Halaman ini memberikan petunjuk tentang cara membuat kebijakan Active Directory.
Sebelum memulai
Pastikan layanan Active Directory dapat dijangkau, lihat Pengontrol domain Active Directory dan Aturan firewall untuk akses Active Directory.
Konfigurasikan Cloud DNS untuk meneruskan permintaan DNS untuk domain Windows ke server DNS Windows agar mesin virtual Compute Engine Google Cloud Google Cloud dapat me-resolve nama host Active Directory, seperti nama Netbios yang digunakan oleh Volume NetApp Google Cloud. Untuk informasi selengkapnya, lihat Praktik terbaik untuk menggunakan zona penerusan pribadi Cloud DNS. Tindakan ini diperlukan untuk Active Directory lokal serta Active Directory yang di-build di Compute Engine.
Saat membuat volume SMB, NetApp Volumes menggunakan update DNS dinamis yang aman untuk mendaftarkan nama hostnya. Proses ini berfungsi dengan baik saat Anda menggunakan DNS Active Directory. Jika Anda menggunakan layanan DNS pihak ketiga untuk menghosting zona untuk domain Windows, pastikan layanan tersebut dikonfigurasi untuk mendukung update DDNS yang aman. Jika tidak, pembuatan volume jenis layanan Flex akan gagal.
Setelan kebijakan Active Directory tidak akan diterapkan hingga Anda membuat volume pertama yang memerlukan Active Directory di region yang ditentukan. Selama pembuatan volume, setelan yang salah dapat menyebabkan kegagalan pembuatan volume.
Membuat kebijakan Active Directory
Gunakan petunjuk berikut untuk membuat kebijakan Active Directory menggunakan konsolGoogle Cloud atau Google Cloud CLI.
Konsol
Gunakan petunjuk berikut untuk membuat kebijakan Active Directory di konsolGoogle Cloud :
Buka halaman NetApp Volumes di konsol Google Cloud .
Pilih Kebijakan Active Directory.
Klik Create.
Pada dialog Create Active Directory Policy, isi kolom yang ditampilkan dalam tabel berikut.
Kolom yang wajib diisi ditandai dengan tanda bintang (*).
Kolom Deskripsi Berlaku untuk NFS Berlaku untuk SMB Berlaku untuk protokol ganda Nama kebijakan Active Directory* Nama ID unik untuk kebijakan Deskripsi Opsional: Anda dapat memasukkan deskripsi untuk kebijakan Wilayah Region* Mengaitkan Active Directory ke semua volume di region yang ditentukan. Detail koneksi Active Directory Nama domain* Nama domain yang sepenuhnya memenuhi syarat untuk domain Active Directory. Server DNS* Daftar yang dipisahkan koma berisi maksimal tiga alamat IP server DNS yang digunakan untuk penemuan pengontrol domain berbasis DNS. Situs Menentukan situs Active Directory untuk mengelola pemilihan pengontrol domain.
Gunakan saat pengontrol domain Active Directory di beberapa region dikonfigurasi. Default-nya adalah Default-First-Site-Name jika dibiarkan kosong.Unit Organisasi Nama Unit Organisasi tempat Anda ingin membuat akun komputer untuk Volume NetApp.
Default-nya adalah CN=Computers jika dibiarkan kosong.Awalan Nama NetBIOS* Awalan nama NetBIOS server yang akan dibuat.
ID acak lima karakter dibuat secara otomatis, misalnya,-6f9a, dan ditambahkan ke awalan. Jalur berbagi UNC lengkap memiliki format berikut:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Mengaktifkan Enkripsi AES untuk autentikasi Active Directory Mengaktifkan enkripsi AES-128 dan AES-256 untuk komunikasi berbasis Kerberos dengan Active Directory Kredensial Active Directory Nama Pengguna* dan Sandi* Kredensial untuk akun Active Directory dengan izin untuk membuat akun komputasi dalam unit organisasi yang ditentukan. Setelan SMB Administrator Akun pengguna domain yang akan ditambahkan ke grup Administrator lokal layanan SMB.
Berikan daftar pengguna atau grup domain yang dipisahkan koma. Grup Admin Domain akan otomatis ditambahkan saat layanan bergabung dengan domain Anda sebagai grup tersembunyi.
Administrator hanya menggunakan nama Akun Security Account Manager (SAM). Nama Akun SAM mendukung maksimal 20 karakter untuk nama pengguna dan 64 karakter untuk nama grup.
Catatan: Opsi ini hanya tersedia di REST API atau Google Cloud CLI.Operator Cadangan Akun pengguna domain yang akan ditambahkan ke grup Backup Operators dari layanan SMB. Grup Operator Pencadangan memungkinkan anggota mencadangkan dan memulihkan file, terlepas dari apakah mereka memiliki akses baca atau tulis ke file tersebut.
Berikan daftar pengguna atau grup domain yang dipisahkan koma.
Operator Pencadangan hanya menggunakan nama Akun Security Account Manager (SAM). Nama Akun SAM mendukung maksimal 20 karakter untuk nama pengguna dan 64 karakter untuk nama grup.Pengguna Hak Istimewa Keamanan Akun domain yang memerlukan hak istimewa yang ditingkatkan seperti SeSecurityPrivilegeuntuk mengelola log keamanan.
Berikan daftar pengguna atau grup domain yang dipisahkan koma. Hal ini khusus diperlukan untuk penginstalan SQL Server tempat biner dan database sistem disimpan di berbagi SMB. Opsi ini tidak diperlukan jika Anda menggunakan pengguna administrator selama penginstalan.Setelan NFS Nama Host Distribusi Kunci Kerberos Nama host server Active Directory yang digunakan sebagai Key Distribution Center Kerberos NFSv4.1 dengan Kerberos SMB dan NFSv4.1 dengan Kerberos IP KDC Alamat IP server Active Directory yang digunakan sebagai Key Distribution Center Kerberos NFSv4.1 dengan Kerberos SMB dan NFSv4.1 dengan Kerberos Mengizinkan pengguna NFS lokal dengan LDAP Pengguna UNIX lokal di klien tanpa informasi pengguna yang valid di Active Directory akan diblokir dari akses ke volume yang mengaktifkan LDAP.
Opsi ini dapat digunakan untuk mengalihkan volume tersebut ke autentikasiAUTH_SYSuntuk sementara (ID pengguna + 1-16 grup).Label Label Opsional: tambahkan label yang relevan Klik Create. Untuk tingkat layanan Standard, Premium, dan Extreme: setelah membuat kebijakan Active Directory dan melampirkan kebijakan tersebut dengan kumpulan penyimpanan, Anda harus menguji koneksi ke layanan Active Directory.
gcloud
Buat kebijakan Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Ganti informasi berikut:
CONFIG_NAME: nama konfigurasi yang ingin Anda buat. Nama konfigurasi harus unik per region.PROJECT_ID: project ID tempat Anda membuat kebijakan Active Directory.LOCATION: region tempat Anda ingin membuat konfigurasi. Google Cloud NetApp Volumes hanya mendukung satu konfigurasi per region.DNS_LIST: daftar yang dipisahkan koma yang berisi maksimum tiga alamat IPv4 server DNS Active Directory.DOMAIN_NAME: nama domain yang sepenuhnya memenuhi syarat dari Active Directory.NetBIOS_PREFIX: Awalan nama NetBIOS server yang ingin Anda buat. ID acak lima karakter dibuat secara otomatis, seperti-6f9a, dan ditambahkan ke awalan.Jalur berbagi UNC lengkap memiliki format berikut:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: Nama pengguna domain dengan izin untuk bergabung ke domain.PASSWORD: Sandi untuk nama pengguna.
Untuk informasi selengkapnya tentang flag opsional tambahan, lihat dokumentasi Google Cloud SDK tentang pembuatan Active Directory.
Langkah selanjutnya
Uji koneksi kebijakan Active Directory.