Freigeben über

Erstellen und Verwalten von Active Directory Verbindungen für Azure NetApp Files

Mehrere Features von Azure NetApp Files erfordern, dass Sie über eine Active Directory Verbindung verfügen. Sie müssen beispielsweise über eine Active Directory Verbindung verfügen, bevor Sie ein SMB Volume, ein NFSv4.1 Kerberos-Volume oder ein dual-Protocol Volume erstellen können. In diesem Artikel erfahren Sie, wie Sie Active Directory Verbindungen für Azure NetApp Files erstellen und verwalten.

Anforderungen und Überlegungen für Active Directory Verbindungen

Important

Sie müssen Richtlinien befolgen, die in Understand guidelines for Active Directory Domain Services site design and planning for Azure NetApp Files für Active Directory-Domänendienste (AD DS) oder Microsoft Entra-Domänendienste, die mit Azure NetApp Files verwendet werden, beschrieben sind.

Überprüfen Sie vor dem Erstellen der AD-Verbindung Active Directory-Verbindungen für Azure NetApp Files ändern, um die Auswirkungen der Änderungen an den AD-Verbindungskonfigurationsoptionen nach dem Erstellen der AD-Verbindung zu verstehen. Änderungen an den AD-Verbindungskonfigurationsoptionen sind störend für den Clientzugriff, und einige Optionen können überhaupt nicht geändert werden.

  • Ein Azure NetApp Files Konto muss in der Region erstellt werden, in der die Azure NetApp Files Volumes bereitgestellt werden sollen.

  • Azure NetApp Files ermöglicht standardmäßig eine Active Directory (AD)-Verbindung pro Abonnement und Konto. Sie können die Standardeinstellung ändern, um eine Active Directory-Verbindung pro NetApp-Konto zu erstellen.

  • Das Azure NetApp Files AD-Verbindungsadministratorkonto muss über die folgenden Eigenschaften verfügen:

    • Es muss sich um ein AD DS-Domänenbenutzerkonto in derselben Domäne handeln, in der die Azure NetApp Files Computerkonten erstellt werden.
    • Es muss über die Berechtigung zum Erstellen von Computerkonten (z. B. AD-Domänenbeitritt) in dem AD DS-Organisationseinheitenpfad verfügen, der in der Option Pfad der Organisationseinheit der AD-Verbindung angegeben ist.
    • Es kann sich nicht um ein Gruppenverwaltetes Dienstkonto handeln.

  • Das AD-Verbindungsadministratorkonto unterstützt Kerberos AES-128- und Kerberos AES-256-Verschlüsselungstypen für die Authentifizierung mit AD DS für Azure NetApp Files Computerkontoerstellung (z. B. AD-Domänenbeitrittsvorgänge).

  • Um die AES-Verschlüsselung zu aktivieren, sollten Sie zuerst AES-128, AES-256, RC4 und DES-Verschlüsselungstypen auf Active Directory (AD) aktivieren und dann AES auf der Steuerungsebene aktivieren. Sie müssen zuerst die Verschlüsselung in Active Directory aktivieren.

Important

Die AES-256-Verschlüsselung ist erforderlich, wenn Sie Windows Server 2025-Domänencontroller in Ihrer Active Directory Umgebung verwenden möchten.

  • Um die AES-Verschlüsselungsunterstützung für das Administratorkonto in der AD-Verbindung zu aktivieren, führen Sie die folgenden Active Directory PowerShell-Befehle aus:

    Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>

    KerberosEncryptionType ist ein mehrwertiges Parameter, der die Werte DES, RC4, AES-128 und AES-256 unterstützt.

    Weitere Informationen finden Sie in der Dokumentation zu „Set-ADUser“.

  • Um die AES-Verschlüsselung für das Ad-Verbindungsadministratorkonto Azure NetApp Files zu aktivieren, müssen Sie ein AD-Domänenbenutzerkonto verwenden, das Mitglied einer der folgenden AD DS-Gruppen ist:

    • Domänenadministratoren
    • Organisationsadministratoren
    • Administrators
    • Konten-Operatoren
    • Microsoft Entra Domain Services Dienstadministratoren (nur Microsoft Entra Domain Services)
    • Alternativ kann auch ein AD-Domänenbenutzerkonto mit Schreibberechtigung vom Typ msDS-SupportedEncryptionTypes für das Administratorkonto der AD-Verbindung verwendet werden, um die Kerberos-Verschlüsselungstypeigenschaft für das Administratorkonto der AD-Verbindung festzulegen.

    Note

    Wenn Sie die Einstellung ändern, um AES für das AD-Verbindungsadministratorkonto zu aktivieren, empfiehlt es sich, ein Benutzerkonto zu verwenden, das über Schreibberechtigungen für das AD-Objekt verfügt, das nicht der Azure NetApp Files AD-Administrator ist. Dazu können Sie ein anderes Domänenadministratorkonto verwenden oder die Kontrolle an ein Konto delegieren. Weitere Informationen finden Sie unter Delegieren der Verwaltung mit Organisationseinheitenobjekten.

    Wenn Sie sowohl die AES-128- als auch die AES-256-Kerberos-Verschlüsselung für das Administratorkonto der AD-Verbindung festlegen, handelt der Windows-Client die höchste Verschlüsselungsebene aus, die von Ihrem AD DS unterstützt wird. Wenn beispielsweise AES-128 und AES-256 unterstützt werden und der Client AES-256 unterstützt, wird AES-256 verwendet.

  • Wenn Sie die IP-Adresse des Kerberos Distribution Center (KDC) oder den Namen des AD-Servers ändern, müssen Sie so lange warten, wie das Kerberos-Ticket gültig ist, bevor Sie das Volume auf demselben NFS-Linux-Client einbinden können. Die Kerberos-Ticketlebensdauer kann sowohl auf dem Client als auch auf dem KDC konfiguriert werden. Standardmäßig legt Microsoft Active Directory die Kerberos-Ticketlebensdauer auf 600 Minuten (10 Stunden) fest.
Weitere Informationen finden Sie unter "Maximale Lebensdauer für Serviceticket".

  • Wenn Sie bestimmte Kerberos-Verschlüsselungstypen für Active Directory Computerkonten für in die Domäne eingebundene Windows Hosts aktivieren und deaktivieren müssen, die mit Azure NetApp Files verwendet werden, müssen Sie die Gruppenrichtlinie Network Security: Configure Encryption types allowed for Kerberos verwenden.

    Legen Sie den Registrierungsschlüssel nicht HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes fest. Dadurch wird die Kerberos-Authentifizierung mit Azure NetApp Files für den Windows Host, auf dem dieser Registrierungsschlüssel manuell festgelegt wurde, abgebrochen.

    Note

    Die Standardrichtlinieneinstellung für Network Security: Configure Encryption types allowed for Kerberos ist Not Defined. Wenn diese Richtlinieneinstellung auf Not Defined festgelegt ist, sind alle Verschlüsselungstypen außer DES für die Kerberos-Verschlüsselung verfügbar. Sie haben die Möglichkeit, die Unterstützung nur für bestimmte Kerberos-Verschlüsselungstypen zu aktivieren (z. B. AES128_HMAC_SHA1 oder AES256_HMAC_SHA1). Die Standardrichtlinie sollte jedoch in den meisten Fällen ausreichend sein, wenn die AES-Verschlüsselungsunterstützung mit Azure NetApp Files aktiviert wird.

    Weitere Informationen finden Sie unter Netzwerksicherheit: Verschlüsselungsarten konfigurieren, die für Kerberos zugelassen sind oder Windows-Konfigurationen für Kerberos-unterstützte Verschlüsselungsarten

  • LDAP-Abfragen werden nur in der domäne wirksam, die in den Active Directory verbindungen angegeben ist (das Feld AD DNS Domain Name). Dieses Verhalten gilt für NFS- und SMB-Volumes und solche mit beiden Protokollen.

  • LDAP-Abfragetimeouts

    Standardmäßig werden LDAP-Abfragen abgebrochen, wenn sie nicht in einem angemessenen Zeitrahmen abgeschlossen werden können. Wenn eine LDAP-Abfrage aufgrund eines Timeouts fehlschlägt, kann die Benutzer- und/oder Gruppensuche fehlschlagen, und der Zugriff auf das Azure NetApp Files Volume kann je nach den Berechtigungseinstellungen des Volumes verweigert werden.

    Abfragetimeouts können in großen LDAP-Umgebungen mit vielen Benutzer- und Gruppenobjekten und bei langsamen WAN-Verbindungen auftreten und wenn ein LDAP-Server mit Anforderungen überlastet ist. Azure NetApp Files hat die Timeouteinstellung für LDAP-Abfragen auf 10 Sekunden festgelegt. Erwägen Sie die Nutzung der Benutzer- und Gruppen-DN-Features auf der Active Directory Verbindung für den LDAP-Server, um Suchvorgänge zu filtern, wenn Probleme mit dem Timeout von LDAP-Abfragen auftreten.

NetApp-Konten und Active Directory Typ

Sie können die Übersichtsseite des NetApp-Kontos verwenden, um den kontotyp Active Directory zu bestätigen. Es gibt drei Werte für den AD-Typ:

  • NA: Vorhandenes NetApp-Konto, das nur eine AD-Konfiguration pro Abonnement und Region unterstützt. Die AD-Konfiguration wird nicht für andere NetApp-Konten im Abonnement freigegeben.

  • Multi-AD: Das NetApp-Konto unterstützt eine AD-Konfiguration in jedem NetApp-Konto im Abonnement. Dies ermöglicht mehr als eine AD-Verbindung pro Abonnement bei Verwendung mehrerer NetApp-Konten.

    Note

    Stellen Sie sicher, dass Sie API Version 2024-11-01 oder höher verwenden, um Multi AD zu verwenden.

  • Freigegebenes AD: Das NetApp-Konto unterstützt nur eine AD-Konfiguration pro Abonnement und Region, die Konfiguration wird jedoch für NetApp-Konten im Abonnement und in der Region freigegeben.

Weitere Informationen zur Beziehung zwischen NetApp-Konten und -Abonnements finden Sie unter Storage-Hierarchie von Azure NetApp Files.

Erstellen einer Active Directory Verbindung

  1. Wählen Sie in Ihrem NetApp-Konto Active Directory-Verbindungen und Beitreten aus.

    Screenshot mit dem Menü Active Directory Verbindungen. Die Verknüpfungsschaltfläche ist hervorgehoben.

    Note

    Standardmäßig unterstützt Azure NetApp Files nur eine Active Directory Verbindung innerhalb derselben Region und desselben Abonnements. Sie können diese Einstellung ändern, um eine Active Directory-Verbindung pro NetApp-Konto zu erstellen.

  2. Geben Sie im Fenster "Beitreten Active Directory" die folgenden Informationen basierend auf den domänenbasierten Diensten an, die Sie verwenden möchten:

    • Primäres DNS (erforderlich)
      Dies ist die IP-Adresse des primären DNS-Servers, der für Active Directory Domänenbeitrittsvorgänge, SMB-Authentifizierung, Kerberos- und LDAP-Vorgänge erforderlich ist.

    • Sekundäres DNS
      Dies ist die IP-Adresse des sekundären DNS-Servers, der für Active Directory Domänenbeitrittsvorgänge, SMB-Authentifizierung, Kerberos- und LDAP-Vorgänge erforderlich ist.

      Note

      Es wird empfohlen, einen sekundären DNS-Server zu konfigurieren. Weitere Informationen finden Sie unter Richtlinien für die Standortgestaltung und Planung von Active Directory Domain Services für Azure NetApp Files verstehen. Stellen Sie sicher, dass ihre DNS-Serverkonfiguration die Anforderungen für Azure NetApp Files erfüllt. Andernfalls können Azure NetApp Files Dienstvorgänge, SMB-Authentifizierung, Kerberos- oder LDAP-Vorgänge fehlschlagen.

      Wenn Sie Microsoft Entra Domain Services verwenden, verwenden Sie die IP-Adressen der Microsoft Entra Domain Services Domänencontroller für primäres DNS bzw. sekundäres DNS.

    • AD DNS-Domänenname (erforderlich)
      Dies ist der vollqualifizierte Domänenname des AD DS, der mit Azure NetApp Files verwendet wird (z. B. contoso.com).

    • AD-Standortname (erforderlich)
      Dies ist der AD DS-Site-Name, den Azure NetApp Files für die Ermittlung des Domänencontrollers verwendet.

      Der Standardwebsitename für AD DS und Microsoft Entra Domain Services ist Default-First-Site-Name. Befolgen Sie die Benennungskonventionen für Websitenamen, wenn Sie den Websitenamen umbenennen möchten.

      Note

      Weitere Informationen finden Sie unter Richtlinien für die Standortgestaltung und Planung von Active Directory Domain Services für Azure NetApp Files verstehen. Stellen Sie sicher, dass Ihr AD DS-Websitedesign und die Konfiguration die Anforderungen für Azure NetApp Files erfüllt. Andernfalls können Azure NetApp Files Dienstvorgänge, SMB-Authentifizierung, Kerberos- oder LDAP-Vorgänge fehlschlagen.

    • Präfix des SMB-Servers (Computerkonto)(erforderlich)
      Dies ist das Namenspräfix für neue Computerkonten, die in AD DS für Azure NetApp Files SMB-, Dualprotokoll- und NFSv4.1-Kerberos-Volumes erstellt wurden.

      Wenn also für Dateidienste in Ihrer Organisation beispielsweise der Benennungsstandard NAS-01, NAS-02 usw. verwendet wird, verwenden Sie NAS als Präfix.

      Azure NetApp Files erstellen nach Bedarf zusätzliche Computerkonten in AD DS.

      Important

      Das Umbenennen des SMB-Serverpräfixes nach dem Erstellen der Active Directory Verbindung ist störend. Sie müssen vorhandene SMB-Freigaben nach dem Umbenennen des SMB-Serverpräfixes erneut einbinden.

    • Pfad der Organisationseinheit
      Dies ist der LDAP-Pfad für die Organisationseinheit, in der Computerkonten für SMB-Server erstellt werden. Das heißt, sie erfüllen die Bedingung OU=second level, OU=first level. Wenn Sie also z. B. eine im Stammverzeichnis der Domäne erstellte Organisationseinheit namens ANF verwenden möchten, lautet der Wert OU=ANF.

      Wenn kein Wert angegeben wird, verwendet Azure NetApp Files den Container CN=Computers.

      Wenn Sie Azure NetApp Files mit Microsoft Entra Domain Services verwenden, lautet der Pfad der Organisationseinheit OU=AADDC Computers

      Screenshot der Eingabefelder von Join Active Directory.

    • AES-Verschlüsselung
      Diese Option aktiviert die Unterstützung der Authentifizierung mit AES-Verschlüsselung für das Administratorkonto der AD-Verbindung.

      Screenshot des AES-Beschreibungsfelds. Das Feld ist ein Kontrollkästchen.

      Anforderungen finden Sie unter Requirements für Active Directory Verbindungen.

    • LDAP-Signatur

      Mit dieser Option kann die LDAP-Signatur aktiviert werden. Diese Funktionalität ermöglicht die Integritätsüberprüfung für SASL-LDAP-Bindungen (Simple Authentication and Security Layer) von Azure NetApp Files und den vom Benutzer angegebenen Active Directory Domain Services Domänencontrollern.

      Azure NetApp Files unterstützt die LDAP-Kanalbindung, wenn sowohl LDAP-Signierung als auch LDAP über TLS Einstellungen in der Active Directory Verbindung aktiviert sind. Weitere Informationen finden Sie unter ADV190023 | Microsoft Anleitung zum Aktivieren von LDAP-Kanalbindung und LDAP-Signierung.

      Note

      DNS-PTR-Einträge für die AD DS-Computerkonten müssen in der AD DS-Organizational Unit erstellt werden, die in der Azure NetApp Files AD-Verbindung angegeben ist, damit die LDAP-Signatur funktioniert.

      Screenshot des Kontrollkästchens „LDAP-Signatur“.

    • Lokale NFS-Benutzer mit LDAP zulassen Mit dieser Option können lokale NFS-Clientbenutzer auf NFS-Volumes zugreifen. Wenn Sie diese Option festlegen, werden erweiterte Gruppen für NFS-Volumes deaktiviert, wodurch die Anzahl der unterstützten Gruppen für einen Benutzer auf 16 beschränkt wird. Wenn diese Option aktiviert ist, werden Gruppen, die über das Limit von 16 Gruppen hinausgehen, in Zugriffsberechtigungen nicht berücksichtigt. Weitere Informationen finden Sie unter Lokalen NFS-Benutzern mit LDAP den Zugriff auf ein Doppelprotokollvolume gestatten.

    • LDAP über TLS

      Diese Option ermöglicht LDAP über TLS für die sichere Kommunikation zwischen einem Azure NetApp Files Volume und dem Active Directory LDAP-Server. Sie können LDAP über TLS für NFS-, SMB- und Dualprotokollvolumes von Azure NetApp Files aktivieren.

      Note

      LDAP über TLS darf nicht aktiviert werden, wenn Sie Microsoft Entra Domain Services verwenden. Microsoft Entra Domain Services verwendet LDAPS (Port 636), um LDAP-Datenverkehr anstelle von LDAP über TLS (Port 389) zu sichern.

      Weitere Informationen finden Sie unter Enable Active Directory Domain Services (AD DS)-LDAP-Authentifizierung für NFS-Volumes.

    • Serverzertifikat von Stammzertifizierungsstelle

      Diese Option dient zum Hochladen des Zertifizierungsstellenzertifikats, das mit LDAP über TLS verwendet wird.

      Weitere Informationen finden Sie unter Enable Active Directory Domain Services (AD DS)-LDAP-Authentifizierung für NFS-Volumes. 

    • LDAP-Suchbereich, Benutzer-DN, Gruppen-DN und Gruppenmitgliedschaftsfilter

      Die Option LDAP-Suchbereich optimiert Azure NetApp Files Speicher-LDAP-Abfragen für die Verwendung mit großen AD DS-Topologien und LDAP mit erweiterten Gruppen oder Unix-Sicherheitsstil mit einem Azure NetApp Files Dualprotokollvolumes.

      Mit den Optionen Benutzer-DN und Gruppen-DN können Sie die Suchbasis in AD DS-LDAP festlegen. Diese Optionen beschränken die Suchbereiche für LDAP-Abfragen, reduzieren die Suchzeit und tragen dazu bei, LDAP-Abfragetimeouts zu reduzieren.

      Mit der Option Gruppenmitgliedschaftsfilter können Sie einen benutzerdefinierten Suchfilter für Benutzer erstellen, die Mitglieder bestimmter AD DS-Gruppen sind.

      Screenshot des LDAP-Suchbereichsfelds mit aktiviertem Kontrollkästchen.

      Informationen zu diesen Optionen finden Sie unter Konfigurieren von AD DS LDAP mit erweiterten Gruppen für den NFS-Volumezugriff.

    • Bevorzugter Server für LDAP-Client

      Mit der Option Bevorzugter Server für LDAP-Client können Sie die IP-Adressen von bis zu zwei AD-Servern als durch Trennzeichen getrennte Liste übermitteln. Anstatt nacheinander alle ermittelten AD-Dienste für eine Domäne zu kontaktieren, wendet sich der LDAP-Client zuerst an die angegebenen Server.

    • Verschlüsselte SMB-Verbindungen zum Domänencontroller

      Verschlüsselte SMB-Verbindungen mit Domänencontroller gibt an, ob für die Kommunikation zwischen einem SMB-Server und dem Domänencontroller Verschlüsselung verwendet werden soll. Bei einer Aktivierung wird für verschlüsselte Verbindungen mit Domänencontrollern nur SMB3 verwendet.

      Diese Funktion steht derzeit als Vorschau zur Verfügung. Wenn Sie zum ersten Mal verschlüsselte SMB-Verbindungen mit dem Domänencontroller verwenden, müssen Sie ihn registrieren:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Überprüfen Sie den Status der Funktionsregistrierung:

      Note

      Der RegistrationState kann bis zu 60 Minuten lang den Wert Registering aufweisen, bevor er sich in Registered ändert. Warten Sie, bis der Status Registered lautet, bevor Sie fortfahren.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Sie können auch Azure CLI Befehleaz feature register und az feature show verwenden, um das Feature zu registrieren und den Registrierungsstatus anzuzeigen.

    • Backup-Richtlinienbenutzer Diese Option gewährt Zusätzliche Sicherheitsberechtigungen für AD DS-Domänenbenutzer oder -gruppen, die erhöhte Sicherungsberechtigungen erfordern, um Sicherungs-, Wiederherstellungs- und Migrationsworkflows in Azure NetApp Files zu unterstützen. Die angegebenen AD DS-Benutzerkonten oder -Gruppen erhalten erhöhte NTFS-Berechtigungen auf Datei- oder Ordnerebene.

      Screenshot: Feld „Sicherungsrichtlinienbenutzer“ mit leerem Texteingabefeld.

      Bei Verwendung der Einstellung Sicherungsrichtlinienbenutzer gelten die folgenden Berechtigungen:

      Privilege Description
      SeBackupPrivilege Sichern von Dateien und Verzeichnissen und Überschreiben aller ACLs
      SeRestorePrivilege Wiederherstellen von Dateien und Verzeichnissen und Überschreiben aller ACLs.
      Festlegen einer gültigen Benutzer- oder Gruppen-SID als Dateibesitzer.
      SeChangeNotifyPrivilege Umgehen Sie die Traversierungsüberprüfung.
      Benutzer mit dieser Berechtigung müssen nicht über Berechtigungen zum Durchlaufen (x) verfügen, um Ordner oder symbolische Verknüpfungen zu durchlaufen.

    • Benutzer mit Sicherheitsberechtigungen
      Diese Option gewährt Sicherheitsberechtigungen (SeSecurityPrivilege) für AD DS-Domänenbenutzer oder -Gruppen, die erhöhte Berechtigungen für den Zugriff auf Azure NetApp Files Volumes erfordern. Die angegebenen AD DS-Benutzer oder -Gruppen dürfen bestimmte Aktionen für SMB-Freigaben ausführen, für die Sicherheitsberechtigungen erforderlich sind, die Domänenbenutzern standardmäßig nicht zugewiesen sind.

      Screenshot des Fensters

      Bei Verwendung der Einstellung Security privilege users (Benutzer mit Sicherheitsberechtigungen) gilt die folgende Berechtigung:

      Privilege Description
      SeSecurityPrivilege Verwalten von Protokollvorgängen.

      Dieses Feature wird für die Installation von SQL Server in bestimmten Szenarien verwendet, in denen ein NICHT-Administrator-AD DS-Domänenkonto vorübergehend erhöhte Sicherheitsberechtigungen gewährt werden muss.

      Note

      Die Verwendung des Features „Sicherheitsberechtigungen“ basiert auf dem Feature SMB-Freigaben für fortlaufende Verfügbarkeit. Kontinuierliche Verfügbarkeit von SMB wird für benutzerdefinierte Anwendungen nicht unterstützt. Es wird nur für Workloads mit Citrix App Layering, FSLogix Benutzerprofilcontainern und Microsoft SQL Server (nicht linux SQL Server) unterstützt.

      Important

      Dieses Feature ist optional und wird nur für SQL Server unterstützt. Das für die Installation von SQL Server verwendete AD DS-Domänenkonto muss bereits vorhanden sein, um es der Option Benutzer mit Sicherheitsberechtigungen hinzufügen zu können. Wenn Sie das SQL Server-Installationsprogrammkonto zur Option Sicherheitsberechtigungsbenutzer hinzufügen, überprüft der Azure NetApp Files-Dienst möglicherweise das Konto, indem er einen AD DS-Domänencontroller kontaktiert. Diese Aktion kann fehlschlagen, wenn Azure NetApp Files den AD DS-Domänencontroller nicht kontaktieren kann.

      Weitere Informationen zu SeSecurityPrivilege und SQL Server finden Sie unter SQL Server Installation schlägt fehl, wenn das Setupkonto keine bestimmten Benutzerrechte hat.

    • Benutzer*innen mit Administratorberechtigungen

      Diese Option gewährt AD DS-Domänenbenutzern oder -Gruppen zusätzliche Sicherheitsberechtigungen, die erhöhte Berechtigungen für den Zugriff auf die Azure NetApp Files Volumes erfordern. Die angegebenen Konten erhalten erhöhte Rechte auf Datei- oder Ordnerebene.

      Note

      Die Domänenadministratoren und -administratorinnen werden der Berechtigungsgruppe „Administratoren“ automatisch hinzugefügt.

      Screenshot, das das Feld

      Note

      Diese Berechtigung ist für Datenmigrationen nützlich.

      Bei Verwendung der Einstellung Administrators privilege users (Benutzer mit Administratorberechtigungen) gelten folgende Berechtigungen:

      Privilege Description
      SeBackupPrivilege Sichern von Dateien und Verzeichnissen und Überschreiben aller ACLs
      SeRestorePrivilege Wiederherstellen von Dateien und Verzeichnissen und Überschreiben aller ACLs.
      Festlegen einer gültigen Benutzer- oder Gruppen-SID als Dateibesitzer.
      SeChangeNotifyPrivilege Umgehen Sie die Traversierungsüberprüfung.
      Benutzer*innen mit dieser Berechtigung müssen nicht über Berechtigungen zum Durchlaufen (x) verfügen, um Ordner oder symbolische Verknüpfungen zu durchlaufen.
      SeTakeOwnershipPrivilege Übernehmen Sie den Besitz von Dateien und Objekten.
      SeSecurityPrivilege Verwalten von Protokollvorgängen.
      SeChangeNotifyPrivilege Umgehen Sie die Traversierungsüberprüfung.
      Benutzer*innen mit dieser Berechtigung müssen nicht über Berechtigungen zum Durchlaufen (x) verfügen, um Ordner oder symbolische Verknüpfungen zu durchlaufen.

    • Anmeldeinformationen, einschließlich Benutzername und Kennwort

      Screenshot mit Active Directory-Anmeldeinformationen, das Benutzername-, Kennwort- und Kennwort bestätigen-Felder zeigt.

      Important

      Obwohl Active Directory 256-stellige Kennwörter unterstützt, dürfen Active Directory-Kennwörter bei Verwendung von Azure NetApp Files nicht mehr als 64 Zeichen umfassen.

  3. Wählen Sie Beitreten.

    Die von Ihnen erstellte Active Directory Verbindung wird angezeigt.

    Screenshot des Menüs Active Directory Verbindungen mit einer erfolgreich erstellten Verbindung.

Erstellen einer Active Directory Verbindung pro NetApp-Konto

Das aktuelle Standardverhalten von Azure NetApp Files unterstützt eine AD-Verbindung pro Abonnement und Region. Durch aktivieren dieses Feature ändern Sie das Verhalten, sodass jedes NetApp-Konto innerhalb eines Azure-Abonnements über eine eigene AD-Verbindung verfügen kann. Wenn dieses Feature aktiviert ist, verwalten neu erstellte NetApp-Konten ihre eigene AD-Verbindung.

Nach der Konfiguration wird die AD-Verbindung des NetApp-Kontos verwendet, wenn Sie ein SMB-Volume, ein NFSv4.1 Kerberos-Volume oder ein Dual-Protokoll-Volume erstellen. Dies bedeutet, dass Azure NetApp Files mehr als eine AD-Verbindung pro Azure Abonnement unterstützt, wenn mehrere NetApp-Konten verwendet werden.

Note

Wenn für ein Abonnement sowohl dieses Feature als auch das feature Shared Active Directory aktiviert ist, verwenden die vorhandenen Konten weiterhin die AD-Konfiguration. Alle neuen NetApp-Konten, die im Abonnement erstellt wurden, können ihre eigenen AD-Konfigurationen verwenden. Sie können Ihre Konfiguration auf der Kontoübersichtsseite im Feld AD-Typ nachsehen.

Important

Der Umfang jeder AD-Konfiguration ist auf das übergeordnete NetApp-Konto beschränkt.

Zuordnen mehrerer NetApp-Konten im selben Abonnement und derselben Region zu einer AD-Verbindung (Vorschau)

Dank des Features „Freigegebenes“ AD kann von allen NetApp-Konten, die über eines der zu einem Abonnement und einer Region gehörenden NetApp-Konten erstellt wurden, eine AD-Verbindung gemeinsam genutzt werden. Bei Verwendung dieses Features kann beispielsweise von allen zu einem Abonnement und einer Region gehörenden NetApp-Konten die allgemeine AD-Konfiguration verwendet werden, um ein SMB-Volume, ein NFSv4.1-Kerberos-Volume oder ein Dual-Protokoll-Volume zu erstellen. Wenn Sie dieses Feature verwenden, ist die AD-Verbindung in allen zu einem Abonnement und einer Region gehörenden NetApp-Konten sichtbar.

Mit der Einführung des Features zum Erstellen einer AD-Verbindung pro NetApp-Konto werden neue Featureregistrierungen für das Feature "Freigegebenes AD" nicht akzeptiert.

Note

Sie können sich registrieren, um eine AD-Verbindung pro NetApp-Konto zu verwenden, wenn Sie bereits in der Vorschauversion für freigegebenes AD registriert sind. Wenn Sie derzeit die maximal 10 NetApp-Konten pro Azure Region pro Abonnement erfüllen, müssen Sie eine Support-Anforderung initiieren, um den Grenzwert zu erhöhen. Sie können Ihre Konfiguration auf der Kontoübersichtsseite im Feld AD-Typ nachsehen.

Zurücksetzen des Kennworts für das Active Directory-Computerkonto

Wenn Sie versehentlich das Kennwort des AD-Computerkontos auf dem AD-Server zurückgesetzt haben oder der AD-Server nicht erreichbar ist, können Sie das Kennwort des Computerkontos gefahrlos zurücksetzen, um die Konnektivität mit Ihren Volumes aufrechtzuerhalten. Die Zurücksetzung wirkt sich auf alle Volumes auf dem SMB-Server aus.

Registrieren der Funktion

Das Zurücksetzen des Kennworts für das Computerkonto in Active Directory ist momentan in der öffentlichen Vorschau. Wenn Sie diese Funktion zum ersten Mal verwenden, müssen Sie sie zuerst registrieren.

  1. Registrieren Sie die Funktion Active Directory Computerkonto-Kennwort zurücksetzen:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Überprüfen Sie den Status der Featureregistrierung. Der RegistrationState kann bis zu 60 Minuten lang den Wert Registering aufweisen, bevor er sich in Registered ändert. Warten Sie, bis der Status Registered lautet, bevor Sie fortfahren.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

Sie können auch Azure CLI Befehleaz feature register und az feature show verwenden, um das Feature zu registrieren und den Registrierungsstatus anzuzeigen.

Steps

  1. Navigieren Sie zum Menü Übersicht für das Volume. Wählen Sie Active Directory-Konto zurücksetzen aus. Azure-Volumenübersichtsschnittstelle mit hervorgehobenem 'Active Directory-Konto zurücksetzen'-Button. Alternativ navigieren Sie zum Volumen-Menü. Identifizieren Sie das Volume, für das Sie das Active Directory Konto zurücksetzen möchten, und wählen Sie die drei Punkte (...) am Ende der Zeile aus. Wählen Sie Active Directory-Konto zurücksetzen aus. Azure-Volumenliste mit hervorgehobenem
  2. Eine Warnmeldung mit Informationen zu den Auswirkungen dieser Aktion wird angezeigt. Geben Sie Ja in das Textfeld ein, um den Vorgang fortzusetzen. Active Directory Kontowarnung: Warnung! Diese Aktion setzt das Active Directory-Konto für das Volume zurück. Diese Aktion ist dafür gedacht, Benutzern den Zugriff auf ihre Volumes wieder zu ermöglichen und kann dazu führen, dass Daten unzugänglich werden, wenn sie unnötigerweise ausgeführt wird.

Nächste Schritte

  • Last updated on