1. Panoramica
Managed Active Directory è un dominio Microsoft Active Directory ad alta disponibilità come servizio, ospitato su Google Cloud.
In questo tutorial configurerai un nuovo Active Directory gestito, creerai una nuova VM Windows e la unirai al nuovo dominio. Vedrai come configurare la rete, la sicurezza e gestire il tuo dominio utilizzando gli stessi strumenti di gestione che conosci.
Cosa imparerai a fare
- Come creare Managed Active Directory su Google Cloud
- Come aggiungere una VM Windows a un dominio
- Come gestire utenti e computer in Managed Active Directory
Che cosa ti serve:
Come utilizzerai questo tutorial?
Come valuteresti la tua esperienza con Google Cloud Platform?
2. Configurazione e requisiti
Configurazione dell'ambiente autonomo
- Accedi alla console Cloud e crea un nuovo progetto o riutilizzane uno esistente. Se non hai già un account Gmail o G Suite, devi crearne uno.
Ricorda l'ID progetto, un nome univoco tra tutti i progetti Google Cloud (il nome sopra è già stato utilizzato e non funzionerà per te, mi dispiace). In questo codelab verrà chiamato PROJECT_ID.
- Successivamente, dovrai abilitare la fatturazione in Cloud Console per utilizzare le risorse Google Cloud.
L'esecuzione di questo codelab non dovrebbe costare molto, se non nulla. Assicurati di seguire le istruzioni riportate nella sezione "Pulizia", che ti consiglia come arrestare le risorse in modo da non incorrere in addebiti oltre questo tutorial. I nuovi utenti di Google Cloud possono beneficiare del programma prova senza costi di 300$.
Avvia Cloud Shell
Sebbene Google Cloud possa essere gestito da remoto dal tuo laptop, in questo codelab utilizzerai Google Cloud Shell, un ambiente a riga di comando in esecuzione in Google Cloud.
Attiva Cloud Shell
- Nella console Cloud, fai clic su Attiva Cloud Shell
.
Se non hai mai avviato Cloud Shell, viene visualizzata una schermata intermedia (sotto la piega) che ne descrive le funzionalità. In questo caso, fai clic su Continua e non comparirà più. Ecco come si presenta la schermata intermedia:
Bastano pochi istanti per eseguire il provisioning e connettersi a Cloud Shell.
Questa macchina virtuale è caricata con tutti gli strumenti per sviluppatori di cui avrai bisogno. Offre una home directory permanente da 5 GB e viene eseguita in Google Cloud, migliorando notevolmente le prestazioni e l'autenticazione della rete. Gran parte del lavoro per questo codelab, se non tutto, può essere svolto semplicemente con un browser o con Chromebook.
Una volta eseguita la connessione a Cloud Shell, dovresti vedere che il tuo account è già autenticato e il progetto è già impostato sul tuo ID progetto.
- Esegui questo comando in Cloud Shell per verificare che l'account sia autenticato:
gcloud auth list
Output comando
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Output comando
[core] project = <PROJECT_ID>
In caso contrario, puoi impostarlo con questo comando:
gcloud config set project <PROJECT_ID>
Output comando
Updated property [core/project].
3. Inizializza
Il progetto GCP inizializzato verrà utilizzato per ospitare la rete VPC tra tutte le VM Windows aggiunte al dominio e Managed Active Directory.
Imposteremo alcune variabili per semplificare la creazione di script in un secondo momento.
- Scegli un nome di dominio (ad es. ad.yourcompany.com)
- Decidi in quale regione vuoi creare un domain controller per un dominio gestito
- Decidi il nome della VM, la regola firewall e il nome della rete.
Al momento sono supportate le seguenti regioni:
- "us-west1"
- "us-west2"
- "us-central1"
- "us-east1"
- "us-east4"
- "europe-north1"
- "europe-west1"
- "europe-west4"
- "asia-east1"
- "asia-southeast1"
Impostare le variabili
Se esegui Linux, digita:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Se esegui l'operazione su Windows, digita nel terminale PowerShell:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Imposta l'ID progetto corrente, in modo che tutte le operazioni successive vengano eseguite nel contesto del progetto cloud corretto:
$ gcloud config set project $PROJECT_ID
Abilita le API Cloud
Per abilitare Managed Active Directory, dobbiamo abilitare due API: DNS e Managed Identities.
Abilita l'API DNS:
$ gcloud services enable dns.googleapis.com
Abilita l'API Managed Identities:
$ gcloud services enable managedidentities.googleapis.com
4. Crea una rete Virtual Private Cloud
Per stabilire la connettività tra il controller di dominio Managed Microsoft AD e le VM Windows, dobbiamo creare una rete virtual private cloud.
Crea rete VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Crea una regola firewall per consentire la connettività tra le VM Windows e i controller di dominio
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Crea controller di dominio
Abbiamo configurato il VPC che connette Managed AD alle risorse del nostro progetto (VM). Ora è il momento di configurare un controller di dominio gestito.
Crea un Managed Active Directory
Questa operazione dovrebbe richiedere circa un'ora.
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Durante il deployment o in qualsiasi momento, puoi verificare lo stato del provisioning del dominio.
Esistono tre stati supportati:
CREAZIONE | È stata avviata la creazione del dominio AD, in corso. |
PRONTO | Creazione del dominio AD completata, il dominio è pronto per l'uso. |
IN MANUTENZIONE | Il dominio AD è ancora disponibile, ma è in fase di aggiornamento (upgrade dei controller di dominio, aggiunta di regioni e così via). |
Verifica lo stato del deployment:
$ gcloud active-directory domains describe $DOMAIN_NAME
Al termine della creazione del dominio, questo comando dovrebbe segnalare lo stato READY.
6. Aggiungere VM Windows a un dominio gestito
Crea una nuova VM Windows su Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Crea una regola firewall per consentire la connettività Remote Desktop alle tue VM Windows:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Prima di connetterci alla VM e aggiungerla al dominio, dobbiamo determinare due utenti e le relative credenziali:
- Un amministratore locale su una VM: è necessario per potersi connettere da remoto alla VM prima che venga aggiunto al dominio
- Utente amministratore del dominio gestito: necessario per unire la VM al dominio ed eseguire tutte le operazioni di gestione del dominio
7. Recuperare le credenziali di amministratore del dominio gestito
Determinare il nome utente amministratore del dominio gestito:
$ gcloud active-directory domains describe $DOMAIN_NAME
Questa operazione restituirà il nome utente amministratore. Per impostazione predefinita, si chiama miadmin.
Reimposta la password dell'amministratore del dominio gestito:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Devi confermare (S/N) l'operazione, in quanto rivelerà la password in testo non crittografato. Nel terminale.
Salva l'utente e la password, li utilizzeremo in un secondo momento.
8. Partecipare al dominio
Generare l'utente locale e la password di Windows
Per connetterti in remoto alla VM che hai creato, sono necessari l'utente locale e la password di Windows. Puoi generarle utilizzando gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Verrà creato un utente locale denominato "usr1" e verrà generata la relativa password.
Connettiti all'istanza Windows utilizzando Chrome RDP
Apri una nuova finestra del browser all'indirizzo: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
Apri ChromeRDP facendo clic su RDP:
Inserisci l'utente locale e la password. In questo modo ti connetterai alla VM Windows che hai creato.
Su una VM, apri il prompt dei comandi con privilegi elevati con PowerShell:
In PowerShell con privilegi elevati, digita:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Ti verrà chiesto di fornire la password amministratore gestita, dopodiché la VM verrà unita al tuo dominio gestito e riavviata. Attendi 2 minuti prima di andare al passaggio successivo.
A questo punto la VM è unita al dominio, ma non disponi delle autorizzazioni per connetterti utilizzando l'utente amministratore del dominio gestito. Devi aggiungere l'utente amministratore di dominio gestito come amministratore locale di questa VM.
Connettiti di nuovo alla VM utilizzando l'utente amministratore locale (stesse istruzioni riportate sopra).
In questo caso, segui le istruzioni dell'avviso. Ciò è accaduto perché abbiamo unito la VM al dominio.
Prova a riconnetterti utilizzando l'utente amministratore locale e apri il prompt dei comandi di Powershell con privilegi elevati.
Aggiungere l'utente amministratore del dominio gestito come amministratore locale su una VM
$ net localgroup administrators /add your-domain-name\miadmin
Ora puoi disconnetterti dalla VM.
9. Strumenti Active Directory
Una volta unita a un dominio, puoi utilizzare gli strumenti di Active Directory che conosci per gestire utenti, gruppi, computer e criteri di gruppo.
Connettiti alla VM (stesso metodo descritto sopra) utilizzando le credenziali dell'amministratore del dominio gestito. Apri il prompt dei comandi PowerShell con privilegi elevati:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Ti verrà chiesto di confermare e poi verranno installati gli strumenti di gestione di Active Directory.
Al termine dell'installazione, puoi utilizzare dsa.msc (Utenti e computer di Active Directory) e altri strumenti di Active Directory che conosci per gestire il dominio in "Customer OU".
10. Complimenti!
Congratulazioni, hai creato un nuovo Managed Active Directory su Google Cloud.
Passaggi successivi
- Documentazione di Managed Active Directory
- Scopri di più sull'utilizzo di una VM Windows su Google Cloud.
- Scopri di più sulla connessione alla VM Windows.
- Scopri di più sull'implementazione di Active Directory a tolleranza di errore su Google Cloud.
- Scopri di più su .NET su Google Cloud.
.
11. Esegui la pulizia
Puoi eliminare le VM Windows e la rete VPC.
Elimina le VM Windows
- Nella console GCP, vai alla pagina Istanze VM.
- Fai clic sulla casella di controllo accanto all'istanza da eliminare.
- Fai clic sul pulsante "Elimina" nella parte superiore della pagina per eliminare l'istanza.
Elimina reti VPC
- Nella console GCP, vai alla pagina Reti VPC.
- Seleziona la rete VPC che hai creato.
- Fai clic sul pulsante "Elimina" nella parte superiore della pagina.