日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Active Directory接続の作成に関する考慮事項

寄稿者

"以前のバージョン:デュアルプロトコル/マルチプロトコル"

Cloud Volumes Service を使用すると、SMBユーザとUNIXユーザのIDを管理するために、Cloud Volumes Service インスタンスを外部のActive Directoryサーバに接続できます。Cloud Volumes Service でSMBを使用するには、Active Directory接続を作成する必要があります。

この構成には、セキュリティについて考慮する必要があるいくつかのオプションがあります。外部Active Directoryサーバは、オンプレミスインスタンスでもクラウドネイティブでもかまいません。オンプレミスのActive Directoryサーバを使用している場合は、ドメインを外部ネットワーク(DMZや外部IPアドレスなど)に公開しないでください。代わりに、を使用して、セキュアなプライベートトンネルまたはVPN、一方向フォレストトラスト、またはオンプレミスネットワークへの専用ネットワーク接続を使用します "プライベート Google アクセス"。詳細については、Google Cloudのドキュメントを参照してください "Google CloudでActive Directoryを使用する際のベストプラクティス"

注記 CVS-SWを使用するには、Active Directoryサーバを同じリージョンに配置する必要があります。CVS-SWで別の地域へのDC接続を試みた場合、試行は失敗します。CV-SWを使用する場合は、Active Directory DCを含むActive Directoryサイトを作成し、Cloud Volumes Service でサイトを指定して、リージョン間のDC接続の試行を回避してください。

Active Directoryのクレデンシャル

NFS用のSMBまたはLDAPが有効な場合、Cloud Volumes Service はActive Directoryコントローラと通信して、認証に使用するマシンアカウントオブジェクトを作成します。これは、Windows SMBクライアントがドメインに参加する方法とまったく異なり、Active Directoryの組織単位(OU)への同じアクセス権を必要とします。

多くの場合、セキュリティグループでは、Cloud Volumes Service などの外部サーバでWindows管理者アカウントを使用できません。場合によっては、セキュリティのベストプラクティスとして、Windows Administratorユーザが完全に無効になっていることもあります。

SMBマシンアカウントの作成に必要な権限

Cloud Volumes Service マシンオブジェクトをActive Directoryに追加するには、ドメインに対する管理者権限を持つアカウント、またはが必要です "マシンアカウントオブジェクトを作成および変更する権限を委譲しました" 指定したOUに移動する必要があります。Active Directoryの制御の委任ウィザードでこれを行うには、次のアクセス権限を持つコンピュータオブジェクトの作成/削除へのユーザーアクセスを提供するカスタムタスクを作成します。

  • 読み取り / 書き込み

  • すべての子オブジェクトを作成/削除します

  • すべてのプロパティの読み取り/書き込み

  • パスワードの変更/リセット

これにより、定義済みのユーザのセキュリティACLがActive DirectoryのOUに自動的に追加され、Active Directory環境へのアクセスが最小限に抑えられます。ユーザを委任した後、そのユーザ名とパスワードをActive Directoryクレデンシャルとしてこのウィンドウに入力できます。

注記 Active Directoryドメインに渡されるユーザ名とパスワードは、マシンアカウントオブジェクトのクエリおよび作成時にKerberos暗号化を利用してセキュリティを強化します。

Active Directory接続の詳細

"Active Directory接続の詳細" 管理者がマシンアカウントの配置に関する特定のActive Directoryスキーマ情報を指定するためのフィールドを指定します。次に例を示します。

  • * Active Directory接続タイプ。リージョン内のActive Directory接続を、Cloud Volumes Service またはCVS -パフォーマンスサービスタイプのボリュームに使用するかどうかを指定するために使用します。既存の接続で正しく設定しないと、使用または編集時に正しく機能しないことがあります。

  • ドメイン。 Active Directoryドメイン名。

  • サイト。 Active Directoryサーバを特定のサイトに制限して、セキュリティとパフォーマンスを確保します "考慮事項"。Cloud Volumes Service では現在、Cloud Volumes Service インスタンスとは別のリージョンにあるActive Directoryサーバへの認証要求の許可がサポートされていないため、複数のActive Directoryサーバがリージョンにまたがっている場合は、この設定が必要です。(たとえば、Active DirectoryドメインコントローラはCVS -パフォーマンスのみがサポートするリージョンにありますが、CVS - SWインスタンスにSMB共有が必要です)。

  • * DNSサーバ。*名前検索で使用するDNSサーバ。

  • * NetBIOS名(オプション)。*必要に応じて、サーバのNetBIOS名。これは、Active Directory接続を使用して新しいマシンアカウントを作成するときに使用されます。たとえば、NetBIOS名がCVS - Eastに設定されている場合、マシンアカウント名はCVS - East -{1234}になります。を参照してください "Active DirectoryでのCloud Volumes Service の表示" を参照してください。

  • *組織単位(OU)。*コンピュータアカウントを作成するための特定のOU。この機能は、マシンアカウントの制御を特定のOUに委任する場合に便利です。

  • *AES暗号化。*AD認証用AES暗号化を有効にするチェックボックスをオンまたはオフにすることもできます。Active Directory認証用のAES暗号化を有効にすると、ユーザとグループの検索時にCloud Volumes Service からActive Directoryへの通信がセキュリティで保護されます。このオプションを有効にする前に、ドメイン管理者に問い合わせて、Active DirectoryドメインコントローラがAES認証をサポートしていることを確認してください。

注記 デフォルトでは、ほとんどのWindowsサーバで弱い暗号(DESやRC4-HMACなど)は無効になりませんが、弱い暗号を無効にするように選択した場合は、Cloud Volumes Service Active Directory接続がAESを有効にするように設定されていることを確認してください。そうしないと、認証エラーが発生します。AES暗号化を有効にしても弱い暗号は無効になりませんが、Cloud Volumes Service SMBマシンアカウントにAES暗号のサポートが追加されます。

Kerberos Realmの詳細

このオプションはSMBサーバには適用されません。Cloud Volumes Service システムでNFS Kerberosを設定するときに使用されます。これらの詳細を入力すると、NFS Kerberos Realmが設定され(Linuxではkrb5.confファイルと同様)、Cloud Volumes Service ボリュームの作成時にNFS Kerberosが指定されている場合にActive Directory接続がNFS Kerberos Distribution Center(KDC;Kerberos配布センター)として機能するために使用されます。

注記 現在、Windows以外のKDCはCloud Volumes Service との使用でサポートされていません。

地域

リージョンを使用すると、Active Directory接続が存在する場所を指定できます。このリージョンはCloud Volumes Service ボリュームと同じである必要があります。

  • *このセクションでは、LDAPを使用するローカルNFSユーザを許可するオプションもあります。*このセクションでは、LDAPを使用するローカルNFSユーザを許可するオプションもあります。NFS(拡張グループ)の16グループの制限を超えてUNIXユーザグループメンバーシップのサポートを拡張する場合は、このオプションを選択しないでください。ただし、拡張グループを使用するには、UNIX ID用のLDAPサーバを設定する必要があります。LDAPサーバがない場合は、このオプションを選択しないでください。LDAPサーバがあり、ローカルUNIXユーザ(rootなど)も使用する場合は、このオプションを選択します。

バックアップユーザ

このオプションを使用すると、Cloud Volumes Service ボリュームに対するバックアップ権限を持つWindowsユーザを指定できます。一部のアプリケーションでNASボリュームのデータを正しくバックアップおよびリストアするには、バックアップ権限(SeBackupPrivilege)が必要です。このユーザにはボリューム内のデータへのアクセスレベルが高いため、考慮する必要があります "そのユーザアクセスの監査を有効にします"。有効にすると、Event Viewer > Windows Logs > Securityに監査イベントが表示されます。

エラー:グラフィックイメージがありません

セキュリティ権限ユーザ

このオプションを使用すると、Cloud Volumes Service ボリュームに対するセキュリティの変更権限を持つWindowsユーザを指定できます。一部のアプリケーションにはセキュリティ権限(SeSecurityPrivilege)が必要です ("たとえば、SQL Serverなどです")を使用して、インストール時に権限を適切に設定します。この権限は、セキュリティログを管理するために必要です。この権限はSeBackupPrivilegeほど強力ではありませんが、ネットアップでは推奨しています "ユーザのユーザアクセスを監査する" 必要に応じて、この権限レベルで設定します。

詳細については、を参照してください "新しいログオンに割り当てられた特別な権限"

Active DirectoryでのCloud Volumes Service の表示

Active Directoryでは、通常のマシンアカウントオブジェクトとしてCloud Volumes Service が表示されます。命名規則は次のとおりです。

  • CIFS/SMBおよびNFS Kerberosでは、個別のマシンアカウントオブジェクトが作成されます。

  • NFSでLDAPが有効になっている場合、Kerberos LDAPバインド用にActive Directoryにマシンアカウントが作成されます。

  • LDAPを使用したデュアルプロトコルボリュームでは、LDAPとSMBのCIFS / SMBマシンアカウントが共有されます。

  • CIFS / SMBマシンアカウントでは、マシンアカウントの名前付け規則として、name-1234(ランダムな4桁のIDに10文字未満の名前をハイフンで付加)を使用します。Active Directory接続では、NetBIOS名の設定で名前を定義できます(「」を参照)Active Directory接続の詳細」)をクリックします。

  • NFS Kerberosでは、命名規則としてnfs-name-1234を使用します(最大15文字)。15文字を超える文字が使用されている場合、名前はnfs-truncated-name-1234になります。

  • NFSのみのCVS - LDAPが有効なパフォーマンスインスタンスは、CIFS / SMBインスタンスと同じ命名規則を使用してLDAPサーバにバインドするためのSMBマシンアカウントを作成します。

  • SMBマシンアカウントを作成すると、デフォルトの非表示の管理共有が表示されます(を参照) "「デフォルトの非表示共有」")も作成されます(c$、admin$、ipc$)が、ACLが割り当てられておらず、アクセスできない共有です。

  • マシンアカウントオブジェクトはデフォルトではCN=Computersに配置されますが、必要に応じて別のOUを指定できます。「」を参照してくださいSMBマシンアカウントの作成に必要な権限「Cloud Volumes Service のマシンアカウントオブジェクトを追加または削除するために必要なアクセス権については、を参照してください。

Cloud Volumes Service によってSMBマシンアカウントがActive Directoryに追加されると、次のフィールドが設定されます。

  • CN(指定したSMBサーバ名を使用)

  • dNSHostName(SMBserver.domain.comを使用)

  • msDs-SupportedEncryptionTypes(AES暗号化が有効でない場合は、DES-CBC_MD5、RC4_HMAC_MD5を許可します。AES暗号化が有効の場合は、DES-CBC_MD5、RC4_HMAC_MD5、AES128_CTS_HMAC_SHA1、AES256_CTC_HMAC_SHA1 96を許可します)

  • 名前(SMBサーバ名を使用)

  • sAMAccountName(SMBserver$を使用)

  • servicePrincipalName(Kerberosのホスト/ smbserver.domain.comおよびホスト/ smbserver SPNを使用)

マシンアカウントで弱いKerberos暗号化タイプ(enctype)を無効にする場合は、マシンアカウントのmsDS-SupportedEncryptionTypes値を次の表のいずれかの値に変更してAESのみを許可することができます。

msDs-SupportedEncryptionTypesの値 暗号化タイプが有効です

2.

des_cbc_md5

4.

RC4_HMAC

8.

AES128_CTS_HMAC_SHA1 96のみ

16

AES256_CTS_HMAC_SHA1_96のみ

24

AES128_CTS_HMAC_SHA1_96およびAES256_CTS_HMAC_SHA1_96です

30

DES_CBC_MD5、RC4_HMAC、AES128_CTS_HMAC_SHA1 96およびAES256_CTS_HMAC_SHA1 96

SMBマシンアカウントのAES暗号化を有効にするには、Active Directory接続の作成時にAD認証のAES暗号化を有効にするをクリックします。

NFS KerberosのAES暗号化を有効にするには、 "Cloud Volumes Service のドキュメントを参照してください"

"次の手順:その他のNASインフラストラクチャサービスの依存関係(KDC、LDAP、DNS)。"