En esta página se explica cómo crear una política de Active Directory.
Antes de empezar
Asegúrate de que se pueda acceder al servicio Active Directory. Consulta Controladores de dominio de Active Directory y Reglas de cortafuegos para el acceso a Active Directory.
Configura Cloud DNS para que reenvíe las solicitudes DNS de tu dominio de Windows a tus servidores DNS de Windows. De esta forma, tus máquinas virtuales de Google Cloud Compute Engine podrán resolver nombres de host de Active Directory, como el nombre NetBIOS que usa Google Cloud NetApp Volumes. Para obtener más información, consulta las prácticas recomendadas para usar zonas de reenvío privadas de Cloud DNS. Esto es necesario tanto para Active Directory local como para Active Directory creado en Compute Engine.
Al crear volúmenes SMB, NetApp Volumes usa actualizaciones de DNS dinámicas y seguras para registrar su nombre de host. Este proceso funciona bien cuando usas el DNS de Active Directory. Si usas un servicio de DNS de terceros para alojar la zona de tu dominio de Windows, asegúrate de que esté configurado para admitir actualizaciones de DDNS seguras. De lo contrario, no se podrán crear volúmenes de tipo de servicio flexible.
Los ajustes de la política de Active Directory no se aplican hasta que creas el primer volumen que requiere Active Directory en la región especificada. Si se configuran ajustes incorrectos durante la creación del volumen, se producirán errores.
Crear una política de Active Directory
Sigue estas instrucciones para crear una política de Active Directory con laGoogle Cloud consola o la CLI de Google Cloud.
Consola
Sigue estas instrucciones para crear una política de Active Directory en la consolaGoogle Cloud :
Ve a la página Volúmenes de NetApp de la consola de Google Cloud .
Selecciona Políticas de Active Directory.
Haz clic en Crear.
En el cuadro de diálogo Crear política de Active Directory, rellena los campos que se muestran en la siguiente tabla.
Los campos obligatorios están marcados con un asterisco (*).
Campo Descripción Se aplica a NFS Se aplica a las pymes Se aplica al protocolo dual Nombre de la política de Active Directory* Nombre del identificador único de la política. Descripción Opcional: puedes escribir una descripción de la política. Región Región* Asocia el Active Directory a todos los volúmenes de la región especificada. Detalles de la conexión de Active Directory Nombre de dominio* Nombre de dominio completo del dominio de Active Directory. Servidores DNS* Lista separada por comas de un máximo de tres direcciones IP de servidor DNS que se usa para la detección de controladores de dominio basada en DNS. Sitio Especifica un sitio de Active Directory para gestionar la selección del controlador de dominio.
Úsalo cuando se configuren controladores de dominio de Active Directory en varias regiones. Si se deja vacío, el valor predeterminado es Default-First-Site-Name.Unidad organizativa Nombre de la unidad organizativa en la que quieres crear la cuenta de ordenador para los volúmenes de NetApp.
Si se deja vacío, el valor predeterminado es CN=Computers.Prefijo de nombre de NetBIOS* Prefijo del nombre NetBIOS del servidor que se va a crear.
Se genera automáticamente un ID aleatorio de cinco caracteres, por ejemplo,-6f9a, y se añade al prefijo. La ruta UNC completa del recurso compartido tiene el siguiente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Habilitar el cifrado AES para la autenticación de Active Directory Habilita el cifrado AES-128 y AES-256 para la comunicación basada en Kerberos con Active Directory. Credenciales de Active Directory Nombre de usuario* y contraseña* Credenciales de la cuenta de Active Directory con permisos para crear la cuenta de computación en la unidad organizativa especificada. Configuración de SMB Administradores Cuentas de usuario del dominio que se añadirán al grupo Administradores local del servicio SMB.
Proporciona una lista separada por comas de usuarios o grupos del dominio. El grupo Administrador de dominio se añade automáticamente cuando el servicio se une a tu dominio como grupo oculto.
Los administradores solo usan el nombre de cuenta del administrador de cuentas de seguridad (SAM). El nombre de cuenta SAM admite un máximo de 20 caracteres para el nombre de usuario y 64 caracteres para el nombre del grupo.
Operadores de copias de seguridad Cuentas de usuario del dominio que se añadirán al grupo Operadores de copia de seguridad del servicio SMB. El grupo Operadores de copia de seguridad permite a sus miembros crear copias de seguridad y restaurar archivos, independientemente de si tienen acceso de lectura o escritura a los archivos.
Proporciona una lista separada por comas de usuarios o grupos del dominio.
Los operadores de copia de seguridad solo usan el nombre de la cuenta del administrador de cuentas de seguridad (SAM). El nombre de cuenta SAM admite un máximo de 20 caracteres para el nombre de usuario y 64 caracteres para el nombre de grupo.Usuarios con privilegios de seguridad Cuentas de dominio que requieren privilegios elevados, como SeSecurityPrivilegepara gestionar los registros de seguridad.
Proporciona una lista separada por comas de usuarios o grupos del dominio. Esto es necesario específicamente para la instalación de un SQL Server en el que los archivos binarios y las bases de datos del sistema se almacenan en un recurso compartido SMB. Esta opción no es necesaria si usas un usuario administrador durante la instalación.Ajustes de NFS Nombre de host de distribución de claves de Kerberos Nombre de host del servidor de Active Directory usado como centro de distribución de claves de Kerberos NFSv4.1 con Kerberos SMB y NFSv4.1 con Kerberos IP de KDC Dirección IP del servidor de Active Directory que se usa como centro de distribución de claves de Kerberos NFSv4.1 con Kerberos SMB y NFSv4.1 con Kerberos Permitir usuarios locales de NFS con LDAP Los usuarios locales de UNIX en clientes que no tengan información de usuario válida en Active Directory no podrán acceder a los volúmenes habilitados para LDAP.
Esta opción se puede usar para cambiar temporalmente estos volúmenes a laAUTH_SYSautenticación (ID de usuario + de 1 a 16 grupos).Etiquetas Etiquetas Opcional: añade etiquetas relevantes Haz clic en Crear. En los niveles de servicio Estándar, Premium y Extremo, después de crear una política de Active Directory y asociarla a un grupo de almacenamiento, debes probar la conexión con el servicio de Active Directory.
gcloud
Crea una política de Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Sustituye la siguiente información:
CONFIG_NAME: el nombre de la configuración que quieras crear. El nombre de la configuración debe ser único por región.PROJECT_ID: ID del proyecto en el que vas a crear la política de Active Directory.LOCATION: la región en la que quieras crear la configuración. Google Cloud NetApp Volumes solo admite una configuración por región.DNS_LIST: una lista separada por comas de hasta tres direcciones IPv4 de servidores DNS de Active Directory.DOMAIN_NAME: nombre de dominio completo de Active Directory.NetBIOS_PREFIX: prefijo del nombre NetBIOS del servidor que quieras crear. Se genera automáticamente un ID aleatorio de cinco caracteres, como-6f9a, y se añade al prefijo.La ruta UNC completa del recurso compartido tiene el siguiente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: nombre de un usuario del dominio con permiso para unirse al dominio.PASSWORD: contraseña del nombre de usuario.
Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud sobre la creación de Active Directory.
Siguientes pasos
Prueba la conexión de la política de Active Directory.