建立和管理適用於 Azure NetApp Files 的 Active Directory 連線

Azure NetApp Files 的數個功能需要您有 Active Directory 連線。例如，您需要先有 Active Directory 連線，才能建立 SMB 磁區、NFSv4.1 Kerberos 磁區或雙重通訊協定磁區。本文說明如何建立和管理適用於 Azure NetApp Files 的 Active Directory 連線。

Active Directory 連線的需求與考量

Important

您必須遵循了解 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃的指導方針中所述的相關指南，這份指南適用於與 Azure NetApp Files 搭配使用的 Active Directory 網域服務 (AD DS) 或 Microsoft Entra 網域服務。

在建立 AD 連線之前，請檢閱修改適用於 Azure NetApp Files 的 Active Directory 連線，以瞭解在 AD 連線建立之後對 AD 連線組態選項進行變更的影響。 AD 連線設定選項的變更對用戶端存取造成干擾，某些選項完全無法變更。

必須在要部署 Azure NetApp 檔案磁碟區的區域中建立 Azure NetApp 檔案帳戶。
根據預設，Azure NetApp Files 允許每一個訂閱和帳戶只有一個 Active Directory (AD) 連線。您可以修改預設值，為每個 NetApp 帳戶建立一個 Active Directory 連線。
Azure NetApp Files AD 連線管理員帳戶必須具有下列屬性：
- 該帳號必須是建立 Azure NetApp Files 電腦帳戶之相同網域中的 AD DS 網域使用者帳戶。
- 且必須具有權限，才能在 AD 連線的組織單位路徑選項指定的 AD DS 組織單位路徑中建立電腦帳戶 (例如 AD 網域加入)。
- 它不能是群組受管理的服務帳戶。
AD 連線管理員帳戶支援 Kerberos AES-128 和 Kerberos AES-256 加密類型，用以為適用於 Azure NetApp Files 的 AD DS 電腦帳戶建立進行驗證 (例如，AD 網域加入作業)。
若要啟用 AES 加密，您應該先在 Active Directory 上啟用 AES-128、AES-256、RC4 和 DES 加密類型，然後在控制平面上啟用 AES。您必須先在 Active Directory 中啟用加密。

Important

如果您計劃在 Active Directory 環境中使用 Windows Server 2025 域控制器，則需要 AES-256 加密。

若要在 AD 連線中為管理員帳戶啟用 AES 加密支援，請執行下列 Active Directory PowerShell 命令：
```
Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>
```
KerberosEncryptionType 是支援 DES、RC4、AES-128 和 AES-256 值的多重值參數。

如需詳細資訊，請參閱 Set-ADUser 文件。
若要在 Azure NetApp Files AD 連線管理員帳戶上啟用 AES 加密，您必須使用屬於下列其中一個 AD DS 群組成員的 AD 網域使用者帳戶：
- 網域管理員
- 企業管理員
- Administrators
- 帳戶管理員
- Microsoft Entra Domain Services 系統管理員 （僅限 Microsoft Entra Domain Services）
- 或者，也可以使用 AD 連線管理員帳戶上具有 msDS-SupportedEncryptionTypes 寫入權限的 AD 網域使用者帳戶，以在 AD 連線管理員帳戶上設定 Kerberos 加密類型屬性。
Note

當您修改設定以在AD連線管理員帳戶上啟用 AES 時，最佳做法是使用具有不是 Azure NetApp Files AD 系統管理員之 AD 物件的寫入許可權的用戶帳戶。您可以使用另一個網域系統管理員帳戶或將控制權委派給帳戶來執行此動作。如需詳細資訊，請參閱使用 OU 物件委派管理。

如果您在 AD 連線的管理員帳戶上同時設定 AES-128 和 AES-256 Kerberos 加密，則 Windows 用戶端會交涉 AD DS 所支援的最高加密層級。例如，如果同時支援 AES-128 和 AES-256，且用戶端支援 AES-256，則會使用 AES-256。
如果您變更 Kerberos 發佈中心 (KDC) IP 位址或 AD 伺服器名稱，必須等待 Kerberos 票證生命週期，才能在相同的 NFS Linux 用戶端上掛接磁碟區。 Kerberos 工單的壽命可在用戶端與 KDC 上設定。預設情況下，Microsoft Active Directory 將 Kerberos 工單的壽命設定為 600 分鐘（10 小時）。 欲了解更多資訊，請參閱服務票的最大壽命。
如果您需要為已加入網域的 Windows 主機 (與 Azure NetApp Files 一起使用) 啟用和停用 Active Directory 電腦帳戶的特定 Kerberos 加密類型，那麼您必須使用群組原則 Network Security: Configure Encryption types allowed for Kerberos。

請勿設定登錄機碼 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes。這樣做會破壞向 Windows 主機 (在其中手動設定此登錄機碼) 的 Azure NetApp Files 進行 Kerberos 驗證。

Note

Network Security: Configure Encryption types allowed for Kerberos 的預設原則設定為 Not Defined。當此原則設定設為 Not Defined 時，除了 DES 以外的所有加密類型都可用於 Kerberos 加密。您可以選擇只啟用特定 Kerberos 加密類型的支援 (例如， AES128_HMAC_SHA1 或 AES256_HMAC_SHA1)。不過，若對 Azure NetApp Files 啟用了 AES 加密支援時，在大部分的情況下，預設的原則應該就足夠了。

如需詳細資訊，請參閱「網絡安全性：設定允許用於 Kerberos 的加密類型」或「Kerberos 支援加密類型的 Windows 組態」
LDAP 查詢只會在 Active Directory 連線中指定的網域中生效 (AD DNS 網域名稱欄位)。此行為適用於 NFS、SMB 和雙重通訊協定磁碟區。
LDAP 查詢等候逾時

根據預設，如果LDAP查詢無法及時完成，就會逾時。如果LDAP查詢因逾時而失敗，使用者和/或群組查閱將會失敗，而且可能會拒絕存取 Azure NetApp Files 磁碟區，視磁碟區的許可權設定而定。

查詢逾時可能會發生在具有許多使用者和群組物件的大型 LDAP 環境中、透過緩慢的 WAN 連線，以及當 LDAP 伺服器被大量請求過度使用時。 LDAP 查詢的 Azure NetApp 檔案逾時設定會設定為 10 秒。若遇到 LDAP 查詢逾時問題，可以考慮利用 LDAP 伺服器中 Active Directory 連線上的使用者和群組 DN 功能來篩選搜尋結果。

NetApp 帳戶和 Active Directory 類型

您可以使用 NetApp 帳戶概觀頁面來確認 Active Directory 帳戶類型。 AD 類型有三個值：

NA：每個訂用帳戶和區域只支援一個 AD 設定的現有 NetApp 帳戶。 AD 設定不會與訂用帳戶中的其他 NetApp 帳戶共用。
多重 AD：NetApp 帳戶在訂用帳戶中的每個 NetApp 帳戶中都支援一個 AD 設定。在使用多個 NetApp 帳戶時，此值會允許每個訂用帳戶有多個 AD 連線。

Note

請確保您使用 2024-11-01 或更新版本的 API 以啟用多重 AD。
共用AD：NetApp 帳戶在每個訂用帳戶和區域僅支援一個 AD 設定，但訂用帳戶和區域中的所有 NetApp 帳戶會共用此設定。

如需 NetApp 帳戶與訂用帳戶之間關聯性的詳細資訊，請參閱 Azure NetApp 檔案的儲存體階層 (部分機器翻譯)。

建立 Active Directory 連線

從您的 NetApp 帳戶中，選取 [Active Directory 連線]，然後選取 [加入]。

Note

根據預設，Azure NetApp Files 僅支援相同區域內和相同訂用帳戶內的一個 Active Directory 連線。您可以修改此設定，為每個 NetApp 帳戶建立一個 Active Directory 連線。

在 [加入 Active Directory] 視窗中，根據您想要使用的網域服務，提供下列資訊：

主要 DNS (必要)
這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的主要 DNS 伺服器的 IP 位址。
次要DNS
這是 Active Directory 網域加入作業、SMB 驗證、Kerberos 和 LDAP 作業所需的次要 DNS 伺服器的 IP 位址。

Note

建議您設定次要 DNS 伺服器。請參閱了解適用於 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃指導方針。請確定您的 DNS 伺服器設定符合 Azure NetApp Files 的需求。否則，Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。

若使用 Microsoft Entra Domain Services，請分別對主要 DNS 和次要 DNS 使用 Microsoft Entra Domain Services 網域控制站的 IP 位址。
AD DNS 網域名稱 (必要)
這是與 Azure NetApp Files 一起使用的 AD DS 的完整網域名稱 (例如，contoso.com)。
AD 網站名稱 (必要)
這是 Azure NetApp Files 用於域控制器探索的 AD DS 網站名稱。

AD DS 和 Microsoft Entra 網域服務的預設網站名稱為 Default-First-Site-Name。若要重新命名網站名稱，請按照網站名稱的命名慣例操作。

Note

請參閱了解適用於 Azure NetApp Files 的 Active Directory 網域服務網站設計與規劃指導方針。請確定您的 AD DS 網站設計和組態符合 Azure NetApp Files 的需求。否則，Azure NetApp Files 服務作業、SMB 驗證、Kerberos 或 LDAP 作業可能會失敗。
SMB 伺服器 (電腦帳戶) 前置詞 (必要)
這是在 AD DS 中為 Azure NetApp Files SMB、雙重通訊協定和 NFSv4.1 Kerberos 磁碟區所建立的新電腦帳戶的命名前置詞。

例如，如果您的組織用於檔案服務的命名標準是 NAS-01、NAS-02 等等，那麼您會使用 NAS 做為前置詞。

Azure NetApp Files 會視需要在 AD DS 中建立其他的電腦帳戶。

Important

在建立 Active Directory 連線之後重新命名 SMB 伺服器會造成干擾。重新命名 SMB 伺服器前置詞之後，您必須重新掛接現有的 SMB 共用。
組織單位路徑
這是組織單位 (OU) 的 LDAP 路徑，將在此處建立 SMB 伺服器電腦帳戶。也就是說， OU=second level, OU=first level。例如，如果您想要使用在網域的根所建立名為 ANF 的 OU，那麼此值會是 OU=ANF。

如果未提供任何值，Azure NetApp 檔案會使用 CN=Computers 容器。

若使用 Azure NetApp Files 搭配 Microsoft Entra 網域服務，則組織單位路徑為 OU=AADDC Computers
AES 加密
此選項可針對 AD 連線的管理員帳戶啟用 AES 加密驗證支援。

有關要求，請參閱 Active Directory 連線的需求。
LDAP 簽署

此選項可啟用 LDAP 簽署。此功能可啟用來自 Azure NetApp Files 和使用者指定的「Active Directory 網域服務」網域控制站的簡單驗證和安全層 (SASL) LDAP 繫結的完整性驗證。

如果 Active Directory 連線中已啟用 LDAP 簽署和 LDAP over TLS 設定選項，則 Azure NetApp Files 支援 LDAP 通道繫結。如需詳細資訊，請參閱 ADV190023 | 啟用 LDAP 通道繫結和 LDAP 簽署的 Microsoft 指引。

Note

AD DS 電腦帳戶的 DNS PTR 記錄必須在 Azure NetApp Files AD 連線中指定的 AD DS 組織單位 中建立，LDAP 簽署才會生效。
允許具有 LDAP 的本機 NFS 使用者 此選項可讓本機 NFS 用戶端使用者存取 NFS 磁區。設定此選項會停用 NFS 磁碟區的擴充群組，而將使用者支援的群組數目限制為 16 個。啟用時，存取權限中不會接受超過上限 16 個群組的群組。如需詳細資訊，請參閱「允許具有 LDAP 的本機 NFS 使用者存取雙重通訊協定磁區」。
透過 TLS 的 LDAP

此選項可讓 LDAP over TLS 在 Azure NetApp Files 磁區與 Active Directory LDAP 伺服器之間進行安全通訊。您可以為 Azure NetApp Files 的 NFS、SMB 和雙重通訊協定磁碟區啟用 LDAP over TLS。

Note

若使用 Microsoft Entra Domain Services，就不得啟用 LDAP over TLS。 Microsoft Entra 網域服務會使用 LDAPS (連接埠 636) 來保護 LDAP 流量，而不是 LDAP over TLS (連接埠 389)。

如需詳細資訊，請參閱「為 NFS 磁區啟用 Active Directory 網域服務 (AD DS) LDAP 驗證」。
伺服器根 CA 憑證

此選項可上傳搭配 LDAP over TLS 使用的 CA 憑證。

如需詳細資訊，請參閱「為 NFS 磁區啟用 Active Directory 網域服務 (AD DS) LDAP 驗證」。 
LDAP 搜尋範圍、使用者 DN、群組 DN 及群組成員資格篩選

LDAP 搜尋範圍選項可最佳化 Azure NetApp Files 儲存體 LDAP 查詢，以搭配大型 AD DS 拓撲和具有擴充群組的 LDAP 或具有 Azure NetApp Files 雙重通訊協定磁區的 Unix 安全性樣式一起使用。

使用者 DN 及群組 DN 選項可讓您在 AD DS LDAP 中設定搜尋基礎。這些選項會限制 LDAP 查詢的搜尋區域，從而減少搜尋時間，並協助減少 LDAP 查詢逾時。

群組成員資格篩選選項可讓您為屬於特定 AD DS 群組成員的使用者建立自訂搜尋篩選。

如需這些選項的相關資訊，請參閱「設定具有擴充群組的 AD DS LDAP 以存取 NFS 磁區」。
LDAP 用戶端的慣用伺服器

[LDAP 用戶端的慣用伺服器] 選項可讓您以逗號分隔清單形式來提交最多兩個 AD 伺服器的 IP 位址。 LDAP 用戶端將會先連絡指定的伺服器，而不會循序連絡網域的所有探索到 AD 服務。
已加密 SMB 與網域控制站的連線

已加密 SMB 與網域控制站的連線可指定是否應該將加密用於 SMB 伺服器與網域控制站之間的通訊。啟用時，只有 SMB3 會用於加密的網域控制站連線。

此功能目前為預覽狀態。如果這是您第一次使用「已加密 SMB 與網域控制站的連線」，則您必須進行註冊：
```
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
檢查功能註冊的狀態：

Note

在變更為之前，Registering 可能處於最多 60 分鐘的 Registered 狀態。等到狀態變為 Registered 之後再繼續。
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC 
```
您也可以使用 Azure CLI 命令az feature register及 az feature show 來註冊此功能，並顯示註冊狀態。

備份原則使用者 此選項可將額外的安全性權限授與給需要較高備份權限的 AD DS 網域使用者或群組，以支援 Azure NetApp 檔案中的備份、還原和移轉工作流程。指定的 AD DS 使用者帳戶或群組在檔案或資料夾層級會有較高的 NTFS 權限。

[備份原則使用者] 欄位的螢幕擷取畫面，其中顯示空白文字輸入欄位。

當您使用備份原則使用者設定時，會套用下列權限：

Privilege	Description
`SeBackupPrivilege`	備份檔案和目錄，覆寫任何 ACL。
`SeRestorePrivilege`	還原檔案和目錄，覆寫任何 ACL。將任何有效的使用者或群組 SID 設為檔案擁有者。
`SeChangeNotifyPrivilege`	略過周遊檢查。具有此權限的使用者不需要擁有周遊的 (`x`) 權限來周遊資料夾或符號連結。

安全性權限使用者
此選項會將安全性權限 (SeSecurityPrivilege) 授與需要較高的權限來存取 Azure NetApp Files 磁區的 AD DS 網域使用者或群組。將允許指定的 AD DS 使用者或群組在 SMB 共用 (需要預設未指派給網域使用者的安全性權限) 上執行某些動作。

當您使用 [安全性權限使用者] 設定時，會套用下列權限：

Privilege Description

SeSecurityPrivilege 管理記錄作業。

此功能可在特定情況下安裝 SQL Server 時使用，其中非管理員 AD DS 網域帳戶必須暫時被授與較高的安全性權限。

Note

使用安全性權限使用者功能時需依賴 SMB 持續可用性共用功能。「SMB 持續可用性」在自訂應用程式上不受支援。它只支援使用 Citrix 應用程式分層、 FSLogix 使用者配置檔案容器和 Microsoft SQL Server （而非 Linux SQL Server）的工作負載。

Important

此功能是選擇性的，且僅搭配 SQL Server 時才受到支援。用於安裝 SQL Server 的 AD DS 網域帳戶必須已經存在之後，您才能將其新增至 [安全性權限使用者] 選項。當您將 SQL Server 安裝程式帳戶新增至 [安全性權限使用者] 選項時，Azure NetApp Files 服務可能會連絡 AD DS 網域控制站來驗證該帳戶。如果 Azure NetApp Files 無法連絡 AD DS 域控制器，此動作可能會失敗。

如需 SeSecurityPrivilege 和 SQL Server 的相關資訊，請參閱「如果安裝程式帳戶沒有特定使用者權限，則 SQL Server 安裝會失敗」。

Privilege	Description
`SeSecurityPrivilege`	管理記錄作業。

管理員權限使用者

此選項會將額外的安全性權限授與需要較高的權限來存取 Azure NetApp Files 磁區的 AD DS 網域使用者或群組。指定的帳戶將在檔案或資料夾層級具有較高的權限。

Note

網域管理員會自動新增至管理員權限使用者群組。

顯示 [Active Directory 連線] 視窗的 [管理員] 方塊的螢幕擷取畫面。

Note

此權限有助於執行資料移轉。

當您使用「管理員權限使用者」設定時，會套用下列權限：

Privilege	Description
`SeBackupPrivilege`	備份檔案和目錄，覆寫任何 ACL。
`SeRestorePrivilege`	還原檔案和目錄，覆寫任何 ACL。將任何有效的使用者或群組 SID 設為檔案擁有者。
`SeChangeNotifyPrivilege`	略過周遊檢查。具有此權限的使用者不需要擁有周遊 (`x`) 權限來周遊資料夾或符號連結。
`SeTakeOwnershipPrivilege`	取得檔案或其他物件的擁有權。
`SeSecurityPrivilege`	管理記錄作業。
`SeChangeNotifyPrivilege`	略過周遊檢查。具有此權限的使用者不需要擁有周遊 (`x`) 權限來周遊資料夾或符號連結。

認證，包括您的使用者名稱和密碼

Important

雖然 Active Directory 支援 256 個字元的密碼，但搭配 Azure NetApp Files 使用的 Active Directory 密碼不能超過 64 個字元。

選取 [加入] 。

隨即顯示您建立的 Active Directory 連線。

為每個 NetApp 帳戶建立一個 Active Directory 連線

Azure NetApp Files 目前的預設行為支援每個訂用帳戶和區域的一個 AD 連線。藉由啟用這項功能，您可以修改行為，讓 Azure 訂用帳戶內的每個 NetApp 帳戶可以有自己的 AD 連線。啟用此功能時， 新建立 的 NetApp 帳戶會維護自己的 AD 連線。

一經設定，當您建立 SMB 磁碟區、NFSv4.1 Kerberos 磁碟區或雙重通訊協定磁碟區 (部分機器翻譯) 時，系統就會使用 NetApp 帳戶的 AD 連線。這表示使用多個 NetApp 帳戶時，Azure NetApp Files 支援每個 Azure 訂用帳戶一個以上的 AD 連線。

Note

如果訂用帳戶同時啟用此功能和共用 Active Directory 功能，其現有的帳戶仍會共用 AD 設定。在訂用帳戶上建立的任何新 NetApp 帳戶都可以使用自己的 AD 設定。您可以在 AD 類型欄位的帳戶概觀頁面中確認您的設定。

Important

每個 AD 設定的範圍僅限於其父系 NetApp 帳戶。

註冊功能

每個 NetApp 帳戶建立一個 AD 連線的功能已正式推出。您需要在第一次使用之前註冊該功能。註冊之後，此功能就會啟用並在背景中運作。

註冊此功能：

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

檢查功能註冊的狀態：

Note

在變更為之前，Registering 可能處於最多 60 分鐘的 Registered 狀態。等到狀態變為 Registered 之後再繼續。
```
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory
```
您也可以使用 Azure CLI 命令az feature register及 az feature show 來註冊此功能，並顯示註冊狀態。

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至一個 AD 連線 (預覽)

「共用 AD」功能可讓所有 NetApp 帳戶共用其中一個 NetApp 帳戶所建立的 AD 連線，而 NetApp 帳戶屬於相同的訂用帳戶和相同的區域。例如，使用此功能時，相同訂用帳戶和地區中的所有 NetApp 帳戶都可以使用通用 AD 組態來建立 SMB 磁區、NFSv4.1 Kerberos 磁區或雙重通訊協定磁區。使用此功能時，AD 連線會顯示在相同訂用帳戶和相同區域下方的所有 NetApp 帳戶中。

隨著引進每個 NetApp 帳戶皆可建立一個 AD 連線的功能，將不再接受共用 AD 功能的新註冊。

Note

如果您已在共用 AD 預覽版中註冊，則可以註冊為每個 NetApp 帳戶使用一個 AD 連線。如果您目前已達到每個訂用帳戶在每個 Azure 區域中最多 10 個 NetApp 帳戶的上限，您必須發起支援要求以提高此限制。您可以在 AD 類型欄位的帳戶概觀頁面中確認您的設定。

重設 Active Directory 電腦帳戶密碼

如果您不小心重設 AD 伺服器上的 AD 電腦帳戶密碼，或無法連線到 AD 伺服器，您可以安全地重設電腦帳戶密碼，以保留與磁區的連線。重設會影響 SMB 伺服器上的所有磁區。

註冊功能

重設 Active Directory 電腦帳戶密碼功能目前為公開預覽的狀態。如果您是第一次使用這項功能，則必須先註冊此功能。

註冊「重設 Active Directory 電腦帳戶密碼」功能：

Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

檢查功能註冊的狀態。在變更為之前，Registering 可能處於最多 60 分鐘的 Registered 狀態。等到狀態變為 Registered 之後再繼續。

Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

您也可以使用 Azure CLI 命令az feature register及 az feature show 來註冊此功能，並顯示註冊狀態。

Steps

瀏覽至磁區 [概觀] 功能表。選取 [重設 Active Directory 帳戶]。或者，瀏覽至 [磁碟區] 功能表。識別您要重設 Active Directory 帳戶的磁區，然後選取資料列結尾的三個點 (...)。選取 [重設 Active Directory 帳戶]。
隨即會快顯一個說明此動作含意的警告訊息。在文字方塊中輸入 yes 以繼續。

後續步驟

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-12-07

共用方式為

建立和管理適用於 Azure NetApp Files 的 Active Directory 連線

Active Directory 連線的需求與考量

NetApp 帳戶和 Active Directory 類型

建立 Active Directory 連線

為每個 NetApp 帳戶建立一個 Active Directory 連線

註冊功能

將相同訂用帳戶和區域中的多個 NetApp 帳戶對應至一個 AD 連線 (預覽)

重設 Active Directory 電腦帳戶密碼

註冊功能

Steps

後續步驟

意見反應

其他資源