Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После создания подключения Active Directory в Azure NetApp Files его можно изменить. При изменении подключения Active Directory не все конфигурации изменяются.
Дополнительные сведения см. в руководствах по проектированию и планированию сайтов доменных служб Active Directory для Azure NetApp Files.
Изменение подключений Active Directory
Выберите подключения Active Directory. Затем нажмите кнопку "Изменить ", чтобы изменить существующее подключение AD.
В появившемся окне "Изменить Active Directory" измените конфигурации подключений Active Directory по мере необходимости. Описание того, какие поля можно изменить, см. в разделе "Параметры подключений Active Directory".
Параметры подключений Active Directory
| Имя поля | Что это такое | Можно ли изменить? | Рекомендации и последствия | Эффект |
|---|---|---|---|---|
| Основной DNS | IP-адреса основного DNS-сервера для домена Active Directory. | Да | Никакой* | Новый IP-адрес DNS используется в процессе разрешения DNS. |
| Вторичный DNS | IP-адреса дополнительного DNS-сервера для домена Active Directory. | Да | Никакой* | Новый IP-адрес DNS будет использоваться для разрешения DNS в случае сбоя основного DNS. |
| Доменное имя AD DNS | Доменное имя доменных служб Active Directory, которые вы хотите присоединить. | нет | Отсутствует | Не применимо |
| Имя сайта AD | Сайт, на котором ограничено обнаружение контроллера домена. | Да | Это должно соответствовать имени сайта в сайтах и службах Active Directory. См. сноску.* | Обнаружение домена ограничено новым именем сайта. Если не указано иное, используется "Default-First-Site-Name". |
| Префикс сервера SMB (учетная запись компьютера) | Префикс именования учетной записи компьютера в Active Directory, которую Azure NetApp Files будет использовать для создания новых учетных записей. См. сноску.* | Да | Существующие тома необходимо снова подключить, так как изменилось подключение для общих папок SMB и томов NFS с поддержкой Kerberos. | Переименование префикса сервера SMB после создания подключения Active Directory вносит помехи. После переименования префикса сервера SMB вам необходимо повторно подключить существующие общие папки SMB и тома NFS Kerberos, так как путь подключения изменится. |
| Путь к организационной единице | Путь LDAP к организационной единице (OU), где будут созданы учетные записи компьютеров серверов SMB.
OU=second level, OU=first level |
нет | Если вы используете Azure NetApp Files с доменными службами Microsoft Entra, организационный путь - это OU=AADDC Computers, при настройке Active Directory для вашей учетной записи NetApp. |
Учетные записи компьютеров будут размещены в указанном подразделении. Если значение не указано, по умолчанию используется значение по умолчанию OU=Computers . |
| Шифрование AES | Чтобы воспользоваться преимуществами самой надежной безопасности с помощью связи на основе Kerberos, можно включить шифрование AES-256 и AES-128 на сервере SMB. | Да | Если включить шифрование AES, учетные данные пользователя, используемые для присоединения к Active Directory, должны иметь самый высокий соответствующий параметр учетной записи, соответствующий возможностям, включенным для Active Directory. Например, если в Active Directory включена только AES-128, необходимо включить параметр учетной записи AES-128 для учетных данных пользователя. Если в Active Directory есть возможность AES-256, необходимо включить параметр учетной записи AES-256 (который также поддерживает AES-128). Если в Active Directory нет возможности шифрования Kerberos, Azure NetApp Files использует DES по умолчанию.* | Включение шифрования AES для проверки подлинности Active Directory |
| Подписание LDAP | Эта функция выполняет безопасные обращения LDAP между службой Azure NetApp Files и указанным пользователем контроллером домена служб доменных Active Directory. | Да | Подписывание LDAP для обязательного входа в групповую политику* | Этот параметр позволяет повысить безопасность взаимодействия между клиентами LDAP и контроллерами домена Active Directory. |
| Доступ локальных пользователей NFS с LDAP | Если этот параметр включен, этот параметр управляет доступом для локальных пользователей и пользователей LDAP. | Да | Этот параметр позволяет получить доступ к локальным пользователям. Не рекомендуется, и если оно включено, его следует использовать лишь в течение ограниченного времени и затем отключить. | Если этот параметр включен, этот параметр разрешает доступ к локальным пользователям и пользователям LDAP. Если для конфигурации требуется доступ только для пользователей LDAP, необходимо отключить этот параметр. |
| LDAP через TLS | Если этот параметр включен, протокол LDAP по протоколу TLS настроен для поддержки безопасного обмена данными LDAP с Active Directory. | Да | Отсутствует | Если вы включили LDAP через TLS и сертификат корневого центра сертификации сервера уже присутствует в базе данных, этот сертификат защищает трафик LDAP. Если новый сертификат передается, этот сертификат будет установлен. |
| Сертификат корневого центра сертификации сервера | Если включен протокол LDAP через SSL/TLS, клиент LDAP должен иметь сертификат самозаверяющегося корневого центра сертификации службы сертификатов Active Directory, закодированный в формате Base64. | Да | Никакой* | Трафик LDAP защищен новым сертификатом только в случае, если включено шифрование LDAP через TLS. |
| Область поиска LDAP | См. статью "Создание подключений Active Directory и управление ими" | Да | - | - |
| Предпочтительный сервер для клиента LDAP | Можно назначить до двух серверов AD, к которым сначала будет пытаться подключиться LDAP. Ознакомьтесь с рекомендациями по проектированию и планированию сайтов доменных служб Active Directory | Да | Никакой* | Потенциально препятствуют истечению времени ожидания, когда клиент LDAP стремится подключиться к серверу AD. |
| Зашифрованные подключения SMB к контроллеру домена | Этот параметр указывает, следует ли использовать шифрование для обмена данными между сервером SMB и контроллером домена. Дополнительные сведения об использовании этой функции см. в статье "Создание подключений Active Directory ". | Да | Создание тома с поддержкой SMB, Kerberos и LDAP нельзя использовать, если контроллер домена не поддерживает SMB3 | Используйте SMB3 только для зашифрованных подключений контроллера домена. |
| Пользователи политики резервного копирования | Вы можете включить дополнительные учетные записи, требующие повышенных привилегий для учетной записи компьютера, созданной для использования с Azure NetApp Files. Дополнительные сведения см. в статье "Создание подключений Active Directory и управление ими". F | Да | Никакой* | Указанным учетным записям можно будет изменять разрешения NTFS на уровне файлов и папок. |
| Администраторы | Указание пользователей или групп для предоставления прав администратора тому | Да | Отсутствует | Учетная запись пользователя получает права администратора |
| Имя пользователя | Имя пользователя администратора домена Active Directory | Да | Никакой* | Изменение учетных данных для связи с контроллером домена |
| Пароль | Пароль администратора домена Active Directory | Да | Никакой* Пароль не может превышать 64 символов. |
Изменение учетных данных для связи с контроллером домена |
| Область Kerberos: имя сервера AD | Имя компьютера Active Directory. Этот параметр используется только при создании тома Kerberos. | Да | Никакой* | |
| Домен Kerberos: IP-адрес KDC | Указывает IP-адрес сервера Центра распространения Kerberos (KDC). KDC в Azure NetApp Files — это сервер Active Directory. Можно изменить только IP-адрес KDC, изменив параметр AD. | Да | AnF требует записи SRV DNS для обнаружения авторитетного центра распространения ключей (KDC) для домена. Перед изменением IP-адресов KDC убедитесь, что записи DNS SRV существуют для нового KDC. | Будет использоваться новый IP-адрес KDC |
| Регион | Регион, в котором связаны учетные данные Active Directory | нет | Отсутствует | Не применимо |
| DN пользователя | Доменное имя пользователя, которое переопределяет базовое DN для поиска пользователей. Вложенные userDN можно указать в OU=subdirectory, OU=directory, DC=domain, DC=com формате. |
Да | Никакой* | Область поиска пользователей ограничивается DN пользователя вместо базового DN. |
| Группа DN | Имя домена группы. GroupDN переопределяет основной DN для поисков групп. Вложенный groupDN можно указать в формате OU=subdirectory, OU=directory, DC=domain, DC=com. |
Да | Никакой* | Область поиска групп ограничивается группой DN вместо базового DN. |
| Фильтр членства в группах | Пользовательский фильтр поиска LDAP, используемый при поиске членства в группах на сервере LDAP, groupMembershipFilter можно указать в формате (gidNumber=*). |
Да | Никакой* | Фильтр членства в группах будет использоваться при запросе членства в группе пользователя с сервера LDAP. |
| Пользователи привилегий безопасности | Вы можете предоставить пользователям привилегии безопасности SeSecurityPrivilege, которым необходимы повышенные права для доступа к томам Azure NetApp Files. Указанные учетные записи пользователей будут разрешены для выполнения определенных действий в общих папках SMB Azure NetApp Files, требующих привилегий безопасности, не назначенных по умолчанию пользователям домена. Дополнительные сведения см. в статье "Создание подключений Active Directory и управление ими ". |
Да | Использование этой функции является необязательным и поддерживается только для SQL Server. Учетная запись домена, используемая для установки SQL Server, уже должна существовать, прежде чем добавлять ее в поле пользователей привилегий безопасности. При добавлении учетной записи установщика SQL Server к пользователям с привилегиями безопасности, служба Azure NetApp Files может проверить учетную запись, связавшись с контроллером домена. Команда может завершиться ошибкой, если она не может связаться с контроллером домена. См. статью Если при установке SQL Server возникает ошибка из-за отсутствия определенных прав у учетной записи установки для получения дополнительной информации о SeSecurityPrivilege и SQL Server. |
Позволяет учетным записям, не обладающим правами администратора, использовать серверы SQL на томах ANF. |
*Нет влияния на измененную запись только в том случае, если изменения введены правильно. При неправильном вводе данных пользователи и приложения потеряют доступ.