本頁說明如何建立 Active Directory 政策。
事前準備
請確認 Active Directory 服務可連線,詳情請參閱「Active Directory 網域控制站」和「Active Directory 存取權的防火牆規則」。
設定 Cloud DNS,將 Windows 網域的 DNS 要求轉送至 Windows DNS 伺服器,讓 Google Cloud Compute Engine 虛擬機器解析 Active Directory 主機名稱,例如 Google Cloud NetApp Volumes 使用的 Netbios 名稱。詳情請參閱「使用 Cloud DNS 私人轉送區域的最佳做法」。無論是內部部署 Active Directory,還是以 Compute Engine 建構的 Active Directory,都必須執行這項操作。
建立 SMB 磁碟區時,NetApp Volumes 會使用安全的動態 DNS 更新來註冊主機名稱。使用 Active Directory DNS 時,這個程序效果良好。如果您使用第三方 DNS 服務代管 Windows 網域的區域,請確保該服務已設定為支援安全的 DDNS 更新。否則系統無法建立 Flex 服務類型的磁碟區。
您必須先在指定區域中建立第一個需要 Active Directory 的磁碟區,Active Directory 政策設定才會生效。如果設定有誤,可能會導致磁碟區建立失敗。
建立 Active Directory 政策
按照下列操作說明,使用Google Cloud 控制台或 Google Cloud CLI 建立 Active Directory 政策。
控制台
請按照下列操作說明,在Google Cloud 控制台中建立 Active Directory 政策:
前往 Google Cloud 控制台的「NetApp Volumes」頁面。
選取「Active Directory 政策」。
點選「建立」。
在「Create Active Directory Policy」(建立 Active Directory 政策) 對話方塊中,填寫下表所示的欄位。
必填欄位會以星號 (*) 標示。
欄位 說明 適用於 NFS 適用於 SMB 適用於雙重通訊協定 Active Directory 政策名稱* 政策的專屬 ID 名稱 說明 選用:您可以輸入政策說明 區域 區域* 將 Active Directory 與指定區域中的所有磁碟區建立關聯。 Active Directory 連線詳細資料 網域名稱* Active Directory 網域的完整網域名稱。 DNS 伺服器* 以半形逗號分隔的 DNS 伺服器 IP 位址清單 (最多 3 個位址),按照 DNS 探索網域控制器時可以使用。 網站 指定 Active Directory 網站,管理所選的網域控制器。
如果設有跨多個區域的 Active Directory 網域控制器,就會使用這個網站。 如果留空,預設值為「Default-First-Site-Name」Default-First-Site-Name。機構單位 您要在其中建立 NetApp Volumes 電腦帳戶的機構單位名稱。
如果留空,預設值為 CN=Computers。NetBIOS 名稱前置字串* 待建立伺服器的 NetBIOS 名稱前置字串。
系統會自動產生五個字元的隨機 ID,例如-6f9a,並附加至前置字串。完整的 UNC 共用路徑格式如下:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>。啟用 AES 加密機制來進行 Active Directory 驗證 啟用 AES-128 和 AES-256 加密機制,以便透過 Kerberos 與 Active Directory 通訊 Active Directory 憑證 使用者名稱* 和密碼* Active Directory 帳戶的憑證,該帳戶有權在指定機構單位中建立運算帳戶。 SMB 設定 管理員 要新增至 SMB 服務本機管理員群組的網域使用者帳戶。
如有多個網域使用者或群組,請以半形逗號分隔。服務加入網域時,系統會自動新增網域管理員群組,並將其設為隱藏群組。
管理員只會使用安全帳戶管理員 (SAM) 帳戶名稱。 SAM 帳戶名稱的長度上限為 20 個字元 (使用者名稱) 和 64 個字元 (群組名稱)。
備份運算子 要新增至 SMB 服務備份操作者群組的網域使用者帳戶。備份作業員群組的成員可以備份及還原檔案,無論他們是否具有檔案的讀取或寫入權限。
如有多個網域使用者或群組,請以半形逗號分隔。
備份作業員只會使用安全帳戶管理員 (SAM) 帳戶名稱。 SAM 帳戶名稱的使用者名稱長度上限為 20 個字元,群組名稱長度上限則為 64 個字元。安全性權限使用者 需要進階權限 (例如 SeSecurityPrivilege) 來管理安全性記錄的網域帳戶。
請提供網域使用者或群組清單,並以半形逗號分隔。如果要在 SMB 共用磁碟機上安裝 SQL Server,並將二進位檔和系統資料庫儲存在該磁碟機上,就必須執行這項操作。如果您在安裝期間使用管理員使用者,則不需要這個選項。NFS 設定 Kerberos 金鑰分配主機名稱 做為 Kerberos Key Distribution Center 的 Active Directory 伺服器主機名稱 使用 Kerberos 的 NFSv4.1 SMB 和 NFSv4.1 (搭配 Kerberos) KDC IP 做為 Kerberos Key Distribution Center 的 Active Directory 伺服器 IP 位址 使用 Kerberos 的 NFSv4.1 SMB 和 NFSv4.1 (搭配 Kerberos) 允許採用 LDAP 的本機 NFS 使用者 如果用戶端的本機 UNIX 使用者在 Active Directory 中沒有有效的使用者資訊,就無法存取已啟用 LDAP 的磁碟區。
這個選項可用於暫時將這類磁碟區切換為AUTH_SYS驗證 (使用者 ID + 1 到 16 個群組)。標籤 標籤 選用:新增相關標籤 按一下「建立」,服務水準為 Standard、Premium 和 Extreme:建立 Active Directory 政策並附加至儲存空間集區後,請測試與 Active Directory 服務的連線。
gcloud
建立 Active Directory 政策:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
請替換下列資訊:
CONFIG_NAME:要建立的設定名稱。 每個區域的設定名稱不得重複。PROJECT_ID:您要在其中建立 Active Directory 政策的專案 ID。LOCATION:要在哪個區域建立設定。每個區域僅支援一個設定。DNS_LIST:以逗號分隔的清單,最多可包含三個 Active Directory DNS 伺服器的 IPv4 位址。DOMAIN_NAME:Active Directory 的完整網域名稱。NetBIOS_PREFIX:要建立的伺服器 NetBIOS 名稱前置字串,系統會自動產生五個字元的隨機 ID,例如-6f9a,並附加至前置字串。完整的 UNC 共用路徑格式如下:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME:有權加入網域的網域使用者名稱。PASSWORD:使用者名稱的密碼。
如要進一步瞭解其他選用標記,請參閱 Google Cloud SDK 說明文件中的 Active Directory 建立作業。