修改 Azure NetApp Files 的 Active Directory 連線
在 Azure NetApp Files 中建立 Active Directory 連線之後,您就可以修改它。 當您修改 Active Directory 連線時,並非所有組態都可以修改。
如需詳細資訊,請參閱瞭解 Azure NetApp Files Active Directory 網域服務 網站設計和規劃的指導方針。
修改 Active Directory 連線
選取 [ Active Directory 連線]。 然後,選取 [ 編輯 ] 以編輯現有的 AD 連線。
在出現的 [ 編輯 Active Directory ] 視窗中,視需要修改 Active Directory 聯機組態。 如需您可以修改哪些欄位的說明,請參閱 Active Directory 連線的選項。
Active Directory 連線的選項
| 欄位名稱 | 內容 | 這是可修改的嗎? | 考慮與影響 | 影響 |
|---|---|---|---|---|
| 主要 DNS | Active Directory 網域的主要 DNS 伺服器 IP 位址。 | Yes | 沒有* | 新的 DNS IP 用於 DNS 解析。 |
| 次要 DNS | Active Directory 網域的次要 DNS 伺服器 IP 位址。 | Yes | 沒有* | 新的 DNS IP 將會用於 DNS 解析,以防主要 DNS 失敗。 |
| AD DNS 功能變數名稱 | 您想要加入之 Active Directory 網域服務 的功能變數名稱。 | No | None | N/A |
| AD 網站名稱 | 域控制器探索所限制的月臺。 | Yes | 這應該符合 Active Directory 月臺和服務中的網站名稱。 請參閱腳注。* | 網域探索僅限於新的網站名稱。 如果未指定,則會使用 「Default-First-Site-Name」。。 |
| SMB 伺服器 (計算機帳戶) 前置詞 | Azure NetApp Files 將用於建立新帳戶之 Active Directory 中電腦帳戶的命名前置詞。 請參閱腳注。* | Yes | 現有磁碟區必須再次掛接,因為SMB共用和NFS Kerberos磁碟區的掛接已變更。* | 在您建立 Active Directory 連線之後重新命名 SMB 伺服器前置詞會造成干擾。 重新命名 SMB 伺服器前置詞之後,您必須重新掛接現有的 SMB 共用和 NFS Kerberos 磁碟區,因為掛接路徑將會變更。 |
| 組織單位路徑 | 將建立SMB伺服器電腦帳戶之組織單位 (OU) 的LDAP路徑。 OU=second level, OU=first level |
No | 如果您使用 Azure NetApp Files 搭配 Microsoft Entra Domain Services,則組織路徑是 OU=AADDC Computers 當您為 NetApp 帳戶設定 Active Directory 時。 |
計算機帳戶會放在指定的 OU 之下。 如果未指定,預設會使用的 OU=Computers 預設值。 |
| AES 加密 | 若要利用以 Kerberos 為基礎的通訊最強的安全性,您可以在 SMB 伺服器上啟用 AES-256 和 AES-128 加密。 | Yes | 如果您啟用 AES 加密,用來加入 Active Directory 的使用者認證必須啟用最高的對應帳戶選項,以符合您 Active Directory 啟用的功能。 例如,如果您的 Active Directory 只啟用 AES-128,您必須為使用者認證啟用 AES-128 帳戶選項。 如果您的 Active Directory 具有 AES-256 功能,您必須啟用 AES-256 帳戶選項(也支援 AES-128)。 如果您的 Active Directory 沒有任何 Kerberos 加密功能,Azure NetApp Files 預設會使用 DES。* | 啟用 Active Directory 驗證的 AES 加密 |
| LDAP 簽署 | 此功能可在 Azure NetApp Files 服務與使用者指定的 Active Directory 網域服務 域控制器之間進行安全的 LDAP 查閱。 | Yes | LDAP 簽署至需要登入組策略* | 此選項提供增加LDAP用戶端與Active Directory域控制器之間通訊安全性的方法。 |
| 允許具有 LDAP 的本機 NFS 使用者 | 如果已啟用,此選項會管理本機使用者和LDAP使用者的存取權。 | Yes | 這個選項允許存取本機使用者。 不建議這麼做,如果啟用,則只應該在有限的時間內使用,之後才停用。 | 如果啟用,此選項允許存取本機使用者和LDAP使用者。 如果您的設定只需要 LDAP 使用者的存取權,您必須停用此選項。 |
| LDAP over TLS | 如果已啟用,則會將LDAP over TLS 設定為支援對Active Directory的安全 LDAP 通訊。 | Yes | 無 | 如果您已透過 TLS 啟用 LDAP,而且如果資料庫中已經有伺服器根 CA 憑證,則 CA 憑證會保護 LDAP 流量。 如果傳入新的憑證,則會安裝該憑證。 |
| 伺服器根 CA 憑證 | 啟用LDAP over SSL/TLS時,LDAP客戶端必須具備base64編碼的Active Directory 憑證服務自我簽署根 CA 憑證。 | Yes | 沒有* | 只有在啟用透過 TLS 的 LDAP 時,才使用新憑證保護的 LDAP 流量 |
| LDAP 搜尋範圍 | 請參閱 建立和管理 Active Directory 連線 | Yes | - | - |
| LDAP 用戶端的慣用伺服器 | 您可以指定最多兩部 AD 伺服器,讓 LDAP 先嘗試連線。 請參閱瞭解 Active Directory 網域服務 網站設計和規劃的指導方針 | Yes | 沒有* | 當LDAP客戶端嘗試連線到AD伺服器時,可能會妨礙逾時。 |
| 對域控制器的加密SMB連線 | 此選項會指定加密是否應該用於SMB伺服器與域控制器之間的通訊。 如需使用這項功能的詳細資訊,請參閱 建立 Active Directory 連線 。 | Yes | 如果域控制器不支援SMB3,就無法使用啟用SMB、Kerberos和LDAP的磁碟區建立 | 只針對加密的域控制器連線使用SMB3。 |
| 備份原則使用者 | 您可以包含更多帳戶,這些帳戶需要提高許可權給建立以與 Azure NetApp Files 搭配使用的電腦帳戶。 如需詳細資訊,請參閱 建立和管理 Active Directory 連線。F | Yes | 沒有* | 允許指定的帳戶變更檔案或資料夾層級的NTFS許可權。 |
| 系統管理員 | 指定要授與磁碟區系統管理員許可權的使用者或群組 | Yes | 無 | 用戶帳戶會收到系統管理員許可權 |
| 使用者名稱 | Active Directory 網域管理員的用戶名稱 | Yes | 沒有* | 認證變更為連絡DC |
| 密碼 | Active Directory 網域管理員的密碼 | Yes | 沒有* 密碼不能超過64個字元。 |
認證變更為連絡DC |
| Kerberos 領域:AD 伺服器名稱 | Active Directory 計算機的名稱。 只有在建立 Kerberos 磁碟區時,才會使用此選項。 | Yes | 沒有* | |
| Kerberos 領域:KDC IP | 指定 Kerberos 配送中心 (KDC) 伺服器的 IP 位址。 Azure NetApp Files 中的 KDC 是 Active Directory 伺服器 | Yes | 無 | 將會使用新的 KDC IP 位址 |
| 區域 | Active Directory 認證相關聯的區域 | No | None | N/A |
| 使用者 DN | 用戶功能變數名稱,其會覆寫使用者查閱的基底 DN,以格式指定 OU=subdirectory, OU=directory, DC=domain, DC=com 巢狀使用者DN。 |
Yes | 沒有* | 用戶搜尋範圍受限於使用者 DN,而不是基底 DN。 |
| 群組 DN | 群組功能變數名稱。 groupDN 會覆寫群組查閱的基底 DN。 巢狀群組DN 可以用格式指定 OU=subdirectory, OU=directory, DC=domain, DC=com 。 |
Yes | 沒有* | 群組搜尋範圍限製為群組 DN,而不是基底 DN。 |
| 群組成員資格篩選 | 從LDAP伺服器查閱群組成員資格時要使用的自訂LDAP搜尋篩選器。 groupMembershipFilter 可以使用 格式來指定 (gidNumber=*) 。 |
Yes | 沒有* | 從LDAP伺服器查詢使用者的群組成員資格時,將會使用群組成員資格篩選。 |
| 安全性許可權使用者 | 您可以將安全性許可權 (SeSecurityPrivilege) 授與需要提高許可權才能存取 Azure NetApp Files 磁碟區的使用者。 指定的使用者帳戶將允許在 Azure NetApp Files SMB 共用上執行某些動作,這些共用需要預設未指派給網域使用者的安全性許可權。 如需詳細資訊,請參閱 建立和管理 Active Directory 連線 。 |
Yes | 使用這項功能是選擇性的,而且只支援 SQL Server。 您必須先存在用來安裝 SQL Server 的網域帳戶,才能將它新增至 [安全性許可權使用者] 字段。 當您將 SQL Server 安裝程式的帳戶新增至安全性許可權使用者時,Azure NetApp Files 服務可能會透過連絡域控制器來驗證帳戶。 如果無法連絡域控制器,命令可能會失敗。 如需 和 SQL Server 的詳細資訊SeSecurityPrivilege,請參閱 SQL Server 安裝失敗。 |
允許非系統管理員帳戶在 ANF 磁碟區上使用 SQL 斷層。 |
*只有在正確輸入修改時,才會對修改的專案造成任何影響。 如果您輸入數據不正確,使用者和應用程式將失去存取權。