Nesta página, fornecemos instruções sobre como criar uma política do Active Directory.
Antes de começar
Verifique se o serviço do Active Directory pode ser acessado. Consulte Controladores de domínio do Active Directory e Regras de firewall para acesso ao Active Directory.
Configure o Cloud DNS para encaminhar solicitações DNS do seu domínio do Windows para seus servidores DNS do Windows e permitir que as máquinas virtuais do Google Cloud Compute Engine resolvam nomes de host do Active Directory, como o nome Netbios usado pelo Google Cloud NetApp Volumes. Para mais informações, consulte as práticas recomendadas para usar zonas de encaminhamento privado do Cloud DNS. Isso é necessário para o Active Directory local e o Active Directory criado no Compute Engine.
Ao criar volumes SMB, o NetApp Volumes usa atualizações dinâmicas seguras de DNS para registrar o nome do host. Esse processo funciona bem quando você usa o DNS do Active Directory. Se você estiver usando um serviço de DNS terceirizado para hospedar a zona do seu domínio do Windows, verifique se ele está configurado para oferecer suporte a atualizações seguras de DDNS. Caso contrário, a criação de volumes do tipo de serviço flexível vai falhar.
As configurações de política do Active Directory não são aplicadas até que você crie o primeiro volume que exige o Active Directory na região especificada. Durante a criação do volume, configurações incorretas podem causar falhas.
Criar uma política do Active Directory
Use as instruções a seguir para criar uma política do Active Directory usando o console doGoogle Cloud ou a Google Cloud CLI.
Console
Use as instruções a seguir para criar uma política do Active Directory no consoleGoogle Cloud :
Acesse a página NetApp Volumes no console do Google Cloud .
Selecione Políticas do Active Directory.
Clique em Criar.
Na caixa de diálogo Criar política do Active Directory, preencha os campos mostrados na tabela a seguir.
Os campos obrigatórios são marcados com um asterisco (*).
Campo Descrição Aplicável ao NFS Aplica-se a PMEs Aplicável ao protocolo duplo Nome da política do Active Directory* O nome do identificador exclusivo da política. Descrição Opcional: você pode inserir uma descrição para a política. Região Região* Associa o Active Directory a todos os volumes na região especificada. Detalhes da conexão do Active Directory Nome de domínio* Nome de domínio totalmente qualificado do Active Directory. Servidores DNS* Lista separada por vírgulas de no máximo três endereços IP de servidores DNS usados para a descoberta de controladores de domínio baseada em DNS. Site Especifica um site do Active Directory para gerenciar a seleção do controlador do domínio.
Use ao configurar controladores de domínio do Active Directory em várias regiões. Se for deixado em branco, o padrão será Default-First-Site-Name.Unidade organizacional Nome da unidade organizacional em que você pretende criar a conta de computador para o NetApp Volumes.
Se for deixado em branco, o padrão será CN=Computers.Prefixo de nome do NetBIOS* Prefixo de nome do NetBIOS do servidor a ser criado.
Um ID aleatório de cinco caracteres é gerado automaticamente, por exemplo,-6f9a, e anexado ao prefixo. O caminho UNC completo do compartilhamento tem o seguinte formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.Ativar a criptografia AES para a autenticação do Active Directory Ativa as criptografias AES-128 e AES-256 para a comunicação baseada em Kerberos com o Active Directory Credenciais do Active Directory Nome de usuário* e senha* Credenciais da conta do Active Directory com permissões para criar a conta de computação na unidade organizacional especificada. Configurações de SMB Administradores Contas de usuário do domínio que serão adicionadas ao grupo local "Administradores" do serviço SMB.
Forneça uma lista separada por vírgulas de usuários ou grupos de domínio. O grupo de administradores do domínio é adicionado automaticamente quando o serviço entra no seu domínio como um grupo oculto.
Os administradores usam apenas o nome da conta do Gerenciador de contas de segurança (SAM). O nome da conta SAM aceita um máximo de 20 caracteres para seu nome de usuário e 64 caracteres para o nome do grupo.
Operadores de backup Contas de usuário do domínio que serão adicionadas ao grupo "Operadores de backup" do serviço SMB. O grupo "Operadores de backup" permite que os membros façam backup e restaurem arquivos, independente de terem acesso de leitura ou gravação a eles.
Forneça uma lista separada por vírgulas de usuários ou grupos de domínio.
Os operadores de backup usam apenas o nome da conta do gerenciador de contas de segurança (SAM). O nome da conta SAM aceita um máximo de 20 caracteres para o nome de usuário e 64 caracteres para o nome do grupo.Usuários com privilégio de segurança Contas de domínio que exigem privilégios elevados, como SeSecurityPrivilege, para gerenciar registros de segurança.
Forneça uma lista separada por vírgulas de usuários ou grupos de domínio. Isso é necessário especificamente para a instalação de um SQL Server em que os binários e os bancos de dados do sistema são armazenados em um compartilhamento SMB. Essa opção não é obrigatória se você usar um usuário administrador durante a instalação.Configurações de NFS Nome do host de distribuição de chaves do Kerberos Nome do host do servidor do Active Directory usado como centro de distribuição de chaves do Kerberos. NFSv4.1 com Kerberos SMB e NFSv4.1 com Kerberos IP do KDC Endereço IP do servidor do Active Directory usado como centro de distribuição de chaves do Kerberos. NFSv4.1 com Kerberos SMB e NFSv4.1 com Kerberos Permitir usuários locais do NFS com LDAP Usuários locais do UNIX em clientes sem informações de usuário válidas no Active Directory não podem acessar volumes habilitados para LDAP.
Essa opção pode ser usada para mudar temporariamente esses volumes para a autenticaçãoAUTH_SYS(ID do usuário + 1 a 16 grupos).Rótulos Marcadores Opcional: adicione rótulos relevantes Clique em Criar. Para os níveis de serviço Standard, Premium e Extreme: depois de criar uma política do Active Directory e anexá-la a um pool de armazenamento, teste a conexão com o serviço do Active Directory.
gcloud
Crie uma política do Active Directory:
gcloud netapp active-directories create CONFIG_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --dns=DNS_LIST \ --domain=DOMAIN_NAME \ --net-bios-prefix=NetBIOS_PREFIX \ --username=USERNAME \ --password=PASSWORD \
Substitua as seguintes informações:
CONFIG_NAME: o nome da configuração que você quer criar. O nome da configuração precisa ser exclusivo por região.PROJECT_ID: ID do projeto em que você está criando a política do Active Directory.LOCATION: a região em que você quer criar a configuração. O Google Cloud NetApp Volumes só aceita uma configuração por região.DNS_LIST: uma lista separada por vírgulas de até três endereços IPv4 de servidores DNS do Active Directory.DOMAIN_NAME: o nome de domínio totalmente qualificado do Active Directory.NetBIOS_PREFIX: prefixo de nome do NetBIOS do servidor que você quer criar. Um ID aleatório de cinco caracteres é gerado automaticamente, como-6f9a, e anexado ao prefixo.O caminho UNC completo tem o seguinte formato:
\\<NetBIOS_PREFIX>-<4-random-hexletters>.<DOMAIN_NAME>\<SHARE_NAME>.
USERNAME: o nome de um usuário do domínio com permissão para entrar no domínio.PASSWORD: senha do nome de usuário.
Para mais informações sobre outras flags opcionais, consulte a documentação do SDK Google Cloud sobre a criação do Active Directory.
A seguir
Teste a conexão da política do Active Directory.