Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ общие папки SMB
Когда вы подключаете учетную запись хранения к доменной службе Active Directory Domain Services (AD DS), вы создаете учетную запись AD, будь то учетная запись компьютера или учетная запись службы, с паролем. Пароль для субъекта AD является одним из ключей Kerberos для учетной записи хранения. В зависимости от политики паролей организационной единицы для главного объекта AD, необходимо периодически менять пароль, чтобы предотвратить проблемы с аутентификацией. Если вы не измените пароль до истечения срока действия, то вы потеряете возможность использовать проверку подлинности Kerberos для общих файловых ресурсов Azure. В некоторых средах AD также удаляются субъекты AD с истекшим сроком действия паролей с помощью скрипта автоматической очистки.
Вместо периодического смены пароля можно также поместить субъект AD, представляющий учетную запись хранения в подразделение, которое не требует смены паролей.
Существует два варианта для активации смены паролей. Вы можете использовать модуль AzFilesHybrid или powerShell Active Directory. Используйте один метод, а не оба.
Вариант 1: использование модуля AzFilesHybrid
Чтобы повторно создать и повернуть пароль для субъекта AD, представляющего учетную запись хранения, используйте Update-AzStorageAccountADObjectPassword командлет из модуля AzFilesHybrid. Для запуска Update-AzStorageAccountADObjectPasswordнеобходимо:
- Запустите командлет из клиента, присоединенного к домену.
- Иметь разрешение владельца на учетную запись хранения.
- У вас есть разрешения AD DS на изменение пароля для субъекта AD, представляющего учетную запись хранения.
# Update the password of the AD DS account registered for the storage account
# You can use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
После смены на kerb2 подождите несколько часов и снова используйте командлет Update-AzStorageAccountADObjectPassword, чтобы повторно сгенерировать и переключиться обратно на kerb1, таким образом оба ключа Kerberos будут обновлены.
Вариант 2. Использование PowerShell Active Directory
Если вы не хотите скачать модуль AzFilesHybrid, можно использовать Active Directory PowerShell.
Важно
В этом разделе в PowerShell 5.1 необходимо запустить командлеты Windows Server Active Directory PowerShell с повышенными привилегиями.
Замените <domain-object-identity> в следующем скрипте соответствующим значением для вашей среды:
$KeyName = "kerb1" # Could be either the first or second Kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Проверьте, соответствует ли пароль учетной записи AD DS ключу Kerberos.
После обновления пароля учетной записи AD DS проверьте его с помощью следующей команды PowerShell.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose