1. Przegląd
Zarządzana usługa Active Directory to usługa o wysokiej dostępności, która udostępnia domenę Microsoft Active Directory hostowaną w Google Cloud.
Z tego samouczka dowiesz się, jak skonfigurować nową usługę zarządzaną Active Directory, utworzyć nową maszynę wirtualną z systemem Windows i dołączyć ją do nowej domeny. Dowiesz się, jak skonfigurować sieć i zabezpieczenia oraz zarządzać domeną za pomocą tych samych narzędzi, które już znasz.
Czego się nauczysz
- Jak utworzyć zarządzaną usługę Active Directory w Google Cloud
- Jak dodać maszynę wirtualną z systemem Windows do domeny
- Zarządzanie użytkownikami i komputerami w usłudze Managed Active Directory
Co będzie Ci potrzebne:
Jak zamierzasz korzystać z tego samouczka?
Jak oceniasz korzystanie z Google Cloud Platform?
2. Konfiguracja i wymagania
Samodzielne konfigurowanie środowiska
- Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub użyj istniejącego. (Jeśli nie masz jeszcze konta Gmail lub G Suite, musisz je utworzyć).
Zapamiętaj identyfikator projektu, czyli unikalną nazwę we wszystkich projektach Google Cloud (podana powyżej nazwa jest już zajęta i nie będzie działać w Twoim przypadku). W dalszej części tego laboratorium będzie on nazywany PROJECT_ID.
- Następnie musisz włączyć rozliczenia w konsoli Cloud, aby korzystać z zasobów Google Cloud.
Ukończenie tego laboratorium nie powinno wiązać się z dużymi kosztami, a nawet z żadnymi. Wykonaj instrukcje z sekcji „Czyszczenie”, w której znajdziesz informacje o tym, jak wyłączyć zasoby, aby uniknąć naliczenia opłat po zakończeniu tego samouczka. Nowi użytkownicy Google Cloud mogą skorzystać z programu bezpłatnego okresu próbnego, w którym mają do dyspozycji środki w wysokości 300 USD.
Uruchamianie Cloud Shell
Z Google Cloud możesz korzystać zdalnie na laptopie, ale w tym module użyjesz Google Cloud Shell, czyli środowiska wiersza poleceń działającego w Google Cloud.
Aktywowanie Cloud Shell
- W konsoli Cloud kliknij Aktywuj Cloud Shell
.
Jeśli uruchamiasz Cloud Shell po raz pierwszy, zobaczysz ekran pośredni (część strony widoczna po przewinięciu) z opisem tego środowiska. W takim przypadku kliknij Dalej, a ten ekran nie będzie się już wyświetlać. Ten wyświetlany jednorazowo ekran wygląda tak:
Uzyskanie dostępu do środowiska Cloud Shell i połączenie się z nim powinno zająć tylko kilka chwil.
Ta maszyna wirtualna zawiera wszystkie potrzebne narzędzia dla programistów. Zawiera również stały katalog domowy o pojemności 5 GB i działa w Google Cloud, co znacznie zwiększa wydajność sieci i usprawnia proces uwierzytelniania. Większość zadań w tym module, a być może wszystkie, możesz wykonać w przeglądarce lub na Chromebooku.
Po połączeniu z Cloud Shell zobaczysz, że uwierzytelnianie zostało już przeprowadzone, a projekt jest już ustawiony na Twój identyfikator projektu.
- Aby potwierdzić, że uwierzytelnianie zostało przeprowadzone, uruchom w Cloud Shell to polecenie:
gcloud auth list
Wynik polecenia
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Wynik polecenia
[core] project = <PROJECT_ID>
Jeśli nie, możesz go ustawić za pomocą tego polecenia:
gcloud config set project <PROJECT_ID>
Wynik polecenia
Updated property [core/project].
3. Zainicjuj
Zainicjowany projekt GCP będzie używany do hostowania sieci VPC między wszystkimi maszynami wirtualnymi z systemem Windows przyłączonymi do domeny a usługą Managed Active Directory.
Ustawimy kilka zmiennych, aby ułatwić sobie tworzenie skryptów w późniejszym czasie.
- Wybierz nazwę domeny (np. ad.yourcompany.com).
- Wybierz region, w którym chcesz utworzyć kontroler domeny dla zarządzanej domeny.
- Wybierz nazwę maszyny wirtualnej, regułę zapory sieciowej i nazwę sieci.
Obecnie obsługiwane są te regiony:
- „us-west1”
- „us-west2”
- „us-central1”
- „us-east1”
- „us-east4”
- „europe-north1”
- „europe-west1”
- „europe-west4”
- „asia-east1”
- „asia-southeast1”
Ustawianie zmiennych
Jeśli używasz systemu Linux, wpisz:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Jeśli korzystasz z systemu Windows, wpisz w terminalu PowerShell:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Ustaw bieżący identyfikator projektu, aby wszystkie kolejne operacje były wykonywane w kontekście właściwego projektu w chmurze:
$ gcloud config set project $PROJECT_ID
Włączanie interfejsów Cloud API
Aby włączyć zarządzaną usługę Active Directory, musimy włączyć 2 interfejsy API: DNS i Managed Identities.
Włącz interfejs DNS API:
$ gcloud services enable dns.googleapis.com
Włącz interfejs Managed Identities API:
$ gcloud services enable managedidentities.googleapis.com
4. Tworzenie sieci prywatnego środowiska wirtualnego w chmurze
Aby nawiązać połączenie między zarządzanym kontrolerem domeny Active Directory a maszynami wirtualnymi z systemem Windows, musimy utworzyć sieć prywatnego środowiska wirtualnego w chmurze.
Utwórz sieć VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Utwórz regułę zapory sieciowej, która zezwala na połączenia między maszynami wirtualnymi z systemem Windows a kontrolerami domeny
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Tworzenie kontrolerów domeny
Konfigurujemy sieć VPC, która łączy zarządzaną usługę AD z zasobami w naszym projekcie (maszynami wirtualnymi). Teraz nadszedł czas na skonfigurowanie zarządzanego kontrolera domeny.
Tworzenie usługi Managed Active Directory
(Ta operacja potrwa około godziny).
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Podczas wdrażania lub w dowolnym momencie możesz sprawdzić stan aprowizacji domeny.
Są 3 obsługiwane stany:
TWORZĘ | Tworzenie domeny usługi AD zostało rozpoczęte i jest w toku. |
TAK | Tworzenie domeny usługi AD zostało zakończone. Domena jest gotowa do użycia. |
W TRAKCIE KONSERWACJI | Domena AD jest nadal dostępna, ale jest aktualizowana (ulepszanie kontrolerów domeny, dodawanie regionów itp.). |
Sprawdź stan wdrożenia:
$ gcloud active-directory domains describe $DOMAIN_NAME
Po zakończeniu tworzenia domeny to polecenie powinno zgłosić stan READY.
6. Dodawanie maszyn wirtualnych z systemem Windows do domeny zarządzanej
Tworzenie nowej maszyny wirtualnej z systemem Windows w Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Utwórz regułę zapory sieciowej, która zezwala na połączenia z pulpitem zdalnym na maszynach wirtualnych z systemem Windows:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Zanim połączysz się z maszyną wirtualną i dodasz ją do domeny, musisz określić 2 użytkowników i ich dane logowania:
- Administrator lokalny na maszynie wirtualnej – jest to wymagane, aby można było zdalnie połączyć się z maszyną wirtualną przed dołączeniem jej do domeny.
- Użytkownik z uprawnieniami administratora domeny zarządzanej – jest to potrzebne do dołączenia maszyny wirtualnej do domeny, a także do wykonywania wszystkich operacji zarządzania domeną.
7. Pobieranie danych logowania administratora domeny zarządzanej
Określ nazwę użytkownika administratora domeny zarządzanej:
$ gcloud active-directory domains describe $DOMAIN_NAME
Ta operacja spowoduje wyświetlenie nazwy użytkownika administratora. Domyślnie nazywa się miadmin.
Resetowanie hasła administratora domeny zarządzanej:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Musisz potwierdzić (Y/N) operację, ponieważ spowoduje to wyświetlenie hasła w postaci tekstu nieszyfrowanego. W terminalu.
Zapisz nazwę użytkownika i hasło – będą Ci później potrzebne.
8. Dołączanie do domeny
Generowanie lokalnego użytkownika i hasła systemu Windows
Aby zdalnie połączyć się z utworzoną maszyną wirtualną, musisz mieć lokalnego użytkownika i hasło systemu Windows. Możesz je wygenerować za pomocą gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Spowoduje to utworzenie użytkownika lokalnego o nazwie „usr1” i wygenerowanie jego hasła.
Nawiązywanie połączenia z instancją Windows za pomocą Chrome RDP
Otwórz nowe okno przeglądarki na stronie: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
Otwórz ChromeRDP, klikając RDP:
Wpisz nazwę użytkownika lokalnego i hasło. Spowoduje to połączenie z utworzoną maszyną wirtualną z systemem Windows.
Na maszynie wirtualnej otwórz wiersz polecenia z podwyższonym poziomem uprawnień za pomocą programu PowerShell:
W Powershell z uprawnieniami administratora wpisz:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Poprosimy Cię o podanie hasła administratora zarządzanego, a następnie maszyna wirtualna dołączy do zarządzanej domeny i zostanie ponownie uruchomiona. Zanim przejdziesz do następnego kroku, zaczekaj 2 minuty.
Na tym etapie maszyna wirtualna jest przyłączona do domeny, ale nie masz uprawnień do połączenia się z nią za pomocą użytkownika administratora domeny zarządzanej. Musisz dodać użytkownika administratora domeny zarządzanej jako administratora lokalnego tej maszyny wirtualnej.
Ponownie połącz się z maszyną wirtualną za pomocą lokalnego użytkownika z uprawnieniami administratora (postępuj zgodnie z powyższymi instrukcjami).
Jeśli tak, postępuj zgodnie z instrukcjami ostrzegawczymi. Stało się tak, ponieważ połączyliśmy maszynę wirtualną z domeną.
Spróbuj ponownie połączyć się za pomocą lokalnego użytkownika z uprawnieniami administratora i otwórz podwyższony wiersz poleceń PowerShell.
Dodawanie użytkownika z uprawnieniami administratora domeny zarządzanej jako administratora lokalnego na maszynie wirtualnej
$ net localgroup administrators /add your-domain-name\miadmin
Teraz możesz odłączyć się od maszyny wirtualnej.
9. Narzędzia Active Directory
Po dołączeniu maszyny wirtualnej do domeny możesz używać znanych narzędzi Active Directory do zarządzania użytkownikami, grupami, komputerami i zasadami grupy.
Połącz się z maszyną wirtualną (w ten sam sposób, jak opisano powyżej) za pomocą danych logowania administratora domeny zarządzanej. Otwórz wiersz polecenia PowerShell z podwyższonym poziomem uprawnień:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Poprosi o potwierdzenie, a następnie zainstaluje narzędzia do zarządzania Active Directory.
Po zakończeniu instalacji możesz używać dsa.msc (Użytkownicy i komputery usługi Active Directory) i innych znanych narzędzi Active Directory do zarządzania domeną w sekcji „Jednostka organizacyjna klienta”.
10. Gratulacje!
Gratulujemy! Udało Ci się utworzyć nową usługę Managed Active Directory w Google Cloud Platform.
Następne kroki
- Dokumentacja usługi Managed Active Directory
- Dowiedz się więcej o korzystaniu z maszyny wirtualnej z systemem Windows w GCP.
- Więcej informacji o nawiązywaniu połączenia z maszyną wirtualną z systemem Windows.
- Więcej informacji o wdrażaniu odpornego na błędy katalogu Active Directory w GCP
- Dowiedz się więcej o .NET w Google Cloud Platform.
.
11. Czyszczenie
Możesz usunąć maszyny wirtualne z systemem Windows i sieć VPC.
Usuwanie maszyn wirtualnych z systemem Windows
- W konsoli GCP otwórz stronę Instancje maszyn wirtualnych.
- Zaznacz pole wyboru obok instancji, którą chcesz usunąć.
- Aby usunąć instancję, kliknij przycisk „Usuń” u góry strony.
Usuwanie sieci VPC
- W konsoli GCP otwórz stronę sieci VPC.
- Wybierz utworzoną sieć VPC.
- U góry strony kliknij przycisk „Usuń”.