Auf dieser Seite finden Sie eine Anleitung zum Erstellen einer Active Directory-Richtlinie.
Hinweise
Prüfen Sie, ob der Active Directory-Dienst erreichbar ist. Weitere Informationen finden Sie unter Active Directory-Domaincontroller und Firewallregeln für den Active Directory-Zugriff.
Konfigurieren Sie Cloud DNS so, dass DNS-Anfragen für Ihre Windows-Domain an Ihre Windows-DNS-Server weitergeleitet werden, damit Ihre Google Cloud Compute Engine-VMs Active Directory-Hostnamen auflösen können, z. B. den Netbios-Namen, der von Google Cloud NetApp-Volumes verwendet wird. Weitere Informationen finden Sie unter Best Practices für die Verwendung privater Cloud DNS-Weiterleitungszonen. Dies ist sowohl für lokales Active Directory als auch für auf Compute Engine basierendes Active Directory erforderlich.
Beim Erstellen von SMB-Volumes verwendet NetApp Volumes sichere dynamische DNS-Aktualisierungen, um den Hostnamen zu registrieren. Dieser Prozess funktioniert gut, wenn Sie Active Directory-DNS verwenden. Wenn Sie einen externen DNS-Dienst zum Hosten der Zone für Ihre Windows-Domain verwenden, achten Sie darauf, dass er für sichere DDNS-Aktualisierungen konfiguriert ist. Andernfalls schlägt die Erstellung von Volumes vom Typ „Flex-Dienst“ fehl.
Die Einstellungen für Active Directory-Richtlinien werden erst angewendet, wenn Sie das erste Volume erstellen, für das in der angegebenen Region Active Directory erforderlich ist. Falsche Einstellungen können während der Volume-Erstellung zu Fehlern führen.
Active Directory-Richtlinie erstellen
Folgen Sie der Anleitung unten, um mit derGoogle Cloud Console oder der Google Cloud CLI eine Active Directory-Richtlinie zu erstellen.
Konsole
Gehen Sie so vor, um in derGoogle Cloud Console eine Active Directory-Richtlinie zu erstellen:
Rufen Sie in der Google Cloud -Konsole die Seite NetApp-Volumes auf.
Wählen Sie Active Directory-Richtlinien aus.
Klicken Sie auf Erstellen.
Füllen Sie im Dialogfeld Active Directory-Richtlinie erstellen die Felder in der folgenden Tabelle aus.
Pflichtfelder sind mit einem Sternchen (*) gekennzeichnet.
Feld Beschreibung Gilt für NFS Gilt für SMB Gilt für Dual-Protokoll Name der Active Directory-Richtlinie* Der eindeutige Name der Richtlinie Beschreibung Optional: Sie können eine Beschreibung für die Richtlinie eingeben. Region Region* Verknüpft Active Directory mit allen Volumes in der angegebenen Region. Details zur Active Directory-Verbindung Domain name* Voll qualifizierter Domainname für die Active Directory-Domain. DNS-Server* Durch Kommas getrennte Liste von maximal drei DNS-Server-IP-Adressen, die für die DNS-basierte Suche nach Domaincontrollern verwendet werden. Website Gibt eine Active Directory-Website an, um die Auswahl des Domaincontrollers zu verwalten.
Verwenden Sie diese Option, wenn Active Directory-Domaincontroller in mehreren Regionen konfiguriert sind. Wenn Sie diesen Wert nicht angeben, wird Default-First-Site-Name verwendet.Organisationseinheit Name der Organisationseinheit, in der Sie das Computerkonto für NetApp-Volumes erstellen möchten.
Wenn Sie diesen Wert leer lassen, wird standardmäßig CN=Computers verwendet.NetBIOS-Namenspräfix* NetBIOS-Namenpräfix des zu erstellenden Servers.
Eine zufällige fünfstellige ID wird automatisch generiert, z. B.-6f9a
, und an das Präfix angehängt. Der vollständige UNC-Freigabepfad hat folgendes Format:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>
.AES-Verschlüsselung für die Active Directory-Authentifizierung aktivieren Aktiviert die AES-128- und AES-256-Verschlüsselung für die Kerberos-basierte Kommunikation mit Active Directory. Active Directory-Anmeldedaten Nutzername* und Passwort* Anmeldedaten für das Active Directory-Konto mit Berechtigungen zum Erstellen des Compute-Kontos innerhalb der angegebenen Organisationseinheit. SMB-Einstellungen Administratoren Domainnutzerkonten, die der lokalen Administratorgruppe des SMB-Dienstes hinzugefügt werden sollen.
Geben Sie eine durch Kommas getrennte Liste von Domainnutzern oder -gruppen an. Die Gruppe „Domain Admin“ wird automatisch hinzugefügt, wenn der Dienst Ihrer Domain beitritt.
Administratoren verwenden nur den Namen des Security Account Managers (SAM). Der SAM-Kontoname darf maximal 20 Zeichen für den Nutzernamen und 64 Zeichen für den Gruppennamen enthalten.
Hinweis: Diese Option ist nur in der REST API oder in der Google Cloud CLI verfügbar.Sicherungsoperatoren Domainnutzerkonten, die der Gruppe „Sicherungsoperatoren“ des SMB-Dienstes hinzugefügt werden sollen. Mit der Gruppe „Sicherungsoperatoren“ können Mitglieder Dateien sichern und wiederherstellen, unabhängig davon, ob sie Lese- oder Schreibzugriff auf die Dateien haben.
Geben Sie eine durch Kommas getrennte Liste von Domainnutzern oder -gruppen an.
Sicherungsoperatoren verwenden nur den Namen des Security Account Managers (SAM). Der SAM-Kontoname unterstützt maximal 20 Zeichen für den Nutzernamen und 64 Zeichen für den Gruppennamen.Nutzer mit Sicherheitsberechtigungen Domainkonten, die zum Verwalten von Sicherheitsprotokollen erhöhte Berechtigungen wie SeSecurityPrivilege
benötigen.
Geben Sie eine durch Kommas getrennte Liste von Domainnutzern oder -gruppen an. Dies ist insbesondere für die Installation eines SQL Servers erforderlich, bei dem Binärdateien und Systemdatenbanken in einer SMB-Freigabe gespeichert werden. Diese Option ist nicht erforderlich, wenn Sie während der Installation einen Administrator verwenden.NFS-Einstellungen Hostname der Kerberos-Schlüsselverteilung Hostname des Active Directory-Servers, der als Kerberos Key Distribution Center verwendet wird NFSv4.1 mit Kerberos SMB und NFSv4.1 mit Kerberos KDC-IP IP-Adresse des Active Directory-Servers, der als Kerberos-Schlüsselverteilungszentrum verwendet wird NFSv4.1 mit Kerberos SMB und NFSv4.1 mit Kerberos Lokale NFS-Nutzer mit LDAP zulassen Lokale UNIX-Nutzer auf Clients ohne gültige Nutzerinformationen in Active Directory können nicht auf LDAP-fähige Volumes zugreifen.
Mit dieser Option können Sie solche Volumes vorübergehend zurAUTH_SYS
-Authentifizierung (Nutzer-ID + 1–16 Gruppen) wechseln.Labels Labels Optional: Fügen Sie relevante Labels hinzu. Klicken Sie auf Erstellen. Für die Serviceebenen „Standard“, „Premium“ und „Extreme“: Nachdem Sie eine Active Directory-Richtlinie erstellt und mit einem Speicherpool verknüpft haben, sollten Sie die Verbindung zum Active Directory-Dienst testen.
gcloud
So erstellen Sie eine Active Directory-Richtlinie:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Ersetzen Sie die folgenden Informationen:
CONFIG_NAME
: Der Name der Konfiguration, die Sie erstellen möchten. Der Konfigurationsname muss pro Region eindeutig sein.PROJECT_ID
: Projekt-ID, in der Sie die Active Directory-Richtlinie erstellen.LOCATION
: Die Region, in der Sie die Konfiguration erstellen möchten. Google Cloud NetApp Volumes unterstützt nur eine Konfiguration pro Region.DNS_LIST
: eine durch Kommas getrennte Liste mit bis zu drei IPv4-Adressen von Active Directory-DNS-Servern.DOMAIN_NAME
: der voll qualifizierte Domainname des Active Directory.NetBIOS_PREFIX
: NetBIOS-Namenspräfix des Servers, den Sie erstellen möchten. Es wird automatisch eine fünfstellige Zufalls-ID generiert, z. B.-6f9a
, die an das Präfix angehängt wird.Der vollständige UNC-Freigabepfad hat folgendes Format:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME
: Der Name eines Domainnutzers mit Berechtigung zum Beitritt zur Domain.PASSWORD
: Passwort für den Nutzernamen.
Weitere Informationen zu zusätzlichen optionalen Flags finden Sie in der Google Cloud SDK-Dokumentation zum Erstellen von Active Directory-Objekten.
Nächste Schritte
Testen Sie die Verbindung der Active Directory-Richtlinie.