Implementar Microsoft AD gestionado con acceso entre proyectos mediante el emparejamiento de dominios
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este tema se explica cómo configurar el peering de dominio entre el servicio gestionado de Microsoft Active Directory (Managed Microsoft AD) y la VPC compartida. De esta forma, puedes hacer que Microsoft AD gestionado esté disponible para los proyectos de servicio asociados a la VPC compartida.
Información general
El emparejamiento de dominios en el servicio gestionado de Microsoft AD crea un recurso de emparejamiento de dominios en cada proyecto de recurso de dominio y de recurso de VPC. El dominio de Microsoft AD gestionado se puede poner a disposición de todos los proyectos asociados a la VPC compartida creando un emparejamiento de dominios entre Microsoft AD gestionado y la VPC compartida. Por ejemplo, puedes autenticarte e iniciar sesión en SQL Server con un dominio de Microsoft AD gestionado, donde SQL Server y Microsoft AD gestionado se encuentran en proyectos de servicio diferentes que están asociados a la VPC compartida.
Antes de empezar
Antes de empezar, haz lo siguiente:
En la consola de Google Cloud, en la página del selector de proyectos, selecciona o crea tres Google Cloud proyectos. Se denominan proyectos del host y proyectos de servicio. El proyecto host es donde se habilita la VPC compartida. El dominio de Microsoft AD gestionado y las instancias de Cloud SQL deben residir en proyectos de servicio diferentes. Las VMs pueden residir en uno de los proyectos de servicio.
Vincula los proyectos de servicio a la red de VPC compartida. La API Compute Engine debe estar habilitada en cada uno de los proyectos. Para este ejemplo, le recomendamos que cree subredes independientes en la VPC compartida. Al adjuntar el proyecto, elige la subred adecuada para cada uno de los proyectos. Para obtener más información, consulta Adjuntar proyectos de servicio.
Crea un dominio de Microsoft AD gestionado en el proyecto de servicio. La red de VPC autorizada al crear el dominio de Microsoft AD gestionado es independiente de las redes de VPC compartidas. Para crear un dominio de Managed Microsoft AD sin una red autorizada, usa el comando de la CLI de gcloud.
Configurar el emparejamiento de dominios
Crea un peering de dominio desde el proyecto de servicio que tenga el recurso de dominio a la red de VPC compartida. Para obtener más información sobre el peering de dominios, consulta Configurar el peering de dominios.
PEERING-RESOURCE-NAME: nombre del recurso de emparejamiento de dominio (por ejemplo, my-domain-peering).
DOMAIN-RESOURCE-NAME: el nombre de recurso completo de tu dominio de Microsoft AD gestionado, con el siguiente formato:
projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
SHARED-VPC-NAME: el nombre de recurso completo de tu red de VPC compartida, con el siguiente formato:
projects/PROJECT-ID/global/networks/NETWORK-NAME.
Consulta las emparejamientos de dominios para verificar el estado. Ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory peerings list --project=PROJECT_ID
Sustituye PROJECT_ID por el ID del proyecto de servicio que se usa para crear el recurso de emparejamiento de dominios.
Devuelve el estado DISCONNECTED.
Crea el emparejamiento de dominio inverso desde el proyecto host.
PEERING-RESOURCE-NAME: nombre del recurso de emparejamiento de dominio (por ejemplo, my-domain-peering).
DOMAIN-RESOURCE-NAME: el nombre de recurso completo de tu dominio de Microsoft AD gestionado, con el siguiente formato:
projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
SHARED-VPC-NAME: el nombre de recurso completo de tu red de VPC compartida, con el siguiente formato:
projects/PROJECT-ID/global/networks/NETWORK-NAME.
VPC-RESOURCE-PROJECT-ID: el ID del proyecto host que aloja la VPC compartida.
Vuelve a enumerar las conexiones entre dominios para verificar el estado. Ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory peerings list --project=PROJECT_ID
Sustituye PROJECT_ID por el ID del proyecto de servicio que se usa para crear el recurso de emparejamiento de dominios.
Devuelve el estado como CONNECTED de los proyectos del host y del servicio.
Configurar la instancia de Cloud SQL (SQL Server)
Crea la instancia de Cloud SQL (SQL Server) en el proyecto de servicio con la IP privada habilitada y selecciona la red de la VPC compartida. Para obtener más información, consulta Crear una instancia con autenticación de Windows.
Una vez que se haya completado el emparejamiento de dominios, modifica la configuración de Cloud SQL (SQL Server) para usar tu dominio de Managed Microsoft AD en la autenticación. Ejecuta el siguiente comando de gcloud CLI:
INSTANCE-NAME: el nombre de tu instancia de Cloud SQL en el proyecto de servicio.
DOMAIN-RESOURCE-NAME: el nombre completo del recurso de tu dominio de Microsoft AD gestionado que quieras usar para la autenticación. Formato del nombre completo del recurso:
projects/PROJECT-ID/locations/global/domains/DOMAIN-NAME.
SQL Server ahora está configurado con la autenticación de Windows habilitada.
Probar la configuración
Crea una VM de Windows o Linux en el proyecto de servicio. Al crear la VM, selecciona la VPC compartida y la subred que se comparte en la VPC compartida con este proyecto de servicio.
Une la VM a un dominio. Para obtener más información sobre cómo unir una VM de Windows a un dominio, consulta Unir una VM de Windows a un dominio.
Conéctate mediante el nombre DNS de la instancia de SQL Server. Para obtener más información, consulta el paso 2 del artículo Conectarse a una instancia con un usuario.
Resumen
Has emparejado un dominio de Managed Microsoft AD con el host de la VPC compartida y has creado SQL Server en la VPC compartida. Con este peering de dominio, la autenticación de Windows entre proyectos está habilitada para SQL Server.
Aunque en el caso práctico anterior Managed Microsoft AD y SQL Server se encuentran en proyectos de servicio diferentes, también se pueden configurar en el mismo proyecto de servicio.
También puedes tener el dominio de Microsoft AD gestionado en el proyecto host. En este caso, se debe añadir la VPC compartida como red autorizada al dominio de Microsoft AD gestionado. Para obtener más información, consulta Añadir redes autorizadas a un dominio.
En todos estos casos, el dominio está disponible para los proyectos de servicio asociados a la VPC compartida mediante el emparejamiento con la VPC compartida.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[],[],null,["# Deploy Managed Microsoft AD with cross-project access using domain peering\n\nThis topic shows you how to configure domain peering between Managed Service for Microsoft Active Directory (Managed Microsoft AD) and Shared VPC. This allows you to make Managed Microsoft AD available to service projects attached to Shared VPC.\n\nOverview\n--------\n\n[Domain peering](/managed-microsoft-ad/docs/domain-peering) in Managed Microsoft AD creates a domain peering resource in each domain resource and VPC resource projects. Managed Microsoft AD domain can be made available to all the projects attached to the Shared VPC by creating a domain peering between Managed Microsoft AD and Shared VPC. For example, you can authenticate and login to SQL Server using Managed Microsoft AD domain, where SQL Server and Managed Microsoft AD are in different service projects that are attached to the Shared VPC.\n\nBefore you begin\n----------------\n\nBefore you begin, do the following:\n\n1. In the Google Cloud console, on the project selector page, select or create three Google Cloud projects. They are called host and service projects. The host project is where the Shared VPC is enabled. Managed Microsoft AD domain and Cloud SQL instances must reside in different service projects. The VMs could reside in one of the service projects.\n\n [Go to project selector](https://console.cloud.google.com/projectselector2/home/dashboard)\n2. Enable billing for your Cloud project(s). For more information, see [Check if billing is enabled on a project](/billing/docs/how-to/modify-project#confirm_billing_is_enabled_on_a_project).\n\n3. Enable Shared VPC on the host project. For more information, see [Enable a host project](/vpc/docs/provisioning-shared-vpc#enable-shared-vpc-host).\n\n4. Attach the service project(s) to the Shared VPC network. Each of the projects need to have Compute Engine API enabled. For the purpose of this example, we recommend creating separate subnets in the Shared VPC. While attaching the project, choose the appropriate subnet for each of the project(s). For more information, see [Attach service projects](/vpc/docs/provisioning-shared-vpc#create-shared).\n\n5. [Create a Managed Microsoft AD domain](/managed-microsoft-ad/docs/create-domain) in the service project. The VPC network authorized while creating the Managed Microsoft AD domain is independent of the Shared VPC networks. To create a Managed Microsoft AD domain without an authorized network, use the gcloud CLI command.\n\nConfigure domain peering\n------------------------\n\n1. Create domain peering from the service project having the domain resource to the Shared VPC network. For more information about domain peering, see [Configure domain peering](/managed-microsoft-ad/docs/quickstart-domain-peering#configure_domain_peering).\n\n ```\n gcloud active-directory peerings create PEERING-RESOURCE-NAME \\\n --domain=DOMAIN-RESOURCE-NAME \\\n --authorized-network=SHARED-VPC-NAME\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003ePEERING-RESOURCE-NAME\u003c/var\u003e: A name for your domain peering resource (such as `my-domain-peering`).\n - \u003cvar translate=\"no\"\u003eDOMAIN-RESOURCE-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Managed Microsoft AD domain, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/locations/global/domains/`\u003cvar translate=\"no\"\u003eDOMAIN-NAME\u003c/var\u003e.\n - \u003cvar translate=\"no\"\u003eSHARED-VPC-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Shared VPC network, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/global/networks/`\u003cvar translate=\"no\"\u003eNETWORK-NAME\u003c/var\u003e.\n2. List the domain peerings to verify the state. Run the following gcloud CLI command:\n\n ```\n gcloud active-directory peerings list --project=PROJECT_ID\n ```\n\n Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the project ID of the service project that is used to create your domain peering resource.\n\n It returns the state as `DISCONNECTED`.\n3. Create the reverse domain peering from the host project.\n\n ```\n gcloud active-directory peerings create PEERING-RESOURCE-NAME \\\n --domain=DOMAIN-RESOURCE-NAME \\\n --authorized-network=SHARED-VPC-NAME \\\n --project=VPC-RESOURCE-PROJECT-ID\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003ePEERING-RESOURCE-NAME\u003c/var\u003e: A name for your domain peering resource (such as `my-domain-peering`).\n - \u003cvar translate=\"no\"\u003eDOMAIN-RESOURCE-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Managed Microsoft AD domain, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/locations/global/domains/`\u003cvar translate=\"no\"\u003eDOMAIN-NAME\u003c/var\u003e.\n - \u003cvar translate=\"no\"\u003eSHARED-VPC-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Shared VPC network, in the form of: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/global/networks/`\u003cvar translate=\"no\"\u003eNETWORK-NAME\u003c/var\u003e.\n - \u003cvar translate=\"no\"\u003eVPC-RESOURCE-PROJECT-ID\u003c/var\u003e: The project ID of the host project that is hosting the Shared VPC.\n4. List the domain peerings again to verify the state. Run the following gcloud CLI command:\n\n ```\n gcloud active-directory peerings list --project=PROJECT_ID\n ```\n\n Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the project ID of the service project that is used to create your domain peering resource.\n\n It returns the state as `CONNECTED` from both the host and service projects.\n\nConfigure the Cloud SQL (SQL Server) instance\n---------------------------------------------\n\n1. Create the Cloud SQL (SQL Server) instance in the service project with Private IP enabled and select the network of the Shared VPC. For more information, see [Create an instance with Windows Authentication](/sql/docs/sqlserver/configure-ad#creating-an-instance-with-windows-authentication).\n\n2. After the domain peering is complete, modify the Cloud SQL (SQL Server) configuration to use your Managed Microsoft AD domain for authentication. Run the following gcloud CLI command:\n\n ```\n gcloud beta sql instances patch INSTANCE-NAME \\\n --active-directory-domain=DOMAIN-RESOURCE-NAME\n ```\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eINSTANCE-NAME\u003c/var\u003e: The name of your Cloud SQL instance in the service project.\n - \u003cvar translate=\"no\"\u003eDOMAIN-RESOURCE-NAME\u003c/var\u003e: The [full resource name](/iam/docs/full-resource-names) of your Managed Microsoft AD domain that you want to use for authentication. Full resource name format: `projects/`\u003cvar translate=\"no\"\u003ePROJECT-ID\u003c/var\u003e`/locations/global/domains/`\u003cvar translate=\"no\"\u003eDOMAIN-NAME\u003c/var\u003e.\n\n For more information, see [Enable cross-project Windows authentication](/sql/docs/sqlserver/configure-ad#enable-cross-project-auth).\n\nThe SQL Server is now configured with Windows authentication enabled.\n\nTest the setup\n--------------\n\n1. Create a Windows or Linux VM in the service project. While creating the VM, select the Shared VPC and the subnet which is shared in the Shared VPC with this service project.\n2. Join the VM to a domain. For more information about joining a Windows VM to a domain, see [Join a Windows VM to a domain](/managed-microsoft-ad/docs/quickstart-domain-join-windows).\n3. Create a SQL Server login based on a Windows user or group. For more information, see [Connect to an instance with a user](/sql/docs/sqlserver/configure-ad#connecting-to-an-instance-with-a-user).\n4. Connect using the SQL Server's instance DNS name. For more information, see Step 2 in [Connect to an instance with a user](/sql/docs/sqlserver/configure-ad#connecting-to-an-instance-with-a-user).\n\nSummary\n-------\n\nYou have domain peered a Managed Microsoft AD domain with the Shared VPC host and created SQL Server on the Shared VPC. With this domain peering, cross-project Windows authentication is enabled for SQL Server.\n\nWhile in the above scenario Managed Microsoft AD and SQL Server are in different service projects, configuring them in the same service project is also supported.\n\nAlternatively, you can also have the Managed Microsoft AD domain in the host project. In this case, Shared VPC needs to be added as an authorized network to the Managed Microsoft AD domain. For more information, see [Adding authorized networks to an existing domain](/managed-microsoft-ad/docs/managing-authorized-networks#adding_authorized_networks_to_an_existing_domain).\n\nIn all these scenarios through peering with Shared VPC, the domain is available to the service project(s) attached to the Shared VPC."]]
