En esta página, se proporcionan instrucciones para crear una política de Active Directory.
Antes de comenzar
Asegúrate de que se pueda acceder al servicio de Active Directory. Consulta Controladores de dominio de Active Directory y Reglas de firewall para el acceso a Active Directory.
Configura Cloud DNS para que reenvíe las solicitudes de DNS de tu dominio de Windows a tus servidores DNS de Windows y, así, habilitar tus máquinas virtuales de Google Cloud Compute Engine para que resuelvan los nombres de host de Active Directory, como el nombre de NetBIOS que usan Google Cloud NetApp Volumes. Para obtener más información, consulta Prácticas recomendadas para usar zonas de reenvío privadas de Cloud DNS. Esto es necesario para Active Directory local y para Active Directory creado en Compute Engine.
Cuando se crean volúmenes de SMB, NetApp Volumes usa actualizaciones de DNS dinámicas y seguras para registrar su nombre de host. Este proceso funciona bien cuando usas DNS de Active Directory. Si usas un servicio de DNS externo para alojar la zona de tu dominio de Windows, asegúrate de que esté configurado para admitir actualizaciones de DDNS seguras. De lo contrario, fallará la creación de volúmenes de tipo de servicio Flex.
La configuración de la política de Active Directory no se aplica hasta que creas el primer volumen que requiere Active Directory en la región especificada. Durante la creación de ese volumen, los parámetros de configuración incorrectos pueden provocar errores en la creación del volumen.
Crea una política de Active Directory
Sigue estas instrucciones para crear una política de Active Directory con la consola deGoogle Cloud o Google Cloud CLI.
Console
Sigue estas instrucciones para crear una política de Active Directory en la consola deGoogle Cloud :
Ve a la página NetApp Volumes en la consola Google Cloud .
Selecciona Políticas de Active Directory.
Haz clic en Crear.
En el cuadro de diálogo Create Active Directory Policy, completa los campos que se muestran en la siguiente tabla.
Los campos obligatorios están marcados con un asterisco (*).
Campo Descripción Se aplica a NFS Se aplica a las pymes Se aplica al protocolo dual Nombre de la política de Active Directory* Nombre del identificador único de la política Descripción Opcional: Puedes ingresar una descripción para la política. Región Región* Asocia Active Directory a todos los volúmenes de la región especificada. Detalles de la conexión de Active Directory Nombre de dominio* Nombre de dominio completamente calificado para el dominio de Active Directory. Servidores DNS* Lista separada por comas de un máximo de tres direcciones IP de servidores DNS que se usan para el descubrimiento de controladores de dominio basados en DNS. Sitio Especifica un sitio de Active Directory para administrar la selección de controladores de dominio.
Úsalo cuando se hayan configurado controladores de dominio de Active Directory en varias regiones. Si se deja en blanco, el valor predeterminado es Default-First-Site-Name.Unidad organizativa Nombre de la unidad organizacional en la que deseas crear la cuenta de la computadora para NetApp Volumes.
Si se deja en blanco, el valor predeterminado es CN=Computers.Prefijo del nombre de NetBIOS* Es el prefijo del nombre de NetBIOS del servidor que se creará.
Se genera automáticamente un ID aleatorio de cinco caracteres, por ejemplo,-6f9a, y se agrega al prefijo. La ruta de acceso UNC completa al recurso compartido tiene el siguiente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Habilita la encriptación AES para la autenticación de Active Directory Habilita la encriptación AES-128 y AES-256 para la comunicación basada en Kerberos con Active Directory. Credenciales de Active Directory Nombre de usuario* y contraseña* Son las credenciales de la cuenta de Active Directory con permisos para crear la cuenta de procesamiento dentro de la unidad organizativa especificada. Configuración de SMB Administradores Cuentas de usuario de dominio que se agregarán al grupo de administradores locales del servicio de SMB.
Proporciona una lista de usuarios o grupos de dominio separados por comas. El grupo de administradores del dominio se agrega automáticamente cuando el servicio se une a tu dominio como un grupo oculto.
Los administradores solo usan el nombre de la cuenta del Administrador de cuentas de seguridad (SAM). El nombre de la cuenta de SAM admite un máximo de 20 caracteres para tu nombre de usuario y 64 caracteres para el nombre del grupo.
Operadores de copias de seguridad Cuentas de usuario de dominio que se agregarán al grupo Operadores de copias de seguridad del servicio de SMB. El grupo Operadores de copia de seguridad permite a los miembros crear copias de seguridad y restablecer archivos, independientemente de si tienen acceso de lectura o escritura a ellos.
Proporciona una lista de usuarios o grupos de dominio separados por comas.
Los operadores de copias de seguridad solo usan el nombre de la cuenta del Administrador de cuentas de seguridad (SAM). El nombre de la cuenta de SAM admite un máximo de 20 caracteres para tu nombre de usuario y 64 caracteres para el nombre del grupo.Usuarios con privilegios de seguridad Cuentas de dominio que requieren privilegios elevados, como SeSecurityPrivilege, para administrar registros de seguridad.
Proporciona una lista de usuarios o grupos de dominio separados por comas. Esto es necesario específicamente para la instalación de un servidor SQL en el que los archivos binarios y las bases de datos del sistema se almacenan en un recurso compartido de SMB. Esta opción no es obligatoria si usas un usuario administrador durante la instalación.Configuración de NFS Nombre de host del centro de distribución de claves de Kerberos Nombre de host del servidor de Active Directory que se usa como centro de distribución de claves de Kerberos NFSv4.1 con Kerberos SMB y NFSv4.1 con Kerberos IP del KDC Dirección IP del servidor de Active Directory que se usa como centro de distribución de claves de Kerberos NFSv4.1 con Kerberos SMB y NFSv4.1 con Kerberos Permitir usuarios locales de NFS con LDAP Los usuarios locales de UNIX en clientes sin información de usuario válida en Active Directory no pueden acceder a los volúmenes habilitados para LDAP.
Esta opción se puede usar para cambiar temporalmente esos volúmenes a la autenticación deAUTH_SYS(ID de usuario + de 1 a 16 grupos).Etiquetas Etiquetas Opcional: Agrega etiquetas relevantes Haz clic en Crear. Para los niveles de servicio Estándar, Premium y Extremo, después de crear una política de Active Directory y adjuntarla a un grupo de almacenamiento, debes probar la conexión al servicio de Active Directory.
gcloud
Crea una política de Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Reemplaza la siguiente información:
CONFIG_NAME: Es el nombre de la configuración que deseas crear. El nombre de la configuración debe ser único por región.PROJECT_ID: Es el ID del proyecto en el que crearás la política de Active Directory.LOCATION: Es la región en la que deseas crear la configuración. Google Cloud NetApp Volumes solo admite una configuración por región.DNS_LIST: Es una lista separada por comas de hasta tres direcciones IPv4 de servidores DNS de Active Directory.DOMAIN_NAME: Es el nombre de dominio completamente calificado de Active Directory.NetBIOS_PREFIX: Es el prefijo del nombre de NetBIOS del servidor que deseas crear. Se genera automáticamente un ID aleatorio de cinco caracteres, como-6f9a, y se agrega al prefijo.La ruta de acceso UNC completa al recurso compartido tiene el siguiente formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: Es el nombre de un usuario del dominio con permiso para unirse a él.PASSWORD: Contraseña del nombre de usuario.
Para obtener más información sobre las marcas opcionales adicionales, consulta la documentación del SDK de Google Cloud sobre la creación de Active Directory.
¿Qué sigue?
Prueba la conexión de la política de Active Directory.