Questa pagina fornisce istruzioni su come creare una policy Active Directory.
Prima di iniziare
Assicurati che il servizio Active Directory sia raggiungibile. Consulta Controller di dominio Active Directory e Regole firewall per l'accesso ad Active Directory.
Configura Cloud DNS per inoltrare le richieste DNS per il tuo dominio Windows ai tuoi server DNS Windows per consentire alle tue macchine virtuali Compute Engine di risolvere i nomi host di Active Directory, come il nome NetBIOS utilizzato da Google Cloud NetApp Volumes. Google Cloud Per maggiori informazioni, consulta Best practice per l'utilizzo delle zone di inoltro privato di Cloud DNS. Questo è necessario per Active Directory on-premise e per Active Directory basato su Compute Engine.
Quando crea volumi SMB, NetApp Volumes utilizza aggiornamenti DNS dinamici sicuri per registrare il proprio nome host. Questa procedura funziona bene quando utilizzi Active Directory DNS. Se utilizzi un servizio DNS di terze parti per ospitare la zona per il tuo dominio Windows, assicurati che sia configurato per supportare gli aggiornamenti DDNS sicuri. In caso contrario, la creazione dei volumi di tipo di servizio Flex non andrà a buon fine.
Le impostazioni delle policy di Active Directory non vengono applicate finché non crei il primo volume che richiede Active Directory nella regione specificata. Durante la creazione del volume, impostazioni errate possono causare errori di creazione del volume.
Crea una policy Active Directory
Utilizza le seguenti istruzioni per creare una policy di Active Directory utilizzando la consoleGoogle Cloud o Google Cloud CLI.
Console
Segui queste istruzioni per creare una policy di Active Directory nella console Google Cloud :
Vai alla pagina NetApp Volumes nella console Google Cloud .
Seleziona Policy di Active Directory.
Fai clic su Crea.
Nella finestra di dialogo Crea policy di Active Directory, compila i campi mostrati nella tabella seguente.
I campi obbligatori sono contrassegnati con un asterisco (*).
Campo Descrizione Si applica a NFS Si applica a SMB Si applica al doppio protocollo Nome policy Active Directory* Il nome dell'identificatore univoco del criterio Descrizione (Facoltativo) Puoi inserire una descrizione per la norma. Regione Regione* Associa Active Directory a tutti i volumi nella regione specificata. Dettagli della connessione Active Directory Nome di dominio* Nome di dominio completo per il dominio Active Directory. Server DNS* Elenco separato da virgole di un massimo di tre indirizzi IP dei server DNS utilizzati per il rilevamento del domain controller basato su DNS. Sito Specifica un sito di Active Directory per gestire la selezione del domain controller.
Da utilizzare quando sono presenti domain controller Active Directory configurati in regioni diverse. Se questo campo viene lasciato vuoto, viene utilizzato il valore predefinito Default-First-Site-Name.Unità organizzativa Nome dell'unità organizzativa in cui intendi creare l'account computer per NetApp Volumes.
Se questo campo viene lasciato vuoto, viene utilizzato il valore predefinito CN=Computers.Prefisso nome NetBIOS* Prefisso del nome NetBIOS del server da creare.
Viene generato automaticamente un ID casuale di cinque caratteri, ad esempio-6f9a, e aggiunto al prefisso. Il percorso UNC completo della condivisione ha il seguente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Abilitare la crittografia AES per l'autenticazione di Active Directory Abilita la crittografia AES-128 e AES-256 per le comunicazioni basate su Kerberos con Active Directory Credenziali Active Directory Nome utente* e password* Credenziali dell'account Active Directory con autorizzazioni per creare l'account di calcolo all'interno dell'unità organizzativa specificata. Impostazioni SMB Amministratori Account utente di un dominio da aggiungere al gruppo Amministratori locale del servizio SMB.
Fornisci un elenco separato da virgole di gruppi o utenti di dominio. Il gruppo Amministratore di dominio viene aggiunto automaticamente quando il servizio entra a far parte del tuo dominio come gruppo nascosto.
Gli amministratori utilizzano solo il nome account di Security Account Manager (SAM). Il nome account SAM supporta un massimo di 20 caratteri per il tuo nome utente e 64 caratteri per il nome del gruppo.
Operatori di backup Account utente di un dominio da aggiungere al gruppo Operatori di backup del servizio SMB. Il gruppo Operatori di backup consente ai membri di eseguire il backup e il ripristino dei file indipendentemente dal fatto che abbiano accesso in lettura o scrittura ai file.
Fornisci un elenco separato da virgole di gruppi o utenti di dominio.
Gli operatori di backup utilizzano solo il nome dell'account Security Account Manager (SAM). Il nome account SAM supporta un massimo di 20 caratteri per il nome utente e 64 caratteri per il nome del gruppo.Utenti con privilegi di sicurezza Account di dominio che richiedono privilegi elevati come SeSecurityPrivilegeper gestire i log di sicurezza.
Fornisci un elenco separato da virgole di gruppi o utenti di dominio. Questo è necessario in particolare per l'installazione di un SQL Server in cui i file binari e i database di sistema sono archiviati in una condivisione SMB. Questa opzione non è obbligatoria se utilizzi un utente amministratore durante l'installazione.Impostazioni NFS Nome host di distribuzione delle chiavi Kerberos Nome host del server Active Directory utilizzato come centro di distribuzione chiavi Kerberos NFSv4.1 con Kerberos SMB e NFSv4.1 con Kerberos IP KDC Indirizzo IP del server Active Directory utilizzato come centro di distribuzione chiavi Kerberos NFSv4.1 con Kerberos SMB e NFSv4.1 con Kerberos Consenti gli utenti NFS locali con LDAP Gli utenti UNIX locali sui client senza informazioni utente valide in Active Directory non possono accedere ai volumi abilitati per LDAP.
Questa opzione può essere utilizzata per passare temporaneamente questi volumi all'autenticazioneAUTH_SYS(ID utente + 1-16 gruppi).Etichette Etichette (Facoltativo) Aggiungi etichette pertinenti Fai clic su Crea. Per i livelli di servizio Standard, Premium ed Extreme: dopo aver creato un criterio Active Directory e averlo collegato a un pool di archiviazione, devi testare la connessione al servizio Active Directory.
gcloud
Crea una policy Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Sostituisci le seguenti informazioni:
CONFIG_NAME: il nome della configurazione che vuoi creare. Il nome della configurazione deve essere univoco per regione.PROJECT_ID: l'ID progetto in cui stai creando il criterio Active Directory.LOCATION: la regione in cui vuoi creare la configurazione. Google Cloud NetApp Volumes supporta una sola configurazione per regione.DNS_LIST: un elenco separato da virgole di massimo tre indirizzi IPv4 dei server DNS di Active Directory.DOMAIN_NAME: il nome di dominio completo di Active Directory.NetBIOS_PREFIX: il prefisso del nome NetBIOS del server che vuoi creare. Viene generato automaticamente un ID casuale di cinque caratteri, ad esempio-6f9a, che viene aggiunto al prefisso.Il percorso di condivisione UNC completo ha il seguente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: il nome di un utente del dominio con l'autorizzazione a partecipare al dominio.PASSWORD: la password per il nome utente.
Per ulteriori informazioni su altri flag facoltativi, consulta la documentazione dell'SDK Google Cloud sulla creazione di Active Directory.
Passaggi successivi
Testa la connessione della policy di Active Directory.