修改 Azure NetApp Files 的 Active Directory 連線
在 Azure NetApp Files 中建立了 Active Directory 連線之後,您就可以加以修改。 修改 Active Directory 連線時,並非所有組態都可以修改。
如需詳細資訊,請參閱瞭解 Azure NetApp Files Active Directory 網域服務網站設計和規劃的指導方針 (部分機器翻譯)。
修改 Active Directory 連線
選取 [Active Directory 連線]。 然後,選取 [編輯] 以編輯現有的 AD 連線。
在出現的 [編輯 Active Directory] 視窗中,視需要修改 Active Directory 連線設定。 如需可修改哪些欄位的說明,請參閱 Active Directory 連線的選項。
Active Directory 連線的選項
| 欄位名稱 | 內容 | 可修改嗎? | 考量與影響 | 影響 |
|---|---|---|---|---|
| 主要 DNS | Active Directory 網域的主要 DNS 伺服器 IP 位址。 | Yes | 無* | 新的 DNS IP 用於 DNS 解析。 |
| 次要 DNS | Active Directory 網域的次要 DNS 伺服器 IP 位址。 | Yes | 無* | 若主要 DNS 失敗,新的 DNS IP 將用於 DNS 解析。 |
| AD DNS 網域名稱 | 您想要加入的 Active Directory Domain Services 網域名稱。 | No | None | N/A |
| AD 網站名稱 | 只能在其中進行網域控制站探索的網站。 | Yes | 這應符合 Active Directory 網站和服務中的網站名稱。 請參閱註腳。* | 網域探索僅限於新的網站名稱。 如果未指定,則會使用 "Default-First-Site-Name"。 |
| SMB 伺服器 (電腦帳戶) 前置詞 | Active Directory 中電腦帳戶的命名前置詞,Azure NetApp Files 會使用該前置詞來建立新帳戶。 請參閱註腳。* | Yes | 必須再次掛接現有的磁碟區,因為 SMB 共用和 NFS Kerberos 磁碟區的掛接已變更。* | 在建立 Active Directory 連線之後重新命名 SMB 伺服器會造成干擾。 在重新命名 SMB 伺服器前置詞之後,您必須重新掛接現有的 SMB 共用和 NFS Kerberos 磁碟區,因為掛接路徑將會變更。 |
| 組織單位路徑 | 組織單位 (OU) 的 LDAP 路徑,將在這裡建立 SMB 伺服器電腦帳戶。 OU=second level, OU=first level |
No | 若搭配使用 Azure NetApp Files 與 Microsoft Entra Domain Services,在為 NetApp 帳戶設定 Active Directory 時,組織路徑是 OU=AADDC Computers。 |
電腦帳戶將會放在指定的 OU 底下。 如果未指定,預設會使用 OU=Computers 的預設值。 |
| AES 加密 | 若要搭配 Kerberos 型通訊利用最強安全性,您可以在 SMB 伺服器上啟用 AES-256 和 AES-128 加密。 | Yes | 如果您啟用 AES 加密,用來加入 Active Directory 的使用者認證必須啟用最高對應的帳戶選項,符合針對 Active Directory 啟用的功能。 例如,如果您的 Active Directory 只啟用 AES-128,您必須針對使用者認證啟用 AES-128 帳戶選項。 如果您的 Active Directory 具有 AES-256 功能,您必須啟用 AES-256 帳戶選項 (也支援 AES-128)。 若 Active Directory 沒有任何 Kerberos 加密功能,Azure NetApp Files 預設會使用 DES。* | 啟用 AES 加密進行 Active Directory 驗證 |
| LDAP 簽署 | 此功能會在 Azure NetApp Files 服務與使用者指定的 Active Directory Domain Services 網域控制站之間啟用安全的 LDAP 查詢。 | Yes | LDAP 簽署需要登入群組原則* | 這個選項會提供一些方法,以提高 LDAP 用戶端與 Active Directory 網域控制站之間的通訊安全性。 |
| 允許具有 LDAP 的本機 NFS 使用者 | 如果已啟用,此選項會管理本機使用者和 LDAP 使用者的存取。 | Yes | 這個選項允許本機使用者的存取。 不建議這麼做,而且如果啟用,則只應在有限的時間內使用,稍後將其停用。 | 如果已啟用,此選項將會允許本機使用者和 LDAP 使用者的存取權。 若組態只需要 LDAP 使用者的存取權,就必須停用此選項。 |
| LDAP over TLS | 如果已啟用,則會將 LDAP over TLS 設定為支援 Active Directory 的安全 LDAP 通訊。 | Yes | 無 | 如果已啟用 LDAP over TLS,且伺服器根 CA 憑證已存在於資料庫中,則 CA 憑證會保護 LDAP 流量。 如果傳入新的憑證,將會安裝該憑證。 |
| 伺服器根 CA 憑證 | 啟用 LDAP over SSL/TLS 時,LDAP 用戶端必須具有 base64 編碼的 Active Directory 憑證服務自我簽署根憑證。 | Yes | 無* | 只有在啟用 LDAP over TLS 時,才會使用新的憑證保護 LDAP 流量 |
| LDAP 搜尋範圍 | 請參閱建立和管理 Active Directory 連線 (部分機器翻譯) | Yes | - | - |
| LDAP 用戶端的慣用伺服器 | 您可以指定最多兩部 AD 伺服器,讓 LDAP 先嘗試連線。 請參閱瞭解 Active Directory 網域服務網站設計和規劃的指導方針 (部分機器翻譯) | Yes | 無* | 在 LDAP 用戶端嘗試連線到 AD 伺服器時,可能會妨礙逾時。 |
| 已加密 SMB 與網域控制站的連線 | 這個選項會指定加密是否應該用於 SMB 伺服器與網域控制站之間的通訊。 如需使用此功能的詳細資料,請參閱建立 Active Directory 連線。 | Yes | 如果網域控制站不支援 SMB3,則無法使用已啟用 SMB、Kerberos 和 LDAP 的磁碟區建立 | 對於加密的網域控制站連線僅限使用 SMB3。 |
| 備份原則使用者 | 您可以將需要更高權限的更多帳戶,納入為了使用 Azure NetApp Files 而建立的電腦帳戶。 如需詳細資訊,請參閱建立和管理 Active Directory 連線。 | Yes | 無* | 指定的帳號可允許在檔案或資料夾層級變更 NTFS 權限。 |
| 系統管理員 | 指定要授與磁碟區系統管理員權限的使用者或群組 | Yes | 無 | 使用者帳戶會收到管理員權限 |
| 使用者名稱 | Active Directory 網域管理員的使用者名稱 | Yes | 無* | 連絡 DC 發生認證變更 |
| 密碼 | Active Directory 網域管理員的密碼 | Yes | 無* 密碼不能超過 64 個字元。 |
連絡 DC 發生認證變更 |
| Kerberos 領域:AD 伺服器名稱 | Active Directory 機器的名稱。 僅在建立 Kerberos 磁碟區時,才會使用此選項。 | Yes | 無* | |
| Kerberos 領域:KDC IP | 指定 Kerberos 散發中心 (KDC) 伺服器的 IP 位址。 Azure NetApp Files 中的 KDC 是 Active Directory 伺服器 | Yes | 無 | 將會使用新的 KDC IP 位址 |
| 區域 | Active Directory 認證相關聯的區域 | No | None | N/A |
| 使用者 DN | 使用者網域名稱,其會覆寫使用者查閱的基準 DN。您可以採用 OU=subdirectory, OU=directory, DC=domain, DC=com 格式指定巢狀 userDN。 |
Yes | 無* | 使用者搜尋範圍限制為使用者 DN,而不是基準 DN。 |
| 群組 DN | 群組網域名稱。 groupDN 會覆寫群組查閱的基準 DN。 您可以採用 OU=subdirectory, OU=directory, DC=domain, DC=com 格式指定巢狀 groupDN。 |
Yes | 無* | 群組搜尋範圍限制為群組 DN,而不是基準 DN。 |
| 群組成員資格篩選 | 從 LDAP 伺服器查詢群組成員資格時要使用的自訂 LDAP 搜尋篩選條件。可以使用 (gidNumber=*) 格式來指定 groupMembershipFilter。 |
Yes | 無* | 從 LDAP 伺服器查詢使用者的群組成員資格時,將會使用群組成員資格篩選。 |
| 安全性權限使用者 | 您可以將安全性權限 (SeSecurityPrivilege) 授與需要較高的權限才能存取 Azure NetApp Files 磁碟區的使用者。 將允許指定的使用者帳戶在 Azure NetApp Files SMB 共用 (需要預設未指派給網域使用者的安全性權限) 上執行某些動作。 如需詳細資訊,請參閱建立和管理 Active Directory 連線。 |
Yes | 使用此功能是選擇性的,且僅 SQL Server 才支援這樣做。 用於安裝 SQL Server 的網域帳戶必須已經存在之後,您才能將其新增至 [安全性權限使用者] 欄位。 當您將 SQL Server 安裝程式的帳戶新增至安全性權限使用者時,Azure NetApp Files 服務可能會連絡網域控制站來驗證該帳戶。 如果無法連絡網域控制站,命令可能會失敗。 如需 SeSecurityPrivilege 和 SQL Server 的相關資訊,請參閱如果安裝程式帳戶沒有特定使用者權限,則 SQL Server 安裝會失敗 (英文)。* |
允許非管理員帳戶在 ANF 磁碟區之上使用 SQL Sever。 |
*只有在正確輸入修改時,才不會對修改的項目造成任何影響。 如果您未正確地輸入資料,使用者和應用程式將會失去存取權。