Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une fois que vous avez créé une connexion Active Directory dans Azure NetApp Files, vous pouvez la modifier. Lorsque vous modifiez une connexion Active Directory, toutes les configurations ne sont pas modifiables.
Pour plus d’informations, consultez Comprendre les lignes directrices relatives à la conception et à la planification des sites des Services de domaine Active Directory pour Azure NetApp Files.
Modifier des connexions Active Directory
Sélectionnez Connexions Active Directory. Ensuite, sélectionnez Modifier pour modifier une connexion AD existante.
Dans la fenêtre Modifier Active Directory qui s’affiche, modifiez les configurations de connexion Active Directory en fonction des besoins. Pour obtenir une explication des champs que vous pouvez modifier, consultez Options pour les connexions Active Directory.
Options pour les connexions Active Directory
| Nom du champ | Présentation | Est-ce modifiable ? | Considérations et impacts | Résultat |
|---|---|---|---|---|
| DNS principal | Adresses IP du serveur DNS principal pour le domaine Active Directory. | Oui | Aucun* | Une nouvelle adresse IP DNS est utilisée pour la résolution DNS. |
| DNS secondaire | Adresses IP du serveur DNS secondaire pour le domaine Active Directory. | Oui | Aucun* | Une nouvelle adresse IP DNS sera utilisée pour la résolution DNS en cas d’échec du DNS principal. |
| Nom de domaine DNS AD | Nom de domaine de vos services de domaine Active Directory que vous souhaitez joindre. | Non | Aucun | N/A |
| Nom du site AD | Site auquel la découverte du contrôleur de domaine est limitée. | Oui | Cela doit correspondre au nom du site dans les sites et services Active Directory. Voir la note de bas de page.* | La découverte de domaine est limitée au nouveau nom de site. S’il n’est pas spécifié, « Default-First-Site-Name » est utilisé. |
| Préfixe du serveur SMB (compte d’ordinateur) | Préfixe de nommage pour le compte d’ordinateur dans Active Directory que Azure NetApp Files utilisera pour la création de comptes. Voir la note de bas de page.* | Oui | Les volumes existants doivent être montés à nouveau, car le montage est modifié pour les partages SMB et les volumes NFS Kerberos.* | Le fait de renommer le préfixe de serveur SMB après la création de la connexion Active Directory entraîne une interruption. Vous devrez remonter les partages SMB existants et les volumes NFS Kerberos après avoir renommé le préfixe du serveur SMB, car le chemin de montage changera. |
| Chemin d’accès de l’unité d’organisation | Chemin LDAP de l’unité d’organisation (UO) où les comptes d’ordinateur de serveur SMB seront créés.
OU=second level, OU=first level |
Non | Si vous utilisez Azure NetApp Files avec Microsoft Entra Domain Services, lorsque vous configurez Active Directory pour votre compte NetApp, le chemin d'accès de l'organisation est OU=AADDC Computers. |
Les comptes d’ordinateur sont placés sous l’unité d’organisation spécifiée. S’il n’est pas spécifié, la valeur par défaut OU=Computers est utilisée par défaut. |
| Chiffrement AES | Pour tirer parti de la sécurité la plus forte avec la communication Kerberos, vous pouvez activer le chiffrement AES-256 et AES-128 sur le serveur SMB. | Oui | Si vous activez le chiffrement AES, les informations d’identification de l’utilisateur utilisées pour rejoindre Active Directory doivent avoir l’option de compte correspondante la plus élevée activée, correspondant aux fonctionnalités activées pour votre Annuaire Active Directory. Par exemple, si votre annuaire Active Directory n’a activé qu’AES-128, vous devez activer l’option de compte AES-128 pour les informations d’identification de l’utilisateur. Si votre annuaire Active Directory dispose de la fonctionnalité AES-256, vous devez activer l’option de compte AES-256 (qui prend également en charge AES-128). Si votre annuaire Active Directory n’a aucune fonctionnalité de chiffrement Kerberos, Azure NetApp Files utilise DES par défaut.* | Activer le chiffrement AES pour l’authentification Active Directory |
| Signature LDAP | Cette fonctionnalité permet de sécuriser les recherches LDAP entre le service Azure NetApp Files et le contrôleur de domaine Active Directory Domain Services spécifié par l’utilisateur. | Oui | Signature LDAP pour exiger la connexion à la stratégie de groupe* | Cette option permet d’augmenter la sécurité de la communication entre les clients LDAP et les contrôleurs de domaine Active Directory. |
| Autoriser les utilisateurs NFS locaux avec LDAP | Si elle est activée, cette option gère l’accès pour les utilisateurs locaux et les utilisateurs LDAP. | Oui | Cette option autorise l’accès aux utilisateurs locaux. Elle n’est pas recommandée et, si elle est activée, ne doit être utilisée que pour une durée limitée et désactivée ultérieurement. | Si elle est activée, cette option autorise l’accès aux utilisateurs locaux et aux utilisateurs LDAP. Si votre configuration nécessite l’accès uniquement aux utilisateurs LDAP, vous devez désactiver cette option. |
| LDAP sur TLS | Si cette option est activée, LDAP sur TLS est configuré pour prendre en charge la communication LDAP sécurisée vers Active Directory. | Oui | Aucun | Si vous avez activé LDAP via TLS et si le certificat d’autorité de certification racine du serveur est déjà présent dans la base de données, le certificat d’autorité de certification sécurise le trafic LDAP. Si un nouveau certificat est transmis, ce certificat est installé. |
| Certificat d’autorité de certification racine de serveur | Lorsque LDAP sur SSL/TLS est activé, le client LDAP doit disposer du certificat d’autorité racine du service de certificats Active Directory encodé en base64, qui est auto-signé. | Oui | Aucun* | Trafic LDAP sécurisé avec un nouveau certificat uniquement si LDAP sur TLS est activé |
| Étendue de recherche LDAP | Consultez Créer et gérer des connexions Active Directory | Oui | - | - |
| Serveur préféré pour le client LDAP | Vous pouvez désigner jusqu’à deux serveurs AD pour que le protocole LDAP tente d’établir une connexion en premier. Voir Comprendre les instructions relatives à la conception et à la planification des sites Des services de domaine Active Directory | Oui | Aucun* | Entrave potentiellement un délai d’expiration lorsque le client LDAP cherche à se connecter au serveur AD. |
| Connexions SMB chiffrées au contrôleur de domaine | Cette option spécifie si le chiffrement doit être utilisé pour la communication entre le serveur SMB et le contrôleur de domaine. Pour plus d’informations sur l’utilisation de cette fonctionnalité, consultez Créer des connexions Active Directory . | Oui | La création de volumes compatibles SMB, Kerberos et LDAP ne peut pas être utilisée si le contrôleur de domaine ne prend pas en charge SMB3 | Utilisez uniquement SMB3 pour les connexions de contrôleur de domaine chiffrées. |
| Utilisateurs de stratégie de sauvegarde | Vous pouvez inclure d’autres comptes qui nécessitent des privilèges élevés pour le compte d’ordinateur créé pour une utilisation avec Azure NetApp Files. Pour plus d’informations, consultez Créer et gérer des connexions Active Directory. F | Oui | Aucun* | Les comptes spécifiés seront autorisés à modifier les autorisations NTFS au niveau du fichier ou du dossier. |
| Administrateurs | Spécifier des utilisateurs ou des groupes pour accorder des privilèges d’administrateur sur le volume | Oui | Aucun | Le compte d’utilisateur reçoit des privilèges d’administrateur |
| Nom d’utilisateur | Nom d’utilisateur de l’administrateur de domaine Active Directory | Oui | Aucun* | Modification des informations d’identification pour contacter le contrôleur de domaine |
| Mot de passe | Mot de passe de l’administrateur de domaine Active Directory | Oui | Aucun* Le mot de passe ne peut pas dépasser 64 caractères. |
Modification des informations d’identification pour contacter le contrôleur de domaine |
| Domaine Kerberos : nom du serveur AD | Nom de l’ordinateur Active Directory. Cette option est utilisée uniquement lors de la création d’un volume Kerberos. | Oui | Aucun* | |
| Domaine Kerberos : adresse IP KDC | Spécifie l’adresse IP du serveur du Centre de distribution Kerberos (KDC). KDC dans Azure NetApp Files est un serveur Active Directory. Vous ne pouvez modifier qu’une adresse IP KDC en modifiant le paramètre AD. | Oui | Aucun | Une nouvelle adresse IP KDC sera utilisée |
| Région | Région dans laquelle les informations d’identification Active Directory sont associées | Non | Aucun | N/A |
| Nom distinctif de l’utilisateur | Le nom de domaine utilisateur, qui remplace le DN de base pour les recherches d'utilisateur, peut être spécifié au format OU=subdirectory, OU=directory, DC=domain, DC=com pour un userDN imbriqué. |
Oui | Aucun* | L’étendue de recherche utilisateur est limitée au nom de domaine utilisateur au lieu du nom de domaine de base. |
| ND du groupe | Nom de domaine de groupe. groupDN remplace le nom de domaine de base pour les recherches de groupe. Le ND du groupe imbriqué peut être spécifié au format OU=subdirectory, OU=directory, DC=domain, DC=com. |
Oui | Aucun* | L’étendue de recherche de groupe est limitée au nom de domaine de groupe au lieu du nom de domaine de base. |
| Filtre d’appartenance au groupe | Filtre de recherche LDAP personnalisé à utiliser lors de la recherche d’appartenance à un groupe à partir du serveur LDAP. groupMembershipFilter peut être spécifié avec le (gidNumber=*) format. |
Oui | Aucun* | Le filtre d’appartenance au groupe est utilisé lors de l’interrogation de l’appartenance à un groupe d’un utilisateur à partir du serveur LDAP. |
| Utilisateurs de privilèges de sécurité | Vous pouvez accorder des privilèges de sécurité (SeSecurityPrivilege) aux utilisateurs qui ont besoin de privilèges élevés pour accéder aux volumes Azure NetApp Files. Les comptes d’utilisateur spécifiés sont autorisés à effectuer certaines actions sur des partages SMB Azure NetApp Files qui nécessitent des privilèges de sécurité non attribués par défaut aux utilisateurs du domaine. Pour plus d’informations, consultez Créer et gérer des connexions Active Directory . |
Oui | L’utilisation de cette fonctionnalité est facultative et prise en charge uniquement pour SQL Server. Le compte de domaine utilisé pour l’installation de SQL Server doit déjà exister avant de l’ajouter au champ Utilisateurs des privilèges de sécurité. Lorsque vous ajoutez le compte du programme d’installation de SQL Server aux utilisateurs de privilèges de sécurité, le service Azure NetApp Files peut valider le compte en contactant le contrôleur de domaine. La commande peut échouer s’il ne peut pas contacter le contrôleur de domaine.
L’installation de SQL Server échoue si le compte d’installation ne dispose pas de certains droits utilisateur pour plus d’informations sur SeSecurityPrivilege SQL Server.* |
Permet aux comptes non administrateurs d’utiliser des serveurs SQL sur des volumes ANF. |
*Il n’y a aucun impact sur une entrée modifiée uniquement si les modifications sont entrées correctement. Si vous entrez des données incorrectement, les utilisateurs et les applications perdent l’accès.