Domain erstellen

Auf dieser Seite erfahren Sie, wie Sie eine Domain mit Managed Service for Microsoft Active Directory erstellen.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Google Cloud-Konto haben, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.
  10. Erstellen Sie ein neues VPC-Netzwerk (Virtual Private Cloud), um Ihre Domain in einem vorhandenen Netzwerk bereitzustellen oder zu verwenden. Managed Microsoft AD unterstützt keine Legacy-Netzwerke. Notieren Sie sich den vollständigen Ressourcennamen Ihres VPC-Netzwerk, den Sie bei der Domainerstellung angeben müssen. Es hat das folgende Format: projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
    • Bevor Sie ein VPC-Netzwerk erstellen, lesen Sie den Abschnitt VPC-Netzwerke auswählen.
    • Achten Sie darauf, dass die APIs aktiviert und die VPC in dem Projekt erstellt wird, in dem Sie die Abrechnung aktiviert haben.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen der Kurzanleitung benötigen,

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Ausführen dieser Kurzanleitung erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um diese Kurzanleitung auszuführen:

  • managedidentities.domains.create
  • compute.networks.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Informationen einholen

Sie benötigen die folgenden Informationen, um Ihre Domain zu erstellen:

  • Ein vollständig qualifizierter Domainname (FQDN) z. B. ad.example.com. Weitere Informationen finden Sie unter Namenskonventionen von Microsoft in Active Directory.

  • Ein privater IP-Adressbereich, der von keinem der VPC-Subnetzwerke verwendet wird, z. B. 172.16.0.0/24, 192.168.0.0/24 oder 10.1.0.0/24. Wählen Sie idealerweise einen Bereich aus, der von keinem der VPC-Subnetzwerke verwendet wird, in denen Sie die Domain verwenden können. Weitere Informationen finden Sie unter IP-Adressbereiche auswählen.

  • Eine Region, für die der Domaincontroller bereitgestellt werden soll, z. B. us-central1. Wenn Sie eine Domain erstellen, können Sie den Domaincontroller nur in einer Region bereitstellen. Nachdem Sie die Domain erstellt haben, können Sie Domaincontroller in weiteren Regionen hinzufügen, um die Verfügbarkeit zu erhöhen und Ausfälle in der Region zu vermeiden.

    Informationen zu den unterstützten Regionen finden Sie unter Regionen.

  • Ein Nutzername für delegierte Administratorkonten. Sie können entweder den Standardnutzernamen (setupadmin) verwenden oder ihn ändern. Nachdem Sie die Domainerstellung abgeschlossen haben, können Sie diesen Nutzernamen jedoch nicht mehr ändern.

  • Der vollständige Ressourcenname des autorisierten VPC-Netzwerk im folgenden Format: projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME

Domain erstellen

Führen Sie die folgenden Schritte aus, um eine Domain zu erstellen:

Console

  1. Rufen Sie die Seite Managed Microsoft AD auf.
    Managed Microsoft AD aufrufen

  2. Wählen Sie Neue AD-Domain erstellen aus.

  3. Geben Sie auf der Seite Neue Domain erstellen die erfassten Informationen ein.

    • Geben Sie den voll qualifizierten Domainnamen (FQDN) für Ihre Domain ein.
    • Wählen Sie im Abschnitt Netzwerkdetails den Namen Ihres VPC-Netzwerks aus der Liste aus. Wählen Sie OK aus.
    • Geben Sie im Abschnitt CIDR-Bereich den IP-Adressbereich für Ihre Domain ein.
    • Wählen Sie im Abschnitt Regionen eine Region aus der Liste aus, in der Sie den Domaincontroller bereitstellen möchten.

    • Verwenden Sie im Abschnitt Delegierter Administrator im Feld Administratorname den Standardnutzernamen (setupadmin) oder geben Sie einen Nutzernamen für Ihr delegiertes Administratorkonto ein.

      Dies ist die einzige Möglichkeit, den Nutzernamen für das delegierte Administratorkonto zu ändern. Nach der Domainerstellung können Sie den Nutzernamen für das delegierte Administratorkonto nicht mehr ändern.

  4. Wählen Sie Domain erstellen aus.

Das Erstellen einer Domain kann bis zu 60 Minuten dauern. Wenn die Domainerstellung abgeschlossen ist, erhalten Sie eine Benachrichtigung in der Google Cloud Console.

Sie können den Status dieses Vorgangs jederzeit unter Benachrichtigungen in der Google Cloud Console aufrufen. Wenn die Domainerstellung fehlschlägt, klicken Sie unter Benachrichtigungen auf Alle Aktivitäten ansehen , um die Fehlermeldung aufzurufen.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus:

gcloud active-directory domains create FULLY_QUALIFIED_DOMAIN_NAME \
    --reserved-ip-range=CIDR_RANGE --region=REGION \
    --authorized-networks=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME

Ersetzen Sie die Platzhaltervariablen durch die erfassten Informationen.

Sie erhalten die folgende Antwort, die angibt, dass die Domainerstellung begonnen hat:

Create request issued for: FULLY_QUALIFIED_DOMAIN_NAME
Waiting for operation-1554140234884-5857b78a1a49e-02bc63a3-77e5c7ee to complete...

Das Erstellen einer Domain kann bis zu 60 Minuten dauern. Der Status des gcloud CLI-Vorgangs wird aktualisiert, wenn die Domainerstellung abgeschlossen ist.

Wenn die Domainerstellung fehlschlägt, wird in der gcloud CLI eine Fehlermeldung in der Befehlszeile angezeigt.

Sie können diesen Vorgang wiederholen, um mehrere unabhängige Domains im selben Projekt zu erstellen.

Wenn Sie die Anzahl der unabhängigen Domains erhöhen möchten, die Sie in demselben Projekt erstellen können, können Sie sich an den Support Google Cloud wenden.

Wenn Sie die Domain in einem Netzwerk in einem anderen Projekt verfügbar machen möchten, können Sie das Domain-Peering konfigurieren.

Sie können in Managed Microsoft AD keine Active Directory Standorte erstellen, da Managed Microsoft AD das Feature „Active Directory-Standorte und -Dienste“ nicht unterstützt.

Sie können in Managed Microsoft AD keine untergeordnete Domain erstellen. Außerdem kann Managed Microsoft AD nicht Teil einer anderen Active Directory-Domain sein, die entweder in Google Cloud oder lokal bereitgestellt wird. Nachdem Sie jedoch eine Managed Microsoft AD-Domain erstellt haben, können Sie eine Vertrauensstellung zwischen der Managed Microsoft AD-Domain und einer beliebigen anderen Nicht-Managed Microsoft AD-Domain erstellen.

Informationen zu den Fehlern, die beim Erstellen einer Domain auftreten können, finden Sie unter Es kann keine Managed Microsoft AD Domain erstellt werden.

Nächste Schritte