En esta página, se proporcionan instrucciones para crear una política de Active Directory.
Antes de comenzar
Asegúrate de que se pueda acceder al servicio de Active Directory. Consulta Controladores de dominio de Active Directory y Reglas de firewall para el acceso a Active Directory.
Configura Cloud DNS para que reenvíe las solicitudes de DNS de tu dominio de Windows a los servidores DNS de Windows para habilitar las máquinas virtuales de Compute Engine de Google Cloud para resolver nombres de host de Active Directory, como el nombre de Netbios que usan Google Cloud NetApp Volumes. Para obtener más información, consulta Prácticas recomendadas para usar zonas de reenvío privadas de Cloud DNS. Esto es obligatorio para Active Directory local y Active Directory compilado en Compute Engine.
Cuando se crean volúmenes SMB, NetApp Volumes usa actualizaciones de DNS dinámico seguro para registrar su nombre de host. Este proceso funciona bien cuando usas el DNS de Active Directory. Si usas un servicio de DNS de terceros para alojar la zona de tu dominio de Windows, asegúrate de que esté configurado para admitir actualizaciones de DDNS seguras. De lo contrario, fallará la creación de volúmenes de tipo de servicio flexible.
La configuración de la política de Active Directory no se aplica hasta que creas el primer volumen que requiere Active Directory en la región especificada. Durante la creación del volumen, la configuración incorrecta puede provocar fallas.
Crea una política de Active Directory
Usa las siguientes instrucciones para crear una política de Active Directory con la consola deGoogle Cloud o Google Cloud CLI.
Console
Usa las siguientes instrucciones para crear una política de Active Directory en la consola de Google Cloud :
Ve a la página NetApp Volumes en la consola de Google Cloud .
Selecciona Políticas de Active Directory.
Haz clic en Crear.
En el cuadro de diálogo Create Active Directory Policy, completa los campos que se muestran en la siguiente tabla.
Los campos obligatorios están marcados con un asterisco (*).
Campo Descripción Se aplica a NFS Se aplica a pymes Se aplica al protocolo doble Nombre de la política de Active Directory* Es el nombre del identificador único de la política. Descripción Opcional: Puedes ingresar una descripción para la política. Región Región* Asocia Active Directory a todos los volúmenes de la región especificada. Detalles de la conexión de Active Directory Nombre de dominio* Es el nombre de dominio completamente calificado del dominio de Active Directory. Servidores DNS* Lista de direcciones IP de servidores DNS separadas por comas de un máximo de tres direcciones que se usan para el descubrimiento de controladores de dominio basados en DNS. Sitio Especifica un sitio de Active Directory para administrar la selección de controladores de dominio.
Úsalo cuando se hayan configurado controladores de dominio de Active Directory en varias regiones. Si se deja en blanco, el valor predeterminado es Default-First-Site-Name.Unidad organizativa Es el nombre de la unidad organizativa en la que deseas crear la cuenta de la computadora para NetApp Volumes.
Si se deja en blanco, el valor predeterminado es CN=Computers.Prefijo del nombre de NetBIOS* Prefijo del nombre de NetBIOS del servidor que se creará.
Se genera automáticamente un ID aleatorio de cinco caracteres, por ejemplo,-6f9a, y se agrega al prefijo. La ruta de acceso completa del recurso compartido UNC tiene el siguiente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Habilita la encriptación AES para la autenticación de Active Directory Habilita la encriptación AES-128 y AES-256 para la comunicación basada en Kerberos con Active Directory. Credenciales de Active Directory Nombre de usuario* y contraseña* Credenciales de la cuenta de Active Directory con permisos para crear la cuenta de procesamiento dentro de la unidad organizativa especificada Configuración de SMB Administradores Cuentas de usuario de dominio que se agregarán al grupo de administradores locales del servicio de SMB.
Proporciona una lista de usuarios o grupos de dominio separados por comas. El grupo Administrador de dominios se agrega automáticamente cuando el servicio se une a tu dominio como un grupo oculto.
Los administradores solo usan el nombre de la cuenta del Administrador de cuentas de seguridad (SAM). El nombre de la cuenta de SAM admite un máximo de 20 caracteres para el nombre de usuario y 64 caracteres para el nombre del grupo.
Nota: Esta opción solo está disponible en la API de REST o Google Cloud CLI.Operadores de copia de seguridad Cuentas de usuario de dominio que se agregarán al grupo Operadores de copias de seguridad del servicio de SMB. El grupo Operadores de copias de seguridad permite a los miembros crear copias de seguridad de archivos y restablecerlos, independientemente de si tienen acceso de lectura o escritura a los archivos.
Proporciona una lista de usuarios o grupos de dominio separados por comas.
Los operadores de copia de seguridad solo usan el nombre de la cuenta del Administrador de cuentas de seguridad (SAM). El nombre de la cuenta de SAM admite un máximo de 20 caracteres para el nombre de usuario y 64 caracteres para el nombre del grupo.Usuarios con privilegios de seguridad Cuentas de dominio que requieren privilegios elevados, como SeSecurityPrivilege, para administrar registros de seguridad
Proporciona una lista separada por comas de usuarios o grupos de dominio. Esto es necesario específicamente para la instalación de un SQL Server en el que los objetos binarios y las bases de datos del sistema se almacenan en un recurso compartido SMB. Esta opción no es obligatoria si usas un usuario administrador durante la instalación.Configuración de NFS Nombre de host de distribución de claves de Kerberos Nombre de host del servidor de Active Directory que se usa como centro de distribución de claves de Kerberos NFSv4.1 con Kerberos SMB y NFSv4.1 con Kerberos IP del KDC Dirección IP del servidor de Active Directory que se usa como centro de distribución de claves de Kerberos NFSv4.1 con Kerberos SMB y NFSv4.1 con Kerberos Permite usuarios locales de NFS con LDAP Los usuarios locales de UNIX en clientes sin información de usuario válida en Active Directory no pueden acceder a los volúmenes habilitados para LDAP.
Esta opción se puede usar para cambiar temporalmente esos volúmenes a la autenticaciónAUTH_SYS(ID de usuario + 1 a 16 grupos).Etiquetas Etiquetas Opcional: Agrega etiquetas relevantes Haz clic en Crear. Para los niveles de servicio estándar, premium y extremo, después de crear una política de Active Directory y conectarla con un grupo de almacenamiento, debes probar la conexión al servicio de Active Directory.
gcloud
Crea una política de Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Reemplaza la siguiente información:
CONFIG_NAME: Es el nombre de la configuración que deseas crear. El nombre de la configuración debe ser único por región.PROJECT_ID: Es el ID del proyecto en el que creas la política de Active Directory.LOCATION: Es la región en la que deseas crear la configuración. Google Cloud NetApp Volumes solo admite una configuración por región.DNS_LIST: Es una lista separada por comas de hasta tres direcciones IPv4 de los servidores DNS de Active Directory.DOMAIN_NAME: Es el nombre de dominio completamente calificado de Active Directory.NetBIOS_PREFIX: Es el prefijo del nombre de NetBIOS del servidor que deseas crear. Se genera automáticamente un ID aleatorio de cinco caracteres, como-6f9a, y se agrega al prefijo.La ruta de acceso completa del recurso compartido UNC tiene el siguiente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: Es el nombre de un usuario de dominio con permiso para unirse al dominio.PASSWORD: Contraseña del nombre de usuario.
Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud sobre la creación de Active Directory.
¿Qué sigue?
Prueba la conexión de la política de Active Directory.