创建 Active Directory 政策

本页面介绍了如何创建 Active Directory 政策。

准备工作

  • 确保 Active Directory 服务可访问,请参阅 Active Directory 网域控制器Active Directory 访问的防火墙规则

  • 将 Cloud DNS 配置为将 Windows 网域的 DNS 请求转发到 Windows DNS 服务器,以使 Google Cloud Compute Engine 虚拟机能够解析 Active Directory 主机名,例如 Google Cloud NetApp Volumes 使用的 Netbios 名称。如需了解详情,请参阅使用 Cloud DNS 专用转发可用区的最佳实践。 本地 Active Directory 以及在 Compute Engine 上构建的 Active Directory 都需要此权限。

  • 创建 SMB 卷时,NetApp Volumes 会使用安全的动态 DNS 更新来注册其主机名。当您使用 Active Directory DNS 时,此过程效果良好。如果您使用第三方 DNS 服务来托管 Windows 网域的可用区,请确保该服务已配置为支持安全的 DDNS 更新。否则,创建 Flex 服务类型卷将失败。

只有在您创建第一个需要 Active Directory 的卷后,Active Directory 政策设置才会生效。在创建该卷期间,不正确的设置可能会导致卷创建失败。

创建 Active Directory 政策

请按照以下说明使用Google Cloud 控制台或 Google Cloud CLI 创建 Active Directory 政策。

控制台

按照以下说明在Google Cloud 控制台中创建 Active Directory 政策:

  1. 前往 Google Cloud 控制台中的 NetApp Volumes 页面。

    转到“NetApp Volumes”

  2. 选择 Active Directory 政策

  3. 点击创建

  4. 创建 Active Directory 政策 对话框中,填写下表中显示的字段。

    必填字段标有星号 (*)。

    字段 说明 适用于 NFS 适用于 SMB 适用于双协议
    Active Directory 政策名称* 政策的唯一标识符名称
    说明 可选:您可以输入政策的说明
    区域
    区域* 将 Active Directory 与指定区域中的所有卷相关联。
    Active Directory 连接详细信息
    域名* Active Directory 网域的完全限定域名。
    DNS 服务器* 以英文逗号分隔的 DNS 服务器 IP 地址的列表(最多包含 3 个地址),用于基于 DNS 的域控制器发现
    网站 指定 Active Directory 站点以管理网域控制器选择。

    如果有多个区域配置了 Active Directory 域控制器,则采用此项设置。 如果留空,则默认为 Default-First-Site-Name
    组织部门 您打算在其中为 NetApp Volumes 创建计算机账号的组织部门的名称。

    如果留空,则默认为 CN=Computers
    NetBIOS 名称前缀* 要创建的服务器的 NetBIOS 名称前缀。

    系统会自动生成一个五字符随机 ID(例如 -6f9a),并将其附加到前缀。完整的 UNC 共享路径采用以下格式:

    \\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>
    为 Active Directory 身份验证启用 AES 加密 为与 Active Directory 的基于 Kerberos 的通信启用 AES-128 和 AES-256 加密
    Active Directory 凭据
    用户名* 和密码* 有权在指定组织部门内创建计算账号的 Active Directory 账号的凭据。
    SMB 设置
    管理员 要添加到 SMB 服务的本地“管理员”群组中的网域用户账号。

    请提供以英文逗号分隔的网域用户或群组的列表。当服务以隐藏群组的形式加入您的网域时,系统会自动添加“网域管理员”群组。

    管理员仅使用安全账号管理器 (SAM) 账号名称。 SAM 账号名称支持的用户名长度上限为 20 个字符,群组名称长度上限为 64 个字符。

    备份运算符 要添加到 SMB 服务的“备份操作员”群组中的网域用户账号。Backup Operators 群组允许成员备份和恢复文件,无论他们是否拥有文件的读取或写入权限。

    请提供以英文逗号分隔的网域用户或群组的列表。

    备份操作员仅使用安全账号管理器 (SAM) 账号名称。 SAM 账号名称支持的用户名长度上限为 20 个字符,群组名称长度上限为 64 个字符。
    拥有安全权限的用户 需要提升权限(例如 SeSecurityPrivilege)才能管理安全日志的网域账号。

    请提供以英文逗号分隔的网域用户或群组的列表。如果 SQL Server 的二进制文件和系统数据库存储在 SMB 共享中,则尤其需要此权限。如果您在安装期间使用管理员用户,则无需执行此操作。
    NFS 设置
    Kerberos 密钥分发主机名 用作 Kerberos 密钥分发中心的 Active Directory 服务器的主机名 将 NFSv4.1 与 Kerberos 搭配使用 SMB 和 NFSv4.1(使用 Kerberos)
    KDC IP 用作 Kerberos 密钥分发中心的 Active Directory 服务器的 IP 地址 将 NFSv4.1 与 Kerberos 搭配使用 SMB 和 NFSv4.1(使用 Kerberos)
    允许使用 LDAP 的本地 NFS 用户 如果客户端上的本地 UNIX 用户在 Active Directory 中没有有效的用户信息,则无法访问已启用 LDAP 的卷

    此选项可用于将此类卷临时切换为 AUTH_SYS 身份验证(用户 ID + 1-16 个群组)。
    标签
    标签 可选:添加相关标签

  5. 点击创建。对于“标准”“高级”和“极速”服务等级:创建 Active Directory 政策并将其附加到存储池后,您应测试与 Active Directory 服务的连接

gcloud

创建 Active Directory 政策:

  gcloud netapp active-directories create CONFIG_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --dns=DNS_LIST \
    --domain=DOMAIN_NAME \
    --net-bios-prefix=NetBIOS_PREFIX \
    --username=USERNAME \
    --password=PASSWORD \

替换以下信息:

  • CONFIG_NAME:您要创建的配置的名称。 每个区域的配置名称必须是唯一的。

  • PROJECT_ID:您要在其中创建 Active Directory 政策的项目 ID。

  • LOCATION:您要在其中创建配置的区域。Google Cloud NetApp Volumes 仅支持每个区域一种配置。

  • DNS_LIST:以英文逗号分隔的列表,其中包含最多三个 Active Directory DNS 服务器的 IPv4 地址。

  • DOMAIN_NAME:Active Directory 的完全限定域名。

  • NetBIOS_PREFIX:您要创建的服务器的 NetBIOS 名称前缀。系统会自动生成一个五字符随机 ID(例如 -6f9a),并将其附加到前缀。

    完整的 UNC 共享路径采用以下格式:

    \\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.

  • USERNAME:有权加入网域的网域用户的名称。

  • PASSWORD:用户名的密码。

如需详细了解其他可选标志,请参阅 Google Cloud SDK 文档中的 Active Directory 创建

后续步骤

测试 Active Directory 政策连接