Aracılığıyla paylaş

Azure NetApp Files için Active Directory bağlantıları oluşturma ve yönetme

  • Makale

Azure NetApp Files'ın çeşitli özellikleri, Active Directory bağlantınız olmasını gerektirir. Örneğin, SMB birimi, NFSv4.1 Kerberos birimi veya çift protokollü birim oluşturabilmeniz için önce bir Active Directory bağlantınız olması gerekir. Bu makalede, Azure NetApp Files için Active Directory bağlantıları oluşturma ve yönetme adımları gösterilmektedir.

Active Directory bağlantıları için gereksinimler ve dikkat edilmesi gerekenler

Önemli

Active Directory Etki Alanı Hizmetleri için Azure NetApp Files (AD DS) veya Azure NetApp Files ile kullanılan Microsoft Entra Domain Services için Active Directory Etki Alanı Hizmetleri site tasarımı ve planlaması yönergelerini anlama başlığı altında açıklanan yönergeleri izlemeniz gerekir.

AD bağlantısını oluşturmadan önce, AD bağlantısı oluşturulduktan sonra AD bağlantı yapılandırma seçeneklerinde değişiklik yapmanın etkisini anlamak için Azure NetApp Files için Active Directory bağlantılarını değiştirme'yi gözden geçirin. AD bağlantı yapılandırma seçeneklerindeki değişiklikler istemci erişiminde kesintiye neden olur ve bazı seçenekler hiç değiştirilemez.

  • Azure NetApp Files birimlerinin dağıtılacağı bölgede bir Azure NetApp Files hesabı oluşturulmalıdır.

  • Varsayılan olarak, Azure NetApp Files abonelik başına yalnızca bir Active Directory (AD) bağlantısına izin verir.

    NetApp hesabı başına bir Active Directory bağlantısı oluşturabilirsiniz.

    Bu özelliğe kaydolmadan önce hesap sayfanızdaki Active Directory türü alanını denetleyin.

  • Azure NetApp Files AD bağlantısı yönetici hesabı aşağıdaki özelliklere sahip olmalıdır:

    • Azure NetApp Files bilgisayar hesaplarının oluşturulduğu etki alanında bir AD DS etki alanı kullanıcı hesabı olmalıdır.
    • AD bağlantısının Kuruluş birimi yolu seçeneğinde belirtilen AD DS kuruluş birimi yolunda bilgisayar hesapları (örneğin, AD etki alanına katılma) oluşturma iznine sahip olmalıdır.
    • Grup Tarafından Yönetilen Hizmet Hesabı olamaz.

  • AD bağlantısı yönetici hesabı, Azure NetApp Files için AD DS ile kimlik doğrulaması için Kerberos AES-128 ve Kerberos AES-256 şifreleme türlerini destekler (örneğin, AD etki alanına katılma işlemleri).

  • Azure NetApp Files AD bağlantı yöneticisi hesabında AES şifrelemesini etkinleştirmek için, aşağıdaki AD DS gruplarından birinin üyesi olan bir AD etki alanı kullanıcı hesabı kullanmanız gerekir:

    • Domain Admins
    • Enterprise Admins
    • Yöneticiler
    • Account Operators
    • Microsoft Entra Domain Services Administrators _ (Yalnızca Microsoft Entra Domain Services)_
    • Alternatif olarak, AD bağlantı yöneticisi hesabında yazma izni olan msDS-SupportedEncryptionTypes bir AD etki alanı kullanıcı hesabı, AD bağlantısı yönetici hesabında Kerberos şifreleme türü özelliğini ayarlamak için de kullanılabilir.

    Not

    AD bağlantı yöneticisi hesabında AES'yi etkinleştirmek için ayarı değiştirdiğinizde, Azure NetApp Files AD yöneticisi olmayan AD nesnesine yazma izni olan bir kullanıcı hesabı kullanmak en iyi yöntemdir. Bunu başka bir etki alanı yönetici hesabıyla veya bir hesaba denetim vererek yapabilirsiniz. Daha fazla bilgi için bkz . OU Nesnelerini Kullanarak Yönetime Temsilci Seçme.

    AD bağlantısının yönetici hesabında hem AES-128 hem de AES-256 Kerberos şifrelemesi ayarlarsanız, Windows istemcisi AD DS'niz tarafından desteklenen en yüksek şifreleme düzeyini belirler. Örneğin, hem AES-128 hem de AES-256 destekleniyorsa ve istemci AES-256'yı destekliyorsa, AES-256 kullanılır.

  • AD bağlantısında yönetici hesabı için AES şifreleme desteğini etkinleştirmek için aşağıdaki Active Directory PowerShell komutlarını çalıştırın:

    Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>

    KerberosEncryptionType , AES-128 ve AES-256 değerlerini destekleyen çok değerli bir parametredir.

    Daha fazla bilgi için Set-ADUser belgelerine bakın.

  • Azure NetApp Files ile kullanılan etki alanına katılmış Windows konakları için Active Directory bilgisayar hesapları için belirli Kerberos şifreleme türlerini etkinleştirme ve devre dışı bırakma gereksiniminiz varsa, Grup İlkesi'ni Network Security: Configure Encryption types allowed for Kerberoskullanmanız gerekir.

    kayıt defteri anahtarını HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesayarlamayın. Bunun yapılması, bu kayıt defteri anahtarının el ile ayarlandığı Windows konağı için Azure NetApp Files ile Kerberos kimlik doğrulamasını bozar.

    Not

    için Network Security: Configure Encryption types allowed for Kerberos varsayılan ilke ayarıdır Not Defined. Bu ilke ayarı olarak Not Definedayarlandığında, DES dışındaki tüm şifreleme türleri Kerberos şifrelemesi için kullanılabilir. Yalnızca belirli Kerberos şifreleme türleri (örneğin, AES128_HMAC_SHA1 veya AES256_HMAC_SHA1) için desteği etkinleştirme seçeneğiniz vardır. Ancak, Azure NetApp Files ile AES şifreleme desteği etkinleştirilirken varsayılan ilkenin çoğu durumda yeterli olması gerekir.

    Daha fazla bilgi için Bkz. Ağ güvenliği: Kerberos için izin verilen şifreleme türlerini yapılandırma veya Kerberos Için Windows Yapılandırmaları Desteklenen Şifreleme Türleri

  • LDAP sorguları yalnızca Active Directory bağlantılarında belirtilen etki alanında ( AD DNS Etki Alanı Adı alanı) geçerlilik kazanır. Bu davranış NFS, SMB ve çift protokollü birimler için geçerlidir.

  • LDAP sorgusu zaman aşımları

    Varsayılan olarak, LDAP sorguları zamanında tamamlanamıyorsa zaman aşımına girer. Ldap sorgusu zaman aşımı nedeniyle başarısız olursa, kullanıcı ve/veya grup araması başarısız olur ve birimin izin ayarlarına bağlı olarak Azure NetApp Files birimine erişim reddedilebilir.

    Sorgu zaman aşımları, çok sayıda kullanıcı ve grup nesnesine sahip büyük LDAP ortamlarında, yavaş WAN bağlantıları üzerinden ve bir LDAP sunucusu isteklerle fazla kullanılıyorsa oluşabilir. LDAP sorguları için Azure NetApp Files zaman aşımı ayarı 10 saniye olarak ayarlanır. LDAP sorgu zaman aşımı sorunlarıyla karşılaşıyorsanız aramalara filtre uygulamak üzere LDAP sunucusu için Active Directory Bağlantısı'nda kullanıcı ve grup DN özelliklerinden yararlanmayı göz önünde bulundurun.

NetApp hesapları ve Active Directory türü

Active Directory hesap türünü onaylamak için NetApp hesabına genel bakış sayfasını kullanabilirsiniz. AD türü için üç değer vardır:

  • NA: Abonelik ve bölge başına yalnızca bir AD yapılandırmasını destekleyen mevcut NetApp hesabı. AD yapılandırması abonelikteki diğer NetApp hesaplarıyla paylaşılmaz.
  • Çoklu AD: NetApp hesabı, abonelikteki her NetApp hesabında bir AD yapılandırmasını destekler. Bu, birden çok NetApp hesabı kullanırken abonelik başına birden fazla AD bağlantısına izin verir.
  • Paylaşılan AD: NetApp hesabı abonelik ve bölge başına yalnızca bir AD yapılandırmasını destekler, ancak yapılandırma abonelik ve bölgedeki NetApp hesapları arasında paylaşılır.

NetApp hesapları ve abonelikleri arasındaki ilişki hakkında daha fazla bilgi için bkz . Azure NetApp Files'ın depolama hiyerarşisi.

Active Directory bağlantısı oluşturma

  1. NetApp hesabınızdan Active Directory bağlantıları'nı ve ardından Katıl'ı seçin.

    Active Directory bağlantıları menüsünü gösteren ekran görüntüsü. Katıl düğmesi vurgulanır.

    Not

    Azure NetApp Files, aynı bölge ve aynı abonelik içinde yalnızca bir Active Directory bağlantısını destekler.

  2. Active Directory'ye Katıl penceresinde, kullanmak istediğiniz Etki Alanı Hizmetleri'ne göre aşağıdaki bilgileri sağlayın:

    • Birincil DNS (gerekli)
      Bu, Active Directory etki alanına katılma işlemleri, SMB kimlik doğrulaması, Kerberos ve LDAP işlemleri için gereken birincil DNS sunucusunun IP adresidir.

    • İkincil DNS
      Bu, Active Directory etki alanına katılma işlemleri, SMB kimlik doğrulaması, Kerberos ve LDAP işlemleri için gereken ikincil DNS sunucusunun IP adresidir.

      Not

      İkincil DNS sunucusu yapılandırmanız önerilir. Bkz. Azure NetApp Files için Active Directory Etki Alanı Hizmetleri site tasarımı ve planlaması yönergelerini anlama. DNS sunucusu yapılandırmanızın Azure NetApp Files gereksinimlerini karşıladığından emin olun. Aksi takdirde Azure NetApp Files hizmet işlemleri, SMB kimlik doğrulaması, Kerberos veya LDAP işlemleri başarısız olabilir.

      Microsoft Entra Domain Services kullanıyorsanız, sırasıyla Birincil DNS ve İkincil DNS için Microsoft Entra Domain Services etki alanı denetleyicilerinin IP adreslerini kullanın.

    • AD DNS Etki Alanı Adı (gerekli)
      Bu, Azure NetApp Files ile kullanılan AD DS'nin tam etki alanı adıdır (örneğin, contoso.com).

    • AD Site Adı (gerekli)
      Bu, etki alanı denetleyicisi bulma için Azure NetApp Files KULLANILAN AD DS site adıdır.

      Hem AD DS hem de Microsoft Entra Domain Services için varsayılan site adıdır Default-First-Site-Name. Site adını yeniden adlandırmak istiyorsanız site adları için adlandırma kurallarını izleyin.

      Not

      Bkz. Azure NetApp Files için Active Directory Etki Alanı Hizmetleri site tasarımı ve planlaması yönergelerini anlama. AD DS site tasarımınızın ve yapılandırmanızın Azure NetApp Files gereksinimlerini karşıladığından emin olun. Aksi takdirde Azure NetApp Files hizmet işlemleri, SMB kimlik doğrulaması, Kerberos veya LDAP işlemleri başarısız olabilir.

    • SMB sunucusu (bilgisayar hesabı) ön eki (gerekli)
      Bu, Azure NetApp Files SMB, çift protokol ve NFSv4.1 Kerberos birimleri için AD DS'de oluşturulan yeni bilgisayar hesaplarının adlandırma ön ekidir.

      Örneğin, kuruluşunuzun dosya hizmetleri NAS-01için kullandığı adlandırma standardı , NAS-02vb. ise, ön ek için kullanırsınız NAS .

      Azure NetApp Files, GEREKTIĞINDE AD DS'de ek bilgisayar hesapları oluşturur.

      Önemli

      Active Directory bağlantısını oluşturduktan sonra SMB sunucusu ön ekini yeniden adlandırmak kesintiye neden olur. SMB sunucu ön ekini yeniden adlandırdıktan sonra mevcut SMB paylaşımlarını yeniden bağlamanız gerekir.

    • Kuruluş birimi yolu
      Bu, SMB sunucusu bilgisayar hesaplarının oluşturulacağı kuruluş biriminin (OU) LDAP yoludur. Yani, OU=second level, OU=first level. Örneğin, etki alanının kökünde oluşturulan adlı ANF bir OU kullanmak istiyorsanız, değer olacaktır OU=ANF.

      Değer sağlanmazsa Azure NetApp Files kapsayıcıyı CN=Computers kullanır.

      Microsoft Entra Domain Services ile Azure NetApp Files kullanıyorsanız, kuruluş birimi yolu şudur: OU=AADDC Computers

      Active Directory'ye Katıl giriş alanlarının ekran görüntüsü.

    • AES Şifrelemesi
      Bu seçenek, AD bağlantısının yönetici hesabı için AES şifreleme kimlik doğrulaması desteğini etkinleştirir.

      AES açıklama alanının ekran görüntüsü. Alan bir onay kutusudur.

      Gereksinimler için bkz . Active Directory bağlantıları gereksinimleri.

    • LDAP İmzalama

      Bu seçenek LDAP imzalamayı etkinleştirir. Bu işlevsellik, Azure NetApp Files ve kullanıcı tarafından belirtilen Active Directory Etki Alanı Services etki alanı denetleyicilerinden Basit Kimlik Doğrulaması ve Güvenlik Katmanı (SASL) LDAP bağlamaları için bütünlük doğrulaması sağlar.

      Azure NetApp Files, Active Directory Bağlantısı'nda HEM LDAP İmzalama hem de TLS üzerinden LDAP ayarları seçeneği etkinse LDAP Kanal Bağlamayı destekler. Daha fazla bilgi için bkz. ADV190023 | LDAP Kanalı Bağlama ve LDAP İmzalama'nın etkinleştirilmesi için Microsoft Kılavuzu.

      Not

      AD DS bilgisayar hesapları için DNS PTR kayıtları, LDAP İmzalamanın çalışması için Azure NetApp Files AD bağlantısında belirtilen AD DS Kuruluş Birimi'nde oluşturulmalıdır.

      LDAP imzalama onay kutusunun ekran görüntüsü.

    • LDAP ile yerel NFS kullanıcılarına izin ver Bu seçenek, yerel NFS istemci kullanıcılarının NFS birimlerine erişmesini sağlar. Bu seçeneğin ayarlanması NFS birimleri için genişletilmiş grupları devre dışı bırakır ve bu da bir kullanıcının desteklenen grup sayısını 16 ile sınırlar. Etkinleştirildiğinde, erişim izinlerinde 16 grup sınırını aşan gruplar kabul edilmez. Daha fazla bilgi için bkz . LDAP kullanan yerel NFS kullanıcılarının çift protokollü bir birime erişmesine izin verme.

    • TLS üzerinden LDAP

      Bu seçenek, Bir Azure NetApp Files birimi ile Active Directory LDAP sunucusu arasında güvenli iletişim için TLS üzerinden LDAP'yi etkinleştirir. Azure NetApp Files'ın NFS, SMB ve çift protokol birimleri için TLS üzerinden LDAP'yi etkinleştirebilirsiniz.

      Not

      Microsoft Entra Domain Services kullanıyorsanız TLS üzerinden LDAP etkinleştirilmemelidir. Microsoft Entra Domain Services, TLS (bağlantı noktası 389) üzerinden LDAP yerine LDAP trafiğinin güvenliğini sağlamak için LDAPS (bağlantı noktası 636) kullanır.

      Daha fazla bilgi için bkz. NFS birimleri için Active Directory Etki Alanı Hizmetleri (AD DS) LDAP kimlik doğrulamasını etkinleştirme.

    • Sunucu kök CA Sertifikası

      Bu seçenek, TLS üzerinden LDAP ile kullanılan CA sertifikasını karşıya yükler.

      Daha fazla bilgi için bkz. NFS birimleri için Active Directory Etki Alanı Hizmetleri (AD DS) LDAP kimlik doğrulamasını etkinleştirme. 

    • LDAP Arama Kapsamı, Kullanıcı DN'si, Grup DN'si ve Grup Üyeliği Filtresi

      LDAP arama kapsamı seçeneği, Azure NetApp Files depolama LDAP sorgularını büyük AD DS topolojileriyle ve LDAP'yi genişletilmiş gruplarla veya Unix güvenlik stiliyle bir Azure NetApp Files çift protokol birimiyle kullanmak üzere iyileştirir.

      Kullanıcı DN ve Grup DN seçenekleri, AD DS LDAP'de arama tabanını ayarlamanıza olanak tanır. Bu seçenekler LDAP sorguları için arama alanlarını sınırlayarak arama süresini kısaltıp LDAP sorgu zaman aşımlarını azaltmaya yardımcı olur.

      Grup Üyeliği Filtresi seçeneği, belirli AD DS gruplarının üyesi olan kullanıcılar için özel bir arama filtresi oluşturmanıza olanak tanır.

      İşaretli bir kutuyu gösteren LDAP arama kapsamı alanının ekran görüntüsü.

      Bu seçenekler hakkında bilgi için bkz . NFS birim erişimi için genişletilmiş gruplarla AD DS LDAP'yi yapılandırma.

    • LDAP istemcisi için tercih edilen sunucu

      LDAP istemcisi için Tercih edilen sunucu seçeneği, en fazla iki AD sunucusunun IP adreslerini virgülle ayrılmış liste olarak göndermenizi sağlar. Ldap istemcisi, bir etki alanı için bulunan tüm AD hizmetleriyle sırayla iletişim kurmak yerine, önce belirtilen sunuculara başvuracaktır.

    • Etki Alanı Denetleyicisine şifrelenmiş SMB bağlantıları

      Etki Alanı Denetleyicisi'ne şifrelenmiş SMB bağlantıları, SMB sunucusu ile etki alanı denetleyicisi arasındaki iletişim için şifrelemenin kullanılıp kullanılmayacağını belirtir. Etkinleştirildiğinde, şifrelenmiş etki alanı denetleyicisi bağlantıları için yalnızca SMB3 kullanılır.

      Bu özellik şu anda önizlemededir. Etki alanı denetleyicisine şifreli SMB bağlantılarını ilk kez kullanıyorsanız, bunu kaydetmeniz gerekir:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Özellik kaydının durumunu denetleyin:

      Not

      RegistrationState değerini değiştirmeden önceRegistered 60 dakikaya kadar durumunda olabilirRegistering. Devam etmeden önce durum gelene Registered kadar bekleyin.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Ayrıca Azure CLI komutlarını az feature register az feature show kullanarak özelliği kaydedebilir ve kayıt durumunu görüntüleyebilirsiniz.

    • Yedekleme ilkesi kullanıcıları Bu seçenek, Azure NetApp Files'da yedekleme, geri yükleme ve geçiş iş akışlarını desteklemek için yükseltilmiş yedekleme ayrıcalıkları gerektiren AD DS etki alanı kullanıcılarına veya gruplarına ek güvenlik ayrıcalıkları verir. Belirtilen AD DS kullanıcı hesapları veya grupları, dosya veya klasör düzeyinde yükseltilmiş NTFS izinlerine sahip olacaktır.

      Boş metin giriş alanını gösteren Yedekleme ilkesi kullanıcıları alanının ekran görüntüsü.

      Yedekleme ilkesi kullanıcıları ayarını kullandığınızda aşağıdaki ayrıcalıklar geçerlidir:

      Ayrıcalık Açıklama
      SeBackupPrivilege Tüm ACL'leri geçersiz kılarak dosyaları ve dizinleri yedekleyin.
      SeRestorePrivilege Tüm ACL'leri geçersiz kılarak dosyaları ve dizinleri geri yükleyin.
      Geçerli bir kullanıcı veya grup SID'sini dosya sahibi olarak ayarlayın.
      SeChangeNotifyPrivilege Çapraz geçiş denetimini atlama.
      Bu ayrıcalığı olan kullanıcıların klasörler veya symlink'ler için çapraz geçiş (x) izinlerine sahip olması gerekmez.

    • Güvenlik ayrıcalığı kullanıcıları
      Bu seçenek, Azure NetApp Files birimlerine erişmek için yükseltilmiş ayrıcalıklar gerektiren AD DS etki alanı kullanıcılarına veya gruplarına güvenlik ayrıcalığı (SeSecurityPrivilege) verir. Belirtilen AD DS kullanıcılarının veya gruplarının, etki alanı kullanıcılarına varsayılan olarak atanmamış güvenlik ayrıcalığı gerektiren SMB paylaşımlarında belirli eylemleri gerçekleştirmesine izin verilir.

      Active Directory bağlantıları penceresinin Güvenlik ayrıcalığı kullanıcıları kutusunu gösteren ekran görüntüsü.

      Güvenlik ayrıcalığı kullanıcıları ayarını kullandığınızda aşağıdaki ayrıcalık geçerlidir:

      Ayrıcalık Açıklama
      SeSecurityPrivilege Günlük işlemlerini yönetme.

      Bu özellik, yönetici olmayan AD DS etki alanı hesabına geçici olarak yükseltilmiş güvenlik ayrıcalığı verilmesi gereken bazı senaryolarda SQL Server'ın yüklenmesi için kullanılır.

      Not

      Güvenlik ayrıcalığı kullanıcıları özelliğinin kullanılması, SMB Sürekli Kullanılabilirlik Paylaşımları özelliğine bağlıdır. SMB Sürekli Kullanılabilirliği özel uygulamalarda desteklenmez . Yalnızca Citrix Uygulama Katmanlama, FSLogix kullanıcı profili kapsayıcıları ve Microsoft SQL Server (Linux SQL Server değil) kullanan iş yükleri için desteklenir.

      Önemli

      Güvenlik ayrıcalığı kullanıcıları özelliğini kullanmak için Azure NetApp Files SMB Sürekli Kullanılabilirlik Paylaşımları Genel Önizleme bekleme listesi gönderim sayfası aracılığıyla bir bekleme listesi isteği göndermeniz gerekir. Bu özelliği kullanmadan önce Azure NetApp Files ekibinden resmi bir onay e-postası bekleyin.
      Bu özellik isteğe bağlıdır ve yalnızca SQL server ile desteklenir. SQL server'ı yüklemek için kullanılan AD DS etki alanı hesabı, Güvenlik ayrıcalığı kullanıcıları seçeneğine eklenmeden önce zaten mevcut olmalıdır. SQL Server yükleyici hesabını Güvenlik ayrıcalığı kullanıcıları seçeneğine eklediğinizde, Azure NetApp Files hizmeti bir AD DS etki alanı denetleyicisine başvurarak hesabı doğrulayabilir. Azure NetApp Files AD DS etki alanı denetleyicisiyle iletişim kuramazsa bu eylem başarısız olabilir.

      ve SQL Server hakkında SeSecurityPrivilege daha fazla bilgi için bkz . Kurulum hesabının belirli kullanıcı hakları yoksa SQL Server yüklemesi başarısız oluyor.

    • Yöneticiler ayrıcalık kullanıcıları

      Bu seçenek, Ad DS etki alanı kullanıcılarına veya Azure NetApp Files birimlerine erişmek için yükseltilmiş ayrıcalıklar gerektiren gruplara ek güvenlik ayrıcalıkları verir. Belirtilen hesapların dosya veya klasör düzeyinde yükseltilmiş izinleri olacaktır.

      Not

      Etki alanı yöneticileri otomatik olarak Yöneticiler ayrıcalık kullanıcıları grubuna eklenir.

      Active Directory bağlantıları penceresinin Yöneticiler kutusunu gösteren ekran görüntüsü.

      Not

      Bu ayrıcalık, veri geçişleri için kullanışlıdır.

      Yöneticiler ayrıcalık kullanıcıları ayarını kullandığınızda aşağıdaki ayrıcalıklar geçerlidir:

      Ayrıcalık Açıklama
      SeBackupPrivilege Tüm ACL'leri geçersiz kılarak dosyaları ve dizinleri yedekleyin.
      SeRestorePrivilege Tüm ACL'leri geçersiz kılarak dosyaları ve dizinleri geri yükleyin.
      Geçerli bir kullanıcı veya grup SID'sini dosya sahibi olarak ayarlayın.
      SeChangeNotifyPrivilege Çapraz geçiş denetimini atlama.
      Bu ayrıcalığı olan kullanıcıların klasörlerde veya symlink'lerde dolaşma (x) izinlerine sahip olması gerekmez.
      SeTakeOwnershipPrivilege Dosyaların veya diğer nesnelerin sahipliğini alın.
      SeSecurityPrivilege Günlük işlemlerini yönetme.
      SeChangeNotifyPrivilege Çapraz geçiş denetimini atlama.
      Bu ayrıcalığı olan kullanıcıların klasörlerde veya symlink'lerde dolaşma (x) izinlerine sahip olması gerekmez.

    • Kullanıcı adınız ve parolanız da dahil olmak üzere kimlik bilgileri

      Kullanıcı adı, parola ve parola alanlarını onaylayan Active Directory kimlik bilgileri alanlarını gösteren ekran görüntüsü.

      Önemli

      Active Directory 256 karakterlik parolaları desteklese de, Azure NetApp Files ile Active Directory parolaları 64 karakteri aşamaz .

  3. Katıl'ı seçin.

    Oluşturduğunuz Active Directory bağlantısı görüntülenir.

    Başarıyla oluşturulan bir bağlantıyı gösteren Active Directory bağlantıları menüsünün ekran görüntüsü.

NetApp hesabı başına bir Active Directory bağlantısı oluşturma (önizleme)

Bu özellik sayesinde, bir Azure aboneliğindeki her NetApp hesabının kendi AD bağlantısı olabilir. Yapılandırıldıktan sonra, bir SMB birimi, NFSv4.1 Kerberos birimi veya çift protokollü birim oluşturduğunuzda NetApp hesabının AD bağlantısı kullanılır. Başka bir deyişle, birden çok NetApp hesabı kullanıldığında Azure NetApp Files, Azure aboneliği başına birden fazla AD bağlantısını destekler.

Not

Bir abonelikte hem bu hem de Paylaşılan Active Directory özelliği etkinse, mevcut hesapları AD yapılandırmasını paylaşmaya devam eder. Abonelikte oluşturulan tüm yeni NetApp hesapları kendi AD yapılandırmalarını kullanabilir. AD türü alanındaki hesabınıza genel bakış sayfasında yapılandırmanızı onaylayabilirsiniz.

Dikkat edilmesi gereken noktalar

  • Her AD yapılandırmasının kapsamı, üst NetApp hesabıyla sınırlıdır.

Özelliği kaydetme

NetApp hesabı başına bir AD bağlantısı oluşturma özelliği şu anda önizleme aşamasındadır. Özelliği ilk kez kullanmadan önce kaydetmeniz gerekir. Kayıt sonrasında özellik etkinleştirilir ve arka planda çalışır.

  1. Özelliği kaydedin:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

  2. Özellik kaydının durumunu denetleyin:

    Not

    RegistrationState değerini değiştirmeden önceRegistered 60 dakikaya kadar durumunda olabilirRegistering. Devam etmeden önce durum Kayıtlı olana kadar bekleyin.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

Ayrıca Azure CLI komutlarını az feature register az feature show kullanarak özelliği kaydedebilir ve kayıt durumunu görüntüleyebilirsiniz.

Aynı abonelikteki ve bölgedeki birden çok NetApp hesabını bir AD bağlantısıyla eşleme (önizleme)

Paylaşılan AD özelliği, tüm NetApp hesaplarının aynı aboneliğe ve aynı bölgeye ait NetApp hesaplarından biri tarafından oluşturulan bir AD bağlantısını paylaşmasına olanak tanır. Örneğin, bu özelliği kullanarak aynı abonelik ve bölgedeki tüm NetApp hesapları ortak AD yapılandırmasını kullanarak SMB birimi, NFSv4.1 Kerberos birimi veya çift protokollü birim oluşturabilir. Bu özelliği kullandığınızda, AD bağlantısı aynı abonelik ve aynı bölge altındaki tüm NetApp hesaplarında görünür.

NetApp hesabı başına AD bağlantısı oluşturma özelliğinin kullanıma sunulmasıyla, Paylaşılan AD özelliği için yeni özellik kaydı kabul edilmemektedir.

Not

Paylaşılan AD önizlemesine zaten kaydolduysanız NetApp hesabı başına bir AD bağlantısı kullanmak üzere kaydolabilirsiniz. Şu anda abonelik başına Azure bölgesi başına en fazla 10 NetApp hesabını karşılıyorsanız sınırı artırmak için bir destek isteği başlatmanız gerekir. AD türü alanındaki hesabınıza genel bakış sayfasında yapılandırmanızı onaylayabilirsiniz.

Active Directory bilgisayar hesabı parolasını sıfırlama

AD sunucusundaki AD bilgisayar hesabının parolasını yanlışlıkla sıfırlarsanız veya AD sunucusuna ulaşılamıyorsa, birimlerinize bağlantıyı korumak için bilgisayar hesabı parolasını güvenli bir şekilde sıfırlayabilirsiniz. Sıfırlama, SMB sunucusundaki tüm birimleri etkiler.

Özelliği kaydetme

Active Directory bilgisayar hesabı parolasını sıfırla özelliği şu anda genel önizleme aşamasındadır. Bu özelliği ilk kez kullanıyorsanız, önce özelliği kaydetmeniz gerekir.

  1. Active Directory bilgisayar hesabı parolasını sıfırlama özelliğini kaydedin:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Özellik kaydının durumunu denetleyin. RegistrationState değerini değiştirmeden önceRegistered 60 dakikaya kadar durumunda olabilirRegistering. Devam etmeden önce durum gelene Registered kadar bekleyin.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Ayrıca Azure CLI komutlarını az feature register az feature show kullanarak özelliği kaydedebilir ve kayıt durumunu görüntüleyebilirsiniz.

Adımlar

  1. Birime Genel Bakış menüsüne gidin. Active Directory Hesabını Sıfırla'yı seçin. Active Directory Hesabını Sıfırla düğmesinin vurgulandığı Azure Birimine Genel Bakış arabirimi.Alternatif olarak, Birimler menüsüne gidin. Active Directory hesabını sıfırlamak istediğiniz birimi belirleyin ve satırın sonundaki üç noktayı (...) seçin. Active Directory Hesabını Sıfırla'yı seçin. Active Directory Hesabını Sıfırla düğmesinin vurgulandığı Azure birim listesi.
  2. Bu eylemin etkilerini açıklayan bir uyarı iletisi açılır. Devam etmek için metin kutusuna evet yazın. Active Directory Hesabını sıfırla uyarı iletisi şu şekildedir: Uyarı! Bu eylem birimin Active Directory hesabını sıfırlar. Bu eylem, kullanıcıların birimlere erişimlerini ellerinden almaları için tasarlanmıştır ve gerekmediğinde yürütülürse verilere ulaşılmamasına neden olabilir.

Sonraki adımlar