Esta página contém instruções sobre como criar uma política do Active Directory.
Antes de começar
Verifique se o serviço do Active Directory pode ser acessado. Consulte Controladores de domínio do Active Directory e Regras de firewall para acesso ao Active Directory.
Configure o Cloud DNS para encaminhar solicitações DNS do seu domínio do Windows para seus servidores DNS do Windows e permitir que as máquinas virtuais do Google Cloud Compute Engine resolvam nomes de host do Active Directory, como o nome Netbios usado pelos Google Cloud NetApp Volumes. Para mais informações, consulte Práticas recomendadas para o uso de zonas de encaminhamento privadas do Cloud DNS. Isso é necessário para o Active Directory local e o Active Directory criado no Compute Engine.
Ao criar volumes SMB, NetApp Volumes usam atualizações DNS dinâmicas seguras para registrar o nome do host. Esse processo funciona bem quando você usa o DNS do Active Directory. Se você estiver usando um serviço de DNS de terceiros para hospedar a zona do seu domínio do Windows, verifique se ele está configurado para oferecer suporte a atualizações seguras de DDNS. Caso contrário, a criação de volumes do tipo de serviço Flex vai falhar.
As configurações da política do Active Directory não são aplicadas até que você crie o primeiro volume que exige o Active Directory na região especificada. Durante a criação do volume, configurações incorretas podem causar falhas.
Criar uma política do Active Directory
Siga as instruções abaixo para criar uma política do Active Directory usando o console do Google Cloud ou a Google Cloud CLI.
Console
Siga as instruções abaixo para criar uma política do Active Directory no console do Google Cloud :
Acesse a página Volumes do NetApp no console do Google Cloud .
Selecione Políticas do Active Directory.
Clique em Criar.
Na caixa de diálogo Criar política do Active Directory, preencha os campos mostrados na tabela a seguir.
Os campos obrigatórios são marcados com um asterisco (*).
Campo Descrição Aplicável ao NFS Aplicável a PME Aplicável ao protocolo duplo Nome da política do Active Directory* O nome do identificador exclusivo da política Descrição Opcional: você pode inserir uma descrição para a política. Região Região* Associa o Active Directory a todos os volumes na região especificada. Detalhes da conexão do Active Directory Nome de domínio* Nome de domínio totalmente qualificado do domínio do Active Directory. Servidores DNS* Lista separada por vírgulas de até três endereços IP de servidores DNS usada para a descoberta de controladores de domínio baseados em DNS. Site Especifica um site do Active Directory para gerenciar a seleção do controlador do domínio.
Use quando os controladores de domínio do Active Directory em várias regiões estiverem configurados. Se for deixado em branco, o padrão será Default-First-Site-Name.Unidade organizacional Nome da unidade organizacional em que você pretende criar a conta de computador para NetApp Volumes.
O padrão é CN=Computers se deixado em branco.Prefixo de nome do NetBIOS* Prefixo de nome do NetBIOS do servidor a ser criado.
Um ID aleatório de cinco caracteres é gerado automaticamente, por exemplo,-6f9a, e anexado ao prefixo. O caminho completo do compartilhamento UNC tem o seguinte formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Ativar a criptografia AES para a autenticação do Active Directory Ativa as criptografias AES-128 e AES-256 para a comunicação baseada em Kerberos com o Active Directory. Credenciais do Active Directory Nome de usuário* e senha* Credenciais da conta do Active Directory com permissões para criar a conta de computação na unidade organizacional especificada. Configurações de SMB Administradores Contas de usuário do domínio que serão adicionadas ao grupo local de administradores do serviço SMB.
Forneça uma lista separada por vírgulas de usuários ou grupos de domínio. O grupo Administrador do domínio é adicionado automaticamente quando o serviço entra no seu domínio como um grupo oculto.
Os administradores só usam o nome da conta do gerenciador de contas de segurança (SAM). O nome da conta SAM aceita no máximo 20 caracteres para o nome de usuário e 64 caracteres para o nome do grupo.
Observação: essa opção está disponível apenas na API REST ou na Google Cloud CLI.Operadores de backup Contas de usuário do domínio que serão adicionadas ao grupo "Operadores de backup" do serviço SMB. O grupo Operadores de backup permite que os membros façam backup e restaurem arquivos, independentemente de terem acesso de leitura ou gravação a eles.
Forneça uma lista separada por vírgulas de usuários ou grupos de domínio.
Os operadores de backup só usam o nome da conta do gerenciador de contas de segurança (SAM). O nome da conta SAM aceita no máximo 20 caracteres para o nome de usuário e 64 caracteres para o nome do grupo.Usuários com privilégio de segurança Contas de domínio que exigem privilégios elevados, como SeSecurityPrivilege, para gerenciar registros de segurança.
Forneça uma lista separada por vírgulas de usuários ou grupos de domínio. Isso é específico para a instalação de um SQL Server em que os binários e os bancos de dados do sistema são armazenados em um compartilhamento SMB. Essa opção não é necessária se você usar um usuário administrador durante a instalação.Configurações de NFS Nome do host de distribuição de chaves do Kerberos Nome do host do servidor do Active Directory usado como centro de distribuição de chaves do Kerberos NFSv4.1 com Kerberos SMB e NFSv4.1 com Kerberos KDC IP Endereço IP do servidor do Active Directory usado como centro de distribuição de chaves do Kerberos NFSv4.1 com Kerberos SMB e NFSv4.1 com Kerberos Permitir usuários locais do NFS com LDAP Os usuários locais do UNIX em clientes sem informações de usuário válidas no Active Directory não podem acessar volumes ativados pelo LDAP.
Essa opção pode ser usada para alternar temporariamente esses volumes para a autenticaçãoAUTH_SYS(ID do usuário + grupos 1 a 16).Rótulos Marcadores Opcional: adicione rótulos relevantes Clique em Criar. Para os níveis de serviço Standard, Premium e Extreme: depois de criar uma política do Active Directory e anexá-la a um pool de armazenamento, teste a conexão com o serviço do Active Directory.
gcloud
Crie uma política do Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Substitua as seguintes informações:
CONFIG_NAME: o nome da configuração que você quer criar. O nome da configuração precisa ser exclusivo por região.PROJECT_ID: o ID do projeto em que você está criando a política do Active Directory.LOCATION: a região em que você quer criar a configuração. O Google Cloud NetApp Volumes só oferece suporte a uma configuração por região.DNS_LIST: uma lista separada por vírgulas de até três endereços IPv4 de servidores DNS do Active Directory.DOMAIN_NAME: o nome de domínio totalmente qualificado do Active Directory.NetBIOS_PREFIX: prefixo de nome NetBIOS do servidor que você quer criar. Um ID aleatório de cinco caracteres é gerado automaticamente, como-6f9a, e anexado ao prefixo.O caminho completo de compartilhamento UNC tem o seguinte formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: o nome de um usuário do domínio com permissão para ingressar no domínio.PASSWORD: senha do nome de usuário.
Para mais informações sobre outras flags opcionais, consulte a documentação do SDK Google Cloud sobre a criação do Active Directory.
A seguir
Teste a conexão da política do Active Directory.