1. 概要
マネージド Active Directory は、Google Cloud でホストされる、高可用性の Microsoft Active Directory ドメインをサービスとして提供します。
このチュートリアルでは、新しい Managed Active Directory を設定し、新しい Windows VM を作成して、新しいドメインに参加させます。ネットワークとセキュリティを設定し、使い慣れた管理ツールを使用してドメインを管理する方法について説明します。
学習内容
- Google Cloud でマネージド Active Directory を作成する方法
- Windows VM をドメインに追加する方法
- Managed Active Directory でユーザーとコンピュータを管理する方法
必要なもの:
このチュートリアルの利用方法をお選びください。
Google Cloud Platform のご利用経験について、いずれに該当されますか?
2. 設定と要件
セルフペース型の環境設定
- Cloud Console にログインし、新しいプロジェクトを作成するか、既存のプロジェクトを再利用します(Gmail アカウントまたは G Suite アカウントをお持ちでない場合は、アカウントを作成する必要があります)。
プロジェクト ID を忘れないようにしてください。プロジェクト ID はすべての Google Cloud プロジェクトを通じて一意の名前にする必要があります(上記の名前はすでに使用されているので使用できません)。以降、このコードラボでは PROJECT_ID と呼びます。
- 次に、Google Cloud リソースを使用するために、Cloud Console で課金を有効にする必要があります。
このコードラボを実行しても、費用はほとんどかからないはずです。このチュートリアル以外で請求が発生しないように、リソースのシャットダウン方法を説明する「クリーンアップ」セクションの手順に従うようにしてください。Google Cloud の新規ユーザーは $300 の無料トライアル プログラムをご利用いただけます。
Cloud Shell の起動
Google Cloud はノートパソコンからリモートで操作できますが、この Codelab では、Google Cloud Shell(Google Cloud 上で動作するコマンドライン環境)を使用します。
Cloud Shell をアクティブにする
- Cloud Console で、[Cloud Shell をアクティブにする]
をクリックします。
Cloud Shell を起動したことがない場合、その内容を説明する中間画面が(スクロールしなければ見えない範囲に)が表示されます。その場合は、[続行] をクリックします(以後表示されなくなります)。このワンタイム スクリーンは次のようになります。
Cloud Shell のプロビジョニングと接続に少し時間がかかる程度です。
この仮想マシンには、必要な開発ツールがすべて準備されています。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働するため、ネットワーク パフォーマンスが充実しており認証もスムーズです。このコードラボでの作業のほとんどは、ブラウザまたは Chromebook から実行できます。
Cloud Shell に接続すると、すでに認証は完了しており、プロジェクトに各自のプロジェクト ID が設定されていることがわかります。
- Cloud Shell で次のコマンドを実行して、認証されたことを確認します。
gcloud auth list
コマンド出力
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
コマンド出力
[core] project = <PROJECT_ID>
上記のようになっていない場合は、次のコマンドで設定できます。
gcloud config set project <PROJECT_ID>
コマンド出力
Updated property [core/project].
3. 初期化
初期化された GCP プロジェクトは、すべてのドメイン参加 Windows VM と Managed Active Directory の間の VPC ネットワークをホストするために使用されます。
後でスクリプトを作成しやすくするために、いくつかの変数を設定します。
- ドメイン名を決定します(例: ad.yourcompany.com)
- マネージド ドメインのドメイン コントローラを作成するリージョンを決定する
- VM 名、ファイアウォール ルール、ネットワーク名を決定します。
現在サポートされているリージョンは次のとおりです。
- "us-west1"
- "us-west2"
- "us-central1"
- "us-east1"
- "us-east4"
- "europe-north1"
- "europe-west1"
- "europe-west4"
- 「asia-east1」
- "asia-southeast1"
変数を設定する
Linux で実行している場合は、次のように入力します。
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Windows で実行している場合は、Powershell ターミナルに次のように入力します。
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
現在のプロジェクト ID を設定します。これにより、後続のすべてのオペレーションが正しいクラウド プロジェクトのコンテキストで実行されます。
$ gcloud config set project $PROJECT_ID
Cloud APIs を有効にする
Managed Active Directory を有効にするには、DNS とマネージド ID の 2 つの API を有効にする必要があります。
DNS API を有効にする:
$ gcloud services enable dns.googleapis.com
Managed Identities API を有効にします。
$ gcloud services enable managedidentities.googleapis.com
4. Virtual Private Cloud ネットワークを作成する
マネージド Active Directory ドメイン コントローラと Windows VM 間の接続を確立するには、Virtual Private Cloud ネットワークを作成する必要があります。
VPC ネットワークを作成する
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Windows VM とドメイン コントローラ間の接続を許可するファイアウォール ルールを作成する
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. ドメイン コントローラを作成する
マネージド AD をプロジェクト内のリソース(VM)に接続する VPC を設定します。次に、マネージド ドメイン コントローラを設定します。
マネージド Active Directory を作成する
(このオペレーションには約 1 時間かかると見込まれます)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
デプロイ中またはいつでも、ドメインのプロビジョニング ステータスを確認できます。
サポートされている状態は次の 3 つです。
作成中 | AD ドメインの作成が開始され、進行中です。 |
準備完了 | AD ドメインの作成が完了し、ドメインを使用できるようになりました。 |
メンテナンス中 | AD ドメインは引き続き使用できますが、更新中です(ドメイン コントローラのアップグレード、リージョンの追加など)。 |
デプロイ ステータスを確認します。
$ gcloud active-directory domains describe $DOMAIN_NAME
ドメインの作成が完了すると、このコマンドは READY 状態を報告します。
6. Windows VM をマネージド ドメインに追加する
Google Compute Engine で新しい Windows VM を作成する
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Windows VM へのリモート デスクトップ接続を許可するファイアウォール ルールを作成します。
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
VM に接続してドメインに追加する前に、次の 2 人のユーザーとその認証情報を確認する必要があります。
- VM のローカル管理者 - ドメイン参加前に VM にリモート接続するために必要です。
- マネージド ドメイン管理者ユーザー - VM をドメインに参加させ、すべてのドメイン管理オペレーションを実行するために必要です。
7. マネージド ドメイン管理者の認証情報を取得する
管理対象ドメインの管理者ユーザー名を特定します。
$ gcloud active-directory domains describe $DOMAIN_NAME
このオペレーションは、管理者ユーザー名を出力します。デフォルトでは miadmin という名前になっています。
管理対象ドメインの管理者のパスワードを再設定する:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
パスワードが平文で表示されるため、操作を確認する必要があります(Y/N)。ターミナルで。
ユーザーとパスワードを保存します。これは後で使用します。
8. ドメインに参加する
Windows のローカル ユーザーとパスワードを生成する
作成した VM にリモートで接続するには、Windows のローカル ユーザーとパスワードが必要です。これらは gcloud を使用して生成できます。
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
これにより、「usr1」というローカル ユーザーが作成され、そのパスワードが生成されます。
Chrome RDP を使用して Windows インスタンスに接続する
新しいブラウザ ウィンドウで、https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name を開きます。
[RDP] をクリックして ChromeRDP を開きます。
ローカル ユーザーとパスワードを入力します。これで、作成した Windows VM に接続できます。
VM で、PowerShell を使用して管理者特権でのコマンド プロンプトを開きます。
昇格した PowerShell で次のように入力します。
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
マネージド管理者のパスワードの入力を求められます。その後、VM はマネージド ドメインに参加して再起動します。2 分ほど待ってから次のステップにお進みください。
この時点で VM はドメインに参加していますが、マネージド ドメイン管理者ユーザーを使用して接続する権限はありません。マネージド ドメイン管理者ユーザーをその VM のローカル管理者として追加する必要があります。
ローカル管理者ユーザーを使用して VM に再度接続します(上記と同じ手順)。
その場合は、警告の手順に沿って対応します。これは、VM をドメインに参加させたためです。
ローカル管理者ユーザーを使用して再接続し、昇格した PowerShell コマンド プロンプトを開きます。
VM のローカル管理者になるように Managed Domain Admin ユーザーを追加する
$ net localgroup administrators /add your-domain-name\miadmin
これで、VM から切断できます。
9. Active Directory ツール
VM がドメインに参加すると、使い慣れた Active Directory ツールを使用して、ユーザー、グループ、コンピュータ、グループ ポリシーを管理できます。
マネージド ドメイン管理者の認証情報を使用して、VM に接続します(上記と同じ方法)。管理者特権の PowerShell コマンド プロンプトを開きます。
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
確認を求められたら、Active Directory 管理ツールをインストールします。
インストールが完了すると、dsa.msc(Active Directory ユーザーとコンピュータ)やその他の使い慣れた Active Directory ツールを使用して、「Customer OU」の下のドメインを管理できます。
10. 完了
これで、Google Cloud Platform に新しい Managed Active Directory が正常に作成されました。
次のステップ
- Managed Active Directory のドキュメント
- GCP で Windows VM を使用する方法について学習する。
- Windows VM への接続の詳細を確認する。
- GCP でのフォールト トレラントな Active Directory のデプロイの詳細を確認する
- Google Cloud Platform での .NET の詳細を学ぶ
.
11. クリーンアップ
Windows VM と VPC ネットワークを削除できます。
Windows VM を削除する
- GCP Console の [VM インスタンス] ページに移動します。
- 削除するインスタンスの横にあるチェックボックスをクリックします。
- ページの上部にある [削除] ボタンをクリックして、インスタンスを削除します。
VPC ネットワークを削除する
- GCP Console で、VPC ネットワーク ページに移動します。
- 作成した VPC ネットワークを選択する
- ページ上部にある [削除] ボタンをクリックします。