Als deze optie is ingeschakeld, beheert deze optie de toegang voor lokale gebruikers en LDAP-gebruikers. | Ja | Met deze optie hebt u toegang tot lokale gebruikers. Het wordt niet aanbevolen en, indien ingeschakeld, mag alleen worden gebruikt voor een beperkte tijd en later uitgeschakeld. | Als deze optie is ingeschakeld, heeft deze optie toegang tot lokale gebruikers en LDAP-gebruikers. Als voor uw configuratie alleen LDAP-gebruikers toegang is vereist, moet u deze optie uitschakelen. |
| LDAP via TLS | Indien ingeschakeld, is LDAP via TLS geconfigureerd ter ondersteuning van secure LDAP-communicatie naar Active Directory. | Ja | None | Als u LDAP hebt ingeschakeld via TLS en als het basis-CA-certificaat van de server al aanwezig is in de database, beveiligt het CA-certificaat LDAP-verkeer. Als er een nieuw certificaat wordt doorgegeven, wordt dat certificaat geïnstalleerd. |
| Ca-basiscertificaat van de server | Wanneer LDAP via SSL/TLS is ingeschakeld, is de LDAP-client vereist voor het zelfondertekende basis-CA-certificaatcertificaat van Active Directory Certificate Service met base64. | Ja | Geen* | LDAP-verkeer dat is beveiligd met een nieuw certificaat alleen als LDAP via TLS is ingeschakeld |
| LDAP-zoekbereik | Zie Active Directory-verbindingen maken en beheren | Ja | - | - |
| Voorkeursserver voor LDAP-client | U kunt maximaal twee AD-servers aanwijzen voor de LDAP om eerst verbinding te maken. Zie Richtlijnen voor het ontwerpen en plannen van Active Directory-domein Services-sites | Ja | Geen* | Dit kan een time-out belemmeren wanneer de LDAP-client verbinding wil maken met de AD-server. |
| Versleutelde SMB-verbindingen met domeincontroller | Met deze optie geeft u op of versleuteling moet worden gebruikt voor communicatie tussen de SMB-server en de domeincontroller. Zie Active Directory-verbindingen maken voor meer informatie over het gebruik van deze functie. | Ja | Het maken van SMB-, Kerberos- en LDAP-volumes kan niet worden gebruikt als de domeincontroller geen ondersteuning biedt voor SMB3 | Gebruik alleen SMB3 voor versleutelde domeincontrollerverbindingen. |
| Gebruikers van back-upbeleid | U kunt meer accounts opnemen waarvoor verhoogde bevoegdheden zijn vereist voor het computeraccount dat is gemaakt voor gebruik met Azure NetApp Files. Zie Active Directory-verbindingen maken en beheren voor meer informatie. F | Ja | Geen* | Met de opgegeven accounts kunnen de NTFS-machtigingen op bestands- of mapniveau worden gewijzigd. |
| Beheerders | Gebruikers of groepen opgeven om beheerdersbevoegdheden toe te kennen aan het volume | Ja | None | Gebruikersaccount ontvangt beheerdersbevoegdheden |
| Username | Gebruikersnaam van de Active Directory-domeinbeheerder | Ja | Geen* | Referentiewijziging om contact op te maken met DC |
| Password | Wachtwoord van de Active Directory-domeinbeheerder | Ja | Geen* Het wachtwoord mag niet langer zijn dan 64 tekens. |
Referentiewijziging om contact op te maken met DC |
| Kerberos Realm: AD-servernaam | De naam van de Active Directory-computer. Deze optie wordt alleen gebruikt bij het maken van een Kerberos-volume. | Ja | Geen* | |
| Kerberos Realm: KDC IP | Hiermee geeft u het IP-adres van de KDC-server (Kerberos Distribution Center). KDC in Azure NetApp Files is een Active Directory-server | Ja | None | Er wordt een nieuw KDC-IP-adres gebruikt |
| Regio | De regio waaraan de Active Directory-referenties zijn gekoppeld | Nee | Geen | N.v.t. |
| DN van gebruiker | Domeinnaam van gebruiker, die de basis-DN voor gebruikerszoekacties geneste gebruikerDN overschrijft, kan worden opgegeven in OU=subdirectory, OU=directory, DC=domain, DC=com indeling. |
Ja | Geen* | Het zoekbereik van de gebruiker wordt beperkt tot gebruikers-DN in plaats van een basis-DN. |
| Groep-DN | Groepsdomeinnaam. groupDN overschrijft de basis-DN voor groepszoekacties. Geneste groupDN kan worden opgegeven in OU=subdirectory, OU=directory, DC=domain, DC=com indeling. |
Ja | Geen* | Groepszoekbereik wordt beperkt tot groep-DN in plaats van basis-DN. |
| Filter voor groepslidmaatschap | Het aangepaste LDAP-zoekfilter dat moet worden gebruikt bij het opzoeken van groepslidmaatschap van de LDAP-server. groupMembershipFilter kan worden opgegeven met de (gidNumber=*) indeling. |
Ja | Geen* | Het groepslidmaatschapsfilter wordt gebruikt tijdens het uitvoeren van query's op groepslidmaatschap van een gebruiker van de LDAP-server. |
| Gebruikers van beveiligingsbevoegdheden | U kunt beveiligingsbevoegdheden (SeSecurityPrivilege) verlenen aan gebruikers die verhoogde bevoegdheden nodig hebben voor toegang tot de Azure NetApp Files-volumes. De opgegeven gebruikersaccounts kunnen bepaalde acties uitvoeren op Azure NetApp Files SMB-shares waarvoor beveiligingsbevoegdheden niet standaard zijn toegewezen aan domeingebruikers. Zie Active Directory-verbindingen maken en beheren voor meer informatie. |
Ja | Het gebruik van deze functie is optioneel en wordt alleen ondersteund voor SQL Server. Het domeinaccount dat wordt gebruikt voor het installeren van SQL Server, moet al bestaan voordat u het toevoegt aan het veld Beveiligingsbevoegdheden. Wanneer u het account van het INSTALLATIEprogramma van SQL Server toevoegt aan gebruikers met beveiligingsbevoegdheden, kan de Azure NetApp Files-service het account valideren door contact op te leggen met de domeincontroller. De opdracht kan mislukken als er geen contact kan worden gemaakt met de domeincontroller. Zie sql Server-installatie mislukt als het installatieaccount geen bepaalde gebruikersrechten heeft voor meer informatie over SeSecurityPrivilege en SQL Server.* |
Hiermee kunnen niet-beheerdersaccounts SQL-servers gebruiken boven op ANF-volumes. |
*Er is geen invloed op een gewijzigde vermelding als de wijzigingen correct worden ingevoerd. Als u gegevens onjuist invoert, hebben gebruikers en toepassingen geen toegang meer.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor