Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При присоединении вашей учетной записи хранения к доменным службам Active Directory (AD DS) создается субъект AD — учетная запись компьютера или службы с паролем. Пароль принципала AD является одним из ключей Kerberos для учетной записи хранения. В зависимости от политики паролей организационной единицы субъекта AD, необходимо периодически обновлять пароль субъекта AD, чтобы избежать проблем с аутентификацией. Несвоевременное изменение пароля до истечения срока его действия может привести к потере проверки подлинности Kerberos в общих папках Azure. Некоторые среды AD также могут удалять учетные записи AD с истекшим сроком действия паролей с помощью скрипта автоматической очистки.
Вместо периодического смены пароля можно также поместить субъект AD, представляющий учетную запись хранения в подразделение, которое не требует смены паролей.
Существует два варианта активации смены паролей. Вы можете использовать модуль AzFilesHybrid или PowerShell для Active Directory. Используйте один метод, а не оба.
Относится к
| Модель управления | Модель выставления счетов | Уровень медиа | Избыточность | МСП | Сетевая файловая система (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Настроенная версия 2 | HDD (стандартный) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Локальное (LRS) |
|
|
| Microsoft.Storage | Настроенная версия v1 | SSD (премиум) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Локальное (LRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Зона (ZRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | Гео (GRS) |
|
|
| Microsoft.Storage | Оплата по мере использования | HDD (стандартный) | GeoZone (GZRS) |
|
|
Вариант 1: использование модуля AzFilesHybrid
Чтобы повторно создать и повернуть пароль субъекта AD, представляющего учетную запись хранения, используйте Update-AzStorageAccountADObjectPassword командлет из модуля AzFilesHybrid. Чтобы выполнить Update-AzStorageAccountADObjectPassword, необходимо:
- Запустите командлет из клиента, присоединенного к домену.
- Иметь разрешение владельца на учетную запись хранения.
- У вас есть разрешения AD DS на изменение пароля субъекта AD, представляющего учетную запись хранения.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
После перехода на kerb2 рекомендуется подождать несколько часов и затем снова использовать Update-AzStorageAccountADObjectPassword cmdlet, чтобы повторно сгенерировать и вернуться к kerb1, так чтобы оба ключа Kerberos были регенерированы.
Вариант 2: Используйте Active Directory PowerShell
Если вы не хотите загружать модуль AzFilesHybrid, вы можете использовать Active Directory PowerShell.
Важно
Командлеты Windows Server Active Directory PowerShell в этом разделе должны быть выполнены в Windows PowerShell 5.1 с повышенными привилегиями.
Замените <domain-object-identity> в следующем скрипте соответствующим значением для вашей среды:
$KeyName = "kerb1" # Could be either the first or second Kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Проверьте, соответствует ли пароль учетной записи AD DS ключу Kerberos.
После обновления пароля учетной записи AD DS его можно протестировать с помощью следующей команды PowerShell.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose