Azure NetApp Files で Active Directory 接続を作成 したら、それを変更できます。 Active Directory 接続を変更する場合、すべての構成を変更できるわけではありません。
詳細については、「 Active Directory Domain Services サイトの設計と Azure NetApp Files の計画のガイドラインを理解する」を参照してください。
Active Directory 接続を変更する
[Active Directory 接続] を選択します。 次に、[ 編集] を選択して既存の AD 接続を編集します。
表示された [ Active Directory の編集] ウィンドウで、必要に応じて Active Directory の接続構成を変更します。 変更できるフィールドの説明については、「 Active Directory 接続のオプション」を参照してください。
Active Directory 接続のオプション
| フィールド名 | それは何か | 変更可能ですか? | 考慮事項と影響 | 影響 |
|---|---|---|---|---|
| プライマリ DNS | Active Directory ドメインのプライマリ DNS サーバーの IP アドレス。 | イエス | 何一つ* | DNS 解決には新しい DNS IP が使用されます。 |
| セカンダリ DNS | Active Directory ドメインのセカンダリ DNS サーバーの IP アドレス。 | イエス | 何一つ* | プライマリ DNS が失敗した場合に備え、DNS 解決に新しい DNS IP が使用されます。 |
| AD DNS ドメイン名 | 参加したい Active Directory Domain Services のドメイン名。 | いいえ | 無し | なし |
| AD サイト名 | ドメイン コントローラーの検出が制限されているサイト。 | イエス | これは、Active Directory サイトとサービスのサイト名と一致する必要があります。 脚注を参照してください。* | ドメインの検出は、新しいサイト名に制限されます。 指定しない場合は、"Default-First-Site-Name" が使用されます。 |
| SMB サーバー (コンピューター アカウント) のプレフィックス | Azure NetApp Files が新しいアカウントの作成に使用する Active Directory のコンピューター アカウントの名前付けプレフィックス。 脚注を参照してください。* | イエス | SMB 共有と NFS Kerberos ボリュームのマウントが変更された場合は、既存のボリュームをもう一度マウントする必要があります。* | Active Directory 接続を作成した後に SMB サーバー プレフィックスの名前を変更すると混乱が生じます。 マウント パスが変更されるため、SMB サーバー プレフィックスの名前を変更した後、既存の SMB 共有と NFS Kerberos ボリュームを再マウントする必要があります。 |
| 組織単位の経路 | SMB サーバー コンピューター アカウントが作成される組織単位 (OU) の LDAP パス。
OU=second level、OU=first level |
いいえ | Microsoft Entra Domain Services で Azure NetApp Files を使用している場合は、NetApp アカウントの Active Directory を構成するときに組織のパスが OU=AADDC Computers されます。 |
コンピューター アカウントは、指定された OU の下に配置されます。 指定しない場合、 OU=Computers の既定値が既定で使用されます。 |
| AES 暗号化 | Kerberos ベースの通信で最も強力なセキュリティを利用するには、SMB サーバーで AES-256 および AES-128 暗号化を有効にします。 | イエス | AES 暗号化を有効にした場合、Active Directory への参加に使用されるユーザー資格情報では、Active Directory で有効になっている機能と一致する、対応する最高のアカウント オプションが有効になっている必要があります。 たとえば、Active Directory で AES-128 のみが有効になっている場合は、ユーザー資格情報の AES-128 アカウント オプションを有効にする必要があります。 Active Directory に AES-256 機能がある場合は、AES-256 アカウント オプション (AES-128 もサポート) を有効にする必要があります。 Active Directory に Kerberos 暗号化機能がない場合、Azure NetApp Files では既定で DES が使用されます。* | Active Directory 認証の AES 暗号化を有効にする |
| LDAP 署名 | この機能により、Azure NetApp Files サービスとユーザー指定の Active Directory Domain Services ドメイン コントローラーの間で、セキュリティで保護された LDAP 参照が可能になります。 | イエス | グループポリシーで署名が必須となるようLDAP署名を設定する | このオプションでは、LDAP クライアントと Active Directory ドメイン コントローラー間の通信のセキュリティを強化する方法が提供されます。 |
| LDAP を使用するローカル NFS ユーザーを許可する | 有効にした場合、このオプションはローカル ユーザーと LDAP ユーザーのアクセスを管理します。 | イエス | このオプションを使用すると、ローカル ユーザーにアクセスできます。 これはお勧めしません。有効になっている場合は、限られた時間だけ使用し、後で無効にする必要があります。 | このオプションを有効にすると、ローカル ユーザーと LDAP ユーザーへのアクセスが許可されます。 構成で LDAP ユーザーのみのアクセスが必要な場合は、このオプションを無効にする必要があります。 |
| TLS 経由の LDAP | 有効にした場合、LDAP over TLS は、Active Directory へのセキュリティで保護された LDAP 通信をサポートするように構成されます。 | イエス | 無し | TLS 経由で LDAP を有効にしており、サーバー ルート CA 証明書がデータベースに既に存在する場合は、CA 証明書によって LDAP トラフィックがセキュリティで保護されます。 新しい証明書が渡されると、その証明書がインストールされます。 |
| サーバー ルート CA 証明書 | LDAP over SSL/TLS が有効になっている場合、LDAP クライアントには base64 でエンコードされた Active Directory 証明書サービスの自己署名ルート CA 証明書が必要です。 | イエス | 何一つ* | TLS 経由の LDAP が有効になっている場合にのみ、新しい証明書でセキュリティ保護された LDAP トラフィック |
| LDAP 検索スコープ | Active Directory 接続の作成と管理に関するページを参照してください | イエス | - | - |
| LDAP クライアントの優先サーバー | 最初に接続を試行する LDAP 用に、最大 2 つの AD サーバーを指定できます。 Active Directory Domain Services サイトの設計と計画のガイドラインを理解する | イエス | 何一つ* | LDAP クライアントが AD サーバーへの接続を求めるときにタイムアウトを妨げる可能性があります。 |
| ドメイン コントローラーへの暗号化された SMB 接続 | このオプションは、SMB サーバーとドメイン コントローラー間の通信に暗号化を使用するかどうかを指定します。 この機能の使用方法の詳細については、「 Active Directory 接続の作成 」を参照してください。 | イエス | ドメイン コントローラーが SMB3 をサポートしていない場合、SMB、Kerberos、LDAP が有効なボリュームの作成は使用できません | SMB3 は、暗号化されたドメイン コントローラー接続にのみ使用します。 |
| バックアップ ポリシー ユーザー | Azure NetApp Files で使用するために作成されたコンピューター アカウントに対する昇格された特権を必要とするアカウントをさらに含めることができます。 詳細については、「 Active Directory 接続の作成と管理」を参照してください。F | イエス | 何一つ* | 指定したアカウントは、ファイルまたはフォルダー レベルで NTFS アクセス許可を変更できます。 |
| 管理者 | ボリュームの管理者特権を付与するユーザーまたはグループを指定する | イエス | 無し | ユーザー アカウントが管理者特権を受け取る |
| ユーザー名 | Active Directory ドメイン管理者のユーザー名 | イエス | 何一つ* | DC に連絡するための資格情報の変更 |
| パスワード | Active Directory ドメイン管理者のパスワード | イエス | 何一つ* パスワードは 64 文字を超えることはできません。 |
DC に連絡するための資格情報の変更 |
| Kerberos 領域: AD サーバー名 | Active Directory マシンの名前。 このオプションは、Kerberos ボリュームを作成する場合にのみ使用されます。 | イエス | 何一つ* | |
| Kerberos 領域: KDC IP | Kerberos 配布センター (KDC) サーバーの IP アドレスを指定します。 Azure NetApp Files の KDC は Active Directory サーバーです。 KDC IP は、AD 設定を編集することによってのみ変更できます。 | イエス | 無し | 新しい KDC IP アドレスが使用されます |
| リージョン | Active Directory 資格情報が関連付けられているリージョン | いいえ | 無し | なし |
| ユーザー DN | ユーザー ドメイン名。ユーザー参照用のベース DN をオーバーライドします。OU=subdirectory, OU=directory, DC=___domain, DC=com の形式で入れ子にした userDN を指定できます。 |
イエス | 何一つ* | ユーザー検索スコープは、ベース DN ではなくユーザー DN に制限されます。 |
| グループ DN | グループ ドメイン名。 groupDN は、グループ参照のベース DN をオーバーライドします。 入れ子になった groupDN は、 OU=subdirectory, OU=directory, DC=___domain, DC=com 形式で指定できます。 |
イエス | 何一つ* | グループ検索スコープは、ベース DN ではなくグループ DN に制限されます。 |
| グループ メンバーシップ フィルター | LDAP サーバーからグループ メンバーシップを検索するときに使用するカスタム LDAP 検索フィルター。 groupMembershipFilter は、 (gidNumber=*) 形式で指定できます。 |
イエス | 何一つ* | グループ メンバーシップ フィルターは、LDAP サーバーからユーザーのグループ メンバーシップを照会するときに使用されます。 |
| セキュリティ特権ユーザー | Azure NetApp Files ボリュームにアクセスするために昇格された特権を必要とするユーザーにセキュリティ特権 (SeSecurityPrivilege) を付与できます。 指定されたユーザー アカウントは、ドメイン ユーザーに既定で割り当てられないセキュリティ特権を必要とする Azure NetApp Files SMB 共有に対して特定のアクションを実行できます。 詳細については、「 Active Directory 接続の作成と管理 」を参照してください。 |
イエス | この機能の使用は省略可能であり、SQL Server でのみサポートされます。 SQL Server のインストールに使用するドメイン アカウントは、[セキュリティ特権ユーザー] フィールドに追加する前に既に存在している必要があります。 SQL Server インストーラーのアカウントをセキュリティ特権ユーザーに追加すると、Azure NetApp Files サービスがドメイン コントローラーに接続してアカウントを検証する場合があります。 ドメイン コントローラーに接続できない場合、コマンドが失敗する可能性があります。
と SQL Server の詳細については、「SeSecurityPrivilege」を参照してください。 |
管理者以外のアカウントが ANF ボリューム上で SQL サーバーを使用できるようにします。 |
*変更が正しく入力された場合にのみ、変更されたエントリに影響はありません。 データを正しく入力しないと、ユーザーとアプリケーションはアクセスできなくなります。