在 Azure NetApp Files 中 建立 Active Directory 連線 之後,您就可以修改它。 當您修改 Active Directory 連線時,並非所有組態都可以修改。
如需詳細資訊,請參閱 瞭解 Active Directory Domain Services 網站設計和規劃 Azure NetApp Files 的指導方針。
修改 Active Directory 連線
選取 [Active Directory 連線]。 然後,選取 [編輯 ] 以編輯現有的 AD 連線。
在出現的 [ 編輯 Active Directory ] 視窗中,視需要修改 Active Directory 聯機組態。 如需您可以修改哪些欄位的說明,請參閱 Active Directory 連線的選項。
Active Directory 連線的選項
| 欄位名稱 | 它是什麼 | 這是可修改的嗎? | 考慮與影響 | 影響 |
|---|---|---|---|---|
| 主要 DNS | Active Directory 網域的主要 DNS 伺服器 IP 位址。 | 是的 | 沒有* | 新的 DNS IP 用於 DNS 解析。 |
| 次要 DNS | Active Directory 網域的次要 DNS 伺服器 IP 位址。 | 是的 | 沒有* | 新的 DNS IP 將會用於 DNS 解析,以防主要 DNS 失敗。 |
| AD DNS 網域名稱 | 您想要加入之 Active Directory Domain Services 的網域名稱。 | 否 | 沒有 | N/A |
| AD 網站名稱 | 限制域控制器發現的網站。 | 是的 | 這應該符合 Active Directory 網站和服務中的網站名稱。 請參閱腳注。* | 網域探索僅限於新的網站名稱。 如果未指定,則會使用 「Default-First-Site-Name」。。 |
| SMB 伺服器 (計算機帳戶) 前置詞 | Azure NetApp Files 將用於建立新帳戶之 Active Directory 中電腦帳戶的命名前置詞。 請參閱腳注。* | 是的 | 現有磁碟區必須再次掛接,因為SMB共用和NFS Kerberos磁碟區的掛接已變更。* | 在建立 Active Directory 連線之後重新命名 SMB 伺服器會造成干擾。 在重新命名 SMB 伺服器前置詞後,您必須重新掛載現有的 SMB 共用和 NFS Kerberos 磁碟區,因為掛載路徑將會變更。 |
| 組織單位路徑 | 將建立 SMB 伺服器電腦帳戶的組織單位 (OU) 的 LDAP 路徑。
OU=second level、OU=first level |
否 | 如果您使用 Azure NetApp Files 和 Microsoft Entra Domain Services,當您為 NetApp 帳戶設定 Active Directory 時,組織路徑為OU=AADDC Computers。 |
計算機帳戶會放在指定的 OU 之下。 如果未指定,將預設使用 OU=Computers。 |
| AES 加密 | 若要利用以 Kerberos 為基礎的通訊最強的安全性,您可以在 SMB 伺服器上啟用 AES-256 和 AES-128 加密。 | 是的 | 如果您啟用 AES 加密,用來加入 Active Directory 的使用者認證必須啟用最高的對應帳戶選項,以符合您 Active Directory 啟用的功能。 例如,如果您的 Active Directory 只啟用 AES-128,您必須為使用者認證啟用 AES-128 帳戶選項。 如果您的 Active Directory 具有 AES-256 功能,您必須啟用 AES-256 帳戶選項(也支援 AES-128)。 如果您的 Active Directory 沒有任何 Kerberos 加密功能,Azure NetApp Files 預設會使用 DES。* | 啟用 Active Directory 驗證的 AES 加密 |
| LDAP 簽署 | 此功能可在 Azure NetApp Files 服務與使用者指定的 Active Directory Domain Services 域控制器之間進行安全的 LDAP 查閱。 | 是的 | LDAP 簽署至需要登入組策略* | 此選項提供增加LDAP用戶端與Active Directory域控制器之間通訊安全性的方法。 |
| 允許具有 LDAP 的本機 NFS 使用者 | 如果已啟用,此選項會管理本機使用者和LDAP使用者的存取權。 | 是的 | 此選項允許本機使用者存取。 不建議這麼做,如果啟用,則只應該在有限的時間內使用,之後才停用。 | 如果啟用,此選項允許存取本機使用者和LDAP使用者。 如果您的設定只需要 LDAP 使用者的存取權,您必須停用此選項。 |
| LDAP通過TLS協定 | 如果已啟用,則會將LDAP over TLS 設定為支援對Active Directory的安全 LDAP 通訊。 | 是的 | 沒有 | 如果您已透過 TLS 啟用 LDAP,而且如果資料庫中已經有伺服器根 CA 憑證,則 CA 憑證會保護 LDAP 流量。 如果傳入新的憑證,則會安裝該憑證。 |
| 伺服器根 CA 憑證 | 啟用LDAP over SSL/TLS時,LDAP客戶端必須具備base64編碼的Active Directory 憑證服務自我簽署根 CA 憑證。 | 是的 | 沒有* | 啟用 TLS 的 LDAP 後,只有新憑證保護的 LDAP 流量才會安全。 |
| LDAP 搜尋範圍 | 請參閱 建立和管理 Active Directory 連線 | 是的 | - | - |
| LDAP 用戶端的慣用伺服器 | 您可以指定最多兩部 AD 伺服器,讓 LDAP 先嘗試連線。 請參閱 瞭解 Active Directory Domain Services 網站設計和規劃的指導方針 | 是的 | 沒有* | 在LDAP客戶端嘗試連線到AD伺服器時,可能會妨礙超時機制的運作。 |
| 對域控制器的加密SMB連線 | 此選項會指定加密是否應該用於SMB伺服器與域控制器之間的通訊。 如需使用這項功能的詳細資訊,請參閱 建立 Active Directory 連線 。 | 是的 | 如果域控制器不支援 SMB3,就無法使用啟用 SMB、Kerberos 和 LDAP 的磁碟區建立功能。 | 只針對加密的域控制器連線使用SMB3。 |
| 備份原則使用者 | 您可以包含更多需要提高許可權以便用於搭配 Azure NetApp Files 使用而建立的電腦帳戶。 如需詳細資訊,請參閱 建立和管理 Active Directory 連線。F | 是的 | 沒有* | 指定的帳號可允許在檔案或資料夾層級變更 NTFS 權限。 |
| 管理員 | 指定使用者或群組以授予磁碟區的管理者權限 | 是的 | 沒有 | 用戶帳戶會收到系統管理員許可權 |
| 用戶名稱 | Active Directory 網域管理員的用戶名稱 | 是的 | 沒有* | 認證變更為連絡DC |
| 密碼 | Active Directory 網域管理員的密碼 | 是的 | 沒有* 密碼不能超過64個字元。 |
認證變更為連絡DC |
| Kerberos 域:AD 伺服器名稱 | Active Directory 計算機的名稱。 只有在建立 Kerberos 磁碟區時,才會使用此選項。 | 是的 | 沒有* | |
| Kerberos 領域:KDC IP | 指定 Kerberos 配送中心 (KDC) 伺服器的 IP 位址。 Azure NetApp Files 中的 KDC 是 Active Directory 伺服器。 您只能編輯 AD 設定來修改 KDC IP。 | 是的 | 沒有 | 將會使用新的 KDC IP 位址 |
| 區域 | Active Directory 認證相關聯的區域 | 否 | 沒有 | N/A |
| 使用者 DN | 使用者網域名稱,其會覆寫用戶查找的基底 DN,巢狀的使用者DN可以以 OU=subdirectory, OU=directory, DC=domain, DC=com 格式指定。 |
是的 | 沒有* | 用戶搜尋範圍受限於使用者 DN,而不是基底 DN。 |
| 群組 DN | 群組網域名稱。 groupDN 會覆寫用於群組查找的基底 DN。 可以以 OU=subdirectory, OU=directory, DC=domain, DC=com 格式指定巢狀群組DN。 |
是的 | 沒有* | 群組搜尋範圍限製為群組 DN,而不是基底 DN。 |
| 群組成員資格篩選 | 從LDAP伺服器查閱群組成員資格時要使用的自訂LDAP搜尋篩選器。可以使用groupMembershipFilter 格式來指定 (gidNumber=*) 。 |
是的 | 沒有* | 從LDAP伺服器查詢使用者的群組成員資格時,將會使用群組成員資格篩選。 |
| 安全性許可權使用者 | 您可以將安全性許可權 (SeSecurityPrivilege) 授與需要提高許可權才能存取 Azure NetApp Files 磁碟區的使用者。 指定的使用者帳戶將允許在 Azure NetApp Files SMB 共用上執行某些動作,這些共用需要預設未指派給網域使用者的安全性許可權。 如需詳細資訊 ,請參閱建立和管理 Active Directory 連線 。 |
是的 | 使用這項功能是選擇性的,而且只支援 SQL Server。 您必須先存在用來安裝 SQL Server 的網域帳戶,才能將它新增至 [安全性許可權使用者] 字段。 當您將 SQL Server 安裝程式的帳戶新增至安全性許可權使用者時,Azure NetApp Files 服務可能會透過連絡域控制器來驗證帳戶。 如果無法連絡域控制器,命令可能會失敗。 如需有關 SQL Server 安裝失敗及使用者權限不足的更多詳細資訊,請參閱 SQL Server 安裝失敗。 | 允許非管理員帳戶在 ANF 磁碟區上使用 SQL 伺服器。 |
只有在修改正確輸入時,才不會對已修改的條目產生影響。 如果您輸入數據不正確,使用者和應用程式將失去存取權。