Halaman ini memberikan petunjuk tentang cara membuat kebijakan Active Directory.
Sebelum memulai
Pastikan layanan Active Directory dapat dijangkau, lihat Pengontrol domain Active Directory dan Aturan firewall untuk akses Active Directory.
Konfigurasi Cloud DNS untuk meneruskan permintaan DNS untuk domain Windows Anda ke server DNS Windows Anda agar mesin virtual Compute Engine Anda dapat me-resolve nama host Active Directory, seperti nama Netbios yang digunakan oleh Google Cloud NetApp Volumes. Google Cloud Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk menggunakan zona penerusan pribadi Cloud DNS. Tindakan ini diperlukan untuk Active Directory lokal serta Active Directory yang dibangun di Compute Engine.
Saat membuat volume SMB, NetApp Volumes menggunakan update DNS dinamis yang aman untuk mendaftarkan nama host-nya. Proses ini berfungsi dengan baik saat Anda menggunakan DNS Active Directory. Jika Anda menggunakan layanan DNS pihak ketiga untuk menghosting zona untuk domain Windows Anda, pastikan layanan tersebut dikonfigurasi untuk mendukung update DDNS yang aman. Jika tidak, pembuatan volume jenis layanan Flex akan gagal.
Setelan kebijakan Active Directory tidak akan diterapkan hingga Anda membuat volume pertama yang memerlukan Active Directory di region yang ditentukan. Selama pembuatan volume tersebut, setelan yang salah dapat menyebabkan kegagalan pembuatan volume.
Membuat kebijakan Active Directory
Gunakan petunjuk berikut untuk membuat kebijakan Active Directory menggunakan konsolGoogle Cloud atau Google Cloud CLI.
Konsol
Gunakan petunjuk berikut untuk membuat kebijakan Active Directory di konsolGoogle Cloud :
Buka halaman NetApp Volumes di konsol Google Cloud .
Pilih Kebijakan Active Directory.
Klik Buat.
Dalam dialog Create Active Directory Policy, isi kolom yang ditampilkan dalam tabel berikut.
Kolom wajib diisi ditandai dengan tanda bintang (*).
Kolom Deskripsi Berlaku untuk NFS Berlaku untuk SMB Berlaku untuk protokol ganda Nama kebijakan Active Directory* Nama ID unik untuk kebijakan Deskripsi Opsional: Anda dapat memasukkan deskripsi untuk kebijakan Wilayah Region* Mengaitkan Active Directory ke semua volume di region yang ditentukan. Detail koneksi Active Directory Nama domain* Nama domain yang sepenuhnya memenuhi syarat untuk domain Active Directory. Server DNS* Daftar alamat IP server DNS yang dipisahkan koma dengan maksimum tiga alamat IP yang digunakan untuk penemuan pengontrol domain berbasis DNS. Situs Menentukan situs Active Directory untuk mengelola pemilihan pengontrol domain.
Gunakan saat pengontrol domain Active Directory di beberapa region dikonfigurasi. Jika dibiarkan kosong, default-nya adalah Default-First-Site-Name.Unit Organisasi Nama Unit Organisasi tempat Anda ingin membuat akun komputer untuk NetApp Volumes.
Default-nya adalah CN=Computers jika dibiarkan kosong.Awalan Nama NetBIOS* Awalan nama NetBIOS server yang akan dibuat.
ID acak lima karakter dibuat secara otomatis, misalnya,-6f9a, dan ditambahkan ke awalan. Jalur berbagi UNC lengkap memiliki format berikut:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Mengaktifkan Enkripsi AES untuk autentikasi Active Directory Mengaktifkan enkripsi AES-128 dan AES-256 untuk komunikasi berbasis Kerberos dengan Active Directory Kredensial Active Directory Nama Pengguna* dan Sandi* Kredensial untuk akun Active Directory dengan izin untuk membuat akun komputasi dalam unit organisasi yang ditentukan. Setelan SMB Administrator Akun pengguna domain yang akan ditambahkan ke grup Administrator lokal layanan SMB.
Berikan daftar pengguna atau grup domain yang dipisahkan koma. Grup Admin Domain otomatis ditambahkan saat layanan bergabung dengan domain Anda sebagai grup tersembunyi.
Administrator hanya menggunakan nama Akun Security Account Manager (SAM). Nama Akun SAM mendukung maksimum 20 karakter untuk nama pengguna dan 64 karakter untuk nama grup Anda.
Operator Pencadangan Akun pengguna domain yang akan ditambahkan ke grup Backup Operators pada layanan SMB. Grup Backup Operators memungkinkan anggota mencadangkan dan memulihkan file, terlepas dari apakah mereka memiliki akses baca atau tulis ke file tersebut.
Berikan daftar pengguna atau grup domain yang dipisahkan koma.
Operator Pencadangan hanya menggunakan Nama akun Security Account Manager (SAM). Nama Akun SAM mendukung maksimum 20 karakter untuk nama pengguna Anda dan 64 karakter untuk nama grup Anda.Pengguna Hak Istimewa Keamanan Akun domain yang memerlukan hak istimewa tinggi seperti SeSecurityPrivilegeuntuk mengelola log keamanan.
Berikan daftar pengguna atau grup domain yang dipisahkan dengan koma. Hal ini khususnya diperlukan untuk penginstalan SQL Server yang menyimpan biner dan database sistem di berbagi SMB. Opsi ini tidak diperlukan jika Anda menggunakan pengguna administrator selama penginstalan.Setelan NFS Nama Host Distribusi Kunci Kerberos Nama host server Active Directory yang digunakan sebagai Key Distribution Center Kerberos NFSv4.1 dengan Kerberos SMB dan NFSv4.1 dengan Kerberos IP KDC Alamat IP server Active Directory yang digunakan sebagai Key Distribution Center Kerberos NFSv4.1 dengan Kerberos SMB dan NFSv4.1 dengan Kerberos Mengizinkan pengguna NFS lokal dengan LDAP Pengguna UNIX lokal di klien tanpa informasi pengguna yang valid di Active Directory diblokir aksesnya ke volume yang mendukung LDAP.
Opsi ini dapat digunakan untuk mengalihkan volume tersebut secara sementara keAUTH_SYSautentikasi (ID pengguna + 1-16 grup).Label Label Opsional: tambahkan label yang relevan Klik Buat. Untuk tingkat layanan Standar, Premium, dan Extreme: setelah membuat kebijakan Active Directory dan melampirkannya dengan kumpulan penyimpanan, Anda harus menguji koneksi ke layanan Active Directory.
gcloud
Buat kebijakan Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Ganti informasi berikut:
CONFIG_NAME: nama konfigurasi yang ingin Anda buat. Nama konfigurasi harus unik per region.PROJECT_ID: project ID tempat Anda membuat kebijakan Active Directory.LOCATION: region tempat Anda ingin membuat konfigurasi. Google Cloud NetApp Volumes hanya mendukung satu konfigurasi per region.DNS_LIST: daftar yang dipisahkan koma yang berisi hingga tiga alamat IPv4 server DNS Active Directory.DOMAIN_NAME: nama domain yang sepenuhnya memenuhi syarat dari Active Directory.NetBIOS_PREFIX: Awalan nama NetBIOS server yang ingin Anda buat. ID acak lima karakter dibuat secara otomatis, seperti-6f9a, dan ditambahkan ke awalan.Jalur berbagi UNC lengkap memiliki format berikut:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: Nama pengguna domain dengan izin untuk bergabung ke domain.PASSWORD: Sandi untuk nama pengguna.
Untuk mengetahui informasi selengkapnya tentang flag opsional tambahan, lihat dokumentasi Google Cloud SDK tentang pembuatan Active Directory.
Langkah berikutnya
Uji koneksi kebijakan Active Directory.