Gerenciar conexões do Active Directory Domain Services para Azure NetApp Files
Depois de criar uma conexão do Active Directory nos Arquivos do Azure NetApp, você poderá modificá-la. Quando você modifica uma conexão do Active Directory, nem todas as configurações são modificáveis.
Para obter mais informações, consulte Compreender as diretrizes para o design e o planejamento do site dos Serviços de Domínio Active Directory para Arquivos NetApp do Azure.
Modificar conexões do Active Directory Domain Services
Selecione Conexões do Active Directory. Em seguida, clique em Editar para editar a conexão do AD existente.
Na janela editar Active Directory exibida, modifique Active Directory configurações de conexão conforme necessário. Para obter uma explicação de quais campos você pode modificar, consulte Opções para conexões do Active Directory.
Opções de conexões do Active Directory
| Nome do campo | O que é | É modificável? | Considerações e impactos | Efeito |
|---|---|---|---|---|
| DNS primário | Endereços IP do servidor DNS primário para o domínio Active Directory. | Sim | Nenhum* | O novo IP DNS é usado para resolução de DNS. |
| DNS secundário | Endereços IP do servidor DNS secundário para o domínio Active Directory. | Sim | Nenhum* | O novo IP DNS será usado para a resolução DNS no caso de falha do DNS primário. |
| Nome de Domínio DNS do AD | É o nome de domínio do Active Directory Domain Services em que você deseja ingressar. | Não | Nenhum | N/D |
| Nome do site do AD | O site no qual a descoberta do controlador de domínio é limitada. | Sim | Isso deve corresponder ao nome do site no Active Directory Sites and Services. Consulte a nota de rodapé. * | A descoberta de domínio é limitada ao novo nome do site. Se não for especificado, "Default-First-Site-Name" será usado. |
| Prefixo do Servidor SMB (conta do computador) | Prefixo de nomeação para a conta de computador no Active Directory que os Arquivos NetApp do Azure usarão para a criação de novas contas. Consulte a nota de rodapé. * | Sim | Os volumes existentes precisam ser montados novamente, pois a montagem é alterada para compartilhamentos SMB e volumes Kerberos do NFS. * | A renomeação do prefixo do servidor SMB depois da criação da conexão do Active Directory a interrompe. Você precisará remontar os compartilhamentos SMB existentes e os volumes Kerberos do NFS depois de renomear o prefixo do servidor SMB, pois o caminho de montagem será alterado. |
| Caminho da unidade organizacional | O caminho LDAP para a unidade organizacional (OU) onde as contas de computador do servidor SMB serão criadas. OU=second level, OU=first level |
Não | Se você estiver usando os Arquivos NetApp do Azure com os Serviços de Domínio do Microsoft Entra, o caminho organizacional será OU=AADDC Computers quando você configurar o Active Directory para sua Conta NetApp. |
As contas de computador serão colocadas sob a UO especificada. Se não for especificado, o padrão OU=Computers será usado por padrão. |
| Criptografia AES | Para aproveitar a segurança mais forte com a comunicação baseada em Kerberos, você pode habilitar a criptografia AES-256 e AES-128 no servidor SMB. | Sim | Se você habilitar a criptografia AES, as credenciais de usuário usadas para ingressar no Active Directory devem ter a opção de conta correspondente mais alta habilitada que corresponde aos recursos habilitados para seu Active Directory. Por exemplo, se o Active Directory tiver apenas o recurso AES-128, você deverá habilitar a opção de conta AES-128 para as credenciais do usuário. Se o Active Directory tiver o recurso AES-256, você deverá habilitar a opção de conta AES-256 (que também dá suporte a AES-128). Se o Active Directory não tiver nenhum recurso de criptografia Kerberos, os Arquivos NetApp do Azure usarão DES por padrão.* | Habilitar a criptografia AES para autenticação Active Directory |
| Assinatura LDAP | Essa funcionalidade habilita pesquisas com LDAP seguro entre o serviço do Azure NetApp Files e os controladores de domínio do Active Directory Domain Services especificados pelo usuário. | Sim | Assinatura LDAP para exigir a assinatura na política de grupo * | Essa opção fornece maneiras de aumentar a segurança para comunicação entre clientes LDAP e controladores de domínio do Active Directory. |
| Permitir usuários NFS locais com LDAP | Se ativada, essa opção gerencia o acesso para usuários locais e usuários LDAP. | Sim | Essa opção permite o acesso a usuários locais. Ele não é recomendado e, se habilitado, só deve ser usado por um tempo limitado e posteriormente desabilitado. | Se ativada, essa opção permite o acesso a usuários locais e usuários LDAP. Se sua configuração exigir acesso apenas para usuários LDAP, você deverá desativar essa opção. |
| LDAP sobre TLS | Se ativado, o LDAP sobre TLS será configurado para oferecer suporte à comunicação LDAP segura com o Active Directory. | Sim | Nenhum | Se você ativou o LDAP sobre TLS e se o certificado de autoridade de certificação raiz do servidor já estiver presente no banco de dados, o certificado de autoridade de certificação protegerá o tráfego LDAP. Se um novo certificado for passado, esse certificado será instalado. |
| Criar um certificado de AC raiz | Quando o LDAP sobre SSL/TLS está habilitado, o cliente LDAP precisa ter o certificado de autoridade de certificação raiz autoassinado do serviço de certificado Active Directory codificado na base64. | Sim | Nenhum* | Tráfego LDAP protegido com novo certificado somente se o LDAP sobre TLS estiver habilitado |
| Escopo da pesquisa LDAP | Consulte Criar e gerenciar conexões do Active Directory | Sim | - | - |
| Servidor preferencial para cliente LDAP | Você pode designar até dois servidores AD para que o LDAP tente se conectar primeiro. Consulte Compreender as diretrizes para o design e o planejamento do site dos Serviços de Domínio Active Directory | Sim | Nenhum* | Potencialmente impedir um tempo limite quando o cliente LDAP procura se conectar ao servidor AD. |
| Conexões SMB Criptografadas para o Controlador de Domínio | Essa opção especifica se a criptografia deve ser usada para comunicação entre o servidor SMB e o controlador de domínio. Confira Criar conexões do Active Directory para mais detalhes sobre como usar esse recurso. | Sim | A criação de volumes habilitados para SMB, Kerberos e LDAP não poderá ser usada se o controlador de domínio não oferecer suporte ao SMB3 | Use apenas o SMB3 para conexões de controlador de domínio criptografadas. |
| Usuários da política de backup | Você pode incluir mais contas que exigem privilégios elevados para a conta de computador criada para uso com os Arquivos do Azure NetApp. Para obter mais informações, consulte Criar e gerenciar conexões do Active Directory. F | Sim | Nenhum* | As contas especificadas terão permissão para alterar as permissões de NTFS no nível do arquivo ou da pasta. |
| Administradores | Especifique usuários ou grupos para conceder privilégios de administrador no volume para | Sim | Nenhum | A conta de usuário recebe privilégios de administrador |
| Nome de Usuário | Nome de usuário do administrador de domínio do Active Directory | Sim | Nenhum* | Alteração de credencial para entrar em contato com o DC |
| Senha | Nome de usuário do administrador de domínio do Active Directory | Sim | Nenhum* A senha não pode exceder 64 caracteres. |
Alteração de credencial para entrar em contato com o DC |
| Realm do Kerberos: nome do servidor do AD | Nome do domínio do Active Directory. Essa opção só é usada ao criar um volume Kerberos. | Sim | Nenhum* | |
| Kerberos Realm: KDC IP | Especifica o endereço IP do servidor do centro de distribuição Kerberos (KDC). O KDC no Azure NetApp Files é um servidor Active Directory | Sim | Nenhum | Um novo endereço IP do KDC será usado |
| Region | A região onde as credenciais de Active Directory estão associadas | Não | Nenhum | N/D |
| DN do Usuário | O nome de domínio do usuário, que substitui o DN de base para as pesquisas de usuário aninhadas userDN pode ser especificado no formato OU=subdirectory, OU=directory, DC=domain, DC=com. |
Sim | Nenhum* | O escopo da pesquisa do usuário é limitado ao DN do usuário em vez do DN de base. |
| DN do Grupo | Nome de domínio do grupo. groupDN substitui o DN de base para pesquisas de grupo. GroupDN aninhados podem ser especificados no formato OU=subdirectory, OU=directory, DC=domain, DC=com. |
Sim | Nenhum* | O escopo da pesquisa do usuário é limitado ao DN do usuário em vez do DN de base. |
| Filtro de Associação do Grupo | O filtro de pesquisa LDAP personalizado a ser usado ao buscar associações de grupo do servidor LDAP. groupMembershipFilter pode ser especificado com o formato (gidNumber=*). |
Sim | Nenhum* | O filtro de associação de grupo será usado ao consultar a associação de grupo de um usuário do servidor LDAP. |
| Usuários com privilégios de segurança | Você pode conceder privilégios de segurança (SeSecurityPrivilege) a usuários que exigem privilégios elevados para acessar os volumes de Azure NetApp files. As contas de usuário especificadas terão permissão para executar determinadas ações em compartilhamentos SMB do Azure NetApp Files que exigem privilégio de segurança não atribuído por padrão aos usuários do domínio. Consulte criar e gerenciar conexões de Active Directory para obter mais informações. |
Sim | O uso desse recurso é opcional é compatível apenas com o SQL Server. A conta de domínio usada para instalar o SQL Server já deve existir antes de você adicioná-lo ao campo Usuários de privilégio de segurança. Quando você adiciona a conta do SQL Server Installer aos Usuários de privilégio de segurança, o serviço Azure NetApp Files pode validar a conta entrando em contato com o controlador de domínio. O comando pode falhar se não conseguir contactar o controlador de domínio. Consulte A instalação do SQL Server falhará se a conta de Instalação não tiver determinados direitos de usuário para obter mais informações sobre SeSecurityPrivilege o SQL Server.* |
Permite que contas que não sejam de administrador usem SQL servidores sobre volumes seja. |
* Não haverá nenhum impacto em uma entrada modificada somente se as modificações forem inseridas corretamente. Se você inserir dados incorretamente, os usuários e aplicativos perderão o acesso.