Azure NetApp Files için Active Directory bağlantılarını değiştirme
Azure NetApp Files'da bir Active Directory bağlantısı oluşturduktan sonra bu bağlantıyı değiştirebilirsiniz. Active Directory bağlantısını değiştirirken tüm yapılandırmalar değiştirilemez.
Daha fazla bilgi için bkz. Active Directory Etki Alanı Services site tasarımı ve Azure NetApp Files için planlama yönergelerini anlama.
Active Directory bağlantılarını değiştirme
Active Directory bağlantıları'nı seçin. Ardından, var olan bir AD bağlantısını düzenlemek için Düzenle'yi seçin.
Görüntülenen Active Directory'yi Düzenle penceresinde, Active Directory bağlantı yapılandırmalarını gerektiği gibi değiştirin. Hangi alanları değiştirebileceğinize ilişkin bir açıklama için bkz . Active Directory bağlantıları seçenekleri.
Active Directory bağlantıları için seçenekler
Alan Adı | Nedir? | Değiştirilebilir mi? | Dikkat Edilmesi Gerekenler ve Etkiler | Etki |
---|---|---|---|---|
Birincil DNS | Active Directory etki alanı için birincil DNS sunucusu IP adresleri. | Yes | Hiçbiri* | DNS çözümlemesi için yeni DNS IP'leri kullanılır. |
İkincil DNS | Active Directory etki alanı için ikincil DNS sunucusu IP adresleri. | Yes | Hiçbiri* | Birincil DNS'nin başarısız olması durumunda DNS çözümlemesi için yeni DNS IP'leri kullanılır. |
AD DNS Etki Alanı Adı | Katılmak istediğiniz Active Directory Etki Alanı Hizmetlerinizin etki alanı adı. | Hayır | None | Yok |
AD Site Adı | Etki alanı denetleyicisi bulma işleminin sınırlı olduğu site. | Yes | Bu, Active Directory Siteleri ve Hizmetleri'ndeki site adıyla eşleşmelidir. Dipnota bakın.* | Etki alanı bulma işlemi yeni site adıyla sınırlıdır. Belirtilmezse, "Default-First-Site-Name" kullanılır. |
SMB Sunucusu (Bilgisayar Hesabı) Ön Eki | Azure NetApp Files'ın yeni hesap oluşturmak için kullanacağı Active Directory'deki bilgisayar hesabının adlandırma ön eki. Dipnota bakın.* | Yes | SMB paylaşımları ve NFS Kerberos birimleri için bağlama değiştirildiğinden mevcut birimlerin yeniden bağlanması gerekir.* | Active Directory bağlantısını oluşturduktan sonra SMB sunucusu ön ekini yeniden adlandırmak kesintiye neden olur. Bağlama yolu değişeceği için SMB sunucu ön ekini yeniden adlandırdıktan sonra mevcut SMB paylaşımlarını ve NFS Kerberos birimlerini yeniden bağlamanız gerekir. |
Kuruluş Birimi Yolu | SMB sunucusu bilgisayar hesaplarının oluşturulacağı kuruluş biriminin (OU) LDAP yolu. OU=second level , OU=first level |
Hayır | Azure NetApp Files'ı Microsoft Entra Domain Services ile kullanıyorsanız, kuruluş yolu NetApp Hesabınız için Active Directory'yi yapılandırdığınızda olur OU=AADDC Computers . |
Bilgisayar hesapları belirtilen OU altına yerleştirilir. Belirtilmezse varsayılan OU=Computers değeri varsayılan olarak kullanılır. |
AES Şifrelemesi | Kerberos tabanlı iletişimde en güçlü güvenlik özelliğinden yararlanmak için SMB sunucusunda AES-256 ve AES-128 şifrelemesini etkinleştirebilirsiniz. | Yes | AES şifrelemesini etkinleştirirseniz, Active Directory'ye katılmak için kullanılan kullanıcı kimlik bilgileri, Active Directory'niz için etkinleştirilen özelliklerle eşleşen en yüksek hesap seçeneğine sahip olmalıdır. Örneğin, Active Directory'nizde yalnızca AES-128 etkinse, kullanıcı kimlik bilgileri için AES-128 hesabı seçeneğini etkinleştirmeniz gerekir. Active Directory'nizde AES-256 özelliği varsa, AES-256 hesap seçeneğini (AES-128'i de destekler) etkinleştirmeniz gerekir. Active Directory'nizin Kerberos şifreleme özelliği yoksa Azure NetApp Files varsayılan olarak DES kullanır.* | Active Directory Kimlik Doğrulaması için AES şifrelemesini etkinleştirme |
LDAP İmzalama | Bu işlev, Azure NetApp Files hizmeti ile kullanıcı tarafından belirtilen Active Directory Etki Alanı Services etki alanı denetleyicisi arasında güvenli LDAP aramalarına olanak tanır. | Yes | LDAP imzalama için Oturum açmayı zorunlu kılmaktadır grup ilkesi* | Bu seçenek, LDAP istemcileri ile Active Directory etki alanı denetleyicileri arasındaki iletişimin güvenliğini artırmanın yollarını sağlar. |
LDAP ile yerel NFS kullanıcılarına izin ver | Etkinleştirilirse, bu seçenek yerel kullanıcılar ve LDAP kullanıcıları için erişimi yönetir. | Yes | Bu seçenek yerel kullanıcılara erişim sağlar. Önerilmez ve etkinleştirilirse yalnızca sınırlı bir süre kullanılmalı ve daha sonra devre dışı bırakılmalıdır. | Etkinleştirilirse, bu seçenek yerel kullanıcılara ve LDAP kullanıcılarına erişim sağlar. Yapılandırmanız yalnızca LDAP kullanıcıları için erişim gerektiriyorsa, bu seçeneği devre dışı bırakmanız gerekir. |
TLS üzerinden LDAP | Etkinleştirilirse, TLS üzerinden LDAP, Active Directory ile güvenli LDAP iletişimlerini destekleyecek şekilde yapılandırılır. | Yes | Hiçbiri | TLS üzerinden LDAP'yi etkinleştirdiyseniz ve sunucu kök CA sertifikası veritabanında zaten varsa, CA sertifikası LDAP trafiğinin güvenliğini sağlar. Yeni bir sertifika geçirilirse, bu sertifika yüklenir. |
Sunucu kök CA Sertifikası | SSL/TLS üzerinden LDAP etkinleştirildiğinde, LDAP istemcisinin base64 ile kodlanmış Active Directory Sertifika Hizmeti'nin otomatik olarak imzalanan kök CA sertifikasına sahip olması gerekir. | Yes | Hiçbiri* | LDAP trafiği yalnızca TLS üzerinden LDAP etkinleştirildiğinde yeni sertifikayla güvenli hale getirildi |
LDAP arama kapsamı | Bkz. Active Directory bağlantılarını oluşturma ve yönetme | Yes | - | - |
LDAP istemcisi için tercih edilen sunucu | LDAP'nin önce bağlantı girişiminde bulunabilmesi için en fazla iki AD sunucusu belirleyebilirsiniz. Bkz. Active Directory Etki Alanı Hizmetleri site tasarımı ve planlaması için yönergeleri anlama | Yes | Hiçbiri* | LDAP istemcisi AD sunucusuna bağlanmayı aradığında zaman aşımına neden olma olasılığı vardır. |
Etki Alanı Denetleyicisine şifrelenmiş SMB bağlantıları | Bu seçenek, SMB sunucusu ile etki alanı denetleyicisi arasındaki iletişim için şifrelemenin kullanılıp kullanılmayacağını belirtir. Bu özelliği kullanma hakkında daha fazla bilgi için bkz . Active Directory bağlantıları oluşturma. | Yes | Etki alanı denetleyicisi SMB3'i desteklemiyorsa SMB, Kerberos ve LDAP özellikli birim oluşturma kullanılamaz | SMB3'i yalnızca şifrelenmiş etki alanı denetleyicisi bağlantıları için kullanın. |
Yedekleme ilkesi kullanıcıları | Azure NetApp Files ile kullanılmak üzere oluşturulan bilgisayar hesabına yükseltilmiş ayrıcalıklar gerektiren daha fazla hesap ekleyebilirsiniz. Daha fazla bilgi için bkz . Active Directory bağlantılarını oluşturma ve yönetme. F | Yes | Hiçbiri* | Belirtilen hesapların dosya veya klasör düzeyinde NTFS izinlerini değiştirmesine izin verilir. |
Yöneticiler | Birimde yönetici ayrıcalıkları vermek için kullanıcıları veya grupları belirtin | Yes | Hiçbiri | Kullanıcı hesabı yönetici ayrıcalıkları alır |
Username | Active Directory etki alanı yöneticisinin kullanıcı adı | Yes | Hiçbiri* | DC ile iletişim kurmak için kimlik bilgisi değişikliği |
Password | Active Directory etki alanı yöneticisinin parolası | Yes | Hiçbiri* Parola 64 karakteri aşamaz. |
DC ile iletişim kurmak için kimlik bilgisi değişikliği |
Kerberos Bölgesi: AD Sunucusu Adı | Active Directory makinesinin adı. Bu seçenek yalnızca Kerberos birimi oluştururken kullanılır. | Yes | Hiçbiri* | |
Kerberos Bölgesi: KDC IP | Kerberos Dağıtım Merkezi (KDC) sunucusunun IP adresini belirtir. Azure NetApp Files'da KDC bir Active Directory sunucusudur | Yes | Hiçbiri | Yeni bir KDC IP adresi kullanılacak |
Bölge | Active Directory kimlik bilgilerinin ilişkilendirildiği bölge | Hayır | None | Yok |
Kullanıcı DN'si | Kullanıcı aramaları için temel DN'yi geçersiz kılan kullanıcı etki alanı adı İç içe kullanıcıDN biçiminde OU=subdirectory, OU=directory, DC=domain, DC=com belirtilebilir. |
Yes | Hiçbiri* | Kullanıcı arama kapsamı, temel DN yerine Kullanıcı DN'si ile sınırlandırılır. |
Grup DN | Grup etki alanı adı. groupDN, grup aramaları için temel DN'yi geçersiz kılar. İç içe groupDN biçiminde belirtilebilir OU=subdirectory, OU=directory, DC=domain, DC=com . |
Yes | Hiçbiri* | Grup arama kapsamı, temel DN yerine Grup DN ile sınırlandırılır. |
Grup Üyeliği Filtresi | LDAP sunucusundan grup üyeliği aranırken kullanılacak özel LDAP arama filtresi. groupMembershipFilter biçimiyle (gidNumber=*) belirtilebilir. |
Yes | Hiçbiri* | Ldap sunucusundan bir kullanıcının grup üyeliği sorgulanırken grup üyeliği filtresi kullanılır. |
Güvenlik Ayrıcalığı Kullanıcıları | Azure NetApp Files birimlerine erişmek için yükseltilmiş ayrıcalık gerektiren kullanıcılara güvenlik ayrıcalıkları (SeSecurityPrivilege ) vekleyebilirsiniz. Belirtilen kullanıcı hesaplarının Azure NetApp Files SMB paylaşımlarında varsayılan olarak etki alanı kullanıcılarına atanmamış güvenlik ayrıcalığı gerektiren belirli eylemleri gerçekleştirmesine izin verilir. Daha fazla bilgi için bkz . Active Directory bağlantıları oluşturma ve yönetme. |
Yes | Bu özelliğin kullanılması isteğe bağlıdır ve yalnızca SQL Server için desteklenir. SQL Server'ı yüklemek için kullanılan etki alanı hesabı, Güvenlik ayrıcalığı kullanıcıları alanına eklenmeden önce zaten mevcut olmalıdır. SQL Server yükleyicisinin hesabını Güvenlik ayrıcalığı kullanıcılarına eklediğinizde, Azure NetApp Files hizmeti etki alanı denetleyicisine başvurarak hesabı doğrulayabilir. Etki alanı denetleyicisiyle iletişim kuramazsa komut başarısız olabilir. ve SQL Server hakkında SeSecurityPrivilege daha fazla bilgi için Bkz. Kurulum hesabının belirli kullanıcı hakları yoksa SQL Server yüklemesi başarısız oluyor.* |
Yönetici olmayan hesapların ANF birimlerinin üzerinde SQL sever kullanmasına izin verir. |
*Değiştirilmiş bir girdi üzerinde yalnızca değişikliklerin doğru girilmiş olması durumunda herhangi bir etkisi olmaz. Verileri yanlış girerseniz, kullanıcılar ve uygulamalar erişimi kaybeder.