Creare e gestire le connessioni Active Directory per Azure NetApp Files

  • Articolo

Per diverse funzionalità di Azure NetApp Files è necessaria una connessione Active Directory. Ad esempio, è necessario avere una connessione Active Directory prima di poter creare un volume SMB, un volume Kerberos NFSv4.1 o un volume a doppio protocollo. Questo articolo illustra come creare e gestire connessioni Active Directory per Azure NetApp Files.

Requisiti e considerazioni per le connessioni Active Directory

Importante

È necessario seguire le linee guida descritte in Comprendere le linee guida per la progettazione e la pianificazione del sito di Servizi di Dominio di Active Directory per Azure NetApp Files per i servizi di Dominio di Active Directory (AD DS) o Microsoft Entra Domain Services usati con Azure NetApp Files.

Prima di creare la connessione AD, vedere Modificare le connessioni di Active Directory per Azure NetApp Files per comprendere l'impatto delle modifiche apportate alle opzioni di configurazione della connessione di Active Directory dopo la creazione della connessione AD. Le modifiche apportate alle opzioni di configurazione della connessione ad Active Directory causano interruzioni dell'accesso client e alcune opzioni non possono essere modificate affatto.

  • È necessario creare un account Azure NetApp Files nell'area in cui distribuire i volumi di Azure NetApp Files.

  • Per impostazione predefinita, Azure NetApp Files consente una sola connessione di Active Directory (AD) per sottoscrizione.

    È possibile creare una connessione Active Directory per ogni account NetApp.

    Prima di eseguire la registrazione in questa funzionalità, controllare il campo Tipo di Active Directory nella pagina dell'account.

  • L'account amministratore di connessione di Azure NetApp Files AD deve avere le proprietà seguenti:

    • Deve essere un account utente di dominio Active Directory Domain Services nello stesso dominio in cui vengono creati gli account computer azure NetApp Files.
    • Deve avere l'autorizzazione per creare account computer (ad esempio, aggiunta a un dominio di Active Directory) nel percorso dell'unità organizzativa di Active Directory Domain Services specificato nell'opzione Percorso unità organizzativa della connessione ad Active Directory.
    • Non può essere un account del servizio gestito del gruppo.

  • L'account amministratore della connessione AD supporta i tipi di crittografia Kerberos AES-128 e Kerberos AES-256 per l'autenticazione con Active Directory Domain Services per la creazione di account computer di Azure NetApp Files , ad esempio le operazioni di aggiunta al dominio di Active Directory.

  • Per abilitare la crittografia AES nell'account amministratore di connessione di Azure NetApp Files AD, è necessario usare un account utente di dominio AD membro di uno dei gruppi di Active Directory Domain Services seguenti:

    • Domain Admins
    • Amministratori Enterprise
    • Amministratori
    • Account Operators
    • Microsoft Entra Domain Services Amministrazione istrators _ (solo Microsoft Entra Domain Services)_
    • In alternativa, è anche possibile usare un account utente di dominio Active Directory con msDS-SupportedEncryptionTypes autorizzazione di scrittura per l'account amministratore della connessione AD per impostare la proprietà tipo di crittografia Kerberos nell'account amministratore della connessione AD.

    Nota

    Quando si modifica l'impostazione per abilitare AES nell'account amministratore della connessione AD, è consigliabile usare un account utente con autorizzazione di scrittura per l'oggetto AD che non è l'amministratore di Azure NetApp Files AD. È possibile farlo con un altro account amministratore di dominio o delegando il controllo a un account. Per altre informazioni, vedere Delega dell'Amministrazione istration tramite oggetti ou.

    Se si imposta la crittografia Kerberos AES-128 e AES-256 nell'account amministratore della connessione AD, il client Windows negozia il livello di crittografia più elevato supportato da Active Directory Domain Services. Ad esempio, se sono supportati sia AES-128 che AES-256 e il client supporta AES-256, verrà usato AES-256.

  • Per abilitare il supporto della crittografia AES per l'account amministratore nella connessione AD, eseguire i comandi di PowerShell di Active Directory seguenti:

    Get-ADUser -Identity <ANF AD connection account username>
Set-ADUser -KerberosEncryptionType <encryption_type>

    KerberosEncryptionType è un parametro multivalore che supporta i valori AES-128 e AES-256.

    Per altre informazioni, vedere la documentazione di Set-ADUser.

  • Se è necessario abilitare e disabilitare determinati tipi di crittografia Kerberos per gli account computer Active Directory per gli host Windows aggiunti a un dominio usati con Azure NetApp Files, è necessario usare i Criteri Network Security: Configure Encryption types allowed for Kerberosdi gruppo .

    Non impostare la chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypesdel Registro di sistema. Questa operazione interromperà l'autenticazione Kerberos con Azure NetApp Files per l'host Windows in cui è stata impostata manualmente questa chiave del Registro di sistema.

    Nota

    L'impostazione predefinita dei criteri per Network Security: Configure Encryption types allowed for Kerberos è Not Defined. Quando questa impostazione di criterio è impostata su Not Defined, tutti i tipi di crittografia tranne DES saranno disponibili per la crittografia Kerberos. È possibile abilitare il supporto solo per determinati tipi di crittografia Kerberos , ad esempio AES128_HMAC_SHA1 o AES256_HMAC_SHA1. Tuttavia, i criteri predefiniti devono essere sufficienti nella maggior parte dei casi quando si abilita il supporto della crittografia AES con Azure NetApp Files.

    Per altre informazioni, vedere Sicurezza di rete: Configurare i tipi di crittografia consentiti per le configurazioni Kerberos o Windows per i tipi di crittografia supportati da Kerberos

  • Le query LDAP diventano effettive solo nel dominio specificato nelle connessioni di Active Directory (il campo Nome dominio DNS di Active Directory). Questo comportamento si applica ai volumi NFS, SMB e dual protocol.

  • Timeout delle query LDAP

    Per impostazione predefinita, le query LDAP eseguono il timeout se non possono essere completate in modo tempestivo. Se una query LDAP non riesce a causa di un timeout, la ricerca dell'utente e/o del gruppo avrà esito negativo e l'accesso al volume di Azure NetApp Files potrebbe essere negato, a seconda delle impostazioni di autorizzazione del volume.

    I timeout delle query possono verificarsi in ambienti LDAP di grandi dimensioni con molti oggetti utente e gruppo, su connessioni WAN lente e se un server LDAP viene sovrautilizzato con le richieste. L'impostazione di timeout di Azure NetApp Files per le query LDAP è impostata su 10 secondi. Valutare la possibilità di sfruttare le funzionalità DN utente e gruppo nel Connessione di Active Directory per il server LDAP per filtrare le ricerche in caso di problemi di timeout delle query LDAP.

Account NetApp e tipo di Active Directory

È possibile usare la pagina di panoramica dell'account NetApp per confermare il tipo di account Active Directory. Esistono tre valori per il tipo di Active Directory:

  • NA: account NetApp esistente che supporta una sola configurazione di AD per sottoscrizione e area. La configurazione di ACTIVE Directory non è condivisa con altri account NetApp nella sottoscrizione.
  • Multi AD: l'account NetApp supporta una configurazione di Active Directory in ogni account NetApp nella sottoscrizione. Ciò consente più di una connessione AD per ogni sottoscrizione quando si usano più account NetApp.
  • Active Directory condivisa: l'account NetApp supporta una sola configurazione di Active Directory per sottoscrizione e area, ma la configurazione viene condivisa tra gli account NetApp nella sottoscrizione e nell'area.

Per altre informazioni sulla relazione tra account NetApp e sottoscrizioni, vedere Archiviazione gerarchia di Azure NetApp Files.

Creare una connessione Active Directory

  1. Dall'account NetApp selezionare Connessioni Active Directory e quindi Aggiungi.

    Screenshot che mostra il menu Connessioni di Active Directory. Il pulsante join è evidenziato.

    Nota

    Azure NetApp Files supporta una sola connessione di Active Directory all'interno della stessa area e della stessa sottoscrizione.

  2. Nella finestra Aggiungi Active Directory specificare le informazioni seguenti in base ai servizi di dominio che si vuole usare:

    • DNS primario (obbligatorio)
      Questo è l'indirizzo IP del server DNS primario necessario per le operazioni di aggiunta al dominio active Directory, l'autenticazione SMB, Kerberos e LDAP.

    • DNS secondario
      Questo è l'indirizzo IP del server DNS secondario necessario per le operazioni di aggiunta al dominio active Directory, l'autenticazione SMB, Kerberos e le operazioni LDAP.

      Nota

      È consigliabile configurare un server DNS secondario. Vedere Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files. Assicurarsi che la configurazione del server DNS soddisfi i requisiti per Azure NetApp Files. In caso contrario, le operazioni del servizio Azure NetApp Files, l'autenticazione SMB, le operazioni Kerberos o LDAP potrebbero non riuscire.

      Se si utilizzaNo i servizi di dominio Microsoft Entra, utilizzare gli indirizzi IP dei controller di dominio di Microsoft Entra Domain Services rispettivamente per DNS primario e DNS secondario.

    • Nome di dominio DNS di Active Directory (obbligatorio)
      Si tratta del nome di dominio completo di Servizi di dominio Active Directory usato con Azure NetApp Files (ad esempio, contoso.com).

    • Nome sito DI ACTIVE Directory (obbligatorio)
      Si tratta del nome del sito di Active Directory Domain Services che Azure NetApp Files U edizione Standard S per l'individuazione del controller di dominio.

      Il nome del sito predefinito per Servizi di dominio Active Directory e Microsoft Entra Domain Services è Default-First-Site-Name. Se si desidera rinominare il nome del sito, seguire le convenzioni di denominazione per i nomi dei siti.

      Nota

      Vedere Informazioni sulle linee guida per la progettazione e la pianificazione del sito di Dominio di Active Directory Services per Azure NetApp Files. Assicurarsi che la progettazione e la configurazione del sito di Active Directory Domain Services soddisfino i requisiti per Azure NetApp Files. In caso contrario, le operazioni del servizio Azure NetApp Files, l'autenticazione SMB, le operazioni Kerberos o LDAP potrebbero non riuscire.

    • Prefisso del server SMB (account computer) (obbligatorio)
      Si tratta del prefisso di denominazione per i nuovi account computer creati in Servizi di dominio Active Directory per Azure NetApp Files SMB, doppio protocollo e volumi Kerberos NFSv4.1.

      Ad esempio, se lo standard di denominazione usato dall'organizzazione per i servizi file è NAS-01, NAS-02e così via, si userà NAS per il prefisso .

      Azure NetApp Files creerà account computer aggiuntivi in Servizi di dominio Active Directory in base alle esigenze.

      Importante

      La ridenominazione del prefisso del server SMB dopo la creazione della connessione Active Directory è un'operazione che comporta problemi. Sarà necessario rimontare le condivisioni SMB esistenti dopo aver rinominato il prefisso del server SMB.

    • Percorso unità organizzativa
      Si tratta del percorso LDAP per l'unità organizzativa (OU) in cui verranno creati gli account computer server SMB. ovvero OU=second level, OU=first level. Ad esempio, se si vuole usare un'unità organizzativa denominata creata ANF nella radice del dominio, il valore sarà OU=ANF.

      Se non viene specificato alcun valore, Azure NetApp Files userà il CN=Computers contenitore.

      Se si usa Azure NetApp Files con Microsoft Entra Domain Services, il percorso dell'unità organizzativa è OU=AADDC Computers

      Screenshot dei campi di input di Join Active Directory.

    • Crittografia AES
      Questa opzione abilita il supporto dell'autenticazione della crittografia AES per l'account amministratore della connessione AD.

      Screenshot del campo descrizione AES. Il campo è una casella di controllo.

      Per i requisiti, vedere Requisiti per le connessioni di Active Directory.

    • Firma LDAP

      Questa opzione abilita la firma LDAP. Questa funzionalità abilita la verifica dell'integrità per le associazioni LDAP SASL (Simple Authentication and Security Layer) da Azure NetApp Files e dai controller di dominio dei servizi di Dominio di Active Directory specificati dall'utente.

      Azure NetApp Files supporta l'associazione di canali LDAP se le opzioni di firma LDAP e LDAP su TLS sono abilitate nella Connessione di Active Directory. Per altre informazioni, vedere ADV190023 | Linee guida Microsoft per l'abilitazione dell'associazione di canali LDAP e della firma LDAP.

      Nota

      I record PTR DNS per gli account computer di Active Directory Domain Services devono essere creati nell'unità organizzativa di Active Directory Domain Services specificata nella connessione ad Azure NetApp Files AD per consentire il funzionamento della firma LDAP.

      Screenshot della casella di controllo Firma LDAP.

    • Consenti agli utenti NFS locali con LDAP Questa opzione consente agli utenti client NFS locali di accedere ai volumi NFS. L'impostazione di questa opzione disabilita i gruppi estesi per i volumi NFS, che limitano il numero di gruppi supportati per un utente a 16. Se abilitata, i gruppi oltre il limite di 16 gruppi non vengono rispettati nelle autorizzazioni di accesso. Per altre informazioni, vedere Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo.

    • LDAP su TLS

      Questa opzione abilita LDAP su TLS per la comunicazione sicura tra un volume di Azure NetApp Files e il server LDAP di Active Directory. È possibile abilitare LDAP su TLS per volumi NFS, SMB e dual protocol di Azure NetApp Files.

      Nota

      LDAP su TLS non deve essere abilitato se si usa Microsoft Entra Domain Services. Microsoft Entra Domain Services usa LD piattaforma di strumenti analitici (porta 636) per proteggere il traffico LDAP anziché LDAP su TLS (porta 389).

      Per altre informazioni, vedere Abilitare l'autenticazione LDAP di Dominio di Active Directory Services (AD DS) per i volumi NFS.

    • Certificato CA radice del server

      Questa opzione carica il certificato CA usato con LDAP tramite TLS.

      Per altre informazioni, vedere Abilitare l'autenticazione LDAP di Dominio di Active Directory Services (AD DS) per i volumi NFS. 

    • Ambito di ricerca LDAP, DN utente, DN gruppo e filtro appartenenza a gruppi

      L'opzione ambito di ricerca LDAP ottimizza le query LDAP di archiviazione di Azure NetApp Files da usare con topologie di Active Directory Domain Services di grandi dimensioni e LDAP con gruppi estesi o stile di sicurezza Unix con un volume a doppio protocollo di Azure NetApp Files.

      Le opzioni DN utente e DN gruppo consentono di impostare la base di ricerca in ACTIVE Directory Domain Services LDAP. Queste opzioni limitano le aree di ricerca per le query LDAP, riducendo il tempo di ricerca e riducendo i timeout delle query LDAP.

      L'opzione Filtro appartenenza gruppo consente di creare un filtro di ricerca personalizzato per gli utenti membri di specifici gruppi di Active Directory Domain Services.

      Screenshot del campo ambito di ricerca LDAP, che mostra una casella di controllo.

      Per informazioni su queste opzioni, vedere Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso ai volumi NFS.

    • Server preferito per il client LDAP

      L'opzione Server preferito per il client LDAP consente di inviare gli indirizzi IP di un massimo di due server AD come elenco delimitato da virgole. Anziché contattare in sequenza tutti i servizi AD individuati per un dominio, il client LDAP contatterà prima i server specificati.

    • Connessioni SMB crittografate al controller di dominio

      Le connessioni SMB crittografate al controller di dominio specificano se la crittografia deve essere usata per la comunicazione tra un server SMB e un controller di dominio. Se abilitata, solo SMB3 verrà usato per le connessioni del controller di dominio crittografate.

      Questa funzionalità è attualmente disponibile solo in anteprima. Se questa è la prima volta che si usano connessioni SMB crittografate al controller di dominio, è necessario registrarla:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      Controllare lo stato della registrazione delle funzionalità:

      Nota

      RegistrationState può trovarsi nello Registering stato per un massimo di 60 minuti prima di passare aRegistered . Attendere fino a quando lo stato non viene Registered eseguito prima di continuare.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName  ANFEncryptedSMBConnectionsToDC

      È anche possibile usare iaz feature register comandi dell'interfaccia della riga di comando di Azure e az feature show per registrare la funzionalità e visualizzare lo stato di registrazione.

    • Utenti dei criteri di backup Questa opzione concede privilegi di sicurezza aggiuntivi a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi di backup elevati per supportare i flussi di lavoro di backup, ripristino e migrazione in Azure NetApp Files. Gli account utente o i gruppi di Active Directory Domain Services specificati avranno autorizzazioni NTFS elevate a livello di file o cartella.

      Screenshot del campo Utenti criteri di backup che mostra un campo di input di testo vuoto.

      Quando si usa l'impostazione Utenti dei criteri di backup, si applicano i privilegi seguenti:

      Privilegio Descrizione
      SeBackupPrivilege Eseguire il backup di file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
      SeRestorePrivilege Ripristinare file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
      Impostare qualsiasi SID utente o gruppo valido come proprietario del file.
      SeChangeNotifyPrivilege Ignorare il controllo dell'attraversamento.
      Gli utenti con questo privilegio non devono avere le autorizzazioni attraversate (x) per attraversare cartelle o collegamenti simbolici.

    • Utenti con privilegi di sicurezza
      Questa opzione concede privilegi di sicurezza (SeSecurityPrivilege) a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi elevati per accedere ai volumi di Azure NetApp Files. Gli utenti o i gruppi di Servizi di dominio Active Directory specificati potranno eseguire determinate azioni nelle condivisioni SMB che richiedono privilegi di sicurezza non assegnati per impostazione predefinita agli utenti di dominio.

      Screenshot che mostra la casella Utenti con privilegi di sicurezza della finestra Connessioni di Active Directory.

      Quando si usa l'impostazione Utenti con privilegi di sicurezza, si applica il privilegio seguente:

      Privilegio Descrizione
      SeSecurityPrivilege Gestire le operazioni di log.

      Questa funzionalità viene usata per l'installazione di SQL Server in determinati scenari in cui a un account di dominio di Active Directory Domain Services non amministratore è necessario concedere temporaneamente privilegi di sicurezza elevati.

      Nota

      L'uso della funzionalità Utenti con privilegi di sicurezza si basa sulla funzionalità Condivisioni di disponibilità continua SMB. La disponibilità continua SMB non è supportata nelle applicazioni personalizzate. È supportato solo per i carichi di lavoro che usano Citrix App Layering, i contenitori del profilo utente FSLogix e Microsoft SQL Server (non Linux SQL Server).

      Importante

      Per usare la funzionalità Utenti con privilegi di sicurezza è necessario inviare una richiesta di elenco di attesa tramite la pagina di invio dell'elenco di attesa anteprima pubblica di Condivisioni di disponibilità continua di Azure NetApp Files SMB. Attendere un messaggio di posta elettronica di conferma ufficiale dal team di Azure NetApp Files prima di usare questa funzionalità.
      Questa funzionalità è facoltativa e supportata solo con SQL Server. L'account di dominio di Active Directory Domain Services usato per l'installazione di SQL Server deve esistere già prima di aggiungerlo all'opzione Utenti con privilegi di sicurezza. Quando si aggiunge l'account del programma di installazione di SQL Server all'opzione Utenti con privilegi di sicurezza, il servizio Azure NetApp Files potrebbe convalidare l'account contattando un controller di dominio di Active Directory Domain Services. Questa azione potrebbe non riuscire se Azure NetApp Files non può contattare il controller di dominio di Active Directory Domain Services.

      Per altre informazioni su SeSecurityPrivilege e SQL Server, vedere Installazione di SQL Server non riuscita se l'account di installazione non dispone di determinati diritti utente.

    • utenti con privilegi Amministrazione istrators

      Questa opzione concede privilegi di sicurezza aggiuntivi a utenti o gruppi di dominio Active Directory Domain Services che richiedono privilegi elevati per accedere ai volumi di Azure NetApp Files. Gli account specificati avranno autorizzazioni elevate a livello di file o cartella.

      Nota

      Gli amministratori di dominio vengono aggiunti automaticamente al gruppo di utenti con privilegi Amministrazione istrators.

      Screenshot che mostra la casella Amministrazione istrators della finestra Connessioni Active Directory.

      Nota

      Questo privilegio è utile per le migrazioni dei dati.

      I privilegi seguenti si applicano quando si usa l'impostazione utenti con privilegi di Amministrazione istrators:

      Privilegio Descrizione
      SeBackupPrivilege Eseguire il backup di file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
      SeRestorePrivilege Ripristinare file e directory, sovrascrivendo eventuali elenchi di controllo di accesso.
      Impostare qualsiasi SID utente o gruppo valido come proprietario del file.
      SeChangeNotifyPrivilege Ignorare il controllo dell'attraversamento.
      Gli utenti con questo privilegio non devono avere le autorizzazioni di attraversamento (x) per attraversare cartelle o collegamenti simbolici.
      SeTakeOwnershipPrivilege Acquisire la proprietà di file o di altri oggetti.
      SeSecurityPrivilege Gestire le operazioni di log.
      SeChangeNotifyPrivilege Ignorare il controllo dell'attraversamento.
      Gli utenti con questo privilegio non devono avere le autorizzazioni di attraversamento (x) per attraversare cartelle o collegamenti simbolici.

    • Credenziali, inclusi nome utente e password

      Screenshot che mostra i campi delle credenziali di Active Directory che mostrano i campi nome utente, password e conferma password.

      Importante

      Anche se Active Directory supporta password di 256 caratteri, le password di Active Directory con Azure NetApp Files non possono superare i 64 caratteri.

  3. Seleziona Partecipa.

    Viene visualizzata la connessione Active Directory creata.

    Screenshot del menu Connessioni di Active Directory che mostra una connessione creata correttamente.

Creare una connessione Active Directory per ogni account NetApp (anteprima)

Con questa funzionalità, ogni account NetApp all'interno di una sottoscrizione di Azure può avere una propria connessione AD. Dopo la configurazione, la connessione AD dell'account NetApp viene usata quando si crea un volume SMB, un volume Kerberos NFSv4.1 o un volume a doppio protocollo. Ciò significa che Azure NetApp Files supporta più di una connessione AD per ogni sottoscrizione di Azure quando vengono usati più account NetApp.

Nota

Se una sottoscrizione ha sia questa che la funzionalità Active Directory condivisa abilitata, gli account esistenti condividono ancora la configurazione di AD. Tutti i nuovi account NetApp creati nella sottoscrizione possono usare le proprie configurazioni di Active Directory. È possibile confermare la configurazione nella pagina di panoramica dell'account nel campo Tipo di Active Directory .

Considerazioni

  • L'ambito di ogni configurazione di Active Directory è limitato all'account NetApp padre.

Registrare la funzionalità

La funzionalità per creare una connessione AD per ogni account NetApp è attualmente in anteprima. È necessario registrare la funzionalità prima di usarla per la prima volta. Dopo la registrazione, la funzionalità è abilitata e funziona in background.

  1. Registrare la funzionalità :

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

  2. Controllare lo stato della registrazione delle funzionalità:

    Nota

    RegistrationState può trovarsi nello Registering stato per un massimo di 60 minuti prima di passare aRegistered . Attendere che lo stato sia Registrato prima di continuare.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMultipleActiveDirectory

È anche possibile usare iaz feature register comandi dell'interfaccia della riga di comando di Azure e az feature show per registrare la funzionalità e visualizzare lo stato di registrazione.

Eseguire il mapping di più account NetApp nella stessa sottoscrizione e nella stessa area a una connessione ad Active Directory (anteprima)

La funzionalità Active Directory condivisa consente a tutti gli account NetApp di condividere una connessione ad Active Directory creata da uno degli account NetApp appartenenti alla stessa sottoscrizione e alla stessa area. Ad esempio, usando questa funzionalità, tutti gli account NetApp nella stessa sottoscrizione e area possono usare la configurazione di Active Directory comune per creare un volume SMB, un volume Kerberos NFSv4.1 o un volume a doppio protocollo. Quando si usa questa funzionalità, la connessione AD è visibile in tutti gli account NetApp che si trovano nella stessa sottoscrizione e nella stessa area.

Con l'introduzione della funzionalità per creare una connessione AD per ogni account NetApp, la nuova registrazione delle funzionalità per la funzionalità Di Active Directory condivisa non viene accettata.

Nota

È possibile registrarsi per usare una connessione AD per ogni account NetApp se si è già registrati nell'anteprima per Active Directory condivisa. Se attualmente si soddisfano il massimo di 10 account NetApp per ogni area di Azure per sottoscrizione, è necessario avviare una richiesta di supporto per aumentare il limite. È possibile confermare la configurazione nella pagina di panoramica dell'account nel campo Tipo di Active Directory .

Reimpostare la password dell'account computer di Active Directory

Se si reimposta accidentalmente la password dell'account del computer ACTIVE Directory nel server AD o il server AD non è raggiungibile, è possibile reimpostare in modo sicuro la password dell'account computer per mantenere la connettività ai volumi. Una reimpostazione influisce su tutti i volumi nel server SMB.

Registrare la funzionalità

La funzionalità di reimpostazione della password dell'account computer di Active Directory è attualmente in anteprima pubblica. Se si usa questa funzionalità per la prima volta, è necessario registrare prima la funzionalità.

  1. Registrare la funzionalità di reimpostazione della password dell'account computer di Active Directory:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume
  1. Verificare lo stato della registrazione della funzionalità. RegistrationState può trovarsi nello Registering stato per un massimo di 60 minuti prima di passare aRegistered . Attendere fino a quando lo stato non viene Registered eseguito prima di continuare.
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFResetADAccountForVolume

È anche possibile usare iaz feature register comandi dell'interfaccia della riga di comando di Azure e az feature show per registrare la funzionalità e visualizzare lo stato di registrazione.

Passaggi

  1. Passare al menu Panoramica del volume. Selezionare Reimposta account Active Directory. Interfaccia Panoramica del volume di Azure con il pulsante Reimposta account Active Directory evidenziato. In alternativa, passare al menu Volumi . Identificare il volume per il quale si vuole reimpostare l'account di Active Directory e selezionare i tre puntini (...) alla fine della riga. Selezionare Reimposta account Active Directory. Elenco di volumi di Azure con il pulsante Reimposta account Active Directory evidenziato.
  2. Verrà visualizzato un messaggio di avviso che spiega le implicazioni di questa azione. Digitare nella casella di testo per continuare. Reimpostare il messaggio di avviso dell'account Active Directory che legge: Avviso! Questa azione reimposta l'account di Active Directory per il volume. Questa azione è destinata agli utenti a riottenere l'accesso ai volumi a loro disposizione e può causare l'impossibilità di eseguire i dati quando non sono necessari.

Passaggi successivi