Cette page explique comment créer une stratégie Active Directory.
Avant de commencer
Assurez-vous que le service Active Directory est accessible. Pour en savoir plus, consultez les articles Contrôleurs de domaine Active Directory et Règles de pare-feu pour l'accès à Active Directory.
Configurez Cloud DNS pour transférer les requêtes DNS de votre domaine Windows vers vos serveurs DNS Windows afin de permettre à vos machines virtuelles Compute Engine Google Cloud de résoudre les noms d'hôte Active Directory, comme le nom NetBIOS utilisé par les Google Cloud NetApp Volumes. Pour en savoir plus, consultez les Bonnes pratiques pour utiliser les zones de transfert privées Cloud DNS. Cela est nécessaire pour Active Directory sur site et pour Active Directory basé sur Compute Engine.
Lors de la création de volumes SMB, NetApp Volumes utilise des mises à jour DNS dynamiques sécurisées pour enregistrer son nom d'hôte. Ce processus fonctionne bien lorsque vous utilisez le DNS Active Directory. Si vous utilisez un service DNS tiers pour héberger la zone de votre domaine Windows, assurez-vous qu'il est configuré pour prendre en charge les mises à jour DDNS sécurisées. Sinon, la création de volumes de type de service Flex échouera.
Les paramètres de stratégie Active Directory ne s'appliquent qu'une fois que vous avez créé le premier volume nécessitant Active Directory dans la région spécifiée. Lors de la création de ce volume, des paramètres incorrects peuvent entraîner un échec de la création.
Créer une stratégie Active Directory
Suivez les instructions ci-dessous pour créer une stratégie Active Directory à l'aide de la consoleGoogle Cloud ou de la Google Cloud CLI.
Console
Suivez les instructions ci-dessous pour créer une stratégie Active Directory dans la consoleGoogle Cloud :
Accédez à la page Volumes NetApp dans la console Google Cloud .
Sélectionnez Stratégies Active Directory.
Cliquez sur Créer.
Dans la boîte de dialogue Create Active Directory Policy (Créer une règle Active Directory), renseignez les champs indiqués dans le tableau suivant.
Les champs obligatoires sont marqués d'un astérisque (*).
Champ Description S'applique à NFS S'applique aux SMB S'applique au double protocole Nom de la stratégie Active Directory* Nom de l'identifiant unique de la règle Description Facultatif: vous pouvez saisir une description de la stratégie. Région Région* Associe Active Directory à tous les volumes de la région spécifiée. Informations sur la connexion Active Directory Nom de domaine* Nom de domaine complet du domaine Active Directory. Serveurs DNS* Liste d'adresses IP de serveurs DNS (trois au maximum) séparées par une virgule, utilisées pour la découverte de contrôleurs de domaine basés sur DNS. Site Indique un site Active Directory pour gérer la sélection de contrôleurs de domaine.
Utilisez ce champ lorsque des contrôleurs de domaine Active Directory sont configurés dans plusieurs régions. Si vous ne spécifiez pas de valeur, la valeur est fixée par défaut sur Default-First-Site-Name.Unité organisationnelle Nom de l'unité organisationnelle dans laquelle vous souhaitez créer le compte ordinateur pour les NetApp Volumes.
Si vous ne spécifiez pas de valeur, la valeur par défaut est CN=Computers.Préfixe de nom NetBIOS* Préfixe de nom NetBIOS du serveur à créer.
Un ID aléatoire de cinq caractères est généré automatiquement (par exemple,-6f9a) et ajouté au préfixe. Le chemin d'accès complet au partage UNC a le format suivant :
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Activer le chiffrement AES pour l'authentification Active Directory Active le chiffrement AES-128 et AES-256 pour la communication basée sur Kerberos avec Active Directory. Identifiants Active Directory Nom d'utilisateur* et mot de passe* Identifiants du compte Active Directory disposant des autorisations nécessaires pour créer le compte de calcul dans l'unité organisationnelle spécifiée. Paramètres SMB Administrateurs Comptes utilisateur du domaine à ajouter au groupe Administrateurs local du service SMB.
Fournissez une liste d'utilisateurs ou de groupes du domaine séparés par une virgule. Le groupe "Domain Admin" est automatiquement ajouté lorsque le service rejoint votre domaine en tant que groupe masqué.
Les administrateurs n'utilisent que le nom du compte Security Account Manager (SAM). Le nom du compte SAM accepte un maximum de 20 caractères pour votre nom d'utilisateur et 64 caractères pour votre nom de groupe.
Remarque: Cette option n'est disponible que dans l'API REST ou la Google Cloud CLI.Opérateurs de sauvegarde Comptes utilisateur du domaine à ajouter au groupe d'opérateurs de sauvegarde du service SMB. Le groupe "Backup Operators" permet aux membres de sauvegarder et de restaurer des fichiers, qu'ils disposent ou non d'un accès en lecture ou en écriture aux fichiers.
Fournissez une liste d'utilisateurs ou de groupes du domaine séparés par une virgule.
Les opérateurs de sauvegarde n'utilisent que le nom du compte Security Account Manager (SAM). Le nom du compte SAM accepte un maximum de 20 caractères pour votre nom d'utilisateur et 64 caractères pour votre nom de groupe.Utilisateurs disposant de droits concernant la sécurité Comptes de domaine nécessitant des droits élevés, tels que SeSecurityPrivilege, pour gérer les journaux de sécurité.
Fournissez une liste d'utilisateurs ou de groupes du domaine, séparés par une virgule. Cela est particulièrement nécessaire pour l'installation d'un SQL Server où les binaires et les bases de données système sont stockés sur un partage SMB. Cette option n'est pas obligatoire si vous utilisez un utilisateur administrateur lors de l'installation.Paramètres NFS Nom d'hôte du centre de distribution de clés Kerberos Nom d'hôte du serveur Active Directory utilisé comme centre de distribution de clés Kerberos NFSv4.1 avec Kerberos SMB et NFSv4.1 avec Kerberos Adresse IP du KDC Adresse IP du serveur Active Directory utilisé comme centre de distribution de clés Kerberos NFSv4.1 avec Kerberos SMB et NFSv4.1 avec Kerberos Autoriser les utilisateurs NFS locaux avec LDAP Les utilisateurs UNIX locaux sur les clients sans informations utilisateur valides dans Active Directory ne peuvent pas accéder aux volumes compatibles avec LDAP.
Cette option permet de passer temporairement ces volumes à l'authentificationAUTH_SYS(ID utilisateur + 1 à 16 groupes).Étiquettes Libellés Facultatif: ajoutez des libellés pertinents Cliquez sur Créer. Pour les niveaux de service Standard, Premium et Extreme: après avoir créé une stratégie Active Directory et l'avoir associée à un pool de stockage, vous devez tester la connexion au service Active Directory.
gcloud
Créez une stratégie Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Remplacez les informations suivantes:
CONFIG_NAME: nom de la configuration que vous souhaitez créer. Le nom de la configuration doit être unique par région.PROJECT_ID: ID du projet dans lequel vous créez la stratégie Active Directory.LOCATION: région dans laquelle vous souhaitez créer la configuration. Google Cloud NetApp Volumes n'accepte qu'une seule configuration par région.DNS_LIST: liste d'adresses IPv4 de serveurs DNS Active Directory, séparées par une virgule, pouvant contenir jusqu'à trois adresses.DOMAIN_NAME: nom de domaine complet d'Active Directory.NetBIOS_PREFIX: préfixe de nom NetBIOS du serveur que vous souhaitez créer. Un ID aléatoire à cinq caractères est généré automatiquement, par exemple-6f9a, et ajouté au préfixe.Le chemin d'accès complet au partage UNC est au format suivant:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: nom d'un utilisateur de domaine autorisé à rejoindre le domaine.PASSWORD: mot de passe du nom d'utilisateur.
Pour en savoir plus sur les autres options facultatives, consultez la documentation du SDK Google Cloud sur la création d'annuaires Active Directory.
Étape suivante
Testez la connexion de la stratégie Active Directory.