Azure NetApp Files에서 Active Directory 연결을 만든 후에는 수정할 수 있습니다. Active Directory 연결을 수정하는 경우 모든 구성을 수정할 수 있는 것은 아닙니다.
자세한 내용은 Azure NetApp Files에 대한 Active Directory Domain Services 사이트 디자인 및 계획에 대한 이해 지침을 참조하세요.
Active Directory 연결 수정
Active Directory 연결을 선택합니다. 그런 다음 편집을 선택하여 기존 AD 연결을 편집합니다.
표시되는 Active Directory 편집 창에서 필요에 따라 Active Directory 연결 구성을 수정합니다. 수정할 수 있는 필드에 대한 설명은 Active Directory 연결 옵션을 참조하세요.
Active Directory 연결 옵션
| 필드 이름 | 그것이 무엇인지 | 수정할 수 있나요? | 고려 사항 및 영향 | 영향 |
|---|---|---|---|---|
| 기본 DNS | Active Directory 도메인에 대한 기본 DNS 서버 IP 주소입니다. | 예 | 없음* | 새 DNS IP는 DNS 확인에 사용됩니다. |
| 보조 DNS | Active Directory 도메인에 대한 보조 DNS 서버 IP 주소입니다. | 예 | 없음* | 주 DNS가 실패하는 경우 DNS 확인에 새 DNS IP가 사용됩니다. |
| AD DNS 도메인 이름 | 가입하려는 Active Directory Domain Services의 도메인 이름입니다. | 아니오 | 없음 | 해당 없음(N/A) |
| AD 사이트 이름 | 도메인 컨트롤러 검색이 제한된 사이트입니다. | 예 | Active Directory 사이트 및 서비스의 사이트 이름과 일치해야 합니다. 각주를 참조하세요.* | 도메인 검색은 새 사이트 이름으로 제한됩니다. 지정하지 않으면 "Default-First-Site-Name"이 사용됩니다. |
| SMB 서버(컴퓨터 계정) 접두사 | Azure NetApp Files가 새 계정을 만드는 데 사용할 Active Directory의 컴퓨터 계정에 대한 이름 지정 접두사입니다. 각주를 참조하세요.* | 예 | SMB 공유 및 NFS Kerberos 볼륨에 대해 탑재가 변경되면 기존 볼륨을 다시 탑재해야 합니다.* | Active Directory 연결을 만든 후 SMB 서버 접두사의 이름을 바꾸면 작업이 중단됩니다. 탑재 경로가 변경될 때 SMB 서버 접두사 이름을 바꾼 후 기존 SMB 공유 및 NFS Kerberos 볼륨을 다시 탑재해야 합니다. |
| 조직 구성 단위 경로 | SMB 서버 컴퓨터 계정을 만들 OU(조직 구성 단위)의 LDAP 경로입니다.
OU=second level, OU=first level |
아니오 | Microsoft Entra Domain Services와 함께 Azure NetApp Files를 사용하는 경우, NetApp 계정의 Active Directory를 구성할 때 조직 경로는 OU=AADDC Computers입니다. |
컴퓨터 계정은 지정된 OU 아래에 배치됩니다. 지정하지 않으면 기본값 OU=Computers 이 기본적으로 사용됩니다. |
| AES 암호화 | Kerberos 기반 통신을 사용하여 가장 강력한 보안을 활용하려면 SMB 서버에서 AES-256 및 AES-128 암호화를 사용하도록 설정할 수 있습니다. | 예 | AES 암호화를 사용하도록 설정하는 경우 Active Directory에 조인하는 데 사용되는 사용자 자격 증명은 Active Directory에 대해 사용하도록 설정된 기능과 일치하는 가장 높은 해당 계정 옵션을 사용하도록 설정해야 합니다. 예를 들어 Active Directory에 AES-128만 사용하도록 설정된 경우 사용자 자격 증명에 대해 AES-128 계정 옵션을 사용하도록 설정해야 합니다. Active Directory에 AES-256 기능이 있는 경우 AES-256 계정 옵션(AES-128도 지원)을 사용하도록 설정해야 합니다. Active Directory에 Kerberos 암호화 기능이 없는 경우 Azure NetApp Files는 기본적으로 DES를 사용합니다.* | Active Directory 인증에 AES 암호화 사용 |
| LDAP 서명 | 이 기능을 사용하면 Azure NetApp Files 서비스와 사용자가 지정한 Active Directory Domain Services 도메인 컨트롤러 간에 보안 LDAP 조회를 수행할 수 있습니다. | 예 | 그룹 정책 로그인 필요를 위한 LDAP 서명* | 이 옵션은 LDAP 클라이언트와 Active Directory 도메인 컨트롤러 간의 통신 보안을 강화하는 방법을 제공합니다. |
| LDAP를 사용하는 로컬 NFS 사용자 허용 | 사용하도록 설정된 경우 이 옵션은 로컬 사용자 및 LDAP 사용자에 대한 액세스를 관리합니다. | 예 | 이 옵션을 사용하면 로컬 사용자에 액세스할 수 있습니다. 권장되지 않으며 사용하도록 설정된 경우 제한된 시간 동안만 사용하고 나중에 사용하지 않도록 설정해야 합니다. | 이 옵션을 사용하도록 설정하면 로컬 사용자 및 LDAP 사용자에 대한 액세스를 허용합니다. 구성에 LDAP 사용자만 액세스해야 하는 경우 이 옵션을 사용하지 않도록 설정해야 합니다. |
| TLS를 통한 LDAP | 사용하도록 설정된 경우 TLS를 통한 LDAP는 Active Directory에 대한 보안 LDAP 통신을 지원하도록 구성됩니다. | 예 | 없음 | TLS를 통해 LDAP를 사용하도록 설정하고 서버 루트 CA 인증서가 데이터베이스에 이미 있는 경우 CA 인증서는 LDAP 트래픽을 보호합니다. 새 인증서가 전달되면 해당 인증서가 설치됩니다. |
| 서버 루트 CA 인증서 | SSL/TLS를 통해 LDAP를 사용하도록 설정하면 LDAP 클라이언트에 base64로 인코딩된 Active Directory 인증서 서비스의 자체 서명된 루트 CA 인증서가 있어야 합니다. | 예 | 없음* | TLS를 통해 LDAP를 사용하는 경우에만 새 인증서로 보호되는 LDAP 트래픽 |
| LDAP 검색 범위 | Active Directory 연결 만들기 및 관리 참조 | 예 | - | - |
| LDAP 클라이언트에 대한 기본 설정 서버 | LDAP에 대해 최대 2개의 AD 서버를 지정하여 먼저 연결을 시도할 수 있습니다. Active Directory Domain Services 사이트 디자인 및 계획에 대한 이해 지침 참조 | 예 | 없음* | LDAP 클라이언트가 AD 서버에 연결하려고 할 때 타임아웃에 방해가 될 가능성이 있습니다. |
| 도메인 컨트롤러에 대한 암호화된 SMB 연결 | 이 옵션은 암호화를 SMB 서버와 도메인 컨트롤러 간의 통신에 사용할지 여부를 지정합니다. 이 기능 사용에 대한 자세한 내용은 Active Directory 연결 만들기 를 참조하세요. | 예 | 도메인 컨트롤러가 SMB3을 지원하지 않는 경우 SMB, Kerberos 및 LDAP 사용 볼륨 만들기를 사용할 수 없습니다. | 암호화된 도메인 컨트롤러 연결에는 SMB3만 사용합니다. |
| 백업 정책 사용자 | Azure NetApp Files에서 사용하기 위해 만든 컴퓨터 계정에 상승된 권한이 필요한 더 많은 계정을 포함할 수 있습니다. 자세한 내용은 Active Directory 연결 만들기 및 관리를 참조하세요. F | 예 | 없음* | 지정된 계정은 파일 또는 폴더 수준에서 NTFS 권한을 변경할 수 있습니다. |
| 관리자 | 볼륨에 대한 관리자 권한을 부여할 사용자 또는 그룹을 지정합니다. | 예 | 없음 | 사용자 계정은 관리자 권한을 받습니다. |
| 사용자 이름 | Active Directory 도메인 관리자의 사용자 이름 | 예 | 없음* | DC에 문의하기 위한 자격 증명 변경 |
| 암호 | Active Directory 도메인 관리자의 암호 | 예 | 없음* 암호는 64자를 초과할 수 없습니다. |
DC에 문의하기 위한 자격 증명 변경 |
| Kerberos 영역: AD 서버 이름 | Active Directory 컴퓨터의 이름입니다. 이 옵션은 Kerberos 볼륨을 만들 때만 사용됩니다. | 예 | 없음* | |
| Kerberos 영역: KDC IP | KDC(Kerberos 배포 센터) 서버의 IP 주소를 지정합니다. Azure NetApp Files의 KDC는 Active Directory 서버입니다. AD 설정을 편집하여 KDC IP만 수정할 수 있습니다. | 예 | 없음 | 새 KDC IP 주소가 사용됩니다. |
| 지역 | Active Directory 자격 증명이 연결된 지역 | 아니오 | 없음 | 해당 없음(N/A) |
| 사용자 DN | 사용자 조회를 위한 기본 DN을 재정의하는 사용자 도메인 이름은 중첩된 userDN을 OU=subdirectory, OU=directory, DC=___domain, DC=com 형식으로 지정할 수 있습니다. |
예 | 없음* | 사용자 검색 범위는 기본 DN 대신 사용자 DN으로 제한됩니다. |
| 그룹 DN | 그룹 도메인 이름입니다. groupDN은 그룹 조회에 대한 기본 DN을 재정의합니다. 중첩된 groupDN은 OU=subdirectory, OU=directory, DC=___domain, DC=com의 특정 형식으로 지정할 수 있습니다. |
예 | 없음* | 그룹 검색 범위는 기본 DN 대신 그룹 DN으로 제한됩니다. |
| 그룹 멤버 자격 필터 | LDAP 서버에서 그룹 멤버 자격을 조회할 때 사용할 사용자 지정 LDAP 검색 필터입니다. groupMembershipFilter 은 형식으로 (gidNumber=*) 지정할 수 있습니다. |
예 | 없음* | 그룹 멤버 자격 필터는 LDAP 서버에서 사용자의 그룹 멤버 자격을 쿼리하는 동안 사용됩니다. |
| 보안 권한 사용자 | Azure NetApp Files 볼륨에 액세스하기 위해 상승된 권한이 필요한 사용자에게 보안 권한(SeSecurityPrivilege)을 부여할 수 있습니다. 지정된 사용자 계정은 기본적으로 도메인 사용자에게 할당되지 않은 보안 권한이 필요한 Azure NetApp Files SMB 공유에서 특정 작업을 수행할 수 있습니다. 자세한 내용은 Active Directory 연결 만들기 및 관리를 참조하세요. |
예 | 이 기능을 사용하는 것은 선택 사항이며 SQL Server에 대해서만 지원됩니다. SQL Server를 설치하는 데 사용되는 도메인 계정은 보안 권한 사용자 필드에 추가하기 전에 이미 있어야 합니다. 보안 권한 사용자에게 SQL Server 설치 관리자의 계정을 추가하는 경우 Azure NetApp Files 서비스는 도메인 컨트롤러에 문의하여 계정의 유효성을 검사할 수 있습니다. 도메인 컨트롤러에 연결할 수 없는 경우 명령이 실패할 수 있습니다.
설치 계정에 특정 사용자 권한이 없는 경우 SQL Server 설치가 실패할 수 있습니다. SeSecurityPrivilege 및 SQL Server에 대한 자세한 내용은 이 링크를 참조하세요.* |
관리자가 아닌 계정이 ANF 볼륨에서 SQL 서버를 사용할 수 있도록 허용합니다. |
*수정 사항이 올바르게 입력된 경우에만 수정된 항목에 영향을 주지 않습니다. 데이터를 잘못 입력하면 사용자 및 애플리케이션에 대한 액세스 권한이 손실됩니다.