Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Active Directory-Richtlinie.
Hinweise
Prüfen Sie, ob der Active Directory-Dienst erreichbar ist. Weitere Informationen finden Sie unter Active Directory-Domaincontroller und Firewallregeln für den Active Directory-Zugriff.
Konfigurieren Sie Cloud DNS so, dass DNS-Anfragen für Ihre Windows-Domain an Ihre Windows-DNS-Server weitergeleitet werden. So können Ihre Google Cloud Compute Engine-VMs Active Directory-Hostnamen auflösen, z. B. den Netbios-Namen, der von Google Cloud NetApp Volumes verwendet wird. Weitere Informationen finden Sie unter Best Practices für die Verwendung privater Cloud DNS-Weiterleitungszonen. Dies ist sowohl für das lokale Active Directory als auch für Active Directory, das auf Compute Engine basiert, erforderlich.
Beim Erstellen von SMB-Volumes verwendet NetApp Volumes sichere dynamische DNS-Updates, um den Hostnamen zu registrieren. Dieser Prozess funktioniert gut, wenn Sie Active Directory DNS verwenden. Wenn Sie einen DNS-Drittanbieter verwenden, um die Zone für Ihre Windows-Domain zu hosten, muss dieser für die Unterstützung sicherer DDNS-Updates konfiguriert sein. Andernfalls schlägt die Erstellung von Volumes des Flex-Diensttyps fehl.
Active Directory-Richtlinieneinstellungen werden erst angewendet, wenn Sie das erste Volume erstellen, für das Active Directory in der angegebenen Region erforderlich ist. Bei der Erstellung des Volumes können falsche Einstellungen zu Fehlern führen.
Active Directory-Richtlinie erstellen
Folgen Sie der Anleitung unten, um eine Active Directory-Richtlinie mit derGoogle Cloud -Konsole oder der Google Cloud CLI zu erstellen.
Console
Gehen Sie nach der folgenden Anleitung vor, um eine Active Directory-Richtlinie in derGoogle Cloud -Konsole zu erstellen:
Rufen Sie in der Google Cloud Console die Seite NetApp Volumes auf.
Wählen Sie Active Directory-Richtlinien aus.
Klicken Sie auf Erstellen.
Füllen Sie im Dialogfeld Active Directory-Richtlinie erstellen die Felder aus, die in der folgenden Tabelle aufgeführt sind.
Pflichtfelder sind mit einem Sternchen (*) gekennzeichnet.
Feld Beschreibung Gilt für NFS Gilt für SMB Gilt für Dual-Protokoll Name der Active Directory-Richtlinie* Der eindeutige Name der Richtlinie Beschreibung Optional: Sie können eine Beschreibung für die Richtlinie eingeben. Region Region* Verknüpft das Active Directory mit allen Volumes in der angegebenen Region. Details zur Active Directory-Verbindung Domain name* Voll qualifizierter Domainname für die Active Directory-Domain. DNS-Server* Durch Kommas getrennte Liste mit maximal drei IP-Adressen von DNS-Servern, die für die DNS-basierte Suche nach Domaincontrollern verwendet werden. Website Gibt eine Active Directory-Website an, um die Auswahl des Domaincontrollers zu verwalten.
Verwenden Sie diese Option, wenn Active Directory-Domaincontroller in mehreren Regionen konfiguriert sind. Wenn Sie diesen Wert nicht angeben, wird standardmäßig Default-First-Site-Name verwendet.Organisationseinheit Name der Organisationseinheit, in der Sie das Computerkonto für NetApp Volumes erstellen möchten.
Wenn Sie diesen Wert leer lassen, wird standardmäßig CN=Computers verwendet.NetBIOS-Namenspräfix* NetBIOS-Namenpräfix des Servers, der erstellt werden soll.
Eine zufällige ID mit fünf Zeichen wird automatisch generiert, z. B.-6f9a, und an das Präfix angehängt. Der vollständige UNC-Freigabepfad hat das folgende Format:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.AES-Verschlüsselung für Active Directory-Authentifizierung aktivieren Aktiviert die AES-128- und AES-256-Verschlüsselung für die Kerberos-basierte Kommunikation mit Active Directory. Active Directory-Anmeldedaten Nutzername* und Passwort* Anmeldedaten für das Active Directory-Konto mit Berechtigungen zum Erstellen des Rechenkontos in der angegebenen Organisationseinheit. SMB-Einstellungen Administratoren Domainnutzerkonten, die der lokalen Administratorgruppe des SMB-Dienstes hinzugefügt werden sollen.
Geben Sie eine durch Kommas getrennte Liste von Domainnutzern oder -gruppen an. Die Gruppe „Domain Admin“ wird automatisch als verborgene Gruppe hinzugefügt, wenn der Dienst Ihrer Domain beitritt.
Administratoren verwenden nur den SAM-Kontonamen (Security Account Manager). Der SAM-Kontoname darf maximal 20 Zeichen für den Nutzernamen und 64 Zeichen für den Gruppennamen enthalten.
Backup-Operatoren Domainnutzerkonten, die der Gruppe „Sicherungsoperatoren“ des SMB-Dienstes hinzugefügt werden sollen. Mitglieder der Gruppe „Backup Operators“ können Dateien sichern und wiederherstellen, unabhängig davon, ob sie Lese- oder Schreibzugriff auf die Dateien haben.
Geben Sie eine durch Kommas getrennte Liste von Domainnutzern oder -gruppen an.
Backup Operators verwenden nur den SAM-Kontonamen (Security Account Manager). Der SAM-Kontoname unterstützt maximal 20 Zeichen für den Nutzernamen und 64 Zeichen für den Gruppennamen.Nutzer mit der Berechtigung „Sicherheit“ Domainkonten, die zum Verwalten von Sicherheitslogs erhöhte Berechtigungen wie SeSecurityPrivilegebenötigen.
Geben Sie eine durch Kommas getrennte Liste von Domainnutzern oder -gruppen an. Dies ist insbesondere für die Installation einer SQL Server-Instanz erforderlich, bei der Binärdateien und Systemdatenbanken auf einer SMB-Freigabe gespeichert werden. Diese Option ist nicht erforderlich, wenn Sie bei der Installation einen Administratornutzer verwenden.NFS-Einstellungen Kerberos-Hostname für die Schlüsselverteilung Hostname des Active Directory-Servers, der als Kerberos Key Distribution Center verwendet wird NFSv4.1 mit Kerberos SMB und NFSv4.1 mit Kerberos KDC-IP IP-Adresse des Active Directory-Servers, der als Kerberos Key Distribution Center verwendet wird NFSv4.1 mit Kerberos SMB und NFSv4.1 mit Kerberos Lokale NFS-Nutzer mit LDAP zulassen Lokale UNIX-Nutzer auf Clients ohne gültige Nutzerinformationen in Active Directory werden vom Zugriff auf LDAP-aktivierte Volumes ausgeschlossen.
Mit dieser Option können solche Volumes vorübergehend auf dieAUTH_SYS-Authentifizierung (Nutzer-ID + 1–16 Gruppen) umgestellt werden.Labels Labels Optional: Relevante Labels hinzufügen Klicken Sie auf Erstellen. Bei den Service-Levels „Standard“, „Premium“ und „Extrem“ sollten Sie nach dem Erstellen einer Active Directory-Richtlinie und dem Verknüpfen mit einem Speicherpool die Verbindung zum Active Directory-Dienst testen.
gcloud
Active Directory-Richtlinie erstellen:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Ersetzen Sie die folgenden Informationen:
CONFIG_NAME: Der Name der Konfiguration, die Sie erstellen möchten. Der Konfigurationsname muss pro Region eindeutig sein.PROJECT_ID: Projekt-ID, in der Sie die Active Directory-Richtlinie erstellen.LOCATION: Die Region, in der Sie die Konfiguration erstellen möchten. Google Cloud NetApp Volumes unterstützt nur eine Konfiguration pro Region.DNS_LIST: Eine durch Kommas getrennte Liste mit bis zu drei IPv4-Adressen von Active Directory-DNS-Servern.DOMAIN_NAME: der voll qualifizierte Domainname des Active Directory.NetBIOS_PREFIX: NetBIOS-Namenspräfix des Servers, den Sie erstellen möchten. Es wird automatisch eine zufällige ID mit fünf Zeichen generiert, z. B.-6f9a, und an das Präfix angehängt.Der vollständige UNC-Freigabepfad hat folgendes Format:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: Der Name eines Domainnutzers mit der Berechtigung, der Domain beizutreten.PASSWORD: Passwort für den Nutzernamen.
Weitere Informationen zu zusätzlichen optionalen Flags finden Sie in der Google Cloud SDK-Dokumentation zum Erstellen von Active Directory.
Nächste Schritte
Active Directory-Richtlinienverbindung testen