Ändra Active Directory-anslutningar för Azure NetApp Files
När du har skapat en Active Directory-anslutning i Azure NetApp Files kan du ändra den. När du ändrar en Active Directory-anslutning kan inte alla konfigurationer ändras.
Mer information finns i Förstå riktlinjer för Active Directory-domän Services webbplatsdesign och planering för Azure NetApp Files.
Ändra Active Directory-anslutningar
Välj Active Directory-anslutningar. Välj sedan Redigera för att redigera en befintlig AD-anslutning.
I fönstret Redigera Active Directory som visas ändrar du Active Directory-anslutningskonfigurationer efter behov. En förklaring av vilka fält du kan ändra finns i Alternativ för Active Directory-anslutningar.
Alternativ för Active Directory-anslutningar
| Fältnamn | Vad det är | Kan den ändras? | Överväganden och effekter | Effekt |
|---|---|---|---|---|
| Primär DNS | Primära DNS-server-IP-adresser för Active Directory-domänen. | Ja | Ingen* | Ny DNS-IP används för DNS-matchning. |
| Sekundär DNS | Sekundära DNS-server-IP-adresser för Active Directory-domänen. | Ja | Ingen* | Ny DNS-IP används för DNS-matchning om primär DNS misslyckas. |
| AD DNS-domännamn | Domännamnet för dina Active Directory-domän-tjänster som du vill ansluta till. | Nej | Ingen | Ej tillämpligt |
| AD-webbplatsnamn | Platsen som domänkontrollantidentifieringen är begränsad till. | Ja | Detta bör matcha platsnamnet i Active Directory-webbplatser och -tjänster. Se fotnot.* | Domänidentifiering är begränsad till det nya webbplatsnamnet. Om det inte anges används "Default-First-Site-Name". |
| SMB Server-prefix (datorkonto) | Namngivningsprefix för datorkontot i Active Directory som Azure NetApp Files använder för att skapa nya konton. Se fotnot.* | Ja | Befintliga volymer måste monteras igen när monteringen ändras för SMB-resurser och NFS Kerberos-volymer.* | Det är störande att byta namn på SMB-serverprefixet när du har skapat Active Directory-anslutningen. Du måste montera om befintliga SMB-resurser och NFS Kerberos-volymer när du har bytt namn på SMB-serverprefixet när monteringssökvägen ändras. |
| Sökväg till organisationsenhet | LDAP-sökvägen för organisationsenheten (OU) där SMB-serverdatorkonton skapas. OU=second level, OU=first level |
Nej | Om du använder Azure NetApp Files med Microsoft Entra Domain Services är OU=AADDC Computers organisationsvägen när du konfigurerar Active Directory för ditt NetApp-konto. |
Datorkonton placeras under den angivna organisationsenheten. Om det inte anges används standardvärdet OU=Computers för som standard. |
| AES-kryptering | Om du vill dra nytta av den starkaste säkerheten med Kerberos-baserad kommunikation kan du aktivera AES-256- och AES-128-kryptering på SMB-servern. | Ja | Om du aktiverar AES-kryptering måste de användarautentiseringsuppgifter som används för att ansluta till Active Directory ha det högsta motsvarande kontoalternativet aktiverat, vilket matchar de funktioner som är aktiverade för din Active Directory. Om din Active Directory till exempel bara har AES-128 aktiverat måste du aktivera alternativet AES-128-konto för användarautentiseringsuppgifterna. Om din Active Directory har funktionen AES-256 måste du aktivera alternativet AES-256-konto (som även stöder AES-128). Om din Active Directory inte har någon Kerberos-krypteringsfunktion använder Azure NetApp Files DES som standard.* | Aktivera AES-kryptering för Active Directory-autentisering |
| LDAP-signering | Den här funktionen möjliggör säkra LDAP-sökningar mellan Azure NetApp Files-tjänsten och den användardefinierade domänkontrollanten Active Directory-domän Services. | Ja | LDAP-signering till Kräv inloggning av grupprincip* | Med det här alternativet kan du öka säkerheten för kommunikation mellan LDAP-klienter och Active Directory-domänkontrollanter. |
| Tillåta lokala NFS-användare med LDAP | Om det här alternativet är aktiverat hanterar det åtkomsten för lokala användare och LDAP-användare. | Ja | Det här alternativet ger åtkomst till lokala användare. Det rekommenderas inte och bör, om det är aktiverat, endast användas under en begränsad tid och senare inaktiveras. | Om det här alternativet är aktiverat ger det åtkomst till lokala användare och LDAP-användare. Om konfigurationen endast kräver åtkomst för LDAP-användare måste du inaktivera det här alternativet. |
| LDAP över TLS | Om det är aktiverat är LDAP över TLS konfigurerat för att stödja säker LDAP-kommunikation till Active Directory. | Ja | None | Om du har aktiverat LDAP över TLS och om serverrotcertifikatutfärdarcertifikatet redan finns i databasen skyddar CA-certifikatet LDAP-trafik. Om ett nytt certifikat skickas in installeras certifikatet. |
| Ca-certifikat för serverrot | När LDAP över SSL/TLS är aktiverat måste LDAP-klienten ha base64-kodad Active Directory Certificate Service:s självsignerade rotcertifikatutfärdarcertifikat. | Ja | Ingen* | LDAP-trafik skyddas endast med nytt certifikat om LDAP över TLS är aktiverat |
| LDAP-sökomfång | Se Skapa och hantera Active Directory-anslutningar | Ja | - | - |
| Önskad server för LDAP-klienten | Du kan ange upp till två AD-servrar för LDAP att försöka ansluta med först. Se Förstå riktlinjer för Active Directory-domän Services-webbplatsdesign och -planering | Ja | Ingen* | Potentiellt hindra en timeout när LDAP-klienten försöker ansluta till AD-servern. |
| Krypterade SMB-anslutningar till domänkontrollant | Det här alternativet anger om kryptering ska användas för kommunikation mellan SMB-server och domänkontrollant. Mer information om hur du använder den här funktionen finns i Skapa Active Directory-anslutningar . | Ja | Det går inte att skapa SMB-, Kerberos- och LDAP-aktiverade volymer om domänkontrollanten inte stöder SMB3 | Använd endast SMB3 för krypterade domänkontrollantanslutningar. |
| Användare av säkerhetskopieringsprinciper | Du kan inkludera fler konton som kräver utökade privilegier till det datorkonto som skapats för användning med Azure NetApp Files. Mer information finns i Skapa och hantera Active Directory-anslutningar. F | Ja | Ingen* | De angivna kontona får ändra NTFS-behörigheterna på fil- eller mappnivå. |
| Administratörer | Ange användare eller grupper för att bevilja administratörsbehörigheter på volymen till | Ja | None | Användarkontot får administratörsbehörighet |
| Username | Användarnamn för Active Directory-domänadministratören | Ja | Ingen* | Ändring av autentiseringsuppgifter för kontakt med domänkontrollant |
| Password | Lösenord för Active Directory-domänadministratören | Ja | Ingen* Lösenordet får inte överstiga 64 tecken. |
Ändring av autentiseringsuppgifter för kontakt med domänkontrollant |
| Kerberos-sfär: AD-servernamn | Namnet på Active Directory-datorn. Det här alternativet används bara när du skapar en Kerberos-volym. | Ja | Ingen* | |
| Kerberos-sfär: KDC IP | Anger IP-adressen för Kerberos Distribution Center-servern (KDC). KDC i Azure NetApp Files är en Active Directory-server | Ja | None | En ny KDC IP-adress används |
| Region | Den region där Active Directory-autentiseringsuppgifterna är associerade | Nej | Ingen | Ej tillämpligt |
| Användar-DN | Användarnamn, som åsidosätter bas-DN för användarsökningar Kapslade userDN kan anges i OU=subdirectory, OU=directory, DC=domain, DC=com format. |
Ja | Ingen* | Omfånget för användarsökning begränsas till Användar-DN i stället för bas-DN. |
| Grupp-DN | Gruppdomännamn. groupDN åsidosätter bas-DN för gruppsökningar. Kapslat groupDN kan anges i OU=subdirectory, OU=directory, DC=domain, DC=com format. |
Ja | Ingen* | Gruppsökningsomfånget begränsas till Grupp-DN i stället för bas-DN. |
| Filter för gruppmedlemskap | Det anpassade LDAP-sökfiltret som ska användas när du söker efter gruppmedlemskap från LDAP-servern. groupMembershipFilter kan anges med (gidNumber=*) formatet . |
Ja | Ingen* | Gruppmedlemskapsfilter används när du frågar efter gruppmedlemskap för en användare från LDAP-servern. |
| Användare av säkerhetsprivilegier | Du kan bevilja säkerhetsprivilegier (SeSecurityPrivilege) till användare som kräver förhöjd behörighet för att få åtkomst till Azure NetApp Files-volymerna. De angivna användarkontona kommer att tillåtas utföra vissa åtgärder på Azure NetApp Files SMB-resurser som kräver säkerhetsprivilegier som inte har tilldelats domänanvändare som standard. Mer information finns i Skapa och hantera Active Directory-anslutningar . |
Ja | Den här funktionen är valfri och stöds endast för SQL Server. Det domänkonto som används för att installera SQL Server måste redan finnas innan du lägger till det i fältet Säkerhetsbehörighetsanvändare. När du lägger till SQL Server-installationsprogrammets konto för säkerhetsbehörighetsanvändare kan Azure NetApp Files-tjänsten verifiera kontot genom att kontakta domänkontrollanten. Kommandot kan misslyckas om det inte kan kontakta domänkontrollanten. Se SQL Server-installationen misslyckas om installationskontot inte har vissa användarrättigheter för mer information om SeSecurityPrivilege och SQL Server.* |
Tillåter icke-administratörskonton att använda SQL-intervall ovanpå ANF-volymer. |
*Det finns ingen inverkan på en ändrad post endast om ändringarna har angetts korrekt. Om du anger data felaktigt förlorar användare och program åtkomst.