Questa pagina fornisce istruzioni su come creare un criterio Active Directory.
Prima di iniziare
Assicurati che il servizio Active Directory sia raggiungibile, consulta Controller di dominio Active Directory e Regole firewall per l'accesso ad Active Directory.
Configura Cloud DNS in modo da inoltrare le richieste DNS per il tuo dominio Windows ai tuoi server DNS Windows per consentire alle macchine virtuali Compute Engine di Google Cloud di risolvere gli hostname di Active Directory, come il nome NetBIOS utilizzato da Google Cloud NetApp Volumes. Per ulteriori informazioni, consulta le best practice per l'utilizzo delle zone di inoltro private di Cloud DNS. Questo è necessario per Active Directory on-premise e per Active Directory basato su Compute Engine.
Quando crei volumi SMB, NetApp Volumes utilizza aggiornamenti DNS dinamici sicuri per registrare il nome host. Questa procedura funziona bene quando utilizzi il DNS Active Directory. Se utilizzi un servizio DNS di terze parti per ospitare la zona per il tuo dominio Windows, assicurati che sia configurato per supportare gli aggiornamenti DDNS sicuri. In caso contrario, la creazione dei volumi del tipo di servizio Flex non riuscirà.
Le impostazioni dei criteri di Active Directory non vengono applicate finché non crei il primo volume che richiede Active Directory nella regione specificata. Durante la creazione del volume, impostazioni errate possono causare errori di creazione del volume.
Crea un criterio Active Directory
Segui le istruzioni riportate di seguito per creare un criterio Active Directory utilizzando la consoleGoogle Cloud o Google Cloud CLI.
Console
Segui le istruzioni riportate di seguito per creare un criterio Active Directory nella console Google Cloud :
Vai alla pagina Volumi NetApp nella console Google Cloud .
Seleziona Criteri di Active Directory.
Fai clic su Crea.
Nella finestra di dialogo Crea criterio Active Directory, compila i campi indicati nella tabella seguente.
I campi obbligatori sono contrassegnati da un asterisco (*).
Campo Descrizione Si applica a NFS Si applica alle piccole e medie imprese Si applica al doppio protocollo Nome del criterio Active Directory* Il nome dell'identificatore univoco del criterio Descrizione (Facoltativo) Puoi inserire una descrizione per il criterio Regione Regione* Associa Active Directory a tutti i volumi nella regione specificata. Dettagli della connessione Active Directory Nome di dominio* Nome di dominio completo per il dominio Active Directory. Server DNS* Elenco separato da virgole di un massimo di tre indirizzi IP dei server DNS utilizzati per il rilevamento del controller di dominio basato su DNS. Sito Specifica un sito di Active Directory per gestire la selezione del domain controller.
Da utilizzare quando sono presenti controller di dominio Active Directory configurati in regioni diverse. Se viene lasciato vuoto, viene utilizzato il valore predefinito Default-First-Site-Name.Unità organizzativa Nome dell'unità organizzativa in cui intendi creare l'account computer per i NetApp Volumes.
Se viene lasciato vuoto, viene utilizzato il valore predefinito CN=Computers.Prefisso nome NetBIOS* Prefisso del nome NetBIOS del server da creare.
Viene generato automaticamente un ID casuale di cinque caratteri, ad esempio-6f9a, e aggiunto al prefisso. Il percorso completo della condivisione UNC ha il seguente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Abilitare la crittografia AES per l'autenticazione di Active Directory Abilita la crittografia AES-128 e AES-256 per le comunicazioni con Active Directory basate su Kerberos Credenziali Active Directory Nome utente* e password* Credenziali per l'account Active Directory con autorizzazioni per creare l'account di calcolo all'interno dell'unità organizzativa specificata. Impostazioni SMB Amministratori Account utente di un dominio da aggiungere al gruppo Amministratori locale del servizio SMB.
Fornisci un elenco separato da virgole di gruppi o utenti di dominio. Il gruppo Amministratore del dominio viene aggiunto automaticamente quando il servizio si unisce al tuo dominio come gruppo nascosto.
Gli amministratori utilizzano solo il nome dell'account Security Account Manager (SAM). Il nome dell'account SAM supporta un massimo di 20 caratteri per il nome utente e 64 caratteri per il nome del gruppo.
Nota: questa opzione è disponibile solo nell'API REST o in Google Cloud CLI.Operatori di backup Account utente di un dominio da aggiungere al gruppo Operatori di backup del servizio SMB. Il gruppo Operatori di backup consente ai membri di eseguire il backup e il ripristino dei file indipendentemente dal fatto che dispongano dell'accesso in lettura o scrittura ai file.
Fornisci un elenco separato da virgole di gruppi o utenti di dominio.
Gli operatori di backup utilizzano solo il nome dell'account Security Account Manager (SAM). Il nome dell'account SAM supporta un massimo di 20 caratteri per il nome utente e 64 caratteri per il nome del gruppo.Utenti con privilegi di sicurezza Account di dominio che richiedono privilegi elevati, ad esempio SeSecurityPrivilege, per gestire i log di sicurezza.
Fornisci un elenco separato da virgole di gruppi o utenti di dominio. Questo è necessario in modo specifico per l'installazione di un server SQL in cui i file binari e i database di sistema sono archiviati in una condivisione SMB. Questa opzione non è obbligatoria se utilizzi un utente amministratore durante l'installazione.Impostazioni NFS Nome host del centro di distribuzione chiavi Kerberos Nome host del server Active Directory utilizzato come centro di distribuzione chiavi Kerberos NFSv4.1 con Kerberos SMB e NFSv4.1 con Kerberos IP KDC Indirizzo IP del server Active Directory utilizzato come centro di distribuzione chiavi Kerberos NFSv4.1 con Kerberos SMB e NFSv4.1 con Kerberos Consenti utenti NFS locali con LDAP Gli utenti UNIX locali sui client senza informazioni utente valide in Active Directory non possono accedere ai volumi con LDAP abilitato.
Questa opzione può essere utilizzata per passare temporaneamente questi volumi all'autenticazioneAUTH_SYS(ID utente + 1-16 gruppi).Etichette Etichette (Facoltativo) Aggiungi etichette pertinenti Fai clic su Crea. Per i livelli di servizio Standard, Premium ed Extreme: dopo aver creato un criterio Active Directory e averlo collegato a un pool di archiviazione, devi testare la connessione al servizio Active Directory.
gcloud
Crea un criterio Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Sostituisci le seguenti informazioni:
CONFIG_NAME: il nome della configurazione che vuoi creare. Il nome della configurazione deve essere univoco per regione.PROJECT_ID: l'ID progetto in cui stai creando il criterio Active Directory.LOCATION: la regione in cui vuoi creare la configurazione. Google Cloud NetApp Volumes supportano una sola configurazione per regione.DNS_LIST: un elenco separato da virgole di massimo tre indirizzi IPv4 dei server DNS di Active Directory.DOMAIN_NAME: il nome di dominio completo di Active Directory.NetBIOS_PREFIX: prefisso del nome NetBIOS del server che vuoi creare. Viene generato automaticamente un ID casuale di cinque caratteri, ad esempio-6f9a, che viene aggiunto al prefisso.Il percorso completo della condivisione UNC ha il seguente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: il nome di un utente del dominio con l'autorizzazione ad aggiungersi al dominio.PASSWORD: la password per il nome utente.
Per ulteriori informazioni su altri flag facoltativi, consulta la documentazione dell'SDK Google Cloud sulla creazione di Active Directory.
Passaggi successivi
Testa la connessione del criterio Active Directory.