1. Übersicht
Managed Active Directory ist eine hochverfügbare Microsoft Active Directory-Domain als Dienst, die in Google Cloud gehostet wird.
In dieser Anleitung richten Sie ein neues verwaltetes Active Directory ein, erstellen eine neue Windows-VM und fügen sie der neuen Domain hinzu. Sie erfahren, wie Sie das Netzwerk und die Sicherheit einrichten und Ihre Domain mit den Ihnen vertrauten Verwaltungstools verwalten.
Lerninhalte
- Managed Active Directory in Google Cloud erstellen
- Windows-VM mit einer Domain verbinden
- Nutzer und Computer in Managed Active Directory verwalten
Voraussetzungen:
Wie werden Sie diese Anleitung verwenden?
Wie würden Sie Ihre Erfahrung mit der Google Cloud Platform bewerten?
2. Einrichtung und Anforderungen
Umgebung zum selbstbestimmten Lernen einrichten
- Melden Sie sich in der Cloud Console an und erstellen Sie ein neues Projekt oder verwenden Sie ein vorhandenes Projekt. Wenn Sie noch kein Gmail- oder G Suite-Konto haben, müssen Sie eines erstellen.
Notieren Sie sich die Projekt-ID, also den projektübergreifend nur einmal vorkommenden Namen eines Google Cloud-Projekts. Der oben angegebene Name ist bereits vergeben und kann leider nicht mehr verwendet werden. Sie wird später in diesem Codelab als PROJECT_ID bezeichnet.
- Als Nächstes müssen Sie die Abrechnung in der Cloud Console aktivieren, um Google Cloud-Ressourcen verwenden zu können.
Die Durchführung dieses Codelabs sollte keine oder nur geringe Kosten verursachen. Folgen Sie bitte der Anleitung im Abschnitt „Bereinigen“, in der Sie erfahren, wie Sie Ressourcen herunterfahren können, damit nach Abschluss dieser Anleitung keine Gebühren anfallen. Neue Nutzer von Google Cloud kommen für das Programm für den kostenlosen Testzeitraum mit einem Guthaben von 300$ infrage.
Cloud Shell starten
Während Sie Google Cloud von Ihrem Laptop aus per Fernzugriff nutzen können, wird in diesem Codelab Google Cloud Shell verwendet, eine Befehlszeilenumgebung, die in Google Cloud ausgeführt wird.
Cloud Shell aktivieren
- Klicken Sie in der Cloud Console auf Cloud Shell aktivieren
.
Wenn Sie Cloud Shell noch nie gestartet haben, wird ein Fenster mit einer Beschreibung eingeblendet. Klicken Sie in diesem Fall einfach auf Weiter. So sieht dieses Fenster aus:
Das Herstellen der Verbindung mit der Cloud Shell sollte nur wenige Augenblicke dauern.
Diese virtuelle Maschine verfügt über sämtliche Entwicklertools, die Sie benötigen. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft in Google Cloud, was die Netzwerkleistung und Authentifizierung erheblich verbessert. Die meisten, wenn nicht sogar alle Aufgaben in diesem Codelab können mit einem Browser oder Ihrem Chromebook erledigt werden.
Sobald die Verbindung mit der Cloud Shell hergestellt ist, sehen Sie, dass Sie bereits authentifiziert sind und für das Projekt schon Ihre Projekt-ID eingestellt ist.
- Führen Sie in der Cloud Shell den folgenden Befehl aus, um zu prüfen, ob Sie authentifiziert sind:
gcloud auth list
Befehlsausgabe
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Befehlsausgabe
[core] project = <PROJECT_ID>
Ist dies nicht der Fall, können Sie die Einstellung mit diesem Befehl vornehmen:
gcloud config set project <PROJECT_ID>
Befehlsausgabe
Updated property [core/project].
3. Initialisieren
Das initialisierte GCP-Projekt wird zum Hosten des VPC-Netzwerks zwischen allen Ihren in die Domain eingebundenen Windows-VMs und Managed Active Directory verwendet.
Wir legen einige Variablen fest, um das Scripting später zu vereinfachen.
- Domainnamen auswählen (z. B. ad.yourcompany.com)
- Entscheiden Sie, in welcher Region Sie einen Domaincontroller für eine verwaltete Domain erstellen möchten.
- Legen Sie den Namen der VM, der Firewallregel und des Netzwerks fest.
Derzeit werden die folgenden Regionen unterstützt:
- „us-west1“
- „us-west2“
- „us-central1“
- „us-east1“
- „us-east4“
- „europe-north1“
- „europe-west1“
- „europe-west4“
- „asia-east1“
- „asia-southeast1“
Variablen festlegen
Wenn Sie Linux verwenden, geben Sie Folgendes ein:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Wenn Sie Windows verwenden, geben Sie im PowerShell-Terminal Folgendes ein:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Legen Sie die aktuelle Projekt-ID fest, damit alle nachfolgenden Vorgänge im Kontext des richtigen Cloud-Projekts ausgeführt werden:
$ gcloud config set project $PROJECT_ID
Cloud APIs aktivieren
Damit wir Managed Active Directory aktivieren können, müssen wir zwei APIs aktivieren: DNS und Managed Identities.
DNS API aktivieren:
$ gcloud services enable dns.googleapis.com
Managed Identities API aktivieren:
$ gcloud services enable managedidentities.googleapis.com
4. Virtual Private Cloud-Netzwerk erstellen
Damit eine Verbindung zwischen dem verwalteten Active Directory-Domaincontroller und Windows-VMs hergestellt werden kann, müssen wir ein VPC-Netzwerk (Virtual Private Cloud) erstellen.
VPC-Netzwerk erstellen
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Firewallregel erstellen, um Verbindungen zwischen Windows-VMs und Domaincontrollern zuzulassen
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Domaincontroller erstellen
Wir richten die VPC ein, die Managed AD mit Ressourcen in unserem Projekt (VMs) verbindet. Als Nächstes richten Sie einen verwalteten Domänencontroller ein.
Verwaltetes Active Directory erstellen
Dieser Vorgang dauert voraussichtlich etwa eine Stunde.
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Während der Bereitstellung oder zu einem beliebigen Zeitpunkt können Sie den Bereitstellungsstatus der Domain überprüfen.
Es gibt drei unterstützte Status:
WIRD ERSTELLT | Die Erstellung der AD-Domain wurde initiiert und läuft. |
BEREIT | Die AD-Domain wurde erstellt und ist einsatzbereit. |
WIRD GEWARTET | Die AD-Domain ist weiterhin verfügbar, wird aber aktualisiert (Domaincontroller werden aktualisiert, Regionen werden hinzugefügt usw.). |
Bereitstellungsstatus prüfen:
$ gcloud active-directory domains describe $DOMAIN_NAME
Nach Abschluss der Domainerstellung sollte dieser Befehl den Status „READY“ zurückgeben.
6. Windows-VMs einer verwalteten Domain hinzufügen
Neue Windows-VM in Google Compute Engine erstellen
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Firewallregel erstellen, um Remotedesktopverbindungen zu Ihren Windows-VMs zuzulassen:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Bevor wir eine Verbindung zur VM herstellen und sie der Domain hinzufügen können, müssen wir zwei Nutzer und ihre Anmeldedaten ermitteln:
- Lokaler Administrator auf einer VM: Dies ist erforderlich, um eine Remoteverbindung zur VM herstellen zu können, bevor sie mit der Domain verbunden ist.
- Nutzer mit Administratorberechtigung für die verwaltete Domain: Dieser Nutzer ist erforderlich, um die VM mit der Domain zu verbinden und alle Vorgänge zur Domainverwaltung auszuführen.
7. Anmeldedaten für den Administrator der verwalteten Domain abrufen
Administratorkonto der verwalteten Domain ermitteln:
$ gcloud active-directory domains describe $DOMAIN_NAME
Bei diesem Vorgang wird der Administratornutzername ausgegeben. Standardmäßig heißt sie miadmin.
Passwort des Administrators der verwalteten Domain zurücksetzen:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Sie müssen den Vorgang bestätigen (Y/N), da das Passwort im Klartext angezeigt wird. Im Terminal.
Speichern Sie den Nutzer und das Passwort. Wir werden sie später verwenden.
8. Domain beitreten
Lokalen Windows-Nutzer und das zugehörige Passwort generieren
Für die Remote-Verbindung zur erstellten VM sind ein lokaler Windows-Nutzer und ein Passwort erforderlich. Sie können sie mit gcloud generieren.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Dadurch wird ein lokaler Nutzer namens usr1 erstellt und sein Passwort generiert.
Über Chrome RDP eine Verbindung zur Windows-Instanz herstellen
Öffnen Sie ein neues Browserfenster unter: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
Öffnen Sie ChromeRDP, indem Sie auf „RDP“ klicken:
Geben Sie den lokalen Nutzer und das Passwort ein. Dadurch wird eine Verbindung zu der von Ihnen erstellten Windows-VM hergestellt.
Öffnen Sie auf einer VM eine Eingabeaufforderung mit erhöhten Rechten mit PowerShell:
Geben Sie in der PowerShell mit erhöhten Rechten Folgendes ein:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Sie werden aufgefordert, das Passwort des verwalteten Administrators anzugeben. Die VM wird dann mit Ihrer verwalteten Domain verbunden und neu gestartet. Warte zwei Minuten, bevor du mit dem nächsten Schritt fortfährst.
Ihre VM ist jetzt mit der Domain verbunden, aber Sie haben keine Berechtigungen, um mit dem verwalteten Domainadministratornutzer eine Verbindung herzustellen. Sie müssen den Administratornutzer der verwalteten Domain als lokalen Administrator dieser VM hinzufügen.
Stellen Sie mit dem lokalen Administratornutzer noch einmal eine Verbindung zur VM her (siehe Anleitung oben).
Folgen Sie in diesem Fall der Anleitung in der Warnung. Das liegt daran, dass wir die VM der Domain hinzugefügt haben.
Versuchen Sie noch einmal, eine Verbindung mit dem lokalen Administratornutzer herzustellen, und öffnen Sie die Powershell-Eingabeaufforderung mit erhöhten Rechten.
Verwalteten Domainadministrator als lokalen Administrator auf einer VM hinzufügen
$ net localgroup administrators /add your-domain-name\miadmin
Sie können jetzt die Verbindung zur VM trennen.
9. Active Directory-Tools
Sobald eine VM der Domain beigetreten ist, können Sie die vertrauten Active Directory-Tools zum Verwalten von Nutzern, Gruppen, Computern und Gruppenrichtlinien verwenden.
Stellen Sie eine Verbindung zur VM her (mit derselben Methode wie oben beschrieben), indem Sie die Anmeldedaten des Administrators der verwalteten Domain verwenden. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Sie werden um eine Bestätigung gebeten und dann werden die Active Directory-Verwaltungstools installiert.
Nach Abschluss der Installation können Sie dsa.msc (Active Directory-Nutzer und -Computer) und andere vertraute Active Directory-Tools verwenden, um die Domain unter Customer OU (Kunden-OU) zu verwalten.
10. Glückwunsch!
Glückwunsch! Sie haben erfolgreich ein neues Managed Active Directory in der Google Cloud Platform erstellt.
Nächste Schritte
- Dokumentation zu Managed Active Directory
- Weitere Informationen zur Verwendung einer Windows-VM auf der GCP
- Weitere Informationen zum Herstellen einer Verbindung zu einer Windows-VM
- Fehlertolerantes Active Directory in der GCP bereitstellen
- .NET auf der Google Cloud Platform
.
11. Bereinigen
Sie können Windows-VMs und das VPC-Netzwerk löschen.
Windows-VMs löschen
- Rufen Sie in der GCP Console die Seite VM-Instanzen auf.
- Klicken Sie auf das Kästchen neben der Instanz, die Sie löschen möchten.
- Klicken Sie oben auf der Seite auf die Schaltfläche „Löschen“, um die Instanz zu löschen.
VPC-Netzwerke löschen
- Rufen Sie in der GCP Console die Seite „VPC-Netzwerke“ auf.
- Wählen Sie das von Ihnen erstellte VPC-Netzwerk aus.
- Klicken Sie oben auf der Seite auf die Schaltfläche „Löschen“.