Esta página fornece instruções sobre como criar uma política do Active Directory.
Antes de começar
Certifique-se de que o serviço Active Directory está acessível. Consulte os artigos Controladores de domínio do Active Directory e Regras de firewall para acesso ao Active Directory.
Configure o Cloud DNS para encaminhar pedidos DNS para o seu domínio Windows para os seus servidores DNS Windows, de modo a permitir que as suas máquinas virtuais do Compute Engine resolvam nomes de anfitriões do Active Directory, como o nome Netbios usado pelos Google Cloud NetApp Volumes. Google Cloud Para mais informações, consulte o artigo Práticas recomendadas para usar zonas de encaminhamento privado do Cloud DNS. Isto é necessário para o Active Directory no local, bem como para o Active Directory criado no Compute Engine.
Ao criar volumes SMB, os volumes NetApp usam atualizações de DNS dinâmicas seguras para registar o respetivo nome de anfitrião. Este processo funciona bem quando usa o DNS do Active Directory. Se estiver a usar um serviço DNS de terceiros para alojar a zona do seu domínio Windows, certifique-se de que está configurado para suportar atualizações DDNS seguras. Caso contrário, a criação de volumes do tipo de serviço Flex vai falhar.
As definições da política do Active Directory não são aplicadas até criar o primeiro volume que requer o Active Directory na região especificada. Durante essa criação de volume, as definições incorretas podem causar falhas na criação de volumes.
Crie uma política do Active Directory
Use as instruções seguintes para criar uma política do Active Directory através da Google Cloud consola ou da Google Cloud CLI.
Consola
Siga as instruções abaixo para criar uma política do Active Directory na Google Cloud consola:
Aceda à página Volumes do NetApp na Google Cloud consola.
Selecione Políticas do Active Directory.
Clique em Criar.
Na caixa de diálogo Criar política do Active Directory, preencha os campos apresentados na tabela seguinte.
Os campos obrigatórios estão marcados com um asterisco (*).
Campo Descrição Aplica-se a NFS Aplica-se a SMB Aplica-se ao protocolo duplo Nome da política do Active Directory* O nome do identificador exclusivo da política Descrição Opcional: pode introduzir uma descrição da política Região Região* Associa o Active Directory a todos os volumes na região especificada. Detalhes da ligação do Active Directory Nome do domínio* Nome do domínio totalmente qualificado para o domínio do Active Directory. Servidores DNS* Lista separada por vírgulas de um máximo de três endereços IP de servidores DNS usados para a deteção de controladores de domínio baseada em DNS. Site Especifica um site do Active Directory para gerir a seleção do controlador de domínio.
Use quando os controladores de domínio do Active Directory em várias regiões estão configurados. A predefinição é Default-First-Site-Name se for deixado em branco.Unidade organizacional Nome da unidade organizacional onde pretende criar a conta de computador para volumes NetApp.
A predefinição é CN=Computers se ficar vazio.Prefixo do nome NetBIOS* Prefixo do nome NetBIOS do servidor a ser criado.
É gerado automaticamente um ID aleatório de cinco carateres, por exemplo,-6f9a, e anexado ao prefixo. O caminho de partilha UNC completo tem o seguinte formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Ative a encriptação AES para a autenticação do Active Directory Ativa a encriptação AES-128 e AES-256 para a comunicação baseada em Kerberos com o Active Directory Credenciais do Active Directory Nome de utilizador* e palavra-passe* Credenciais da conta do Active Directory com autorizações para criar a conta de computação na unidade organizacional especificada. Definições de SMB Administradores Contas de utilizadores do domínio a adicionar ao grupo de administradores locais do serviço SMB.
Forneça uma lista de utilizadores ou grupos do domínio separados por vírgulas. O grupo Domain Admin é adicionado automaticamente quando o serviço se junta ao seu domínio como um grupo oculto.
Os administradores só usam o nome da conta do gestor de contas de segurança (SAM). O nome da conta SAM suporta um máximo de 20 carateres para o seu nome de utilizador e 64 carateres para o nome do grupo.
Operadores de cópia de segurança Contas de utilizador do domínio a adicionar ao grupo Backup Operators do serviço SMB. O grupo Backup Operators permite que os membros façam cópias de segurança e restaurem ficheiros, independentemente de terem acesso de leitura ou escrita aos ficheiros.
Forneça uma lista de utilizadores ou grupos do domínio separados por vírgulas.
Os operadores de cópias de segurança usam apenas o nome da conta do gestor de contas de segurança (SAM). O nome da conta SAM suporta um máximo de 20 carateres para o nome de utilizador e 64 carateres para o nome do grupo.Utilizadores com privilégios de segurança Contas de domínio que requerem privilégios elevados, como SeSecurityPrivilegepara gerir registos de segurança.
Indique uma lista separada por vírgulas de utilizadores ou grupos do domínio. Isto é especificamente necessário para a instalação de um SQL Server onde os ficheiros binários e as bases de dados do sistema são armazenados numa partilha SMB. Esta opção não é necessária se usar um utilizador administrador durante a instalação.Definições de NFS Nome de anfitrião de distribuição de chaves Kerberos Nome do anfitrião do servidor Active Directory usado como centro de distribuição de chaves do Kerberos NFSv4.1 com Kerberos SMB e NFSv4.1 com Kerberos IP do KDC Endereço IP do servidor Active Directory usado como centro de distribuição de chaves do Kerberos NFSv4.1 com Kerberos SMB e NFSv4.1 com Kerberos Permita utilizadores NFS locais com LDAP Os utilizadores UNIX locais em clientes sem informações de utilizador válidas no Active Directory estão bloqueados do acesso a volumes ativados para LDAP.
Esta opção pode ser usada para mudar temporariamente esses volumes paraAUTH_SYSautenticação (ID do utilizador + 1 a 16 grupos).Etiquetas Marcadores Opcional: adicione etiquetas relevantes Clique em Criar. Para os níveis de serviço Standard, Premium e Extreme: depois de criar uma política do Active Directory e anexá-la a um conjunto de armazenamento, deve testar a ligação ao serviço Active Directory.
gcloud
Crie uma política do Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Substitua as seguintes informações:
CONFIG_NAME: o nome da configuração que quer criar. O nome da configuração tem de ser exclusivo por região.PROJECT_ID: ID do projeto no qual está a criar a política do Active Directory.LOCATION: a região na qual quer criar a configuração. O Google Cloud NetApp Volumes só suporta uma configuração por região.DNS_LIST: uma lista separada por vírgulas de até três endereços IPv4 de servidores DNS do Active Directory.DOMAIN_NAME: o nome do domínio totalmente qualificado do Active Directory.NetBIOS_PREFIX: prefixo do nome NetBIOS do servidor que quer criar. É gerado automaticamente um ID aleatório de cinco carateres, como-6f9a, e anexado ao prefixo.O caminho de partilha UNC completo tem o seguinte formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: o nome de um utilizador do domínio com autorização para aderir ao domínio.PASSWORD: palavra-passe do nome de utilizador.
Para mais informações sobre flags opcionais adicionais, consulte a documentação do SDK Google Cloud sobre a criação do Active Directory.
O que se segue?
Teste a ligação da política do Active Directory.