Data Domain: Active Directory-Benutzerhandbuch

Summary: Dieses Handbuch basiert auf den Schritten für den DDOS-Code 7.9.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Die Data Domain- und PowerProtect-Betriebsumgebung bietet eine sichere Administration entweder über den DD System Manager via HTTPS oder SSH oder die CLI. Beide Methoden ermöglichen lokal definierte Nutzer, NIS-Nutzer (Network Information Service), LDAP-Nutzer (Lightweight Directory Access Protocol), AD-Domänen (Microsoft Active Directory) und Single Sign-On (SSO).

Data Domain- und PowerProtect-Systeme können die Microsoft Active Directory-Passthrough-Authentifizierung für die Nutzer oder Server verwenden. AdministratorInnen können bestimmten Domänen und Nutzergruppen den Zugriff auf Dateien ermöglichen, die im System gespeichert sind. Es wird empfohlen, Kerberos zu konfigurieren. Außerdem unterstützen die Systeme die LAN-Manager NTLMv1 und NTLMv2 von Microsoft Windows NT. NTLMv2 ist sicherer und soll NTLMv1 ersetzen.

Anzeigen von Active Directory- und Kerberos-Informationen

Die Active Directory/Kerberos-Konfiguration bestimmt die Methoden, die CIFS- und NFS-Clients zur Authentifizierung verwenden.
Im Bereich Active Directory/Kerberos Authentication wird diese Konfiguration angezeigt.

Schritte:

  1. Wählen Sie Administration >Access>Authentication aus.
  2. Erweitern Sie den Bereich Active Directory/Kerberos Authentication.

Konfigurieren der Active Directory- und Kerberos-Authentifizierung

Durch Konfigurieren der Active Directory-Authentifizierung wird das Schutzsystem zu einem Teil eines Windows Active Directory-Bereichs.
CIFS-Clients und NFS-Clients verwenden Kerberos-Authentifizierung.

Schritte:

  1. Wählen Sie Administration > Zugriff > Authentifizierung aus. Die Ansicht Authentifizierung wird angezeigt.
  2. Erweitern Sie den Bereich Active Directory/Kerberos Authentication .
  3. Klicken Sie auf Konfigurieren neben Modus , um den Konfigurationsassistenten zu starten. Das Dialogfeld Active Directory/Kerberos Authentication wird angezeigt.
  4. Wählen Sie Windows/Active Directory aus und klicken Sie auf Weiter.
  5. Geben Sie den vollständigen Bereichsnamen für das System ein (Beispiel: domain1.local), den Nutzernamen und das Kennwort für das System.
  6. Klicken Sie auf Weiter.
Hinweis: Verwenden Sie den vollständigen Bereichsnamen. Stellen Sie sicher, dass der/die NutzerIn über ausreichende Berechtigungen verfügt, um das System zur Domäne hinzuzufügen. Der Nutzername und das Kennwort müssen mit den Microsoft-Anforderungen für die Active Directory Domain kompatibel sein. Diesem Nutzer muss auch die Berechtigung zum Erstellen von Konten in dieser Domain zugewiesen werden.
 
  1. Wählen Sie den standardmäßigen CIFS-Servernamen aus oder wählen Sie Manuell aus und geben Sie einen CIFS-Servernamen ein.
  2. Um Domain Controller auszuwählen, wählen Sie Automatically Assign aus, oder wählen Sie Manual aus und geben Sie bis zu drei Domain Controller-Namen ein. Geben Sie vollständig qualifizierte Domainnamen, Hostnamen oder IP-Adressen (IPv4 oder IPv6) ein.
  3. Um eine Organisationseinheit auszuwählen, wählen Sie Use Default Computers aus. Wählen Sie alternativ Manual aus und geben Sie einen Namen für die Organisationseinheit ein.
Hinweis: Das Konto wird in die neue Organisationseinheit verschoben.
 
  1. Klicken Sie auf Weiter. Die Seite Summary für die Konfiguration wird angezeigt.
  2. Klicken Sie auf Fertig stellen. Das System zeigt die Konfigurationsinformationen in der Authentifizierungsansicht an.
  3. Klicken Sie rechts neben Active Directory-Administratorzugriff auf Aktivieren , um den Administratorzugriff zu aktivieren.

Auswahl des Authentifizierungsmodus

Die Auswahl des Authentifizierungsmodus bestimmt, wie sich CIFS- und NFS-Clients mithilfe unterstützter Kombinationen von Active Directory-, Arbeitsgruppen- und Kerberos-Authentifizierung authentifizieren.
Zu dieser Aufgabe unterstützt DDOS die folgenden Authentifizierungsoptionen.

  • Arbeitsunfähig: Die Kerberos-Authentifizierung ist für CIFS- und NFS-Clients deaktiviert. CIFS-Clients verwenden die Arbeitsgruppenauthentifizierung.
  • Windows/Active Directory: Die Kerberos-Authentifizierung ist für CIFS- und NFS-Clients aktiviert. CIFS-Clients verwenden Active Directory-Authentifizierung.
  • UNIX: Die Kerberos-Authentifizierung ist nur für NFS-Clients aktiviert. CIFS-Clients verwenden die Arbeitsgruppenauthentifizierung.

Verwalten von Administratorgruppen für Active Directory

Verwenden Sie den Bereich "Active Directory/Kerberos Authentication", um Active Directory (Windows)-Gruppen zu erstellen, zu ändern und zu löschen und diesen Gruppen Managementrollen (admin, backup-operator usw.) zuzuweisen.

Wählen Sie zur Vorbereitung für die Verwaltung von Gruppen Administration>Access>Authentication aus, erweitern Sie den Bereich Active Directory/Kerberos Authentication und klicken Sie auf die Schaltfläche Active Directory Administrative Access Enable .

Erstellen von Administratorgruppen für Active Directory

Erstellen Sie eine Administratorgruppe, um allen Nutzern, die in einer Active Directory-Gruppe konfiguriert sind, eine Verwaltungsrolle zuzuweisen.
Voraussetzungen: Aktivieren Sie den Active Directory Administrative Access im Bereich Active Directory/Kerberos Authentication auf der Seite Administration >Access >Authentication .

Schritte:

  1. Klicken Sie auf Erstellen.
  2. Geben Sie die Domain und den Gruppennamen durch einen umgekehrten Schrägstrich getrennt ein.
Zum Beispiel: domainname\groupname
  1. Wählen Sie die Managementrolle für die Gruppe aus dem Drop-down-Menü aus.
  2. Klicken Sie auf OK.

Ändern von Administratorgruppen für Active Directory

Ändern Sie eine administrative Gruppe, wenn Sie den administrativen Domainnamen oder Gruppennamen ändern möchten, der für eine Active Directory-Gruppe konfiguriert ist.
Voraussetzungen: Aktivieren Sie den Active Directory Administrative Access im Bereich Active Directory/Kerberos Authentication auf der Seite Administration >Access >Authentication .

Schritte:

  1. Wählen Sie eine Gruppe aus, die unter der Überschrift Active Directory-Administratorzugriff geändert werden soll.
  2. Klicken Sie auf Modify
  3. Ändern Sie den Domain- und Gruppennamen und verwenden Sie einen umgekehrten Schrägstrich "\", um sie voneinander zu trennen. Zum Beispiel: domainname\groupname

Löschen von Administratorgruppen für Active Directory

Löschen Sie eine Administratorgruppe, um den Systemzugriff für alle Nutzer zu beenden, die in einer Active Directory-Gruppe konfiguriert sind.
Voraussetzungen: Aktivieren Sie den Active Directory Administrative Access im Bereich Active Directory/Kerberos Authentication auf der Seite Administration >Access>Authentication .

Schritte:

  1. Wählen Sie unter der Überschrift Active Directory Administrative Access eine zu löschende Gruppe aus.
  2. Klicken Sie auf Löschen.

Systemuhr

Bei Verwendung des Active Directory-Modus für den CIFS-Zugriff darf sich die Systemuhrzeit um nicht mehr als fünf Minuten von der Uhrzeit des Domain-Controllers unterscheiden.
Wenn die Active Directory-Authentifizierung konfiguriert ist, synchronisiert das System regelmäßig die Zeit mit dem Windows Domain Controller. 
Damit der Domänencontroller die Uhrzeit von einer zuverlässigen Zeitquelle erhält, lesen Sie daher die Microsoft-Dokumentation für Ihre Windows-Betriebssystemversion, um den Domänencontroller mit einer Zeitquelle zu konfigurieren.

 
VORSICHT: Wenn das System für die Active Directory-Authentifizierung konfiguriert ist, verwendet es einen alternativen Mechanismus, um die Zeit mit dem Domain Controller zu synchronisieren. Um Zeitsynchronisationskonflikte zu vermeiden, aktivieren Sie NTP NICHT, wenn das System für die Active Directory-Authentifizierung konfiguriert ist.

Additional Information

Ports für Active Directory 

Schnittstelle  Protokoll Port konfigurierbar Beschreibung
53 TCP/UDP Öffnen DNS (wenn AD auch der DNS ist)
88 TCP/UDP Öffnen Kerberos
139 TCP Öffnen NetBIOS/NetLogon
389 TCP/UDP Öffnen DAP
445 TCP/UDP Nein Nutzerauthentifizierung und andere Kommunikation mit AD
3268 TCP Öffnen Globale Katalogabfragen

Active Directory

Active Directory ist nicht FIPS-konform.
Active Directory funktioniert weiterhin, wenn es konfiguriert ist und FIPS aktiviert ist.

Verwenden des Authentifizierungsservers für die Authentifizierung von NutzerInnen vor der Gewährung von Administrationszugriff  

DD unterstützt mehrere Namensserver-Protokolle wie LDAP, NIS und AD. DD empfiehlt die Verwendung von OpenLDAP mit aktivierter FIPS-Funktion. DD managt nur lokale Konten. DD empfiehlt die Verwendung der Benutzeroberfläche oder CLI zum Konfigurieren von LDAP. 

• UI: Verwaltung >Zugang>Authentifizierung 

• CLI: Authentifizierungs-LDAP-Befehle

Active Directory kann auch für Nutzeranmeldungen mit aktivierter FIPS-Funktion konfiguriert werden. Der CIFS-Datenzugriff mit AD-NutzerInnen wird mit dieser Konfiguration jedoch nicht mehr unterstützt. 

Konfiguration der Authentifizierung

Die Informationen im Bereich Authentication ändern sich je nach Typ der konfigurierten Authentifizierung.
Klicken Sie auf den Link Konfigurieren links neben der Bezeichnung Authentifizierung auf der Registerkarte Konfiguration. Das System wechselt zur Seite Administration > Access > Authentication, auf der Sie die Authentifizierung für Active Directory, Kerberos, Workgroups und NIS konfigurieren können.

Active Directory-Konfigurationsinformationen 

Artikel Beschreibung
Modus Der Active Directory-Modus wird angezeigt.
Bereich Der konfigurierte Bereich wird angezeigt.
DDNS Der Status des DDNS-Servers wird angezeigt: aktiviert oder deaktiviert. 
Domänencontroller Der Name der konfigurierten Domänencontroller wird angezeigt oder ein *, wenn alle Controller zugelassen sind. 
Organisationseinheit Der Name der konfigurierten Organisationseinheiten wird angezeigt. 
CIFS-Servername  Der Name des konfigurierten CIFS-Servers wird angezeigt. 
WINS-Servername Der Name des konfigurierten WINS-Servers wird angezeigt. 
Kurzer Domänenname  Der kurze Domänenname wird angezeigt. 

Arbeitsgruppenkonfiguration 

Artikel Beschreibung
Modus  Der Arbeitsgruppenmodus wird angezeigt.
Arbeitsgruppenname Der Name der konfigurierten Arbeitsgruppe wird angezeigt.
DDNS Der Status des DDNS-Servers wird angezeigt: entweder aktiviert oder deaktiviert.
CIFS-Servername Der Name des konfigurierten CIFS-Servers wird angezeigt.
WINS-Servername  Der Name des konfigurierten WINS-Servers wird angezeigt

Zugehörige Artikel:

Die folgenden verwandten Artikel können nur angezeigt werden, wenn Sie sich als registrierter Nutzer beim Dell Support anmelden:

Affected Products

Data Domain
Article Properties
Article Number: 000204265
Article Type: How To
Last Modified: 16 Sept 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.