Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Depois de criar uma conexão do Active Directory no Azure NetApp Files, você poderá modificá-la. Quando você está modificando uma conexão do Active Directory, nem todas as configurações são modificáveis.
Para obter mais informações, consulte Noções básicas sobre o design e o planejamento do site do Active Directory Domain Services para o Azure NetApp Files.
Modificar as conexões do Active Directory
Selecione Conexões do Active Directory. Em seguida, selecione Editar para editar uma conexão existente do AD.
Na janela Editar Active Directory exibida, modifique as configurações de conexão do Active Directory conforme necessário. Para obter uma explicação de quais campos você pode modificar, consulte Opções para conexões do Active Directory.
Opções para conexões do Active Directory
| Nome do campo | O que é | É modificável? | Considerações e impactos | Efeito |
|---|---|---|---|---|
| DNS primário | Endereços IP de servidor DNS primários para o domínio do Active Directory. | Sim | Nenhum* | O novo IP DNS é usado para a resolução de DNS. |
| DNS secundário | Endereços IP de servidor DNS secundários para o domínio do Active Directory. | Sim | Nenhum* | O novo IP DNS será usado para resolução DNS caso o DNS primário falhe. |
| Nome de Domínio DNS do AD | O nome de domínio dos Serviços de Domínio do Active Directory ao qual você deseja associar-se. | Não | Nenhum | Não aplicável |
| Nome do Site do AD | O site no qual a descoberta do controlador de domínio é limitada. | Sim | Isso deve corresponder ao nome do site em Sites e Serviços do Active Directory. Confira a nota de rodapé.* | A descoberta de domínio é limitada ao novo nome do site. Se não for especificado, "Default-First-Site-Name" será usado. |
| Prefixo do Servidor SMB (conta do computador) | Prefixo de nomenclatura para a conta de computador no Active Directory que o Azure NetApp Files usará para a criação de novas contas. Confira a nota de rodapé.* | Sim | Os volumes existentes precisam ser montados novamente, pois a montagem é alterada para compartilhamentos SMB e volumes Kerberos do NFS. * | A renomeação do prefixo do servidor SMB depois da criação da conexão do Active Directory a interrompe. Você precisará remontar os compartilhamentos SMB existentes e os volumes Kerberos do NFS depois de renomear o prefixo do servidor SMB, pois o caminho de montagem será alterado. |
| Caminho da unidade organizacional | O caminho LDAP para a unidade organizacional (UO) em que as contas de computador do servidor SMB serão criadas.
OU=second level, OU=first level |
Não | Se você estiver usando o Azure NetApp Files com o Microsoft Entra Domain Services, o caminho organizacional será OU=AADDC Computers quando você configurar o Active Directory para sua conta do NetApp. |
As contas de computador serão colocadas sob a UO especificada. Se não for especificado, o padrão OU=Computers será usado por padrão. |
| Criptografia AES | Para aproveitar a segurança mais forte com a comunicação baseada em Kerberos, você pode habilitar a criptografia AES-256 e AES-128 no servidor SMB. | Sim | Se você habilitar a criptografia AES, as credenciais de usuário usadas para ingressar no Active Directory deverão ter a opção de conta correspondente mais alta habilitada, correspondendo aos recursos habilitados para o Active Directory. Por exemplo, se o Active Directory tiver apenas o AES-128 habilitado, você deverá habilitar a opção de conta AES-128 para as credenciais do usuário. Se o Active Directory tiver a funcionalidade AES-256, você deverá habilitar a opção de conta do AES-256 (que também dá suporte ao AES-128). Se o Active Directory não tiver nenhuma funcionalidade de criptografia Kerberos, o Azure NetApp Files usará o DES por padrão.* | Habilitar a criptografia AES para Autenticação do Active Directory |
| Assinatura LDAP | Essa funcionalidade permite pesquisas LDAP seguras entre o serviço Azure NetApp Files e o controlador de domínio do Active Directory Domain Services especificado pelo usuário. | Sim | Assinatura LDAP para exigir a assinatura na política de grupo * | Essa opção fornece maneiras de aumentar a segurança de comunicação entre clientes LDAP e controladores de domínio do Active Directory. |
| Permitir usuários NFS locais com LDAP | Se habilitada, essa opção gerencia o acesso para usuários locais e usuários LDAP. | Sim | Essa opção permite o acesso aos usuários locais. Ele não é recomendado e, se habilitado, só deve ser usado por um tempo limitado e posteriormente desabilitado. | Se habilitada, essa opção permite acesso a usuários locais e usuários LDAP. Se sua configuração exigir acesso somente para usuários LDAP, você deverá desabilitar essa opção. |
| LDAP sobre TLS | Se habilitado, o LDAP via TLS será configurado para dar suporte à comunicação LDAP segura ao active directory. | Sim | Nenhum | Se você habilitou o LDAP por TLS e se o certificado de AC raiz do servidor já estiver presente no banco de dados, o certificado de AC protegerá o tráfego LDAP. Se um novo certificado for passado, esse certificado será instalado. |
| Criar um certificado de AC raiz | Quando o LDAP via SSL/TLS está habilitado, o cliente LDAP deve ter o certificado raiz de CA autoassinado dos Serviços de Certificados do Active Directory codificado em base64. | Sim | Nenhum* | Tráfego LDAP protegido com novo certificado somente se LDAP via TLS estiver habilitado |
| Escopo de pesquisa LDAP | Consulte Criar e gerenciar conexões do Active Directory | Sim | - | - |
| Servidor preferencial para cliente LDAP | Você pode designar até dois servidores AD para os quais o LDAP deve tentar se conectar primeiro. Consulte As diretrizes de compreensão para o design e o planejamento do site do Active Directory Domain Services | Sim | Nenhum* | Potencialmente impedir um tempo limite quando o cliente LDAP busca se conectar ao servidor do AD. |
| Conexões SMB criptografadas com o Controlador de Domínio | Essa opção especifica se a criptografia deve ser usada para comunicação entre o servidor SMB e o controlador de domínio. Consulte Criar conexões do Active Directory para obter mais detalhes sobre como usar esse recurso. | Sim | A criação de volume habilitada para SMB, Kerberos e LDAP não poderá ser usada se o controlador de domínio não der suporte ao SMB3 | Use apenas o SMB3 para conexões criptografadas do controlador de domínio. |
| Usuários da política de backup | Você pode incluir mais contas que exigem privilégios elevados para a conta de computador criada para uso com o Azure NetApp Files. Para obter mais informações, consulte Criar e gerenciar conexões do Active Directory. F | Sim | Nenhum* | As contas especificadas terão permissão para alterar as permissões de NTFS no nível do arquivo ou da pasta. |
| Administradores | Especificar usuários ou grupos para conceder privilégios de administrador no volume para | Sim | Nenhum | A conta de usuário recebe privilégios de administrador |
| Nome de usuário | Nome de usuário do administrador de domínio do Active Directory | Sim | Nenhum* | Alteração de credencial para entrar em contato com DC |
| Senha | Senha do administrador de domínio do Active Directory | Sim | Nenhum* A senha não pode exceder 64 caracteres. |
Alteração de credencial para entrar em contato com DC |
| Kerberos Realm: Nome do Servidor do AD | O nome do computador do Active Directory. Essa opção só é usada ao criar um volume Kerberos. | Sim | Nenhum* | |
| Realm Kerberos: IP KDC | Especifica o endereço IP do servidor do KDC (Centro de Distribuição Kerberos). O KDC no Azure NetApp Files é um servidor do Active Directory. Você só pode modificar um IP KDC editando a configuração do AD. | Sim | Nenhum | Um novo endereço IP KDC será usado |
| Região | A região em que as credenciais do Active Directory estão associadas | Não | Nenhum | Não aplicável |
| DN do usuário | O nome de domínio do usuário, que substitui o DN de base para as pesquisas de usuário aninhadas userDN pode ser especificado no formato OU=subdirectory, OU=directory, DC=domain, DC=com. |
Sim | Nenhum* | O escopo de pesquisa do usuário é limitado ao "DN do usuário" em vez do "DN base". |
| DN do Grupo | Nome de domínio do grupo. GroupDN substitui o DN base para pesquisas de grupo. GroupDN aninhados podem ser especificados no formato OU=subdirectory, OU=directory, DC=domain, DC=com. |
Sim | Nenhum* | O escopo da pesquisa do usuário é limitado ao DN do usuário em vez do DN de base. |
| Filtro de Associação do Grupo | O filtro de pesquisa LDAP personalizado a ser usado ao buscar associação de grupo no servidor LDAP. groupMembershipFilter pode ser especificado usando o formato (gidNumber=*). |
Sim | Nenhum* | O filtro de associação de grupo será usado ao consultar a associação de grupo de um usuário do servidor LDAP. |
| Usuários do Privilégio de Segurança | Você pode conceder privilégio de segurança (SeSecurityPrivilege) a usuários que exigem privilégios elevados para acessar os volumes do Azure NetApp Files. As contas de usuário especificadas poderão executar determinadas ações em compartilhamentos SMB do Azure NetApp Files que exigem privilégios de segurança não atribuídos por padrão aos usuários de domínio. Consulte Criar e gerenciar conexões do Active Directory para obter mais informações. |
Sim | O uso desse recurso é opcional e tem suporte apenas para o SQL Server. A conta de domínio usada para instalar o SQL Server já deve existir antes de adicioná-la ao campo Usuários de privilégios de segurança. Quando você adiciona a conta do instalador do SQL Server aos usuários com privilégios de segurança, o serviço Azure NetApp Files pode validar a conta entrando em contato com o controlador de domínio. O comando poderá falhar se não puder contatar o controlador de domínio. Consulte o artigo Falha na instalação do SQL Server se a conta de configuração não tiver certos direitos de usuário para obter mais informações sobre SeSecurityPrivilege e SQL Server.* |
Permite que contas que não sejam de administrador usem SQL servidores sobre volumes seja. |
*Não haverá impacto em uma entrada modificada somente se as modificações forem inseridas corretamente. Se você inserir dados incorretamente, usuários e aplicativos perderão o acesso.