Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Wanneer u uw opslagaccount lid maakt van de Active Directory Domain Services (AD DS), creëert u een AD-principal, een computeraccount of serviceaccount, met een wachtwoord. Het wachtwoord van de AD-principal is een van de Kerberos-sleutels van het opslagaccount. Afhankelijk van het wachtwoordbeleid van de organisatie-eenheid van de AD-principal, moet u het wachtwoord van de AD-principal periodiek roteren om verificatieproblemen te voorkomen. Als u het wachtwoord niet wijzigt voordat het verloopt, kan dit leiden tot verlies van Kerberos-verificatie voor uw Azure-bestandsshares. Sommige AD-omgevingen kunnen ook AD-principals met verlopen wachtwoorden verwijderen met behulp van een geautomatiseerd opschoningsscript.
In plaats van het wachtwoord periodiek te roteren, kunt u ook de AD-principal die het opslagaccount vertegenwoordigt, in een organisatie-eenheid plaatsen waarvoor geen wachtwoordrotatie is vereist.
Er zijn twee opties voor het activeren van wachtwoordrotatie. U kunt de AzFilesHybrid module of Active Directory PowerShell gebruiken. Gebruik één methode, niet beide.
Van toepassing op
| Beheermodel | Factureringsmodel | Mediakader | Redundantie | KMO | Network File System (NFS) |
|---|---|---|---|---|---|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v2 | HDD (standaard) | GeoZone (GZRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v1 | SSD (van hoge kwaliteit) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Geconfigureerd v1 | SSD (van hoge kwaliteit) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Betalen per gebruik | HDD (standaard) | Lokaal (LRS) |
|
|
| Microsoft.Opslag | Betalen per gebruik | HDD (standaard) | Zone (ZRS) |
|
|
| Microsoft.Opslag | Betalen per gebruik | HDD (standaard) | Aardrijkskunde (GRS) |
|
|
| Microsoft.Opslag | Betalen per gebruik | HDD (standaard) | GeoZone (GZRS) |
|
|
Optie 1: AzFilesHybrid-module gebruiken
Als u het wachtwoord van de AD-principal die het opslagaccount vertegenwoordigt, opnieuw wilt genereren en roteren, gebruikt u de Update-AzStorageAccountADObjectPassword cmdlet uit de AzFilesHybrid-module. Als u wilt uitvoeren, moet u het volgende doen Update-AzStorageAccountADObjectPassword:
- Voer de cmdlet uit vanaf een client die lid is van een domein.
- De eigenaarsmachtiging voor het opslagaccount hebben.
- Heb AD DS-machtigingen om het wachtwoord te wijzigen van de AD-principal die het opslagaccount vertegenwoordigt.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Nadat u naar kerb2 hebt geroteerd, raden we aan enkele uren te wachten en de Update-AzStorageAccountADObjectPassword cmdlet opnieuw te gebruiken om een hergeneratie uit te voeren en terug te roteren naar kerb1, zodat beide Kerberos-sleutels opnieuw worden gegenereerd.
Optie 2: Active Directory PowerShell gebruiken
Als u de AzFilesHybrid module niet wilt downloaden, kunt u Active Directory PowerShell gebruiken.
Belangrijk
De Windows Server Active Directory PowerShell-cmdlets in deze sectie moeten worden uitgevoerd in Windows PowerShell 5.1 met verhoogde bevoegdheden.
Vervang <domain-object-identity> in het volgende script door de juiste waarde voor uw omgeving:
$KeyName = "kerb1" # Could be either the first or second Kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Testen of het wachtwoord van het AD DS-account overeenkomt met een Kerberos-sleutel
Nadat u het wachtwoord van het AD DS-account hebt bijgewerkt, kunt u dit testen met behulp van de volgende PowerShell-opdracht.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose