Memulai Managed Active Directory

1. Ringkasan

Managed Active Directory adalah domain Microsoft Active Directory dengan ketersediaan tinggi sebagai layanan, yang dihosting di Google Cloud.

Dalam tutorial ini, Anda akan menyiapkan Active Directory terkelola baru, membuat VM Windows baru, dan menggabungkannya ke domain baru. Anda akan melihat cara menyiapkan jaringan, keamanan, dan mengelola domain menggunakan alat pengelolaan yang sama yang sudah Anda kenal.

Yang akan Anda pelajari

  • Cara membuat Managed Active Directory di Google Cloud
  • Cara menambahkan VM Windows ke domain
  • Cara mengelola pengguna dan komputer di Managed Active Directory

Yang akan Anda butuhkan:

  • Browser, seperti Chrome atau Firefox
  • Mesin yang telah menginstal alat gcloud

Bagaimana Anda akan menggunakan tutorial ini?

Hanya membacanya Membacanya dan menyelesaikan latihan

Bagaimana penilaian Anda terhadap pengalaman dengan Google Cloud Platform?

Pemula Menengah Mahir

2. Penyiapan dan persyaratan

Penyiapan lingkungan mandiri

  1. Login ke Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. (Jika belum memiliki akun Gmail atau G Suite, Anda harus membuatnya.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Ingat project ID, nama unik di semua project Google Cloud (maaf, nama di atas telah digunakan dan tidak akan berfungsi untuk Anda!) Project ID tersebut selanjutnya akan dirujuk di codelab ini sebagai PROJECT_ID.

  1. Selanjutnya, Anda harus mengaktifkan penagihan di Cloud Console untuk menggunakan resource Google Cloud.

Menjalankan operasi dalam codelab ini seharusnya tidak memerlukan banyak biaya, bahkan mungkin tidak sama sekali. Pastikan untuk mengikuti petunjuk yang ada di bagian "Membersihkan" yang memberi tahu Anda cara menonaktifkan resource sehingga tidak menimbulkan penagihan di luar tutorial ini. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.

Mulai Cloud Shell

Meskipun Google Cloud dapat dioperasikan dari jarak jauh menggunakan laptop Anda, dalam codelab ini, Anda akan menggunakan Google Cloud Shell, lingkungan command line yang berjalan di Google Cloud.

Mengaktifkan Cloud Shell

  1. Dari Cloud Console, klik Aktifkan Cloud Shell H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0Zz5LtwBlUZFXFCWFrmrWZLqg1MkZz2LdgUDQ.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Jika belum pernah memulai Cloud Shell, Anda akan melihat layar perantara (di paruh bawah) yang menjelaskan apa itu Cloud Shell. Jika demikian, klik Lanjutkan (dan Anda tidak akan pernah melihatnya lagi). Berikut tampilan layar sekali-tampil tersebut:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Perlu waktu beberapa saat untuk penyediaan dan terhubung ke Cloud Shell.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

Mesin virtual ini berisi semua alat pengembangan yang Anda perlukan. Layanan ini menawarkan direktori beranda tetap sebesar 5 GB dan beroperasi di Google Cloud, sehingga sangat meningkatkan performa dan autentikasi jaringan. Sebagian besar pekerjaan Anda dalam codelab ini dapat dilakukan hanya dengan browser atau Chromebook.

Setelah terhubung ke Cloud Shell, Anda akan melihat bahwa Anda sudah diautentikasi dan project sudah ditetapkan ke project ID Anda.

  1. Jalankan perintah berikut di Cloud Shell untuk mengonfirmasi bahwa Anda telah diautentikasi:
gcloud auth list

Output perintah

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Output perintah

[core]
project = <PROJECT_ID>

Jika tidak, Anda dapat menyetelnya dengan perintah ini:

gcloud config set project <PROJECT_ID>

Output perintah

Updated property [core/project].

3. Lakukan inisialisasi

Project GCP yang diinisialisasi akan digunakan untuk menghosting Jaringan VPC antara semua VM Windows yang bergabung dengan domain dan Managed Active Directory.

Kita akan menetapkan beberapa variabel untuk mempermudah pembuatan skrip nanti.

  • Tentukan nama domain (misalnya: ad.yourcompany.com)
  • Tentukan region tempat Anda ingin membuat Pengontrol Domain untuk domain terkelola
  • Tentukan nama VM, aturan firewall, dan nama jaringan.

Saat ini, wilayah berikut didukung:

  1. "us-west1"
  2. "us-west2"
  3. "us-central1"
  4. "us-east1"
  5. "us-east4"
  6. "europe-north1"
  7. "europe-west1"
  8. "europe-west4"
  9. "asia-east1"
  10. "asia-southeast1"

Menetapkan variabel

Jika berjalan di Linux, ketik:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Jika berjalan di Windows, ketik di terminal Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Tetapkan project ID saat ini, sehingga semua operasi berikutnya akan terjadi dalam konteks project cloud yang tepat:

$ gcloud config set project $PROJECT_ID

Aktifkan Cloud API

Untuk mengaktifkan Managed Active Directory, kita perlu mengaktifkan dua API: DNS dan Managed Identities.

Aktifkan DNS API:

$ gcloud services enable dns.googleapis.com

Aktifkan Managed Identities API:

$ gcloud services enable managedidentities.googleapis.com

4. Membuat Jaringan Virtual Private Cloud

Untuk membuat konektivitas antara pengontrol domain Active Directory terkelola dan VM Windows, kita perlu membuat jaringan virtual private cloud.

Buat jaringan VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Buat aturan firewall untuk mengizinkan konektivitas antara VM Windows dan pengendali domain

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Membuat Pengontrol Domain

Kami menyiapkan VPC yang menghubungkan AD terkelola dengan resource di project kami (VM). Sekarang saatnya menyiapkan pengontrol domain terkelola.

Membuat Managed Active Directory

(Operasi ini diperkirakan akan memakan waktu sekitar satu jam)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Selama deployment berlangsung atau kapan saja, Anda dapat memverifikasi status penyediaan domain.

Ada 3 status yang didukung:

MEMBUAT

Pembuatan Domain AD telah dimulai, sedang dalam proses.

SIAP

Pembuatan Domain AD selesai, domain siap digunakan.

SEDANG DALAM PEMELIHARAAN

Domain AD masih tersedia, tetapi sedang dalam proses update (mengupgrade Pengontrol Domain, menambahkan region, dll.)

Verifikasi status deployment:

$ gcloud active-directory domains describe $DOMAIN_NAME

Anda akan melihat perintah ini melaporkan status SIAP saat pembuatan domain selesai.

6. Menambahkan VM Windows ke domain terkelola

Membuat VM Windows baru di Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Buat aturan firewall untuk mengizinkan konektivitas desktop jarak jauh ke VM Windows Anda:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Sebelum menghubungkan ke VM dan menambahkannya ke domain, kita perlu menentukan dua pengguna dan kredensialnya:

  • Admin lokal di VM - diperlukan agar dapat terhubung ke VM dari jarak jauh sebelum VM bergabung ke domain
  • Pengguna Admin Domain Terkelola - pengguna ini diperlukan untuk menggabungkan VM ke domain serta melakukan semua operasi pengelolaan domain

7. Mendapatkan kredensial Admin Domain Terkelola

Tentukan nama pengguna admin domain terkelola:

$ gcloud active-directory domains describe $DOMAIN_NAME

Operasi ini akan menampilkan nama pengguna administrator. Secara default, namanya adalah miadmin.

Mereset sandi admin domain terkelola:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Anda harus mengonfirmasi (Y/N) operasi karena akan menampilkan sandi dalam teks yang jelas. Di terminal.

Simpan nama pengguna dan sandi - kita akan menggunakannya nanti.

8. Bergabung ke domain

Membuat pengguna dan sandi lokal Windows

Sandi dan pengguna lokal Windows diperlukan untuk terhubung dari jarak jauh ke VM yang Anda buat. Anda dapat membuatnya menggunakan gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Tindakan ini akan membuat pengguna lokal bernama "usr1" dan membuat sandinya

Hubungkan ke instance Windows menggunakan RDP Chrome

Buka jendela browser baru di: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Buka ChromeRDP dengan mengklik RDP:

d0bd7a5329d27723.png

Masukkan pengguna lokal dan sandi. Tindakan ini akan menghubungkan Anda ke VM Windows yang Anda buat.

23fbff0f7c180f62.png

Di VM, buka command prompt yang lebih tinggi dengan Powershell:

c5c876d4424217e7.png

Di Powershell yang ditingkatkan, ketik:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Anda akan diminta untuk memberikan sandi administrator terkelola, lalu VM akan bergabung ke domain terkelola Anda dan dimulai ulang. Tunggu 2 menit sebelum melanjutkan ke langkah berikutnya.

Pada tahap ini, VM Anda telah bergabung ke domain, tetapi Anda tidak memiliki izin untuk terhubung ke VM menggunakan pengguna admin domain terkelola. Anda perlu menambahkan pengguna admin domain terkelola sebagai administrator lokal VM tersebut.

Hubungkan ke VM lagi menggunakan pengguna admin lokal (petunjuk yang sama seperti di atas).

b2c98b9784dd421e.png

Jika ya, ikuti petunjuk peringatan. Hal ini terjadi karena kita telah menggabungkan VM ke domain.

Coba hubungkan kembali menggunakan pengguna admin lokal dan buka Command Prompt Powershell yang ditingkatkan.

Menambahkan pengguna Admin Domain Terkelola agar menjadi admin lokal di VM

$ net localgroup administrators /add your-domain-name\miadmin

Sekarang Anda dapat memutuskan koneksi dari VM.

9. Alat Active Directory

Setelah VM bergabung dengan domain, Anda dapat menggunakan alat Active Directory yang sudah dikenal untuk mengelola pengguna, grup, komputer, dan kebijakan grup.

Hubungkan ke VM (metode yang sama seperti yang dijelaskan di atas) menggunakan kredensial admin domain terkelola. Buka Command Prompt Powershell yang ditinggikan:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Wizard akan meminta konfirmasi, lalu menginstal Alat Pengelolaan Active Directory.

Setelah penginstalan selesai, Anda dapat menggunakan dsa.msc (Active Directory Users and Computers) dan alat Active Directory lainnya yang sudah dikenal untuk mengelola domain di bagian "Customer OU"

3e548e3c8f88dbc1.png

10. Selamat!

Selamat, Anda telah berhasil membuat Managed Active Directory baru di Google Cloud Platform.

Langkah Berikutnya

.

11. Pembersihan

Anda dapat menghapus VM Windows dan jaringan VPC.

Menghapus VM Windows

  • Di Konsol GCP, buka halaman VM instances.
  • Klik kotak centang di samping instance yang ingin Anda hapus
  • Klik tombol "Hapus" di bagian atas halaman untuk menghapus instance.

Menghapus jaringan VPC

  • Di Konsol GCP, buka Halaman Jaringan VPC
  • Pilih jaringan VPC yang Anda buat
  • Klik tombol "Hapus" di bagian atas halaman.