AD DS(Active Directory Domain Services)에서 스토리지 계정을 도메인에 조인하면 암호가 있는 AD 주체(컴퓨터 계정 또는 서비스 계정)가 만들어집니다. AD 주체의 암호는 스토리지 계정의 Kerberos 키 중 하나입니다. AD 보안 주체의 조직 구성 단위의 암호 정책에 따라 인증 문제를 방지하려면 AD 보안 주체의 암호를 주기적으로 회전해야 합니다. 만료되기 전에 암호를 변경하지 못하면 Azure 파일 공유에 대한 Kerberos 인증이 손실될 수 있습니다. 일부 AD 환경에서는 자동화된 정리 스크립트를 사용하여 만료된 암호가 있는 사용자 계정을 삭제할 수도 있습니다.
주기적으로 암호를 회전하는 대신 스토리지 계정을 나타내는 AD 보안 주체를 암호 회전이 필요하지 않은 조직 구성 단위에 배치할 수도 있습니다.
암호 교체를 트리거하는 데는 두 가지 옵션이 있습니다. AzFilesHybrid 모듈 또는 Active Directory PowerShell을 사용할 수 있습니다. 둘 다 사용하지 말고 한 가지 방법을 사용하세요.
적용 대상
| 관리 모델 | 청구 모델 | 미디어 계층 | 중복성 | 중소기업 | 네트워크 파일 시스템 (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | 로컬(LRS) |  |
 |
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | 영역(ZRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | 지역(GRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v2 | HDD(표준) | GeoZone(GZRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v1 | SSD(프리미엄) | 로컬(LRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 프로비전된 v1 | SSD(프리미엄) | 영역(ZRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | 로컬(LRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | 영역(ZRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | 지역(GRS) | |
|
| Microsoft.Storage (마이크로소프트 저장소) | 종량제 | HDD(표준) | GeoZone(GZRS) | |
|
옵션 1: AzFilesHybrid 모듈 사용
스토리지 계정을 나타내는 AD 보안 주체의 암호를 다시 생성하고 회전하려면 Update-AzStorageAccountADObjectPassword의 cmdlet을 사용합니다. 실행 Update-AzStorageAccountADObjectPassword하려면 다음을 수행해야 합니다.
- 도메인에 가입된 클라이언트에서 cmdlet을 실행합니다.
- 스토리지 계정에 대한 소유자 권한이 있어야 합니다.
- 스토리지 계정을 나타내는 AD 주체의 암호를 변경할 수 있는 AD DS 권한이 있어야 합니다.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
kerb2로 회전한 후 몇 시간을 기다린 다음, cmdlet을 다시 사용하여 Kerberos 키를 재생성한 후 kerb1로 다시 회전하는 것을 추천합니다. 이렇게 하면 두 Kerberos 키가 모두 다시 생성됩니다.
옵션 2: Active Directory PowerShell 사용
AzFilesHybrid 모듈을 다운로드하지 않으려면 Active Directory PowerShell을 사용할 수 있습니다.
중요한
이 섹션의 Windows Server Active Directory PowerShell cmdlet은 상승된 권한으로 Windows PowerShell 5.1에서 실행해야 합니다.
다음 스크립트에서 <___domain-object-identity>을(를) 사용자 환경에 적합한 값으로 바꾸십시오.
$KeyName = "kerb1" # Could be either the first or second Kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <___domain-object-identity> -Reset -NewPassword $NewPassword
AD DS 계정 암호가 Kerberos 키와 일치하는지 테스트합니다.
AD DS 계정 암호를 업데이트한 후 다음 PowerShell 명령을 사용하여 테스트할 수 있습니다.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose