ドメインを作成する
このトピックでは、Managed Service for Microsoft Active Directory を使用してドメインを作成する方法を示します。
準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
-
Managed Microsoft AD、Cloud DNS、Compute Engine API を有効にします。
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
-
Managed Microsoft AD、Cloud DNS、Compute Engine API を有効にします。
-
新しい Virtual Private Cloud(VPC)ネットワークを作成して、ドメインをデプロイするか、既存のドメインを使用します。 Managed Microsoft AD はレガシー ネットワークをサポートしていません。VPC ネットワークの完全なリソース名をメモします。この名前は、ドメイン作成プロセス中に指定する必要があります。次の形式になります。
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME- VPC ネットワークを作成する前に、VPC ネットワークの選択をお読みください。
- API を有効にし、課金を有効にしたのと同じプロジェクトに VPC を作成してください。
情報を収集する
ドメインを作成するには、次の情報が必要です。
完全修飾ドメイン名(FQDN)(例:
ad.example.com)。詳しくは、Active Directory における Microsoft の命名規則をご覧ください。どの VPC サブネットワークでも使用されていないプライベート IP アドレス範囲(
172.16.0.0/24、192.168.0.0/24、10.1.0.0/24など)。理想的には、ドメインを使用できる VPC サブネットワークのいずれも使用していない範囲を選択する必要があります。詳細については、IP アドレス範囲を選択するをご覧ください。ドメイン コントローラーをデプロイするリージョン、たとえば、
us-central1です。ドメインを作成するときに、ドメイン コントローラを 1 つのリージョンにのみデプロイできます。ドメインを作成したら、追加のリージョンにドメイン コントローラを追加して可用性を高め、リージョンの停止に対する耐障害性を実現できます。サポートされているリージョンについては、リージョンをご覧ください。
委任された管理者アカウントのユーザー名。デフォルトのユーザー名(
setupadmin)を使用することも、変更することもできます。ただし、ドメインの作成の完了後にこのユーザー名を変更することはできません。認可済み VPC ネットワークの完全なリソース名。形式は
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAMEです。
ドメインを作成する
ドメインを作成するには、次の手順を行います。
コンソール
[マネージド Microsoft AD] ページに移動します。
[マネージド Microsoft AD] に移動[新しい AD ドメインを作成] を選択します。
[新しいドメインの作成] ページで、収集された情報を入力します。
- ドメインの完全修飾ドメイン名(FQDN)を入力します。
- [ネットワークの詳細] セクションで、リストから VPC ネットワーク名を選択します。[OK] を選択します。
- [CIDR 範囲] セクションで、ドメインの IP アドレス範囲を入力します。
- [リージョン] セクションで、ドメイン コントローラをデプロイするリストからリージョンを選択します。
[代理管理者] セクションの [管理者名] フィールドに、デフォルトのユーザー名(
setupadmin)を使用するか、委任された管理者アカウントのユーザー名を入力します。注: ここでのみ、委任された管理者アカウントのユーザー名を変更できます。ドメインの作成後に、委任された管理者アカウントのユーザー名を変更することはできません。
[ドメインを作成] を選択します。
ドメインの作成には最大 60 分かかります。ドメインの作成が完了すると、Google Cloud コンソールに通知が届きます。
このオペレーションのステータスは、Google Cloud コンソールの [通知] でいつでも確認できます。ドメインの作成に失敗した場合は、[通知] で [すべてのアクティビティを表示] をクリックしてエラー メッセージを表示します。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud active-directory domains create FULLY_QUALIFIED_DOMAIN_NAME \
--reserved-ip-range=CIDR_RANGE --region=REGION \
--authorized-networks=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
プレースホルダ変数を収集した情報に置き換えます。
ドメインの作成が開始されたことを知らせる応答が届きます。
Create request issued for: FULLY_QUALIFIED_DOMAIN_NAME Waiting for operation-1554140234884-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
ドメインの作成には最大 60 分かかります。ドメインの作成が完了すると、gcloud CLI のオペレーション ステータスが更新されます。
ドメインの作成に失敗すると、gcloud CLI によってコマンドラインにエラー メッセージが表示されます。
このプロセスを繰り返して、同じプロジェクトに複数の独立したドメインを作成できます。
同じプロジェクトで作成できる独立したドメインの数を増やす場合は、Google Cloud サポートまでお問い合わせください。
別のプロジェクトのネットワークでドメインを使用できるようにするには、ドメイン ピアリングを構成します。
マネージド Microsoft AD は Active Directory サイトとサービスの機能をサポートしていないため、マネージド Microsoft AD で Active Directory サイトを作成することはできません。
Managed Microsoft AD で子ドメインを作成することはできません。また、Managed Microsoft AD を、Google Cloud またはオンプレミスにデプロイされた他の Active Directory ドメインに含めることはできません。ただし、マネージド Microsoft AD ドメインを作成した後、マネージド Microsoft AD ドメインと他の非マネージド Microsoft AD ドメインの間に信頼関係を作成できます。
ドメインの作成時に発生する可能性のあるエラーについては、マネージド Microsoft AD ドメインを作成できませんをご覧ください。