ドメインを作成する
このトピックでは、Managed Service for Microsoft Active Directory を使用してドメインを作成する方法を示します。
始める前に
- Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
新しい Virtual Private Cloud(VPC)ネットワークを作成して、ドメインをデプロイするか、既存のドメインを使用します。マネージド Microsoft AD は、レガシー ネットワークをサポートしていません。VPC ネットワークの完全なリソース名をメモします。この名前は、ドメイン作成プロセス中に指定する必要があります。次の形式になります。
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME- VPC ネットワークを作成する前に、VPC ネットワークを選択するをお読みください。
- 課金を有効にした同じプロジェクトで、API を有効にして VPC を作成してください。
必要なロール
このクイックスタートを完了するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
-
Google Cloud Managed Identities 管理者 (
roles/managedidentities.admin) -
Compute ネットワーク ユーザー (
roles/compute.networkUser)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、このクイックスタートを完了するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
このクイックスタートを完了するには、次の権限が必要です。
-
managedidentities.domains.create -
compute.networks.list
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
情報を収集する
ドメインを作成するには、次の情報が必要です。
ad.example.comなどの完全修飾ドメイン名(FQDN)。詳細については、Active Directory における Microsoft の命名規則をご覧ください。VPC サブネットワークで使用されていないプライベート IP アドレス範囲(
172.16.0.0/24、192.168.0.0/24、10.1.0.0/24など)。理想的には、ドメインを使用できる VPC サブネットワークのいずれも使用していない範囲を選択する必要があります。詳細については、IP アドレス範囲を選択するをご覧ください。ドメイン コントローラーをデプロイするリージョン、たとえば、
us-central1です。ドメインを作成するときに、ドメイン コントローラをデプロイできるのは 1 つのリージョンのみです。ドメインを作成したら、ドメイン コントローラを追加のリージョンに追加して、可用性を高め、リージョンの停止に対する耐障害性を確保できます。サポートされているリージョンについては、リージョンをご覧ください。
委任された管理者アカウントのユーザー名。デフォルトのユーザー名(
setupadmin)を使用するか、変更できます。ただし、ドメインの作成が完了した後にこのユーザー名を変更することはできません。承認済み VPC ネットワークの完全なリソース名。形式は
projects/PROJECT_ID/global/networks/VPC_NETWORK_NAMEです。
ドメインを作成する
ドメインを作成するには、次の手順を完了します。
コンソール
[マネージド Microsoft AD] ページに移動します。
[マネージド Microsoft AD] に移動[新しい AD ドメインを作成] を選択します。
[新しいドメインの作成] ページで、収集した情報を入力します。
- ドメインの完全修飾ドメイン名(FQDN)を入力します。
- [ネットワークの詳細] セクションで、リストから VPC ネットワーク名を選択します。[OK] を選択します。
- [CIDR 範囲] セクションに、ドメインの IP アドレス範囲を入力します。
- [リージョン] セクションで、ドメイン コントローラーをデプロイするリージョンをリストから選択します。
[代理管理者] セクションの [管理者名] フィールドに、デフォルトのユーザー名(
setupadmin)を使用するか、委任された管理者アカウントのユーザー名を入力します。注: ここでのみ、委任された管理者アカウントのユーザー名を変更できます。ドメインの作成後には、委任された管理者アカウントのユーザー名を変更することはできません。
[ドメインを作成] を選択します。
ドメインの作成には最大 60 分かかります。ドメインの作成が完了すると、 Google Cloud コンソールに通知が届きます。
このオペレーションのステータスは、 Google Cloud コンソールの [通知] でいつでも確認できます。ドメインの作成に失敗した場合は、[通知] の [すべてのアクティビティを表示] をクリックして、エラー メッセージを表示します。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud active-directory domains create FULLY_QUALIFIED_DOMAIN_NAME \
--reserved-ip-range=CIDR_RANGE --region=REGION \
--authorized-networks=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
プレースホルダ変数を収集した情報に置き換えます。
ドメインの作成が開始されたことを知らせる応答が届きます。
Create request issued for: FULLY_QUALIFIED_DOMAIN_NAME Waiting for operation-1554140234884-5857b78a1a49e-02bc63a3-77e5c7ee to complete...
ドメインの作成には最大 60 分かかります。ドメインの作成が完了すると、gcloud CLI のオペレーション ステータスが更新されます。
ドメインの作成に失敗すると、gcloud CLI はコマンドラインにエラー メッセージを表示します。
このプロセスを繰り返して、同じプロジェクトに複数の独立したドメインを作成できます。
同じプロジェクトで作成できる独立したドメインの数を増やす場合は、 Google Cloudサポートにお問い合わせください。
別のプロジェクトのネットワークでドメインを使用できるようにするには、ドメイン ピアリングを構成します。
マネージド Microsoft AD は Active Directory サイトとサービスの機能をサポートしていないため、マネージド Microsoft AD で Active Directory サイトを作成することはできません。
マネージド Microsoft AD で子ドメインを作成することはできません。また、マネージド Microsoft AD は、 Google Cloud またはオンプレミスにデプロイされた他の Active Directory ドメインの一部にすることはできません。ただし、マネージド Microsoft AD ドメインを作成した後、マネージド Microsoft AD ドメインと他の非マネージド Microsoft AD ドメインの間に信頼関係を作成できます。
ドメインの作成中に発生する可能性のあるエラーについては、マネージド Microsoft AD ドメインを作成できないをご覧ください。