建立網域
本頁說明如何使用 Managed Service for Microsoft Active Directory 建立網域。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
-
建立新的虛擬私有雲 (VPC) 網路,或使用現有的網路來部署網域。受管理的 Microsoft AD 不支援舊版網路。請記下 VPC 網路的完整資源名稱,您必須在建立網域的過程中指定這項資訊。格式如下:
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME- 建立虛擬私有雲網路前,請務必參閱「選取虛擬私有雲網路」一文。
- 請務必在已啟用計費功能的專案中啟用 API,並建立虛擬私有雲。
收集資訊
建立網域時,您需要提供下列資訊:
完整網域名稱 (FQDN),例如
ad.example.com。詳情請參閱「Microsoft 在 Active Directory 中的命名慣例」。任何 VPC 子網路都未使用的私人 IP 位址範圍,例如
172.16.0.0/24、192.168.0.0/24或10.1.0.0/24。理想情況下,您應選取「任何」可使用網域的虛擬私有雲子網路中,尚未使用中的範圍。詳情請參閱「選取 IP 位址範圍」。要部署網域控制器的地區,例如
us-central1。建立網域時,您只能在單一區域中部署網域控制器。建立網域後,您可以將網域控制站新增至其他區域,藉此提高可用性,並在區域發生停機時保持韌性。如要瞭解支援的地區,請參閱「地區」。
委派的管理員帳戶使用者名稱。您可以使用預設使用者名稱 (
setupadmin),也可以修改。不過,完成網域建立程序後,您就無法變更這個使用者名稱。已授權 VPC 網路的完整資源名稱,格式如下:
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
建立網域
如要建立網域,請完成下列步驟:
主控台
前往「代管的 Microsoft AD」頁面。
前往代管的 Microsoft AD選取「Create New AD Domain」。
在「Create new domain」(建立新網域) 頁面中輸入收集到的資訊。
- 輸入網域的完整網域名稱 (FQDN)。
- 在「Network details」部分,從清單中選取 VPC 網路名稱。選取「確定」。
- 在「CIDR 範圍」部分,輸入網域的 IP 位址範圍。
- 在「區域」部分,從清單中選取要部署網域控制器的區域。
在「委派管理員」部分的「管理員名稱」欄位中,使用預設使用者名稱 (
setupadmin),或輸入委派管理員帳戶的使用者名稱。這是您唯一可以變更委派管理員帳戶使用者名稱的機會。建立網域後,您就無法變更委派管理員帳戶的使用者名稱。
選取「建立網域」。
建立網域最多可能需要 60 分鐘。建立網域完成後,您會在 Google Cloud 控制台收到通知。
您隨時可以前往控制台的「通知」下方,查看這項作業的狀態。 Google Cloud 如果建立網域失敗,請按一下「通知」下方的「查看所有活動」,查看錯誤訊息。
gcloud
執行下列 gcloud CLI 指令:
gcloud active-directory domains create FULLY_QUALIFIED_DOMAIN_NAME \
--reserved-ip-range=CIDR_RANGE --region=REGION \
--authorized-networks=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
將預留位置變數替換為收集到的資訊。
您會收到下列回應,表示網域建立作業已開始:
Create request issued for: FULLY_QUALIFIED_DOMAIN_NAME Waiting for operation-1554140234884-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
建立網域最多可能需要 60 分鐘。建立網域完成後,gcloud 命令列作業狀態會更新。
如果無法建立網域,gcloud CLI 會在指令列上顯示錯誤訊息。
您可以重複執行這項程序,在同一個專案中建立多個獨立的網域。
如要增加在同一個專案中建立的獨立網域數量,請與支援團隊聯絡 Google Cloud。
如要在其他專案的網路上使用該網域,您可以設定網域對等互連。
您無法在 Managed Microsoft AD 中建立 Active Directory 網站,因為 Managed Microsoft AD 不支援 Active Directory 網站和服務功能。
您無法在受管理的 Microsoft AD 中建立子網域。此外,Managed Microsoft AD 不能是部署在雲端或內部部署的任何其他 Active Directory 網域的一部分。 Google Cloud 不過,建立 Managed Microsoft AD 網域後,您可以在 Managed Microsoft AD 網域和任何其他非 Managed Microsoft AD 網域之間建立信任關係。
如要瞭解建立網域時可能會遇到的錯誤,請參閱「無法建立受管理的 Microsoft AD 網域」。