Azure NetApp Files에 대한 Active Directory 연결 수정
Azure NetApp Files에서 Active Directory 연결을 만든 후에는 수정할 수 있습니다. Active Directory 연결을 수정할 때 모든 구성을 수정할 수 있는 것은 아닙니다.
자세한 내용은 Azure NetApp Files에 대한 Active Directory Domain Services 사이트 디자인 및 계획에 대한 지침 이해를 참조하세요.
Active Directory 연결 수정
Active Directory 연결을 선택합니다. 그런 다음 편집을 선택하여 기존 AD 연결을 편집합니다.
표시되는 Active Directory 편집 창에서 필요에 따라 Active Directory 연결 구성을 편집합니다. 수정할 수 있는 필드에 대한 설명은 Active Directory 연결 옵션을 참조하세요.
Active Directory 연결 옵션
| 필드 이름 | 정의 | 수정할 수 있나요? | 고려 사항 및 영향 | 효과 |
|---|---|---|---|---|
| 기본 DNS | Active Directory 도메인의 기본 DNS 서버 IP 주소입니다. | 예 | None* | 새 DNS IP는 DNS 확인에 사용됩니다. |
| 보조 DNS | Active Directory 도메인에 대한 보조 DNS 서버 IP 주소입니다. | 예 | None* | 기본 DNS가 실패할 경우 새 DNS IP가 DNS 확인에 사용됩니다. |
| AD DNS 도메인 이름 | 이는 가입하려는 Active Directory Domain Services의 도메인 이름입니다. | 아니요 | 없음 | 해당 없음 |
| AD 사이트 이름 | 도메인 컨트롤러 검색이 제한되는 사이트입니다. | 예 | Active Directory 사이트 및 서비스의 사이트 이름과 일치해야 합니다. 각주를 참조하세요.* | 도메인 검색은 새 사이트 이름으로 제한됩니다. 지정하지 않으면 "Default-First-Site-Name"이 사용됩니다. |
| SMB 서버(컴퓨터 계정) 접두사 | Azure NetApp Files에서 새 계정을 만드는 데 사용할 Active Directory의 컴퓨터 계정에 대한 명명 접두사입니다. 각주를 참조하세요.* | 예 | SMB 공유 및 NFS Kerberos 볼륨에 대한 탑재가 변경되었으므로 기존 볼륨을 다시 탑재해야 합니다.* | Active Directory 연결을 만든 후 SMB 서버 접두사의 이름을 바꾸면 작업이 중단됩니다. 탑재 경로가 변경되므로 SMB 서버 접두사의 이름을 바꾼 후 기존 SMB 공유 및 NFS Kerberos 볼륨을 다시 탑재해야 합니다. |
| 조직 구성 단위 경로 | SMB 서버 컴퓨터 계정이 만들어질 OU(조직 구성 단위)의 LDAP 경로입니다. OU=second level, OU=first level |
아니요 | Microsoft Entra Domain Services와 함께 Azure NetApp Files를 사용하는 경우 NetApp 계정에 대해 Active Directory를 구성할 때 조직 구성 경로는 OU=AADDC Computers입니다. |
컴퓨터 계정은 지정된 OU 아래에 배치됩니다. 지정하지 않으면 기본적으로 OU=Computers의 기본값이 사용됩니다. |
| AES 암호화 | Kerberos 기반 통신으로 가장 강력한 보안을 활용하기 위해 SMB 서버에서 AES-256 및 AES-128 암호화를 사용하도록 설정할 수 있습니다. | 예 | AES 암호화를 사용하도록 설정하는 경우 Active Directory를 조인하는 데 사용되는 사용자 자격 증명에 Active Directory에 대해 사용하도록 설정된 기능과 일치하는 가장 높은 계정 옵션을 사용해야 합니다. 예를 들어, Active Directory에 AES-128만 사용하도록 설정되어 있는 경우 사용자 자격 증명에 대해 AES-128 계정 옵션을 사용하도록 설정해야 합니다. Active Directory에 AES-256 기능이 있는 경우 AES-256 계정 옵션을 사용하도록 설정해야 합니다(AES-128도 지원). Active Directory에 Kerberos 암호화 기능이 없을 경우 Azure NetApp Files는 기본적으로 DES를 사용합니다.* | Active Directory 인증을 위해 AES 암호화 사용 |
| LDAP 서명 | 이 기능은 Azure NetApp Files 서비스와 사용자 지정 Active Directory Domain Services 도메인 컨트롤러 간의 보안 LDAP 조회를 지원합니다. | 예 | 로그인을 요구하는 LDAP 서명 그룹 정책* | 이 옵션은 LDAP 클라이언트와 Active Directory 도메인 컨트롤러 간의 통신 보안을 강화하는 방법을 제공합니다. |
| LDAP를 사용하는 로컬 NFS 사용자 허용 | 사용하도록 설정된 경우 이 옵션은 로컬 사용자 및 LDAP 사용자에 대한 액세스를 관리합니다. | 예 | 이 옵션은 로컬 사용자에게 액세스를 허용합니다. 권장되지 않으며 사용하도록 설정된 경우 제한된 시간 동안만 사용하고 나중에는 사용하지 않도록 설정해야 합니다. | 사용하도록 설정된 경우 이 옵션은 로컬 사용자 및 LDAP 사용자에 대한 액세스를 허용합니다. 구성에 LDAP 사용자만 액세스해야 하는 경우 이 옵션을 사용하지 않도록 설정해야 합니다. |
| TLS를 통한 LDAP | 사용하도록 설정된 경우 TLS를 통한 LDAP는 Active Directory에 대한 보안 LDAP 통신을 지원하도록 구성됩니다. | 예 | 없음 | TLS를 통한 LDAP를 사용하도록 설정했고 서버 루트 CA 인증서가 이미 데이터베이스에 있는 경우 LDAP 트래픽은 CA 인증서를 사용하여 보호됩니다. 새 인증서가 전달되면 해당 인증서가 설치됩니다. |
| 서버 루트 CA 인증서 | SSL/TLS를 통한 LDAP가 사용하도록 설정된 경우 LDAP 클라이언트는 base64로 인코딩된 Active Directory 인증서 서비스의 자체 서명된 루트 CA 인증서를 가지고 있어야 합니다. | 예 | None* | LDAP over TLS가 사용하도록 설정된 경우에만 새 인증서로 보호되는 LDAP 트래픽 |
| LDAP 검색 범위 | Active Directory 연결 만들기 및 관리를 참조하세요. | 예 | - | - |
| LDAP 클라이언트에 대한 기본 서버 | LDAP에서 먼저 연결을 시도할 최대 2개의 AD 서버를 지정할 수 있습니다. Active Directory Domain Services 사이트 디자인 및 계획에 대한 지침 이해를 참조하세요. | 예 | None* | LDAP 클라이언트가 AD 서버에 연결하려고 할 때 시간 초과가 발생할 수 있습니다. |
| 도메인 컨트롤러에 암호화된 SMB 연결 | 이 옵션은 SMB 서버와 도메인 컨트롤러 간의 통신에 암호화를 사용해야 하는지 여부를 지정합니다. 이 기능 사용에 대한 자세한 내용은 Active Directory 연결 만들기를 참조하세요. | 예 | 도메인 컨트롤러가 SMB3를 지원하지 않는 경우 SMB, Kerberos 및 LDAP 지원 볼륨 만들기를 사용할 수 없습니다. | 암호화된 도메인 컨트롤러 연결에는 SMB3만 사용됩니다. |
| 백업 정책 사용자 | Azure NetApp Files에 사용하기 위해 만든 컴퓨터 계정에 대한 높은 권한이 필요한 추가 계정을 포함할 수 있습니다. 자세한 내용은 Active Directory 연결 만들기 및 관리를 참조하세요. | 예 | None* | 지정된 계정은 파일 또는 폴더 수준에서 NTFS 권한을 변경할 수 있습니다. |
| 관리자 | 볼륨에 대한 관리자 권한이 부여되는 사용자 또는 그룹을 지정합니다. | 예 | 없음 | 사용자 계정은 관리자 권한을 받습니다. |
| 사용자 이름 | Active Directory 도메인 관리자의 사용자 이름 | 예 | None* | DC에 문의하기 위한 자격 증명 변경 |
| 암호 | Active Directory 도메인 관리자의 암호 | 예 | None* 암호는 64자를 초과할 수 없습니다. |
DC에 문의하기 위한 자격 증명 변경 |
| Kerberos 영역: AD 서버 이름 | Active Directory 컴퓨터의 이름. 이 옵션은 Kerberos 볼륨을 만들 때만 사용됩니다. | 예 | None* | |
| Kerberos 영역: KDC IP | KDC(Kerberos Distribution Center) 서버의 IP 주소를 지정합니다. Azure NetApp Files의 KDC는 Active Directory 서버. | 예 | 없음 | 새 KDC IP 주소가 사용됩니다. |
| 지역 | Active Directory 자격 증명이 연결된 지역 | 아니요 | 없음 | 해당 없음 |
| 사용자 DN | 사용자 조회를 위한 기본 DN을 재정의하는 사용자 도메인 이름 중첩된 사용자 DN은 OU=subdirectory, OU=directory, DC=domain, DC=com 형식으로 지정할 수 있습니다. |
예 | None* | 사용자 검색 범위는 기본 DN이 아닌 사용자 DN으로 제한됩니다. |
| 그룹 DN | 그룹 도메인 이름. groupDN은 그룹 조회를 위한 기본 DN을 재정의합니다. 중첩된 groupDN은 OU=subdirectory, OU=directory, DC=domain, DC=com 형식으로 지정할 수 있습니다. |
예 | None* | 그룹 검색 범위는 기본 DN이 아닌 그룹 DN으로 제한됩니다. |
| 그룹 멤버십 필터 | LDAP 서버에서 그룹 멤버 자격을 조회할 때 사용할 사용자 지정 LDAP 검색 필터입니다. groupMembershipFilter는 (gidNumber=*) 형식으로 지정할 수 있습니다. |
예 | None* | LDAP 서버에서 사용자의 그룹 멤버 자격을 조회하는 동안 그룹 멤버 자격 필터가 사용됩니다. |
| 보안 권한 사용자 | Azure NetApp Files 볼륨에 액세스하기 위해 상승된 권한이 필요한 사용자에게 보안 권한(SeSecurityPrivilege)을 부여할 수 있습니다. 지정된 사용자 계정은 기본적으로 도메인 사용자에게 할당되지 않은 보안 권한이 필요한 Azure NetApp Files SMB 공유에서 특정 작업을 수행할 수 있습니다. 자세한 내용은 Active Directory 연결 만들기 및 관리를 참조하세요. |
예 | 이 기능을 사용하는 것은 선택 사항이며 SQL Server에 대해서만 지원됩니다. SQL Server를 설치하는 데 사용되는 도메인 계정을 이미 존재해야만 보안 권한 사용자 필드에 추가할 수 있습니다. SQL Server 설치 관리자의 계정을 보안 권한 사용자에게 추가하면 Azure NetApp Files 서비스에서 도메인 컨트롤러에 연결하여 계정의 유효성을 검사할 수 있습니다. 도메인 컨트롤러에 연결할 수 없는 경우 명령이 실패할 수 있습니다. SeSecurityPrivilege 및 SQL Server에 대한 자세한 내용은 설치 계정에 특정 사용자 권한이 없는 경우 SQL Server 설치 실패를 참조하세요. |
비관리자 계정이 AND 볼륨 위에서 SQL 서버를 사용할 수 있습니다. |
*수정 사항이 올바르게 입력된 경우에만 수정된 항목에 영향을 미치지 않습니다. 데이터를 잘못 입력하면 사용자와 애플리케이션이 액세스할 수 없게 됩니다.