Cette page explique comment créer une règle Active Directory.
Avant de commencer
Assurez-vous que le service Active Directory est accessible. Pour en savoir plus, consultez Contrôleurs de domaine Active Directory et Règles de pare-feu pour l'accès à Active Directory.
Configurez Cloud DNS pour transférer les requêtes DNS pour votre domaine Windows vers vos serveurs DNS Windows. Cela permettra à vos machines virtuelles Google Cloud Compute Engine de résoudre les noms d'hôte Active Directory, comme le nom Netbios utilisé par Google Cloud NetApp Volumes. Pour en savoir plus, consultez Bonnes pratiques pour l'utilisation des zones de transfert privées Cloud DNS. Cette étape est requise pour Active Directory sur site et pour Active Directory créé sur Compute Engine.
Lors de la création de volumes SMB, NetApp Volumes utilise des mises à jour DNS dynamiques sécurisées pour enregistrer son nom d'hôte. Ce processus fonctionne bien lorsque vous utilisez le DNS Active Directory. Si vous utilisez un service DNS tiers pour héberger la zone de votre domaine Windows, assurez-vous qu'il est configuré pour prendre en charge les mises à jour DDNS sécurisées. Sinon, la création de volumes de type de service Flex échouera.
Les paramètres de stratégie Active Directory ne s'appliquent que lorsque vous créez le premier volume nécessitant Active Directory dans la région spécifiée. Lors de la création de ce volume, des paramètres incorrects peuvent entraîner des échecs.
Créer une stratégie Active Directory
Suivez les instructions ci-dessous pour créer une règle Active Directory à l'aide de la consoleGoogle Cloud ou de Google Cloud CLI.
Console
Suivez les instructions ci-dessous pour créer une règle Active Directory dans la consoleGoogle Cloud :
Accédez à la page NetApp Volumes dans la console Google Cloud .
Sélectionnez Règles Active Directory.
Cliquez sur Créer.
Dans la boîte de dialogue Create Active Directory Policy (Créer une règle Active Directory), renseignez les champs indiqués dans le tableau ci-dessous.
Les champs obligatoires sont marqués d'un astérisque (*).
Champ Description S'applique à NFS S'applique aux PME S'applique au protocole double Nom de la règle Active Directory* Nom de l'identifiant unique de la règle Description Facultatif : vous pouvez saisir une description de la règle. Région Région* Associe Active Directory à tous les volumes de la région spécifiée. Informations sur la connexion Active Directory Nom de domaine* Nom de domaine complet pour le domaine Active Directory. Serveurs DNS* Liste d'adresses IP de serveurs DNS (trois au maximum) séparées par une virgule, utilisées pour la découverte de contrôleurs de domaine basés sur DNS. Site Spécifie un site Active Directory pour gérer la sélection de contrôleurs de domaine.
Utilisez ce champ lorsque des contrôleurs de domaine Active Directory sont configurés dans plusieurs régions. Si vous ne spécifiez pas de valeur, la valeur est fixée par défaut sur Default-First-Site-Name.Unité organisationnelle Nom de l'unité organisationnelle dans laquelle vous souhaitez créer le compte d'ordinateur pour NetApp Volumes.
Si vous ne spécifiez pas de valeur, la valeur est fixée par défaut sur CN=Computers.Préfixe de nom NetBIOS* Préfixe de nom NetBIOS du serveur à créer.
Un ID aléatoire de cinq caractères est généré automatiquement (par exemple,-6f9a) et ajouté au préfixe. Le chemin d'accès UNC complet au partage est au format suivant :
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Activer le chiffrement AES pour l'authentification Active Directory Active le chiffrement AES-128 et AES-256 pour la communication basée sur Kerberos avec Active Directory Identifiants Active Directory Nom d'utilisateur* et mot de passe* Identifiants du compte Active Directory disposant des autorisations nécessaires pour créer le compte de calcul dans l'unité organisationnelle spécifiée. Paramètres SMB Administrateurs Comptes utilisateur du domaine à ajouter au groupe Administrateurs local du service SMB.
Fournissez une liste d'utilisateurs ou de groupes du domaine séparés par une virgule. Le groupe "Administrateurs du domaine" est automatiquement ajouté lorsque le service rejoint votre domaine en tant que groupe masqué.
Les administrateurs n'utilisent que le nom de compte du gestionnaire de comptes de sécurité (SAM). Le nom de compte SAM ne doit pas comporter plus de 20 caractères pour votre nom d'utilisateur et 64 caractères pour votre nom de groupe.
Opérateurs de sauvegarde Comptes utilisateur du domaine à ajouter au groupe d'opérateurs de sauvegarde du service SMB. Le groupe "Opérateurs de sauvegarde" permet aux membres de sauvegarder et de restaurer des fichiers, qu'ils aient ou non un accès en lecture ou en écriture à ces fichiers.
Fournissez une liste d'utilisateurs ou de groupes du domaine séparés par une virgule.
Les opérateurs de sauvegarde n'utilisent que le nom de compte du gestionnaire de comptes de sécurité (SAM). Le nom de compte SAM ne doit pas comporter plus de 20 caractères pour votre nom d'utilisateur et 64 caractères pour votre nom de groupe.Utilisateurs avec droits concernant la sécurité Comptes de domaine nécessitant des droits élevés, tels que SeSecurityPrivilege, pour gérer les journaux de sécurité.
Fournissez une liste d'utilisateurs ou de groupes du domaine séparés par une virgule. Cela est particulièrement nécessaire pour l'installation d'un serveur SQL où les binaires et les bases de données système sont stockés sur un partage SMB. Cette option n'est pas obligatoire si vous utilisez un compte administrateur lors de l'installation.Paramètres NFS Nom d'hôte du centre de distribution de clés Kerberos Nom d'hôte du serveur Active Directory utilisé comme centre de distribution de clés Kerberos NFSv4.1 avec Kerberos SMB et NFSv4.1 avec Kerberos Adresse IP du KDC Adresse IP du serveur Active Directory utilisé comme centre de distribution de clés Kerberos NFSv4.1 avec Kerberos SMB et NFSv4.1 avec Kerberos Autoriser les utilisateurs NFS locaux avec LDAP Les utilisateurs UNIX locaux sur les clients qui ne disposent pas d'informations utilisateur valides dans Active Directory ne peuvent pas accéder aux volumes compatibles avec LDAP.
Cette option peut être utilisée pour passer temporairement ces volumes à l'authentificationAUTH_SYS(ID utilisateur + 1 à 16 groupes).Étiquettes Libellés Facultatif : ajoutez des libellés pertinents. Cliquez sur Créer. Pour les niveaux de service Standard, Premium et Extreme : après avoir créé une règle Active Directory et l'avoir associée à un pool de stockage, vous devez tester la connexion au service Active Directory.
gcloud
Créez une règle Active Directory :
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Remplacez les informations suivantes :
CONFIG_NAME: nom de la configuration que vous souhaitez créer. Le nom de la configuration doit être unique par région.PROJECT_ID: ID du projet dans lequel vous créez la stratégie Active Directory.LOCATION: région dans laquelle vous souhaitez créer la configuration. Google Cloud NetApp Volumes n'accepte qu'une seule configuration par région.DNS_LIST: liste d'adresses IPv4 de serveurs DNS Active Directory, séparées par une virgule (trois adresses maximum).DOMAIN_NAME: nom de domaine complet d'Active Directory.NetBIOS_PREFIX: préfixe du nom NetBIOS du serveur que vous souhaitez créer. Un ID aléatoire de cinq caractères est généré automatiquement, par exemple-6f9a, et ajouté au préfixe.Le chemin d'accès UNC complet au partage est au format suivant :
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: nom d'un utilisateur du domaine autorisé à rejoindre le domaine.PASSWORD: mot de passe du nom d'utilisateur.
Pour en savoir plus sur les autres options facultatives, consultez la documentation du SDK Google Cloud sur la création d'Active Directory.
Étapes suivantes
Testez la connexion de la règle Active Directory.