Créer un domaine

Cette page explique comment créer un domaine avec le service géré pour Microsoft Active Directory.

Avant de commencer

  1. Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Managed Microsoft AD, Cloud DNS, and Compute Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    10.
  10. Créez un nouveau réseau de cloud privé virtuel (VPC) pour déployer votre domaine ou utiliser un domaine existant. Le service Microsoft AD géré n'est pas compatible avec les anciens réseaux. Notez le nom complet de la ressource de votre réseau VPC, que vous devrez spécifier lors du processus de création du domaine. Il se présente au format suivant : projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
    • Avant de créer un réseau VPC, assurez-vous de lire la section Sélectionner des réseaux VPC.
    • Assurez-vous d'activer les API et de créer le VPC dans le même projet que celui où vous avez activé la facturation.

Rôles requis

Pour obtenir les autorisations nécessaires pour suivre ce guide de démarrage rapide, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour suivre ce guide de démarrage rapide. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour suivre ce guide de démarrage rapide :

  • managedidentities.domains.create
  • compute.networks.list

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Recueillir des informations

Vous avez besoin des informations suivantes pour créer votre domaine :

  • Un nom de domaine complet (FQDN) tel que ad.example.com. Pour en savoir plus, consultez les conventions d'attribution de noms de Microsoft dans Active Directory.

  • Une plage d'adresses IP privées qui n'est utilisée par aucun des sous-réseaux VPC, par exemple 172.16.0.0/24, 192.168.0.0/24 ou 10.1.0.0/24. Idéalement, vous devez sélectionner une plage qui n'est utilisée par aucun des sous-réseaux VPC où vous pouvez utiliser le domaine. Pour en savoir plus, consultez la section Sélectionner des plages d'adresses IP.

  • Une région sur laquelle déployer le contrôleur de domaine, par exemple, us-central1. Lorsque vous créez un domaine, vous ne pouvez déployer le contrôleur de domaine que dans une seule région. Une fois le domaine créé, vous pouvez ajouter des contrôleurs de domaine à d'autres régions pour augmenter la disponibilité et assurer la résilience en cas de pannes régionales.

    Pour en savoir plus sur les régions disponibles, consultez la section Régions.

  • Un nom d'utilisateur du compte administrateur délégué. Vous pouvez utiliser le nom d'utilisateur par défaut (setupadmin) ou le modifier. Toutefois, vous ne pourrez plus modifier ce nom d'utilisateur une fois le domaine créé.

  • Le nom complet de la ressource du réseau VPC autorisé, qui se présente au format suivant : projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME

Créer le domaine

Pour créer un domaine, procédez comme suit :

Console

  1. Accédez à la page Service Microsoft AD géré.
    Accéder au service Microsoft AD géré

  2. Sélectionnez Créer un domaine AD.

  3. Sur la page Créer un domaine, saisissez les informations collectées.

    • Saisissez le nom de domaine complet pour votre domaine.
    • Dans la section Détails du réseau, sélectionnez le nom de votre réseau VPC dans la liste. Sélectionnez OK.
    • Dans la section Plage CIDR, saisissez la plage d'adresses IP de votre domaine.
    • Dans la section Régions, sélectionnez une région dans la liste dans laquelle vous souhaitez déployer le contrôleur de domaine.

    • Dans le champ Nom d'administrateur de la section Administrateur délégué, utilisez le nom d'utilisateur par défaut (setupadmin) ou saisissez un nom d'utilisateur pour votre compte administrateur délégué.

      Vous ne pourrez plus modifier le nom d'utilisateur pour le compte administrateur délégué après cette étape. Une fois le domaine créé, vous ne pourrez plus modifier le nom d'utilisateur pour le compte administrateur délégué.

  4. Sélectionnez Créer un domaine.

La création d'un domaine peut prendre jusqu'à 60 minutes. Une fois le domaine créé, vous recevrez une notification dans la Google Cloud console.

Vous pouvez consulter l'état de cette opération à tout moment sous Notifications dans la Google Cloud console. Si la création du domaine échoue, cliquez sur Afficher toutes les activités sous Notifications pour afficher le message d'erreur.

gcloud

Exécutez la commande de gcloud CLI suivante :

gcloud active-directory domains create FULLY_QUALIFIED_DOMAIN_NAME \
    --reserved-ip-range=CIDR_RANGE --region=REGION \
    --authorized-networks=projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME

Remplacez les variables d'espace réservé par les informations collectées.

Vous recevrez la réponse suivante qui indique que le démarrage de la création du domaine :

Create request issued for: FULLY_QUALIFIED_DOMAIN_NAME
Waiting for operation-1554140234884-5857b78a1a49e-02bc63a3-77e5c7ee to complete...

La création d'un domaine peut prendre jusqu'à 60 minutes. L'état de l'opération de gcloud CLI est mis à jour une fois le domaine créé.

Si la création du domaine échoue, gcloud CLI affiche un message d'erreur sur la ligne de commande.

Vous pouvez répéter ce processus pour créer plusieurs domaines indépendants dans le même projet.

Si vous souhaitez augmenter le nombre de domaines indépendants que vous pouvez créer dans le même projet, vous pouvez contacter Google Cloud l'assistance.

Pour rendre le domaine disponible sur un réseau dans un autre projet, vous pouvez configurer l'appairage de domaines.

Vous ne pouvez pas créer de sites Active Directory dans le service Microsoft AD géré, car ce dernier n'est pas compatible avec la fonctionnalité de sites et de services Active Directory.

Vous ne pouvez pas créer de domaine enfant dans le service Microsoft AD géré. De plus, le service Microsoft AD géré ne peut pas faire partie de tout autre domaine Active Directory déployé sur Google Cloud ou sur site. Toutefois, une fois que vous avez créé un domaine Microsoft AD géré, vous pouvez créer une relation d'approbation entre le domaine Microsoft AD géré et tout autre domaine non géré par Microsoft AD.

Pour en savoir plus sur les erreurs que vous pouvez rencontrer lors de la création d'un domaine, consultez la section Impossible de créer un domaine Microsoft AD géré domaine.

Étape suivante