Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: ✔️ Condivisioni file di Azure SMB
Quando si aggiunge un dominio all'account di archiviazione in Active Directory Domain Services (AD DS), si crea un'entità Active Directory, un account computer o un account del servizio, con una password. La password dell'entità di sicurezza di Active Directory è una delle chiavi Kerberos dell'account di archiviazione. In base ai criteri password dell'unità organizzativa dell'entità di sicurezza di Active Directory, è necessario ruotare periodicamente la password dell'entità Active Directory per evitare problemi di autenticazione. La mancata modifica della password prima della scadenza potrebbe comportare la perdita dell'autenticazione Kerberos nelle condivisioni file di Azure. Alcuni ambienti di Active Directory possono anche eliminare le entità di dominio Active Directory con password scadute usando uno script di pulizia automatizzato.
Anziché ruotare periodicamente la password, è anche possibile inserire l'entità di dominio Active Directory che rappresenta l'account di archiviazione in un'unità organizzativa che non richiede la rotazione delle password.
Esistono due opzioni per attivare la rotazione delle password. È possibile usare il modulo AzFilesHybrid o Active Directory PowerShell. Usare un metodo, non entrambi.
Opzione 1: Usare il modulo AzFilesHybrid
Per rigenerare e ruotare la password dell'entità di dominio Active Directory che rappresenta l'account di archiviazione, usare il Update-AzStorageAccountADObjectPassword cmdlet del modulo AzFilesHybrid. Per eseguire Update-AzStorageAccountADObjectPassword, è necessario:
- Esegui il cmdlet da un client facente parte di un dominio.
- Disporre dell'autorizzazione del proprietario per l'account di archiviazione.
- Disporre delle autorizzazioni di Active Directory DS per modificare la password del principale AD che rappresenta l'account di archiviazione.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Dopo la rotazione a kerb2, è consigliabile attendere diverse ore e usare nuovamente il cmdlet Update-AzStorageAccountADObjectPassword per rigenerare e ruotare di nuovo verso kerb1, in modo che entrambe le chiavi Kerberos vengano rigenerate.
Opzione 2: Usare Active Directory PowerShell
Se non si vuole scaricare il modulo AzFilesHybrid, è possibile usare Active Directory PowerShell.
Importante
I cmdlet PowerShell di Windows Server Active Directory in questa sezione devono essere eseguiti in Windows PowerShell 5.1 con privilegi elevati.
Sostituire <domain-object-identity> nello script seguente con il valore appropriato per l'ambiente:
$KeyName = "kerb1" # Could be either the first or second Kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Verificare che la password dell'account di Active Directory Domain Services corrisponda a una chiave Kerberos
Dopo aver aggiornato la password dell'account di Active Directory Domain Services, è possibile testarla usando il comando di PowerShell seguente.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose