创建网域
本页介绍如何使用 Microsoft Active Directory 托管服务 创建网域。
准备工作
- 登录您的 Google Cloud 账号。如果您是 Google Cloud新手, 请创建一个账号来评估我们的产品在 实际场景中的表现。新客户还可获享 $300 赠金,用于 运行、测试和部署工作负载。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
创建新的 Virtual Private Cloud (VPC) 网络以将您的网域部署到其中,或使用现有网络。Microsoft AD 托管服务不支持 旧版网络。记下 VPC 网络的完整资源名称,您必须在网域创建过程中指定该名称。其格式如下:
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME- 在创建 VPC 网络之前,请务必阅读选择 VPC 网络。
- 确保在启用了结算功能的同一项目中启用 API 并创建 VPC。
所需的角色
如需获得完成本快速入门所需的权限,请让您的管理员为您授予项目的以下 IAM 角色:
-
Google Cloud Managed Identities Admin (
roles/managedidentities.admin) -
Compute Network User (
roles/compute.networkUser)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含 完成本快速入门所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需完成本快速入门,您需要拥有以下权限:
-
managedidentities.domains.create -
compute.networks.list
收集信息
您需要以下信息来创建网域:
一个 完全限定域名 (FQDN) 例如
ad.example.com。如需了解详情,请参阅 Microsoft 的命名 约定在 Active Directory 中。未被 VPC 的任何子网使用的专用 IP 地址范围;例如
172.16.0.0/24、192.168.0.0/24或10.1.0.0/24。最好选择可能会使用该网域的任何 VPC 子网均不使用的地址范围。 如需了解详情,请参阅选择 IP 地址 范围。要在其中部署网域控制器的区域;例如
us-central1。创建网域时,您只能在一个区域中部署网域控制器。创建网域后,您可以将 网域控制器添加到其他 区域,以 提高可用性并提高对区域中断的容错性。如需了解支持的区域,请参阅 区域。
委派管理员账号的用户名。您可以使用默认用户名 (
setupadmin),也可以对其进行修改。但是,完成网域创建后,您无法更改此用户名。授权 VPC 网络的完整资源名称,格式如下:
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
创建网域
如需创建网域,请完成以下步骤:
控制台
转到 Microsoft AD 托管服务 页面。
转到 Microsoft AD 托管服务选择创建新的 AD 网域 。
在创建新网域 页面上,输入收集的 信息。
- 输入您的网域的完全限定域名 (FQDN) 。
- 在网络详情 部分,从列表中选择您的 VPC 网络名称。选择确定 。
- 在 CIDR 范围 部分,输入网域的 IP 地址范围。
- 在区域 部分,从列表中选择要在其中部署网域控制器的区域。
在委派管理员 部分的管理员名称 字段中,使用默认用户名 (
setupadmin) 或输入委派管理员账号的用户名。这是更改委派管理员账号的用户名的唯一机会。创建网域后,您无法更改委派管理员账号的用户名。
选择创建网域 。
创建网域最多可能需要 60 分钟。网域创建完成后,您会在 控制台中收到通知。 Google Cloud
您可以随时在 Google Cloud 控制台的 通知下查看此操作的状态。如果网域创建失败,请点击通知 下的查看所有活动 以查看错误消息。
gcloud
运行以下 gcloud CLI 命令:
gcloud active-directory domains create FULLY_QUALIFIED_DOMAIN_NAME \
--reserved-ip-range=CIDR_RANGE --region=REGION \
--authorized-networks=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
将占位符变量替换为收集的 信息。
您会收到以下响应,表示网域创建已开始:
Create request issued for: FULLY_QUALIFIED_DOMAIN_NAME Waiting for operation-1554140234884-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
创建网域最多可能需要 60 分钟。网域创建完成后,gcloud CLI 操作状态会更新。
如果网域创建失败,gcloud CLI 会在命令行中显示错误消息。
您可以重复此过程,在同一项目中创建多个独立的网域。
如果您想增加可以在 同一项目中创建的独立网域的数量,可以与支持团队联系 Google Cloud。
如需在其他项目中的网络上提供网域,您可以 配置 网域对等互连。
您无法在 Microsoft AD 托管服务 中创建 Active Directory 站点 ,因为 Microsoft AD 托管服务 不支持 Active Directory 站点和服务功能。
您无法在 Managed Microsoft AD 中创建子网域。此外,Microsoft AD 托管服务 也无法成为部署在 Google Cloud 或本地的任何其他 Active Directory 网域的一部分。 Google Cloud 但是,创建 Microsoft AD 托管服务网域后,您 可以创建信任关系 在 Microsoft AD 托管服务网域与任何其他非 Microsoft AD 托管服务网域之间。
如需了解在创建 网域时可能遇到的错误,请参阅无法创建 Microsoft AD 托管服务 网域。