Implementa controladores de dominio de Microsoft Active Directory mediante la configuración de red avanzada en Google Cloud

En este instructivo, se muestra cómo configurar controladores de dominio de Microsoft Active Directory en Google Cloud, incluido cómo configurar el entorno de red, crear y ascender controladores de dominio y configurar la replicación de sitios.

En el instructivo, harás lo que se indica a continuación:

  • Configurar las reglas de firewall que son necesarias para admitir Active Directory
  • Explorar cómo integrar el DNS (sistema de nombres de dominio) de Active Directory con el DNS interno de Google Cloud
  • Aprender a conectarte a instancias mediante el escritorio remoto a través de Identity-Aware Proxy (IAP) para la redirección de TCP, lo que permite establecer las conexiones de RDP incluso en instancias que no tienen direcciones IP externas

En el instructivo, se da por sentado que tienes un conocimiento básico de temas de Microsoft Windows, como el protocolo de escritorio remoto, DNS y la administración de Active Directory. También es útil tener conocimientos básicos de Google Cloud, incluido el conocimiento de Compute Engine y las redes de VPC.

Como se muestra en el siguiente diagrama, este instructivo incluye la configuración de dos controladores de dominio para el dominio ficticio example.org. Debes implementar estos controladores de dominio en subredes regionales independientes y configurar una topología de sitio de Active Directory coincidente para administrar la replicación del controlador de dominio. También debes configurar una zona de reenvío privada en Cloud DNS, lo que hace que el DNS interno de Google Cloud reenvíe consultas de DNS para example.org a tus controladores de dominio.

dos controladores de dominio implementados en dos regiones diferentes para el dominio ficticio “example.org”.

Objetivos

  • Configurar un entorno de red para Active Directory en Google Cloud, incluidas las reglas de firewall discretas que habilitan el tráfico de Active Directory
  • Usar una zona de reenvío privada de Cloud DNS para integrar el DNS interno de Google Cloud con el DNS de Active Directory
  • Implementar instancias de Compute Engine sin direcciones externas y conectarte a ellas mediante IAP para la redirección de TCP
  • Implementar una instancia de Windows Server y ascenderla a un controlador de dominio
  • Configurar los sitios y la replicación de Active Directory mediante el tiempo de ping de región a región para aproximar el costo de la replicación

Costos

En este instructivo, se usan los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud sean aptos para obtener una prueba gratuita.

Cuando finalices este instructivo, podrás borrar los recursos creados para evitar que se te siga facturando. Para obtener más información, consulta cómo hacer una limpieza.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyecto

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  4. Habilita las API de Compute Engine and Cloud DNS.

    Habilita las API

  5. Instala e inicializa el SDK de Cloud.

Configura el entorno de red

Antes de crear instancias de máquinas virtuales, debes crear la red de VPC y configurarla para alojar un entorno de Microsoft Active Directory.

Crea la red de VPC

Debes crear la red de VPC con subredes en dos regiones diferentes.

  1. En Cloud Console, ve a la página Redes de VPC.

    IR A LA PÁGINA DE REDES DE VPC

  2. Haz clic en Crear red de VPC.

  3. En Nombre, ingresa example.

  4. En Modo de creación de subred, elige Custom.

  5. En la sección Subred nueva, especifica los siguientes parámetros de configuración para la primera subred en us-central1:

    1. En Nombre, ingresa example.
    2. En Región, selecciona us-central1.
    3. En Rango de direcciones IP, ingresa 10.0.0.0/16.
    4. En Acceso privado a Google, selecciona Activado.

    5. Haz clic en Listo.

  6. Para agregar otra subred en us-east4, haz clic en Agregar subred y especifica los siguientes parámetros de configuración:

    1. En Nombre, ingresa example.
    2. En Región, selecciona us-east4.
    3. En Rango de direcciones IP, ingresa 10.1.0.0/16.
    4. En Acceso privado a Google, selecciona Activado.

    5. Haz clic en Listo.

  7. Haz clic en Crear.

Crea reglas de firewall

El siguiente paso es crear reglas de firewall para las etiquetas de red que se usan en este instructivo:

  • dc para puertos del controlador de dominio
  • dns para puertos relacionados con DNS
  • rdp para puertos relacionados con el escritorio remoto

En la siguiente tabla, se resumen las etiquetas y las reglas de firewall relacionadas que se usan en este instructivo.

Etiqueta Reglas de entrada Rangos de origen Notas
dc tcp:88,135,389,445,464,636,3268,3269,49152-65535
udp:88,123,389,464
icmp
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Esta regla permite el acceso desde todas las direcciones internas, incluidos los tres rangos que constituyen el espacio de direcciones privadas de RFC 1918.

Para obtener información sobre los puertos permitidos en esta regla de firewall del controlador de dominio, consulta https://support.microsoft.com/en-us/help/832017#method1.

dns tcp:53
udp:53
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
35.199.192.0/19

Esta regla permite el acceso desde todas las direcciones internas, incluidos los tres rangos que constituyen el espacio de direcciones privadas de RFC 1918.

Para obtener información sobre los puertos permitidos en esta regla de firewall de DNS, consulta https://support.microsoft.com/es-us/help/832017#method12

El rango de origen /19 es obligatorio para permitir el tráfico desde el reenvío de Cloud DNS. Para obtener más información, consulta /dns/zones/#creating-forwarding-zones

rdp tcp:3389 35.235.240.0/20 El rango de origen /20 es obligatorio a fin de permitir el tráfico de IAP para la redirección de TCP. Para obtener más información, consulta /iap/docs/using-tcp-forwarding#before_you_begin.

Crea la regla de firewall para el controlador de dominio

  1. En Cloud Console, ve a la página Reglas de firewall:

    IR A LA PÁGINA REGLAS DE FIREWALL

  2. Haz clic en Crear regla de firewall.

  3. En Nombre, ingresa example-allow-dc.

    Este nombre debe ser único para el proyecto.

  4. En Red, elige example para especificar la red en la que se implementará la regla de firewall.

  5. En Prioridad, deja el valor predeterminado, 1000.

    Mientras más bajo sea el número, más alta será la prioridad.

  6. En Dirección del tráfico, elige ingress.

  7. En Acción si hay coincidencia, elige allow.

  8. En Destinos, elige Specified target tags y, en el campo Etiquetas de destino, ingresa dc para la etiqueta a la que se debe aplicar la regla.

  9. En Filtro de fuente, elige los rangos de IP y, luego, ingresa los siguientes bloques de CIDR en el campo Rangos de IP de origen para definir la fuente del tráfico entrante: 10.0.0.0/8172.16.0.0/12192.168.0.0/16.

  10. En Protocolos y puertos, elige Specified protocols and ports para definir los protocolos y los puertos a los que se aplica la regla:

    1. Selecciona tcp y, luego, ingresa la siguiente lista de puertos delimitada por comas: 88,135,389,445,464,636,3268,3269,49152-65535.
    2. Selecciona udp y, luego, ingresa la siguiente lista de puertos delimitada por comas: 88,123,389,464.
    3. Selecciona Otros protocolos y, luego, incluye icmp.
  11. Haz clic en Crear.

Crea la regla de firewall para DNS

  1. Haz clic en Crear regla de firewall.
  2. En Nombre, ingresa example-allow-dns.

    Este nombre debe ser único para el proyecto.

  3. En Red, elige example para especificar la red en la que se implementará la regla de firewall.

  4. En Prioridad, deja el valor predeterminado, 1000.

    Mientras más bajo sea el número, más alta será la prioridad.

  5. En Dirección del tráfico, elige ingress.

  6. En Acción si hay coincidencia, elige allow.

  7. En Destinos, elige Specified target tags y, en el campo Etiquetas de destino, ingresa dns para las etiquetas a las que se debe aplicar la regla.

  8. Elige los rangos de IP para el Filtro de fuente y escribe los siguientes bloques de CIDR en el campo Rangos de IP de origen para definir la fuente del tráfico entrante: 10.0.0.0/8172.16.0.0/12192.168.0.0/1635.199.192.0/19.

  9. En Protocolos y puertos, elige Specified protocols and ports para definir los protocolos y los puertos a los que se aplica la regla:

    1. Selecciona tcp y, luego, ingresa el siguiente puerto: 53.
    2. Selecciona udp y, luego, ingresa el siguiente puerto: 53.
  10. Haz clic en Crear.

Crea la regla de firewall para Escritorio remoto

  1. Haz clic en Crear regla de firewall.
  2. En Nombre, ingresa example-allow-rdp.

    Este nombre debe ser único para el proyecto.

  3. En Red, elige example para especificar la red en la que se implementará la regla de firewall.

  4. En Prioridad, deja el valor predeterminado, 1000.

    Mientras más bajo sea el número, más alta será la prioridad.

  5. En Dirección del tráfico, elige ingress.

  6. En Acción si hay coincidencia, elige allow.

  7. En Destinos, elige Specified target tags y, en el campo Etiquetas de destino, ingresa rdp para las etiquetas a las que se debe aplicar la regla.

  8. Elige los rangos de IP para el Filtro de fuente y, luego, escribe el siguiente bloque de CIDR en el campo Rangos de IP de origen para definir la fuente del tráfico entrante: 35.235.240.0/20.

  9. En Protocolos y puertos, elige Specified protocols and ports, selecciona tcp y, luego, ingresa el puerto 3389.

  10. Haz clic en Crear.

Configura una zona de reenvío privada de Cloud DNS

En esta sección, debes configurar una zona de reenvío privada en Cloud DNS para integrar el DNS del dominio de Active Directory example.org en el servidor de nombres DNS predeterminado de Google Cloud.

Crea la zona de reenvío privada de Cloud DNS

  1. En Cloud Console, ve a la página Cloud DNS:

    IR A LA PÁGINA Cloud DNS

  2. Haz clic en Crear zona.

  3. En Tipo de zona, elige private.

  4. En Nombre de zona, ingresa example-org.

  5. En Nombre de DNS, ingresa example.org.

  6. Selecciona Reenviar consultas a otro servidor para configurar los destinos de reenvío.

  7. En Servidores DNS de destino, ingresa las siguientes direcciones: 10.0.0.210.1.0.2.

  8. En Red, elige example para especificar la red en la que se aplicará la zona de reenvío.

  9. Haz clic en Crear.

Inicia las instancias del controlador de dominio

En esta sección, iniciarás las instancias del controlador de dominio, una en la región us-central1 mediante la dirección 10.0.0.2 y la otra en us-east4 con la dirección 10.1.0.2. Ya configuraste estos valores en la zona de reenvío privada de Cloud DNS.

Inicia la instancia del controlador de dominio inicial en us-central1

  1. En Cloud Console, ve a la página Instancias de VM:

    IR A LA PÁGINA INSTANCIAS DE VM

  2. Haz clic en Crear instancia y especifica dc-1 como el nombre de tu instancia.

  3. En Región, selecciona us-central1.

  4. Toma nota del valor de la Zona. Lo necesitarás más tarde.

  5. En Tipo de máquina, selecciona 2 vCPUs para el tipo de máquina n1-standard-2.

  6. En Disco de arranque, haz clic en Cambiar para seleccionar la imagen de disco de arranque y, luego, haz lo siguiente:

    1. En el cuadro de diálogo Disco de arranque, selecciona Windows Server 2019 Datacenter en Imágenes de SO.
    2. En Tipo de disco de arranque, selecciona Standard persistent disk.
    3. En Tamaño (GB), especifica 50.
    4. Haz clic en Seleccionar para finalizar tus elecciones.
  7. Expande el menú Administración, seguridad, discos, redes, instancia única.

  8. Haz clic en Herramientas de redes y, luego, haz lo siguiente:

    1. En Etiquetas de red, ingresa las siguientes etiquetas para aplicar las reglas de firewall relevantes a tu instancia: dcdnsrdp.
    2. En Interfaces de Herramientas de redes, haz clic en el ícono para editar la interfaz predeterminada.
    3. En Red, selecciona la red de VPC example.
    4. En IP interna principal, selecciona Dirección IP estática de reserva.
    5. En el cuadro de diálogo Reservar una dirección IP interna estática, ingresa dc-1 en Nombre.
    6. En Dirección IP estática, selecciona Let me choose.
    7. En Dirección IP personalizada, ingresa 10.0.0.2.
    8. Haz clic en Reservar.
    9. En IP externa, selecciona None para evitar la asignación de una dirección IP externa.
    10. Haz clic en Listo.
  9. Haz clic en Crear.

Inicia la segunda instancia del controlador de dominio en us-east4

  1. En la página Instancias de VM, haz clic en Crear instancia y especifica dc-2 como el nombre de tu instancia.
  2. En Región, selecciona us-east4.
  3. Toma nota de la Zona que seleccionaste aquí. La necesitarás más tarde.
  4. En Tipo de máquina, selecciona 2 vCPUs para el tipo de máquina n1-standard-2.
  5. En Disco de arranque, haz clic en Cambiar para seleccionar la imagen de disco de arranque.
    1. En el diálogo Disco de arranque, en Imágenes de SO, selecciona Windows Server 2019 Datacenter.
    2. En Tipo de disco de arranque, selecciona Standard persistent disk.
    3. En Tamaño (GB), especifica 50.
    4. Haz clic en Seleccionar para finalizar tus elecciones.
  6. Expande el menú Administración, seguridad, discos, redes, instancia única.
  7. Haz clic en Herramientas de redes.
    1. En Etiquetas de red, ingresa las siguientes etiquetas para aplicar las reglas de firewall relevantes a tu instancia: dcdnsrdp.
    2. En Interfaces de Herramientas de redes, haz clic en el ícono para editar la interfaz predeterminada.
    3. En Red, selecciona la red de VPC example.
    4. En IP interna principal, selecciona Dirección IP estática de reserva.
    5. En el cuadro de diálogo Reservar una dirección IP interna estática, ingresa dc-2 en Nombre.
    6. En Dirección IP estática, selecciona Let me choose.
    7. En Dirección IP personalizada, ingresa 10.1.0.2.
    8. Haz clic en Reservar.
    9. En IP externa, selecciona None para evitar la asignación de una dirección IP externa.
    10. Haz clic en Listo.
  8. Haz clic en Crear.

Conéctate a una instancia mediante IAP para la redirección de TCP

Recuerda que iniciaste las instancias del controlador de dominio sin direcciones IP externas. Por lo tanto, no se puede acceder a esas instancias directamente desde Internet. Con el fin de establecer una conexión de escritorio remoto, puedes usar Identity-Aware Proxy (IAP) para la redirección de TCP a fin de crear un túnel seguro entre un puerto local y el puerto de escritorio remoto, 3389, en la instancia de destino. El uso de IAP para la redirección de TCP permite conexiones administrativas seguras sin exponer tus instancias a Internet.

Para habilitar la redirección de puertos entre un puerto local a través de un túnel seguro a una instancia y un puerto de destino en Google Cloud, usa el comando start-iap-tunnel, que tiene la siguiente sintaxis:

gcloud beta compute start-iap-tunnel instance-name instance-port \
    --local-host-port=localhost:local-port \
    --zone=zone \
    --project=project-id

En el ejemplo anterior, se ilustra lo siguiente:

  • instance-name es el nombre de la instancia en la que se operará.
  • instance-port es el nombre o el número del puerto de la instancia al que se conectará.
  • local-port es el puerto al que está vinculado el proxy. Si no especificas un valor, se asignará un puerto aleatorio.
  • zone es la zona de la instancia en la que se operará.
  • project-id es el proyecto de Google Cloud que se usará para esta invocación.

Por ejemplo, para habilitar túneles RDP desde el puerto local 53389 a tu primer controlador de dominio dc-1, haz lo siguiente:

  • Desde el símbolo del sistema local, configura IAP para la redirección de TCP:

    gcloud beta compute start-iap-tunnel dc-1 3389 \
        --local-host-port=localhost:53389 \
        --zone=zone \
        --project=project-id
    

    En el ejemplo anterior, se ilustra lo siguiente:

    • zone es la zona en la región us-central1 en la que se implementa dc-1.
    • project-id es el ID del proyecto que elegiste para este instructivo.

    A medida que la herramienta de gcloud inicializa el túnel para la redirección de TCP, verás un resultado similar al siguiente:

    Testing if tunnel connection works.
    Listening on port [53389].
    

    Ahora tienes un puerto local (53389) que pasa a través de IAP al puerto RDP (3389) en dc-1. Antes de conectarte a dc-1, debes obtener credenciales de usuario local.

Obtén credenciales de usuarios locales para dc-1

  1. En Cloud Console, ve a la página Instancias de VM:

    IR A LA PÁGINA INSTANCIAS DE VM

  2. En la columna Nombre, haz clic en el nombre de tu instancia de máquina virtual.

  3. En la sección Acceso remoto, haz clic en Configurar contraseña de Windows.

  4. Especifica un nombre de usuario y, luego, haz clic en Configurar a fin de generar una contraseña nueva para la instancia de Windows. Guarda el nombre de usuario y la contraseña para acceder a la instancia.

Establece la conexión RDP a dc-1

  1. Mediante el cliente de escritorio remoto que elijas, conéctate a dc-1 y especifica localhost127.0.0.1 para la dirección remota y 53389 como el puerto remoto.
  2. Cuando se te solicite, ingresa el nombre de usuario y la contraseña que creaste en el procedimiento anterior.

Más tarde, cuando te desconectes de la instancia, debes presionar Control+C para cancelar el comando gcloud beta compute start-iap-tunnel y cerrar el túnel.

Asciende el controlador de dominio inicial

Después de conectarte a dc-1, puedes trabajar en tus ventanas de RDP para habilitar la cuenta de administrador local, instalar los Servicios de Dominio de Active Directory y configurar la instancia como un controlador de dominio en un bosque nuevo de Active Directory.

Habilita el usuario administrador local

  1. En dc-1, abre Administrador del servidor y, luego, selecciona el elemento de menú Herramientas > Administración de computadoras.
  2. En el panel de navegación de la izquierda, en Administración de computadoras (local) > Herramientas del sistema, expande Usuarios y grupos locales y, luego, selecciona la carpeta Usuarios.
  3. Haz clic con el botón derecho en Administrador y, luego, selecciona Establecer contraseña.
  4. En el diálogo Establecer contraseña para administrador, haz clic en Continuar.
  5. Ingresa y confirma una contraseña segura y, luego, haz clic en Aceptar dos veces.

  6. Haz clic con el botón derecho en Administrador y, luego, selecciona Propiedades.

  7. En la pestaña General, desmarca La cuenta está inhabilitada.

  8. Haz clic en Aceptar.

  9. Cierra Administración de equipos.

Instala los Servicios de Dominio de Active Directory

  1. En dc-1, abre Administrador del servidor y selecciona el elemento de menú Administrar > Agregar funciones y características.
  2. En la página Antes de comenzar, haz clic en Siguiente.
  3. En la página Tipo de instalación, haz clic en Siguiente.
  4. En la página Selección del servidor, haz clic en Siguiente.
  5. En la página Roles de servidor, en Roles, selecciona Servicios de dominio de Active Directory.
  6. En la ventana emergente Asistente para agregar roles y características, haz clic en Agregar características.
  7. Haz clic en Siguiente.
  8. En la página Características, haz clic en Siguiente.
  9. En la página AD DS, haz clic en Siguiente.
  10. En la página Confirmación, haz clic en Instalar.
  11. Una vez finalizada la instalación, haz clic en Cerrar.

Configura dc-1 como un controlador de dominio

  1. Haz clic en el ícono de marcado Notificaciones en la parte superior de la ventana Administrador del servidor.
  2. En la notificación Configuración posterior a la implementación, haz clic en Ascender este servidor a controlador de dominio.
  3. En el Asistente de configuración de los Servicios de Dominio de Active Directory, en Seleccionar la operación de implementación, elige Add a new forest.
  4. En Nombre de dominio raíz, ingresa example.org.
  5. Haz clic en Siguiente.
  6. En la página Opciones del controlador de dominio, ingresa y confirma una contraseña segura en contraseña del modo de restauración de servicios de directorio (DSRM).

  7. Haz clic en Siguiente.

  8. En la página Opciones de DNS, haz clic en Siguiente.

  9. En la página Opciones adicionales, haz clic en Siguiente.

  10. En la página Rutas, haz clic en Siguiente.

  11. En la página Revisar opciones, haz clic en Siguiente.

  12. En la página Comprobación de requisitos previos, después de que se complete la comprobación, haz clic en Instalar.

    Debido a que la instancia se reinicia automáticamente después de la instalación, te desconectas de la sesión de RDP.

Configura la replicación y los sitios de Active Directory

En esta sección, volverás a conectarte a dc-1 para configurar los sitios de Active Directory y la replicación, esta vez con las credenciales de administrador de dominio.

Configura los sitios de Active Directory

  1. Conéctate a dc-1 como antes mediante el puerto de redirección local, pero esta vez usa credenciales de administrador de dominio:
    1. En Nombre de usuario, ingresa example\administrator.
    2. En Contraseña, ingresa la contraseña que asignaste antes a la cuenta de administrador local en dc-1.
  2. En Administrador del servidor, selecciona el elemento de menú Herramientas > Sitios y servicios de Active Directory.
  3. En el panel de navegación de la izquierda, en Sitios y servicios de Active Directory, haz clic con el botón derecho en Sitios y, luego, selecciona Sitio nuevo.
  4. En Nombre, ingresa GCP-us-central1.
  5. En Selecciona un objeto de vínculo a sitio para este sitio, selecciona DEFAULTIPSITELINK.
  6. Haz clic en Aceptar dos veces.
  7. Repite los pasos 3 a 6 para crear un sitio similar llamado GCP-us-east4.
  1. En el panel de navegación de la izquierda, en Sitios y servicios de Active Directory > Sitios, expande Transportes entre sitios.
  2. Haz clic con el botón derecho en IP y, luego, elige Vínculo a sitio nuevo.
  3. En Nombre, especifica GCP-us-central1-us-east4.
  4. En Sitios que no están en este vínculo a sitio, destaca GCP-us-central1 y GCP-us-east4.
  5. Haz clic en Agregar para mover los sitios a Sitios en este vínculo a sitio.
  6. Haz clic en Aceptar.
  7. En el panel de navegación izquierdo, en Sitios y servicios de Active Directory > Sitios > Transporte entre sitios, selecciona IP.
  8. Haz clic con el botón derecho en el vínculo a sitio nuevo GCP-us-central1-us-east4 y, luego, selecciona Propiedades.
  9. En Costo, ingresa 250.

  10. En Replicar cada, ingresa 15 minutos.

  11. Haz clic en Aceptar.

Configura subredes para sitios de Active Directory

  1. En el panel de navegación de la izquierda, en Sitios y servicios de Active Directory > Sitios, haz clic con el botón derecho en Subredes y, luego, selecciona Subred nueva.
  2. En Prefijo, ingresa 10.0.0.0/16.
  3. En Nombre del sitio, selecciona GCP-us-central1.
  4. Haz clic en Aceptar.
  5. Repite los pasos 1 a 4 a fin de crear una subred similar para 10.1.0.0/16 y el sitio GCP-us-east4.

Agrega dc-1 al sitio apropiado (GCP-us-central1)

  1. En el panel de navegación de la izquierda, en Sitios y servicios de Active Directory > Sitios, expande Default-First-Site-Name > Servidores y, luego, expande GCP-us-central1.
  2. Arrastra dc-1 desde Default-First-Site-Name > Servidores hasta GCP-us-central1 > Servidores.
  3. En el diálogo de confirmación Servicios de dominio de Active Directory, haz clic en .

Asciende controladores de dominio adicionales

Sigue los pasos descritos antes en Conéctate a una instancia mediante IAP para la redirección de TCP y te conectarás a dc-2 con una redirección local diferente, como el puerto 53390. Después de conectarte a dc-2, sigue los pasos que se describen para dc-1 a fin de habilitar el usuario administrador local y, luego, instalar los Servicios de Dominio de Active Directory. Después de seguir estos pasos, podrás configurar dc-2 como controlador de dominio.

Configura dc-2 como un controlador de dominio

  1. Haz clic en el ícono de marcado Notificaciones en la parte superior de la ventana Administrador del servidor.
  2. En la notificación Configuración posterior a la implementación, haz clic en Ascender este servidor a controlador de dominio.
  3. En el Asistente de configuración de Servicios de Dominio de Active Directory, en Seleccionar la operación de implementación, elige Add a domain controller to an existing domain.
  4. En Dominio, ingresa example.org.
  5. En Proporcionar las credenciales para realizar esta operación, haz clic en Cambiar.
  6. En el cuadro de diálogo Seguridad de Windows, especifica tus credenciales de administrador de dominio:
    1. En Nombre de usuario, ingresa example\administrator.
    2. En Contraseña, ingresa la contraseña que asignaste antes a la cuenta de administrador local en dc-1.
  7. Haz clic en Aceptar para cerrar el cuadro de diálogo.
  8. Haz clic en Siguiente.
  9. En la página Opciones del controlador de dominio, en Nombre del sitio, verifica que esté seleccionado GCP-us-east4.

  10. Ingresa y confirma una contraseña segura para la contraseña del modo de restauración de servicios de directorio (DSRM).

    Puedes usar la misma contraseña de DSRM que especificaste para dc-1. En cualquier caso, recuerda esta contraseña. Puede ser útil si necesitas reparar o recuperar tu dominio.

  11. Haz clic en Siguiente.

  12. En la página Opciones de DNS, haz clic en Siguiente.

    Es posible que veas la advertencia A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found. Puedes ignorarla, ya que la zona de reenvío en la configuración de Cloud DNS anterior cumple el mismo propósito que la delegación mencionada en la advertencia.

  13. En la página Opciones adicionales, haz clic en Siguiente.

  14. En la página Rutas, haz clic en Siguiente.

  15. En la página Revisar opciones, haz clic en Siguiente.

  16. En la página Comprobación de requisitos previos, después de que se complete la comprobación, haz clic en Instalar.

Prueba la configuración de Active Directory

Para probar la configuración del controlador de dominio, inicia una nueva instancia de prueba en el entorno y únela al dominio.

Inicia la instancia de prueba us-central1

  1. En Cloud Console, ve a la página Instancias de VM:

    IR A LA PÁGINA INSTANCIAS DE VM

  2. Haz clic en Crear instancia y especifica test-1 como el nombre de tu instancia.

  3. En Región, selecciona us-central1.

  4. Toma nota del valor de la Zona. Lo necesitarás más tarde.

  5. En Tipo de máquina, selecciona 2 vCPUs para el tipo de máquina n1-standard-2.

  6. En Disco de arranque, haz clic en Cambiar para seleccionar la imagen de disco de arranque y, luego, haz lo siguiente:

    1. En el cuadro de diálogo Disco de arranque, en Imágenes de SO, selecciona Windows Server 2019 Datacenter.
    2. En Tipo de disco de arranque, selecciona Standard persistent disk.
    3. En Tamaño (GB), especifica 50.
    4. Haz clic en Seleccionar para finalizar tus elecciones.
  7. Expande el menú Administración, seguridad, discos, redes, instancia única.

  8. Haz clic en el encabezado de sección Herramientas de redes y, luego, haz lo siguiente:

    1. Ingresa las siguientes Etiquetas de red para aplicar las reglas de firewall relevantes a tu instancia, rdp.
    2. En Interfaces de herramientas de red, haz clic en el ícono para editar la interfaz predeterminada.
    3. En Red, selecciona la red de VPC example.
    4. En IP externa, selecciona None para evitar que se asigne una dirección IP externa.
    5. Haz clic en Listo.
  9. Haz clic en Crear.

Conéctate a la instancia de prueba

En esta sección, obtendrás credenciales para un usuario local en test-1 y, luego, te conectarás al servidor de instancias de prueba.

Obtén credenciales para un usuario local en test-1

  1. En Cloud Console, ve a la página Instancias de VM:

    IR A LA PÁGINA INSTANCIAS DE VM

  2. En la columna Nombre, haz clic en el nombre de tu instancia de máquina virtual, test-1.

  3. En la sección Acceso remoto, haz clic en Configurar contraseña de Windows.

  4. Especifica un nombre de usuario y, luego, haz clic en Configurar a fin de generar una contraseña nueva para la instancia de Windows. Guarda el nombre de usuario y la contraseña para acceder a la instancia.

Conéctate al servidor de instancias de prueba test-1

  1. En el símbolo del sistema local, inicia un túnel mediante IAP y la herramienta de gcloud:

    gcloud beta compute start-iap-tunnel test-1 3389 \
        --zone=zone \
        --project=project-id
    

    En el ejemplo anterior, se ilustra lo siguiente:

    • zone es la zona en la región us-central1 en la que se implementa test-1.
    • project-id es el ID del proyecto que elegiste para este instructivo.

    A medida que la herramienta de gcloud inicializa el túnel para la redirección de TCP, verás un resultado similar al siguiente:

    Testing if tunnel connection works.
    Listening on port [17148].
    
  2. Usa tu cliente de escritorio remoto preferido para conectarte a localhost (127.0.0.1) en el puerto especificado en el resultado del comando anterior. Puede ser distinto al del puerto de ejemplo 17148.

  3. Cuando se te soliciten las credenciales, ingresa el nombre de usuario y la contraseña para el usuario local del procedimiento anterior.

Une la instancia de prueba con el dominio

  1. En la ventana del escritorio remoto, une la instancia al dominio example.org. Haz clic en Servidor local en el panel de navegación de la izquierda de la ventana Administrador del servidor.
  2. En Propiedades para test-1, haz clic en el vínculo GRUPO DE TRABAJO.
  3. En la pestaña Nombre de la computadora del diálogo Propiedades del sistema, haz clic en Cambiar.
  4. En la sección Miembro de, selecciona Dominio y, luego, ingresa example.org.
  5. Haz clic en Aceptar.
  6. Cuando se te soliciten credenciales, especifica example\administrator junto con la contraseña de administrador de dominio elegida antes y haz clic en Aceptar.
  7. Haz clic en Aceptar, Aceptar, Cerrar y, por último, Reiniciar ahora.

Verifica la membresía al dominio y el controlador de dominio activo

  1. Espera un momento a que el servidor se reinicie. El túnel para RDP seguirá activo.
  2. Vuelve a conectarte a la instancia con RDP, pero esta vez ingresa las credenciales de administrador de dominio, por ejemplo, example\administrator con la contraseña de administrador de dominio.
  3. Ejecuta el siguiente comando para verificar el controlador de dominio activo en una ventana del Símbolo del sistema:

    echo %logonserver%
    

    Verás un resultado similar al siguiente, que identifica a dc-1 como el controlador de dominio activo.

    \\DC-1
    

    Si te interesa explorar el comportamiento de conmutación por error basado en DNS de los controladores de dominio, sigue estos pasos:

    1. Sal de test-1 (asegúrate de salir, no solo desconectarte).
    2. Deténdc-1 y vuelve a acceder a test-1 después de que dc-1 se detenga.

      El siguiente acceso puede llevar más tiempo del habitual, pero después de acceder, si vuelves a ejecutar echo %logonserver%, verás que \\DC-2 se convirtió en el controlador de dominio activo.

Realice una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Borra el proyecto

  1. En Cloud Console, ve a la página Administrar recursos.

    Ir a Administrar recursos

  2. En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
  3. En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

¿Qué sigue?