本页介绍了如何创建 Active Directory 政策。
准备工作
确保 Active Directory 服务可访问,请参阅 Active Directory 网域控制器和Active Directory 访问权限的防火墙规则。
配置 Cloud DNS 将 Windows 网域的 DNS 请求转发到 Windows DNS 服务器,以便您的 Google Cloud Compute Engine 虚拟机解析 Active Directory 主机名,例如 Google Cloud NetApp Volumes 使用的 Netbios 名称。如需了解详情,请参阅使用 Cloud DNS 专用转发可用区的最佳实践。本地 Active Directory 和基于 Compute Engine 的 Active Directory 都需要此设置。
创建 SMB 卷时,NetApp Volumes 会使用安全的动态 DNS 更新来注册其主机名。当您使用 Active Directory DNS 时,此过程非常有效。如果您使用第三方 DNS 服务托管 Windows 网域的区域,请确保该服务配置为支持安全的 DDNS 更新。否则,创建 Flex 服务类型卷将失败。
只有在您在指定区域创建需要 Active Directory 的第一个卷后,Active Directory 政策设置才会应用。在创建卷期间,设置不正确可能会导致卷创建失败。
创建 Active Directory 政策
请按照以下说明使用Google Cloud 控制台或 Google Cloud CLI 创建 Active Directory 政策。
控制台
按照以下说明在Google Cloud 控制台中创建 Active Directory 政策:
在 Google Cloud 控制台中,前往 NetApp 卷页面。
选择 Active Directory 政策。
点击创建。
在创建 Active Directory 政策对话框中,填写下表中所示的字段。
必填字段标有星号 (*)。
字段 说明 适用于 NFS 适用于 SMB 适用于双协议 Active Directory 政策名称* 政策的唯一标识符名称 说明 可选:您可以为政策输入说明 区域 地区* 将 Active Directory 与指定区域中的所有卷相关联。 Active Directory 连接详细信息 域名* Active Directory 网域的完全限定域名。 DNS 服务器* 以英文逗号分隔的 DNS 服务器 IP 地址列表(最多包含 3 个地址),用于基于 DNS 的域控制器发现。 网站 指定 Active Directory 站点以管理网域控制器选择。
如果有多个区域配置了 Active Directory 域控制器,则采用此项设置。如果留空,则默认为 Default-First-Site-Name。组织部门 您打算为 NetApp Volumes 创建计算机账号的组织部门的名称。
如果留空,则默认为 CN=Computers。NetBIOS 名称前缀* 要创建的服务器的 NetBIOS 名称前缀。
系统会自动生成一个五位数的随机 ID(例如-6f9a),并将其附加到前缀。完整的 UNC 共享路径的格式如下:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>。为 Active Directory 身份验证启用 AES 加密 为与 Active Directory 的基于 Kerberos 的通信启用 AES-128 和 AES-256 加密 Active Directory 凭据 用户名* 和密码* 具有在指定组织部门内创建计算账号权限的 Active Directory 账号的凭据。 SMB 设置 管理员 要添加到 SMB 服务的本地“管理员”群组中的网域用户账号。
请提供以英文逗号分隔的网域用户或群组的列表。当该服务以隐藏组的身份加入您的网域时,系统会自动添加“网域管理员”组。
管理员只能使用安全账号经理 (SAM) 账号名称。SAM 账号名称的用户名不得超过 20 个字符,群组名称不得超过 64 个字符。
注意:此选项仅在 REST API 或 Google Cloud CLI 中提供。备份运算符 要添加到 SMB 服务的“备份操作员”群组中的网域用户账号。借助“备份操作员”群组,无论成员是否拥有对文件的读取或写入权限,都可以备份和恢复文件。
请提供以英文逗号分隔的网域用户或群组的列表。
备用操作员只能使用安全账号经理 (SAM) 账号名称。SAM 账号名称的用户名不得超过 20 个字符,群组名称不得超过 64 个字符。拥有安全权限的用户 需要提升权限(例如 SeSecurityPrivilege)才能管理安全日志的网域账号。
请提供以英文逗号分隔的网域用户或群组的列表。这对于安装将二进制文件和系统数据库存储在 SMB 共享上的 SQL Server 尤为重要。如果您在安装过程中使用的是管理员用户,则无需使用此选项。NFS 设置 Kerberos 密钥分发主机名 用作 Kerberos 密钥分发中心的 Active Directory 服务器的主机名 带 Kerberos 的 NFSv4.1 支持 Kerberos 的 SMB 和 NFSv4.1 KDC IP 用作 Kerberos 密钥分发中心的 Active Directory 服务器的 IP 地址 带 Kerberos 的 NFSv4.1 支持 Kerberos 的 SMB 和 NFSv4.1 允许使用 LDAP 的本地 NFS 用户 如果客户端上的本地 UNIX 用户在 Active Directory 中没有有效的用户信息,则会被禁止访问启用了 LDAP 的卷。
此选项可用于暂时将此类卷切换为AUTH_SYS身份验证(用户 ID + 1-16 个群组)。标签 标签 可选:添加相关标签 点击创建。对于标准、高级和极速服务等级:创建 Active Directory 政策并将其附加到存储池后,您应测试与 Active Directory 服务的连接。
gcloud
创建 Active Directory 政策:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
替换以下信息:
CONFIG_NAME:您要创建的配置的名称。每个区域的配置名称必须是唯一的。PROJECT_ID:您要在其中创建 Active Directory 政策的项目 ID。LOCATION:您要在其中创建配置的区域。Google Cloud NetApp Volumes 仅支持每个区域一个配置。DNS_LIST:Active Directory DNS 服务器的最多三个 IPv4 地址的逗号分隔列表。DOMAIN_NAME:Active Directory 的完全限定域名。NetBIOS_PREFIX:您要创建的服务器的 NetBIOS 名称前缀。系统会自动生成一个五位数的随机 ID(例如-6f9a),并将其附加到前缀。完整的 UNC 共享路径采用以下格式:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME:有权加入网域的网域用户的名称。PASSWORD:用户名的密码。
如需详细了解其他可选标志,请参阅 Google Cloud SDK 文档中的 Active Directory 创建部分。