通过

修改 Azure NetApp 文件的 Active Directory 连接

在 Azure NetApp 文件中 创建 Active Directory 连接 后,可以对其进行修改。 修改 Active Directory 连接时,并非所有配置都是可修改的。

有关详细信息,请参阅了解适用于 Azure NetApp 文件的 Active Directory 域服务站点设计和规划指南

修改 Active Directory 连接

  1. 选择“Active Directory 连接”。 然后选择 “编辑” 以编辑现有的 AD 连接。

  2. 在显示的 “编辑 Active Directory ”窗口中,根据需要修改 Active Directory 连接配置。 有关可以修改哪些字段的说明,请参阅 Active Directory 连接选项

Active Directory连接选项

字段名称 介绍 是否可修改? 注意事项和影响 影响
主要 DNS Active Directory 域的主 DNS 服务器 IP 地址。 是的 没有* 新的 DNS IP 用于 DNS 解析。
辅助 DNS Active Directory 域的辅助 DNS 服务器 IP 地址。 是的 没有* 如果主 DNS 失败,将使用新的 DNS IP 进行 DNS 解析。
AD DNS 域名 要加入的 Active Directory 域服务的域名。  没有
AD 站点名称 域控制器发现受限的站点。 是的 这应与 Active Directory 站点和服务中的站点名称匹配。 请参阅脚注。* 域发现仅限于新站点名称。 如果未指定,则使用“Default-First-Site-Name”。
SMB 服务器(计算机帐户)前缀 这是 Active Directory 中计算机帐户的命名前缀,Azure NetApp 文件将其用于创建新帐户。 请参阅脚注。* 是的 需要再次装载现有卷,因为 SMB 共享和 NFS Kerberos 卷的装载已发生更改。* 创建 Active Directory 连接后重命名 SMB 服务器前缀会造成中断。 重命名 SMB 服务器前缀后,需要重新装载现有的 SMB 共享和 NFS Kerberos 卷,因为装载路径将发生变化。
组织单位路径 用于创建 SMB 服务器计算机帐户的组织单位 (OU) 的 LDAP 路径。 OU=second levelOU=first level 如果将 Azure NetApp 文件与 Microsoft Entra 域服务一起使用,则在为 NetApp 帐户配置 Active Directory 时,组织路径为 OU=AADDC Computers 计算机帐户将放置在指定的组织单位 (OU) 下。 如果未指定,则默认使用默认值 OU=Computers
AES 加密 若要利用基于 Kerberos 的通信最强大的安全性,可以在 SMB 服务器上启用 AES-256 和 AES-128 加密。 是的 如果启用 AES 加密,用于加入 Active Directory 的用户凭据必须启用最高的相应帐户选项,并匹配为 Active Directory 启用的功能。 例如,如果 Active Directory 仅启用了 AES-128,则必须为用户凭据启用 AES-128 帐户选项。 如果 Active Directory 具有 AES-256 功能,则必须启用 AES-256 帐户选项(它还支持 AES-128)。 如果 Active Directory 没有任何 Kerberos 加密功能,Azure NetApp 文件默认使用 DES。* 为 Active Directory 身份验证启用 AES 加密
LDAP 签名 此功能支持 Azure NetApp 文件服务和用户指定的 Active Directory 域服务域控制器之间的安全 LDAP 查找。 是的 LDAP 签名“需要登录组策略”* 此选项提供了提高 LDAP 客户端与 Active Directory 域控制器之间通信安全性的方法。
允许使用 LDAP 的本地 NFS 用户 如果启用,此选项将管理本地用户和 LDAP 用户的访问权限。 是的 此选项允许访问本地用户。 不建议使用此功能,如果启用,则只能用于有限的时间和以后禁用。 如果启用,此选项允许访问本地用户和 LDAP 用户。 如果配置仅需要 LDAP 用户的访问权限,则必须禁用此选项。
通过 TLS 传输的 LDAP 如果启用,则通过 TLS 的 LDAP 被配置为支持与 Active Directory 的安全 LDAP 通信。 是的 没有 如果已通过 TLS 启用了 LDAP,并且服务器根 CA 证书已存在于数据库中,则 CA 证书将保护 LDAP 流量。 如果传入新证书,将安装该证书。
服务器根 CA 证书 启用基于 SSL/TLS 的 LDAP 时,需要 LDAP 客户端具有 base64 编码的 Active Directory 证书服务的自签名根 CA 证书。 是的 没有* 仅在启用基于 TLS 的 LDAP 时,LDAP 流量才能通过新证书得到保护
LDAP 搜索范围 请参阅 创建和管理 Active Directory 连接 是的 - -
LDAP 客户端的首选服务器 最多可以指定两个 AD 服务器,以便 LDAP 尝试与第一个服务器建立连接。 请参阅 Active Directory 域服务网站设计和规划指南 是的 没有* 当 LDAP 客户端试图连接到 AD 服务器时,可能会阻碍超时。
与域控制器的加密 SMB 连接 此选项指定是否应将加密用于 SMB 服务器和域控制器之间的通信。 有关使用此功能的更多详细信息,请参阅 “创建 Active Directory 连接 ”。 是的 如果域控制器不支持 SMB3,则无法使用启用了 SMB、Kerberos 和 LDAP 的卷创建 仅对加密的域控制器连接使用 SMB3。
备份策略用户 你可以包含更多帐户,这些帐户要求对创建用于 Azure NetApp 文件的计算机帐户具有提升的权限。 有关详细信息,请参阅 “创建和管理 Active Directory 连接”。F 是的 没有* 将允许指定的帐户在文件或文件夹级别更改 NTFS 权限。
管理员 指定将被授予卷管理员权限的用户或组 是的 没有 用户帐户接收管理员权限
用户名 Active Directory 域管理员的用户名 是的 没有* 用于联系 DC 的凭据更改
密码 Active Directory 域管理员的密码 是的 没有*

密码不能超过 64 个字符。		 用于联系 DC 的凭据更改
Kerberos 领域:AD 服务器名称 Active Directory 计算机的名称。 仅当创建 Kerberos 卷时,才使用此选项。 是的 没有*
Kerberos 域:KDC IP 指定 Kerberos 分发中心 (KDC) 服务器的 IP 地址。 Azure NetApp 文件中的 KDC 是 Active Directory 服务器。 只能通过编辑 AD 设置来修改 KDC IP。 是的 没有 将使用新的 KDC IP 地址
区域 Active Directory 凭据关联的区域 没有
用户 DN 用户域名,用户查找时优先于基准 DN 的嵌套的 userDN 可指定为 OU=subdirectory, OU=directory, DC=___domain, DC=com 格式。 是的 没有* 用户搜索范围被限制为用户 DN,而不是基础 DN。
组 DN 组域名。 组查找时优先于基准 DN 的 groupDN。 嵌套的 groupDN 可指定为 OU=subdirectory, OU=directory, DC=___domain, DC=com 格式。 是的 没有* 组搜索范围仅限于组 DN,而不是基准 DN。
组成员资格筛选器 从 LDAP 服务器查找组成员身份时要使用的自定义 LDAP 搜索筛选器。可以使用groupMembershipFilter格式(gidNumber=*)来指定。 是的 没有* 从 LDAP 服务器查询用户的组成员身份时,将使用组成员身份筛选器。
安全特权用户 可以向需要提升权限才能访问 Azure NetApp 文件卷的用户授予安全权限(SeSecurityPrivilege)。 允许指定的用户帐户在 Azure NetApp 文件的 SMB 共享上执行某些操作,这些操作需要默认情况下未分配给域用户的安全权限。 有关详细信息,请参阅 “创建和管理 Active Directory 连接 ”。 是的 使用此功能是可选的,仅适用于 SQL Server。 在将 SQL Server 添加到“安全特权用户”字段之前,必须已存在用于安装 SQL Server 的域帐户。 将 SQL Server 安装程序的帐户添加到安全特权用户时,Azure NetApp 文件服务可能会通过联系域控制器来验证该帐户。 如果命令无法联系域控制器,该命令可能会失败。 有关 SeSecurityPrivilege 和 SQL Server 的详细信息,请参阅如果安装帐户没有特定用户权限,SQL Server 安装将失败。* 允许非管理员帐户使用基于 ANF 卷的 SQL 服务器。

*只有在修改输入正确的情况下,才不会对修改的条目产生影响。 如果输入数据不正确,用户和应用程序将失去访问权限。

后续步骤