Mengubah koneksi Direktori Aktif untuk Azure NetApp Files
Setelah membuat koneksi Direktori Aktif di Azure NetApp Files, Anda dapat memodifikasinya. Saat memodifikasi Direktori Aktif, tidak semua konfigurasi dapat dimodifikasi.
Mengubah koneksi Direktori Aktif
Pilih Koneksi Direktori Aktif. Lalu, pilih Edit untuk mengedit koneksi AD yang sudah ada.
Di jendela Edit Direktori Aktif yang muncul, ubah konfigurasi koneksi Direktori Aktif sesuai kebutuhan. Lihat Opsi untuk koneksi Direktori Aktif untuk penjelasan tentang bidang apa yang dapat dimodifikasi.
Opsi untuk koneksi Direktori Aktif
| Nama Bidang | Apa fungsinya | Bisakah dimodifikasi? | Dampak Pertimbangan & | Efek |
|---|---|---|---|---|
| DNS Utama | Alamat IP server DNS utama untuk domain Direktori Aktif. | Ya | Tidak ada* | IP DNS baru akan digunakan untuk resolusi DNS. |
| DNS Sekunder | Alamat IP server DNS sekunder untuk domain Direktori Aktif. | Ya | Tidak ada* | IP DNS baru akan digunakan untuk resolusi DNS jika DNS utama gagal. |
| Nama Domain AD DNS | Nama domain Active Directory Domain Services yang ingin Anda gabungkan. | Tidak | Tidak ada | T/A |
| Nama Situs AD | Situs tempat penemuan pengendali domain dibatasi. | Ya | Ini harus cocok dengan nama situs di Situs dan Layanan Direktori Aktif. Lihat catatan kaki.* | Penemuan domain akan dibatasi pada nama situs baru. Jika tidak ditentukan, "Default-First-Site-Name" akan digunakan. |
| Awalan Server SMB (Akun Komputer) | Awalan penamaan untuk akun mesin di Direktori Aktif yang akan digunakan Azure NetApp Files untuk pembuatan akun baru. Lihat catatan kaki.* | Ya | Volume yang ada perlu dipasang lagi karena pemasangan diubah untuk berbagi SMB dan volume NFS Kerberos.* | Mengganti nama awalan server SMB setelah Anda membuat koneksi Direktori Aktif akan mengganggu. Anda harus memasang ulang berbagi SMB yang ada dan volume NFS Kerberos setelah mengganti nama awalan server SMB karena jalur pemasangan akan berubah. |
| Jalur Unit Organisasi | Jalur LDAP untuk unit organisasi (OU) tempat akun komputer server SMB akan dibuat. OU=second level, OU=first level |
Tidak | Jika Anda menggunakan Azure NetApp Files dengan Azure Active Directory Domain Services (AADDS), jalur organisasi adalah OU=AADDC Computers saat Anda mengonfigurasi Direktori Aktif untuk Akun NetApp Anda. |
Akun komputer akan ditempatkan di bawah unit organisasi yang ditentukan. Jika tidak ditentukan, default digunakan OU=Computers secara default. |
| Enkripsi AES | Untuk memanfaatkan keamanan terkuat dengan komunikasi berbasis Kerberos, Anda dapat mengaktifkan enkripsi AES-256 dan AES-128 di server SMB. | Ya | Jika Anda mengaktifkan enkripsi AES, kredensial pengguna yang digunakan untuk bergabung dengan Direktori Aktif harus mengaktifkan opsi akun terkait tertinggi yang cocok dengan kemampuan yang diaktifkan untuk Direktori Aktif Anda. Misalnya, jika Direktori Aktif Anda hanya mengaktifkan AES-128, Anda harus mengaktifkan opsi akun AES-128 untuk kredensial pengguna. Jika Direktori Aktif Anda memiliki kemampuan AES-256, Anda harus mengaktifkan opsi akun AES-256 (yang juga mendukung AES-128). Jika Direktori Aktif Anda tidak memiliki kemampuan enkripsi Kerberos, Azure NetApp Files menggunakan DES secara default.* | Mengaktifkan enkripsi AES untuk Autentikasi Direktori Aktif |
| Penandatanganan LDAP | Fungsionalitas ini memungkinkan pencarian LDAP yang aman antara layanan Azure NetApp Files dan pengontrol domain Active Directory Domain Services yang ditentukan pengguna. | Ya | Penandatanganan LDAP ke Memerlukan kebijakan grup Masuk* | Ini menyediakan cara untuk meningkatkan keamanan untuk komunikasi antara klien LDAP dan pengontrol domain Direktori Aktif. |
| Mengizinkan pengguna NFS lokal dengan LDAP | Jika diaktifkan, opsi ini akan mengelola akses untuk pengguna lokal dan pengguna LDAP. | Ya | Opsi ini akan mengizinkan akses ke pengguna lokal. Ini tidak disarankan dan, jika diaktifkan, hanya boleh digunakan untuk waktu yang terbatas dan kemudian dinonaktifkan. | Jika diaktifkan, opsi ini akan mengizinkan akses ke pengguna lokal dan pengguna LDAP. Jika akses hanya diperlukan untuk pengguna LDAP, opsi ini harus dinonaktifkan. |
| LDAP melalui TLS | Jika diaktifkan, LDAP melalui TLS akan dikonfigurasi untuk mendukung komunikasi LDAP yang aman ke direktori aktif. | Ya | Tidak ada | Jika LDAP melalui TLS diaktifkan dan jika sertifikat CA akar server sudah ada dalam database, lalu lintas LDAP diamankan menggunakan sertifikat CA. Jika sertifikat baru diteruskan, sertifikat tersebut akan diinstal. |
| Sertifikat OS akar server | Ketika LDAP melalui SSL/TLS diaktifkan, klien LDAP diharuskan memiliki sertifikat CA akar Layanan Sertifikat Direktori Aktif yang dikodekan sendiri oleh base64. | Ya | Tidak ada* | Lalu lintas LDAP diamankan dengan sertifikat baru hanya jika LDAP melalui TLS diaktifkan |
| Pengguna kebijakan Backup | Anda dapat menyertakan akun tambahan yang memerlukan hak istimewa yang ditinggikan ke akun komputer yang dibuat untuk digunakan dengan Azure NetApp Files. Lihat Membuat dan mengelola koneksi Direktori Aktif untuk informasi selengkapnya. | Ya | Tidak ada* | Akun yang ditentukan akan diizinkan untuk mengubah izin NTFS pada tingkat file atau folder. |
| Administrator | Tentukan pengguna atau grup yang akan diberikan hak istimewa administrator pada volume | Ya | Tidak ada | Akun pengguna akan menerima hak istimewa administrator |
| Nama pengguna | Nama pengguna administrator domain Direktori Aktif | Ya | Tidak ada* | Perubahan kredensial untuk menghubungi DC |
| Kata sandi | Kata sandi administrator domain Direktori Aktif | Ya | Tidak ada* | Perubahan kredensial untuk menghubungi DC |
| Kerberos Realm: Nama Server AD | Nama komputer Direktori Aktif. Opsi ini hanya digunakan saat membuat volume Kerberos. | Ya | Tidak ada* | |
| Kerberos Realm: KDC IP | Menentukan alamat IP server Pusat Distribusi Kerberos (KDC). KDC di Azure NetApp Files adalah server Direktori Aktif | Ya | Tidak ada | Alamat IP KDC baru akan digunakan |
| Wilayah | Wilayah tempat kredensial Direktori Aktif dikaitkan | Tidak | Tidak ada | T/A |
| DN Pengguna | Nama domain pengguna, yang menggantikan DN dasar untuk pencarian pengguna Nested userDN dapat ditentukan dalam OU=subdirectory, OU=directory, DC=domain, DC=com format. |
Ya | Tidak ada* | Cakupan pencarian pengguna terbatas pada DN Pengguna, bukan DN dasar. |
| Grup DN | Nama domain grup. groupDN mengambil alih DN dasar untuk pencarian grup. GroupDN berlapis dapat ditentukan dalam OU=subdirectory, OU=directory, DC=domain, DC=com format. |
Ya | Tidak ada* | Cakupan pencarian grup terbatas pada DN Grup, bukan DN dasar. |
| Filter Keanggotaan Grup | Filter pencarian LDAP kustom yang akan digunakan saat mencari keanggotaan grup dari server LDAP. groupMembershipFilter dapat ditentukan dengan (gidNumber=*) format . |
Ya | Tidak ada* | Filter keanggotaan grup akan digunakan saat mengkueri keanggotaan grup pengguna dari server LDAP. |
| Pengguna Hak Istimewa Keamanan | Anda dapat memberikan hak istimewa keamanan (SeSecurityPrivilege) kepada pengguna yang memerlukan hak istimewa yang ditingkatkan untuk mengakses volume Azure NetApp Files. Akun pengguna yang ditentukan akan diizinkan untuk melakukan tindakan tertentu pada berbagi Azure NetApp Files SMB yang memerlukan hak istimewa keamanan yang tidak ditetapkan secara default kepada pengguna domain. Lihat Membuat dan mengelola koneksi Direktori Aktif untuk informasi selengkapnya. |
Ya | Menggunakan fitur ini bersifat opsional dan hanya didukung untuk SQL Server. Akun domain yang digunakan untuk menginstal SQL Server harus sudah ada sebelum Anda menambahkannya ke bidang Pengguna hak istimewa Keamanan. Ketika Anda menambahkan akun penginstal SQL Server ke pengguna hak istimewa Keamanan, layanan Azure NetApp Files mungkin memvalidasi akun dengan menghubungi pengontrol domain. Perintah mungkin gagal jika tidak dapat menghubungi pengontrol domain. Untuk informasi selengkapnya tentang SeSecurityPrivilege dan SQL Server, lihat Penginstalan SQL Server gagal jika akun Penyetelan tidak memiliki hak pengguna tertentu.* |
Memungkinkan akun non-administrator untuk menggunakan server SQL di atas volume ANF. |
*Tidak ada dampak pada entri yang dimodifikasi hanya jika modifikasi dimasukkan dengan benar. Jika Anda salah memasukkan data, pengguna dan aplikasi akan kehilangan akses.