Modificare le connessioni Active Directory per Azure NetApp Files
Dopo aver creato una connessione Active Directory in Azure NetApp Files, è possibile modificarla. Quando si modifica una connessione Active Directory, non tutte le configurazioni sono modificabili.
Per altre informazioni, vedere Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files.
Modificare le connessioni di Active Directory
Selezionare Connessioni Active Directory. Selezionare quindi Modifica per modificare una connessione AD esistente.
Nella finestra Modifica Active Directory visualizzata modificare le configurazioni di connessione di Active Directory in base alle esigenze. Per una spiegazione dei campi che è possibile modificare, vedere Opzioni per le connessioni di Active Directory.
Opzioni per le connessioni di Active Directory
| Nome campo | Che cos'è | È modificabile? | Considerazioni e impatti | Effetto |
|---|---|---|---|---|
| DNS primario | Indirizzi IP del server DNS primario per il dominio di Active Directory. | Sì | Nessuno* | Il nuovo IP DNS viene usato per la risoluzione DNS. |
| DNS secondario | Indirizzi IP del server DNS secondario per il dominio di Active Directory. | Sì | Nessuno* | Il nuovo IP DNS verrà usato per la risoluzione DNS nel caso in cui il DNS primario non riesca. |
| Nome di dominio DNS di Active Directory | Nome di dominio del servizio di Dominio di Active Directory a cui si vuole partecipare. | No | None | N/D |
| Nome sito di AD | Sito a cui è limitata l'individuazione del controller di dominio. | Sì | Deve corrispondere al nome del sito in Siti e servizi di Active Directory. Vedere la nota a piè di pagina.* | L'individuazione del dominio è limitata al nuovo nome del sito. Se non specificato, viene usato "Default-First-Site-Name". |
| Prefisso del server SMB (account computer) | Prefisso di denominazione per l'account computer in Active Directory che Azure NetApp Files userà per la creazione di nuovi account. Vedere la nota a piè di pagina.* | Sì | I volumi esistenti devono essere montati di nuovo perché il montaggio viene modificato per le condivisioni SMB e i volumi Kerberos NFS.* | La ridenominazione del prefisso del server SMB dopo la creazione della connessione Active Directory è un'operazione che comporta problemi. Sarà necessario rimontare le condivisioni SMB esistenti e i volumi Kerberos NFS dopo la ridenominazione del prefisso del server SMB perché il percorso di montaggio cambierà. |
| Percorso unità organizzativa | Percorso LDAP per l'unità organizzativa (OU) in cui verranno creati gli account computer server SMB. OU=second level, OU=first level |
No | Se si usa Azure NetApp Files con Microsoft Entra Domain Services, il percorso aziendale è OU=AADDC Computers quando si configura Active Directory per l'account NetApp. |
Gli account computer verranno inseriti nell'unità organizzativa specificata. Se non specificato, il valore predefinito di OU=Computers viene utilizzato per impostazione predefinita. |
| Crittografia AES | Per sfruttare la sicurezza più avanzata con la comunicazione basata su Kerberos, è possibile abilitare la crittografia AES-256 e AES-128 nel server SMB. | Sì | Se si abilita la crittografia AES, le credenziali utente usate per l'aggiunta ad Active Directory devono avere l'opzione dell'account corrispondente più alta abilitata, corrispondenti alle funzionalità abilitate per Active Directory. Ad esempio, se Active Directory ha abilitato solo AES-128, è necessario abilitare l'opzione account AES-128 per le credenziali utente. Se Active Directory ha la funzionalità AES-256, è necessario abilitare l'opzione account AES-256 (che supporta anche AES-128). Se Active Directory non dispone di alcuna funzionalità di crittografia Kerberos, Azure NetApp Files usa DES per impostazione predefinita.* | Abilitare la crittografia AES per l'autenticazione di Active Directory |
| Firma LDAP | Questa funzionalità consente ricerche LDAP sicure tra il servizio Azure NetApp Files e il controller di dominio di Dominio di Active Directory Services specificato dall'utente. | Sì | Firma LDAP per Richiedere l'accesso a Criteri di gruppo* | Questa opzione consente di aumentare la sicurezza per la comunicazione tra client LDAP e controller di dominio Active Directory. |
| Consentire utenti NFS locali con LDAP | Se abilitata, questa opzione gestisce l'accesso per gli utenti locali e gli utenti LDAP. | Sì | Questa opzione consente l'accesso agli utenti locali. Non è consigliabile e, se abilitato, deve essere usato solo per un periodo di tempo limitato e successivamente disabilitato. | Se abilitata, questa opzione consente l'accesso agli utenti locali e agli utenti LDAP. Se la configurazione richiede l'accesso solo per gli utenti LDAP, è necessario disabilitare questa opzione. |
| LDAP su TLS | Se abilitata, LDAP su TLS è configurato per supportare la comunicazione LDAP sicura con Active Directory. | Sì | None | Se ldap è stato abilitato tramite TLS e se il certificato CA radice del server è già presente nel database, il certificato della CA protegge il traffico LDAP. Se viene passato un nuovo certificato, tale certificato verrà installato. |
| Certificato CA radice del server | Quando LDAP su SSL/TLS è abilitato, il client LDAP deve avere il certificato CA radice autofirmato del servizio certificati Active Directory con codifica Base64. | Sì | Nessuno* | Traffico LDAP protetto con nuovo certificato solo se LDAP su TLS è abilitato |
| Ambito di ricerca LDAP | Vedere Creare e gestire connessioni Active Directory | Sì | - | - |
| Server preferito per il client LDAP | È possibile designare fino a due server ACTIVE Directory per il ldap per tentare prima di tutto la connessione. Vedere Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services | Sì | Nessuno* | Potenzialmente impedire un timeout quando il client LDAP cerca di connettersi al server AD. |
| Connessioni SMB crittografate al controller di dominio | Questa opzione specifica se la crittografia deve essere usata per la comunicazione tra il server SMB e il controller di dominio. Per altre informazioni sull'uso di questa funzionalità, vedere Creare connessioni Active Directory. | Sì | La creazione di volumi SMB, Kerberos e LDAP abilitata non può essere usata se il controller di dominio non supporta SMB3 | Usare solo SMB3 per le connessioni di controller di dominio crittografate. |
| Utenti dei criteri di backup | È possibile includere più account che richiedono privilegi elevati per l'account computer creato per l'uso con Azure NetApp Files. Per altre informazioni, vedere Creare e gestire connessioni Active Directory. F | Sì | Nessuno* | Agli account specificati sarà consentito modificare le autorizzazioni NTFS a livello di file o di cartella. |
| Amministratori | Specificare utenti o gruppi a cui concedere privilegi di amministratore per il volume | Sì | None | L'account utente riceve privilegi di amministratore |
| Username | Nome utente dell'amministratore di dominio Di Active Directory | Sì | Nessuno* | Modifica delle credenziali al controller di dominio di contatto |
| Password | Password dell'amministratore di dominio Active Directory | Sì | Nessuno* La password non può superare i 64 caratteri. |
Modifica delle credenziali al controller di dominio di contatto |
| Area di autenticazione Kerberos: nome del server AD | Nome del computer Active Directory. Questa opzione viene usata solo quando si crea un volume Kerberos. | Sì | Nessuno* | |
| Area di autenticazione Kerberos: IP KDC | Specifica l'indirizzo IP del server Kerberos Distribution Center (KDC). KDC in Azure NetApp Files è un server Di Active Directory | Sì | None | Verrà usato un nuovo indirizzo IP KDC |
| Area | Area in cui sono associate le credenziali di Active Directory | No | None | N/D |
| DN utente | Il nome di dominio utente, che esegue l'override del nome DN di base per le ricerche utente annidate, può essere specificato nel OU=subdirectory, OU=directory, DC=domain, DC=com formato . |
Sì | Nessuno* | L'ambito di ricerca utente è limitato al DN utente anziché al DN di base. |
| DN gruppo | Nome di dominio del gruppo. groupDN esegue l'override del DN di base per le ricerche di gruppo. È possibile specificare il nome di gruppo annidato nel OU=subdirectory, OU=directory, DC=domain, DC=com formato . |
Sì | Nessuno* | L'ambito di ricerca del gruppo è limitato al DN del gruppo anziché al DN di base. |
| Filtro appartenenza a gruppi | Filtro di ricerca LDAP personalizzato da usare durante la ricerca dell'appartenenza al gruppo dal server LDAP. groupMembershipFilter può essere specificato con il (gidNumber=*) formato . |
Sì | Nessuno* | Il filtro di appartenenza ai gruppi verrà usato durante l'esecuzione di query relative all'appartenenza a un gruppo di un utente dal server LDAP. |
| Utenti con privilegi di sicurezza | È possibile concedere privilegi di sicurezza (SeSecurityPrivilege) agli utenti che richiedono privilegi elevati per accedere ai volumi di Azure NetApp Files. Gli account utente specificati potranno eseguire determinate azioni nelle condivisioni SMB di Azure NetApp Files che richiedono privilegi di sicurezza non assegnati per impostazione predefinita agli utenti di dominio. Per altre informazioni, vedere Creare e gestire connessioni Active Directory. |
Sì | L'uso di questa funzionalità è facoltativo e supportato solo per SQL Server. L'account di dominio usato per l'installazione di SQL Server deve esistere già prima di aggiungerlo al campo Utenti con privilegi di sicurezza. Quando si aggiunge l'account del programma di installazione di SQL Server agli utenti con privilegi di sicurezza, il servizio Azure NetApp Files potrebbe convalidare l'account contattando il controller di dominio. Il comando potrebbe non riuscire se non riesce a contattare il controller di dominio. Vedere Installazione di SQL Server non riuscita se l'account di installazione non dispone di determinati diritti utente per altre informazioni su SeSecurityPrivilege e SQL Server.* |
Consente agli account non amministratori di usare i server SQL sui volumi ANF. |
*Non c'è alcun impatto su una voce modificata solo se le modifiche vengono immesse correttamente. Se si immettono dati in modo errato, gli utenti e le applicazioni perderanno l'accesso.
Passaggi successivi
- Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files
- Configurare LDAP di Active Directory Domain Services con gruppi estesi per NFS
- Configurare LDAP di Active Directory Domain Services tramite TLS
- Creare e gestire connessioni di Active Directory