1. ภาพรวม
Managed Active Directory คือโดเมน Microsoft Active Directory ที่มีความพร้อมใช้งานสูงในรูปแบบบริการ ซึ่งโฮสต์อยู่ใน Google Cloud
ในบทแนะนำนี้ คุณจะได้ตั้งค่า Active Directory ที่มีการจัดการใหม่ สร้าง VM ของ Windows ใหม่ และเข้าร่วมโดเมนใหม่ คุณจะเห็นวิธีตั้งค่าเครือข่าย ความปลอดภัย และจัดการโดเมนโดยใช้เครื่องมือการจัดการเดียวกันกับที่คุณคุ้นเคย
สิ่งที่คุณจะได้เรียนรู้
- วิธีสร้าง Managed Active Directory ใน Google Cloud
- วิธีเพิ่ม VM ของ Windows ลงในโดเมน
- วิธีจัดการผู้ใช้และคอมพิวเตอร์ใน Managed Active Directory
สิ่งที่คุณต้องมี
คุณจะใช้บทแนะนำนี้อย่างไร
คุณจะให้คะแนนประสบการณ์การใช้งาน Google Cloud Platform เท่าไร
2. การตั้งค่าและข้อกำหนด
การตั้งค่าสภาพแวดล้อมแบบเรียนรู้ด้วยตนเอง
- ลงชื่อเข้าใช้ Cloud Console แล้วสร้างโปรเจ็กต์ใหม่หรือใช้โปรเจ็กต์ที่มีอยู่ซ้ำ (หากยังไม่มีบัญชี Gmail หรือ G Suite คุณต้องสร้างบัญชี)
โปรดจดจำรหัสโปรเจ็กต์ ซึ่งเป็นชื่อที่ไม่ซ้ำกันในโปรเจ็กต์ Google Cloud ทั้งหมด (ชื่อด้านบนมีผู้ใช้แล้วและจะใช้ไม่ได้ ขออภัย) ซึ่งจะเรียกว่า PROJECT_ID ในภายหลังใน Codelab นี้
- จากนั้นคุณจะต้องเปิดใช้การเรียกเก็บเงินใน Cloud Console เพื่อใช้ทรัพยากร Google Cloud
การทำตาม Codelab นี้ไม่ควรมีค่าใช้จ่ายมากนัก หรืออาจไม่มีเลย โปรดทำตามวิธีการในส่วน "การล้างข้อมูล" ซึ่งจะแนะนำวิธีปิดทรัพยากรเพื่อไม่ให้มีการเรียกเก็บเงินนอกเหนือจากบทแนะนำนี้ ผู้ใช้ Google Cloud รายใหม่มีสิทธิ์เข้าร่วมโปรแกรมช่วงทดลองใช้ฟรีมูลค่า$300 USD
เริ่มต้น Cloud Shell
แม้ว่าคุณจะใช้งาน Google Cloud จากระยะไกลจากแล็ปท็อปได้ แต่ใน Codelab นี้ คุณจะใช้ Google Cloud Shell ซึ่งเป็นสภาพแวดล้อมบรรทัดคำสั่งที่ทำงานใน Google Cloud
เปิดใช้งาน Cloud Shell
- จาก Cloud Console ให้คลิกเปิดใช้งาน Cloud Shell
หากไม่เคยเริ่มใช้ Cloud Shell มาก่อน คุณจะเห็นหน้าจอระดับกลาง (ด้านล่าง) ที่อธิบายว่า Cloud Shell คืออะไร ในกรณีนี้ ให้คลิกต่อไป (และคุณจะไม่เห็นหน้าจอนี้อีก) หน้าจอแบบครั้งเดียวจะมีลักษณะดังนี้
การจัดสรรและเชื่อมต่อกับ Cloud Shell จะใช้เวลาไม่นาน
เครื่องเสมือนนี้มาพร้อมเครื่องมือพัฒนาซอฟต์แวร์ทั้งหมดที่คุณต้องการ โดยมีไดเรกทอรีหลักแบบถาวรขนาด 5 GB และทำงานใน Google Cloud ซึ่งช่วยเพิ่มประสิทธิภาพเครือข่ายและการตรวจสอบสิทธิ์ได้อย่างมาก คุณสามารถทำงานในโค้ดแล็บนี้ได้โดยใช้เพียงเบราว์เซอร์หรือ Chromebook
เมื่อเชื่อมต่อกับ Cloud Shell แล้ว คุณควรเห็นว่าคุณได้รับการตรวจสอบสิทธิ์แล้วและโปรเจ็กต์ได้รับการตั้งค่าเป็นรหัสโปรเจ็กต์ของคุณแล้ว
- เรียกใช้คำสั่งต่อไปนี้ใน Cloud Shell เพื่อยืนยันว่าคุณได้รับการตรวจสอบสิทธิ์แล้ว
gcloud auth list
เอาต์พุตของคำสั่ง
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
เอาต์พุตของคำสั่ง
[core] project = <PROJECT_ID>
หากไม่ได้ตั้งค่าไว้ คุณตั้งค่าได้ด้วยคำสั่งนี้
gcloud config set project <PROJECT_ID>
เอาต์พุตของคำสั่ง
Updated property [core/project].
3. เริ่มต้น
ระบบจะใช้โปรเจ็กต์ GCP ที่เริ่มต้นแล้วเพื่อโฮสต์เครือข่าย VPC ระหว่าง VM ของ Windows ที่เข้าร่วมโดเมนทั้งหมดและ Managed Active Directory
เราจะตั้งค่าตัวแปร 2-3 ตัวเพื่อให้เขียนสคริปต์ได้ง่ายขึ้นในภายหลัง
- ตัดสินใจเลือกชื่อโดเมน (เช่น ad.yourcompany.com)
- เลือกภูมิภาคที่ต้องการสร้างตัวควบคุมโดเมนสำหรับโดเมนที่มีการจัดการ
- กำหนดชื่อ VM กฎไฟร์วอลล์ และชื่อเครือข่าย
ปัจจุบันระบบรองรับภูมิภาคต่อไปนี้
- "us-west1"
- "us-west2"
- "us-central1"
- "us-east1"
- "us-east4"
- "europe-north1"
- "europe-west1"
- "europe-west4"
- "asia-east1"
- "asia-southeast1"
ตั้งค่าตัวแปร
หากใช้ Linux ให้พิมพ์
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
หากใช้ Windows ให้พิมพ์ในเทอร์มินัล Powershell ดังนี้
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
ตั้งค่ารหัสโปรเจ็กต์ปัจจุบันเพื่อให้การดำเนินการทั้งหมดในภายหลังเกิดขึ้นในบริบทของโปรเจ็กต์ระบบคลาวด์ที่ถูกต้อง
$ gcloud config set project $PROJECT_ID
เปิดใช้ Cloud API
หากต้องการเปิดใช้ Managed Active Directory เราต้องเปิดใช้ API 2 รายการ ได้แก่ DNS และ Managed Identities
เปิดใช้ DNS API:
$ gcloud services enable dns.googleapis.com
เปิดใช้ Managed Identities API:
$ gcloud services enable managedidentities.googleapis.com
4. สร้างเครือข่าย Virtual Private Cloud
เราต้องสร้างเครือข่าย Virtual Private Cloud เพื่อสร้างการเชื่อมต่อระหว่างตัวควบคุมโดเมน Active Directory ที่มีการจัดการกับ VM ของ Windows
สร้างเครือข่าย VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
สร้างกฎไฟร์วอลล์เพื่ออนุญาตการเชื่อมต่อระหว่าง VM ของ Windows กับตัวควบคุมโดเมน
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. สร้างตัวควบคุมโดเมน
เราตั้งค่า VPC ที่เชื่อมต่อ AD ที่มีการจัดการกับทรัพยากรในโปรเจ็กต์ (VM) ถึงเวลาตั้งค่าตัวควบคุมโดเมนที่มีการจัดการแล้ว
สร้าง Managed Active Directory
(การดำเนินการนี้คาดว่าจะใช้เวลาประมาณ 1 ชั่วโมง)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
ในระหว่างการติดตั้งใช้งานหรือทุกเมื่อ คุณสามารถยืนยันสถานะการจัดสรรโดเมนได้
สถานะที่รองรับมี 3 สถานะ ได้แก่
กำลังสร้าง | ระบบเริ่มสร้างโดเมน AD แล้วและกำลังดำเนินการ |
พร้อม | สร้างโดเมน AD เสร็จแล้ว โดเมนพร้อมใช้งาน |
อยู่ระหว่างการบำรุงรักษา | โดเมน AD ยังคงพร้อมใช้งาน แต่กำลังอยู่ระหว่างการอัปเดต (การอัปเกรดตัวควบคุมโดเมน การเพิ่มภูมิภาค ฯลฯ) |
ตรวจสอบสถานะการติดตั้งใช้งาน
$ gcloud active-directory domains describe $DOMAIN_NAME
คุณควรคาดหวังว่าคำสั่งนี้จะรายงานสถานะ READY เมื่อการสร้างโดเมนเสร็จสมบูรณ์
6. เพิ่ม VM ของ Windows ลงในโดเมนที่มีการจัดการ
สร้าง VM ของ Windows ใหม่ใน Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
สร้างกฎไฟร์วอลล์เพื่ออนุญาตการเชื่อมต่อเดสก์ท็อประยะไกลกับ VM ของ Windows โดยทำดังนี้
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
ก่อนเชื่อมต่อกับ VM และเพิ่มลงในโดเมน เราต้องกำหนดผู้ใช้ 2 รายและข้อมูลเข้าสู่ระบบของผู้ใช้เหล่านั้น
- ผู้ดูแลระบบในเครื่องบน VM - จำเป็นต้องมีเพื่อให้เชื่อมต่อกับ VM จากระยะไกลได้ก่อนที่จะเข้าร่วมโดเมน
- ผู้ใช้ผู้ดูแลระบบโดเมนที่มีการจัดการ - จำเป็นต้องใช้เพื่อเข้าร่วม VM กับโดเมน รวมถึงดำเนินการจัดการโดเมนทั้งหมด
7. รับข้อมูลเข้าสู่ระบบของผู้ดูแลระบบโดเมนที่มีการจัดการ
ระบุชื่อผู้ใช้ของผู้ดูแลระบบโดเมนที่มีการจัดการ
$ gcloud active-directory domains describe $DOMAIN_NAME
การดำเนินการนี้จะแสดงชื่อผู้ใช้ของผู้ดูแลระบบ โดยค่าเริ่มต้นจะเรียกว่า miadmin
รีเซ็ตรหัสผ่านของผู้ดูแลระบบโดเมนที่มีการจัดการ
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
คุณต้องยืนยัน (Y/N) การดำเนินการเนื่องจากจะแสดงรหัสผ่านเป็นข้อความธรรมดา ในเทอร์มินัล
บันทึกชื่อผู้ใช้และรหัสผ่านไว้เพื่อใช้ในภายหลัง
8. เข้าร่วมโดเมน
สร้างผู้ใช้และรหัสผ่านในเครื่องของ Windows
คุณต้องมีผู้ใช้และรหัสผ่านในเครื่องของ Windows เพื่อเชื่อมต่อกับ VM ที่คุณสร้างขึ้นจากระยะไกล คุณสร้างได้โดยใช้ gcloud
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
ซึ่งจะเป็นการสร้างผู้ใช้ในเครื่องชื่อ "usr1" และสร้างรหัสผ่าน
เชื่อมต่อกับอินสแตนซ์ Windows โดยใช้ Chrome RDP
เปิดหน้าต่างเบราว์เซอร์ใหม่ที่ https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
เปิด ChromeRDP โดยคลิก RDP
ป้อนผู้ใช้และรหัสผ่านในเครื่อง ซึ่งจะเชื่อมต่อคุณกับ VM ของ Windows ที่คุณสร้างขึ้น
ใน VM ให้เปิด Command Prompt ที่มีสิทธิ์ระดับผู้ดูแลระบบด้วย PowerShell โดยทำดังนี้
ใน Powershell ที่ยกระดับ ให้พิมพ์
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
ระบบจะขอให้คุณระบุรหัสผ่านผู้ดูแลระบบที่มีการจัดการ จากนั้น VM จะเข้าร่วมโดเมนที่มีการจัดการและรีสตาร์ท รอ 2 นาทีก่อนทำขั้นตอนถัดไป
ตอนนี้ VM ของคุณเข้าร่วมโดเมนแล้ว แต่คุณไม่มีสิทธิ์เชื่อมต่อกับ VM โดยใช้ผู้ใช้ผู้ดูแลระบบโดเมนที่มีการจัดการ คุณต้องเพิ่มผู้ใช้ที่เป็นผู้ดูแลระบบโดเมนที่มีการจัดการเป็นผู้ดูแลระบบในเครื่องของ VM นั้น
เชื่อมต่อกับ VM อีกครั้งโดยใช้ผู้ใช้ดูแลระบบในเครื่อง (คำสั่งเดียวกับด้านบน)
หากเป็นเช่นนั้น ให้ทำตามวิธีการเตือน ซึ่งเกิดขึ้นเนื่องจากเราได้เข้าร่วม VM กับโดเมน
ลองเชื่อมต่ออีกครั้งโดยใช้ผู้ใช้ผู้ดูแลระบบในเครื่อง แล้วเปิดพรอมต์คำสั่ง Powershell ที่ยกระดับ
เพิ่มผู้ใช้ผู้ดูแลระบบโดเมนที่มีการจัดการให้เป็นผู้ดูแลระบบภายในใน VM
$ net localgroup administrators /add your-domain-name\miadmin
ตอนนี้คุณยกเลิกการเชื่อมต่อจาก VM ได้แล้ว
9. เครื่องมือ Active Directory
เมื่อ VM เข้าร่วมโดเมนแล้ว คุณจะใช้เครื่องมือ Active Directory ที่คุ้นเคยเพื่อจัดการผู้ใช้ กลุ่ม คอมพิวเตอร์ และนโยบายกลุ่มได้
เชื่อมต่อกับ VM (ใช้วิธีเดียวกับที่อธิบายไว้ข้างต้น) โดยใช้ข้อมูลเข้าสู่ระบบของผู้ดูแลระบบโดเมนที่มีการจัดการ เปิด Command Prompt ของ PowerShell ที่มีสิทธิ์ระดับผู้ดูแลระบบ
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
โดยจะขอให้ยืนยันแล้วจึงติดตั้งเครื่องมือการจัดการ Active Directory
หลังจากติดตั้งเสร็จแล้ว คุณจะใช้ dsa.msc (ผู้ใช้และคอมพิวเตอร์ของ Active Directory) และเครื่องมือ Active Directory อื่นๆ ที่คุ้นเคยเพื่อจัดการโดเมนภายใต้ "OU ของลูกค้า" ได้
10. ยินดีด้วย
ขอแสดงความยินดี คุณสร้าง Managed Active Directory ใหม่ใน Google Cloud Platform สำเร็จแล้ว
ขั้นตอนถัดไป
- เอกสารประกอบของ Managed Active Directory
- ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ Windows VM ใน GCP
- ดูข้อมูลเพิ่มเติมเกี่ยวกับการเชื่อมต่อกับ VM ของ Windows
- ดูข้อมูลเพิ่มเติมเกี่ยวกับการติดตั้งใช้งาน Active Directory ที่ทนต่อข้อบกพร่องใน GCP
- ดูข้อมูลเพิ่มเติมเกี่ยวกับ .NET ใน Google Cloud Platform
.
11. ล้างข้อมูล
คุณลบ VM ของ Windows และเครือข่าย VPC ได้
ลบ VM ของ Windows
- ในคอนโซล GCP ให้ไปที่หน้าอินสแตนซ์ VM
- คลิกช่องทําเครื่องหมายข้างอินสแตนซ์ที่ต้องการลบ
- คลิกปุ่ม "ลบ" ที่ด้านบนของหน้าเพื่อลบอินสแตนซ์
ลบเครือข่าย VPC
- ในคอนโซล GCP ให้ไปที่หน้าเครือข่าย VPC
- เลือกเครือข่าย VPC ที่คุณสร้างขึ้น
- คลิกปุ่ม "ลบ" ที่ด้านบนของหน้า