1. Genel Bakış
Managed Active Directory, Google Cloud'da barındırılan, yüksek düzeyde kullanılabilir bir Microsoft Active Directory alan adı hizmetidir.
Bu eğitimde yeni bir yönetilen Active Directory ayarlayacak, yeni bir Windows sanal makinesi oluşturacak ve bu sanal makineyi yeni alana ekleyeceksiniz. Ağ oluşturma ve güvenlik ayarlarını nasıl yapacağınızı ve alanınızı, aşina olduğunuz yönetim araçlarını kullanarak nasıl yöneteceğinizi öğreneceksiniz.
Neler öğreneceksiniz?
- Google Cloud'da Managed Active Directory oluşturma
- Bir alana Windows sanal makinesi ekleme
- Yönetilen Active Directory'de kullanıcıları ve bilgisayarları yönetme
Gerekenler:
Bu eğitimi nasıl kullanacaksınız?
Google Cloud Platform deneyiminizi nasıl değerlendirirsiniz?
2. Kurulum ve şartlar
Yönlendirmesiz ortam kurulumu
- Cloud Console'da oturum açın ve yeni bir proje oluşturun veya mevcut bir projeyi yeniden kullanın. (Gmail veya G Suite hesabınız yoksa hesap oluşturmanız gerekir.)
Proje kimliğini unutmayın. Bu kimlik, tüm Google Cloud projelerinde benzersiz bir addır (Yukarıdaki ad zaten alınmış olduğundan sizin için çalışmayacaktır). Bu codelab'in ilerleyen kısımlarında PROJECT_ID olarak adlandırılacaktır.
- Ardından, Google Cloud kaynaklarını kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir.
Bu codelab'i tamamlamak neredeyse hiç maliyetli değildir. Bu eğitimin ötesinde faturalandırma ücreti alınmaması için kaynakları nasıl kapatacağınız konusunda size tavsiyelerde bulunan "Temizleme" bölümündeki talimatları uyguladığınızdan emin olun. Google Cloud'un yeni kullanıcıları 300 ABD doları değerinde ücretsiz deneme programından yararlanabilir.
Cloud Shell'i başlatma
Google Cloud, dizüstü bilgisayarınızdan uzaktan çalıştırılabilir ancak bu codelab'de Google Cloud'da çalışan bir komut satırı ortamı olan Google Cloud Shell'i kullanacaksınız.
Cloud Shell'i etkinleştirme
- Cloud Console'da Cloud Shell'i etkinleştir 'i
tıklayın.
Cloud Shell'i daha önce hiç başlatmadıysanız ne olduğunu açıklayan bir ara ekran (ekranın alt kısmı) gösterilir. Bu durumda Devam'ı tıkladığınızda bu ekranı bir daha görmezsiniz. Bu tek seferlik ekran aşağıdaki gibi görünür:
Cloud Shell'in temel hazırlığı ve bağlanması yalnızca birkaç dakikanızı alır.
Bu sanal makine, ihtiyaç duyacağınız tüm geliştirme araçlarını içerir. 5 GB boyutunda kalıcı bir ana dizin bulunur ve Google Cloud'da çalışır. Bu sayede ağ performansı ve kimlik doğrulama önemli ölçüde güçlenir. Bu codelab'deki çalışmalarınızın neredeyse tamamını yalnızca bir tarayıcı veya Chromebook'unuzla yapabilirsiniz.
Cloud Shell'e bağlandıktan sonra kimliğinizin doğrulandığını ve projenin, proje kimliğinize ayarlandığını görürsünüz.
- Kimliğinizin doğrulandığını onaylamak için Cloud Shell'de şu komutu çalıştırın:
gcloud auth list
Komut çıkışı
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Komut çıkışı
[core] project = <PROJECT_ID>
Değilse şu komutla ayarlayabilirsiniz:
gcloud config set project <PROJECT_ID>
Komut çıkışı
Updated property [core/project].
3. Başlat
Başlatılan GCP projesi, etki alanına katılmış tüm Windows sanal makineleriniz ve yönetilen Active Directory arasındaki VPC ağını barındırmak için kullanılır.
Daha sonra komut dosyası oluşturmayı kolaylaştırmak için birkaç değişken ayarlayacağız.
- Bir alan adına karar verin (ör. ad.yourcompany.com)
- Yönetilen bir alan için alan denetleyicisini hangi bölgede oluşturmak istediğinize karar verin.
- Sanal makine adını, güvenlik duvarı kuralını ve ağ adını belirleyin.
Şu anda aşağıdaki bölgeler desteklenmektedir:
- "us-west1"
- "us-west2"
- "us-central1"
- "us-east1"
- "us-east4"
- "europe-north1"
- "europe-west1"
- "europe-west4"
- "asia-east1"
- "asia-southeast1"
Değişkenleri ayarlama
Linux'ta çalıştırıyorsanız şunu yazın:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Windows'da çalıştırıyorsanız PowerShell terminaline şunu yazın:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Mevcut proje kimliğini ayarlayın. Böylece, sonraki tüm işlemler doğru Cloud projesi bağlamında gerçekleşir:
$ gcloud config set project $PROJECT_ID
Cloud API'lerini etkinleştirme
Yönetilen Active Directory'yi etkinleştirmek için DNS ve Yönetilen Kimlikler olmak üzere iki API'yi etkinleştirmemiz gerekir.
DNS API'yi etkinleştirin:
$ gcloud services enable dns.googleapis.com
Managed Identities API'yi etkinleştirin:
$ gcloud services enable managedidentities.googleapis.com
4. Sanal özel bulut ağı oluşturma
Yönetilen Active Directory etki alanı denetleyicisi ile Windows VM'leri arasında bağlantı oluşturmak için bir sanal özel bulut ağı oluşturmamız gerekir.
VPC ağı oluşturma
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Windows sanal makineleri ile alan denetleyicileri arasında bağlantıya izin vermek için güvenlik duvarı kuralı oluşturma
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Alan denetleyicileri oluşturma
Yönetilen AD'yi projemizdeki kaynaklara (sanal makineler) bağlayan VPC'yi kuruyoruz. Şimdi yönetilen bir alan denetleyicisi ayarlamanın zamanı.
Yönetilen Active Directory oluşturma
(Bu işlemin yaklaşık bir saat sürmesi beklenir.)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Dağıtım sırasında veya herhangi bir zamanda alanın sağlama durumunu doğrulayabilirsiniz.
Desteklenen 3 durum vardır:
OLUŞTURULUYOR | AD alanı oluşturma işlemi başlatıldı ve devam ediyor. |
HAZIR | AD alanı oluşturma işlemi tamamlandı, alan kullanıma hazır. |
BAKIMDA | AD alanı hâlâ kullanılabilir ancak güncellemelerden geçiyor (alan denetleyicileri yükseltiliyor, bölgeler ekleniyor vb.) |
Dağıtım durumunu doğrulayın:
$ gcloud active-directory domains describe $DOMAIN_NAME
Alan oluşturma işlemi tamamlandığında bu komutun READY durumunu bildirmesi beklenir.
6. Yönetilen bir alana Windows VM'leri ekleme
Google Compute Engine'de yeni bir Windows VM oluşturma
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Windows sanal makinelerinize uzaktan masaüstü bağlantısına izin vermek için bir güvenlik duvarı kuralı oluşturun:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Sanal makineye bağlanıp onu alana eklemeden önce iki kullanıcıyı ve kimlik bilgilerini belirlememiz gerekir:
- Sanal makinede yerel yönetici: Alan adına katılmadan önce sanal makineye uzaktan bağlanabilmek için gereklidir.
- Yönetilen alan yöneticisi kullanıcısı: Bu, sanal makineyi alana eklemenin yanı sıra tüm alan yönetimi işlemlerini gerçekleştirmek için gereklidir.
7. Yönetilen alan yöneticisi kimlik bilgilerini alma
Yönetilen alan yöneticisinin kullanıcı adını belirleme:
$ gcloud active-directory domains describe $DOMAIN_NAME
Bu işlem, yönetici kullanıcı adını verir. Varsayılan olarak miadmin olarak adlandırılır.
Yönetilen alan yöneticisinin şifresini sıfırlama:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Şifreyi açık metin olarak göstereceği için işlemi onaylamanız (E/H) gerekir. Terminalde.
Kullanıcıyı ve şifreyi kaydedin. Bunları daha sonra kullanacağız.
8. Alana katılma
Windows yerel kullanıcısı ve şifresi oluşturma
Oluşturduğunuz sanal makineye uzaktan bağlanmak için Windows yerel kullanıcısı ve şifresi gerekir. Bunları gcloud kullanarak oluşturabilirsiniz.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Bu işlem, "usr1" adlı yerel bir kullanıcı oluşturur ve bu kullanıcının şifresini üretir.
Chrome RDP'yi kullanarak Windows örneğine bağlanma
Şu adreste yeni bir tarayıcı penceresi açın: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
RDP'yi tıklayarak ChromeRDP'yi açın:
Yerel kullanıcı ve şifre girin. Bu işlem sizi oluşturduğunuz Windows sanal makinesine bağlar.
Bir sanal makinede, Powershell ile yükseltilmiş komut istemini açın:
Yükseltilmiş Powershell'de şunu yazın:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Yönetilen yönetici şifresini girmeniz istenir. Ardından VM, yönetilen alanınıza katılır ve yeniden başlatılır. Sonraki adıma geçmeden önce 2 dakika bekleyin.
Bu noktada sanal makineniz alana katılmış olsa da yönetilen alan yöneticisi kullanıcısını kullanarak bağlanma izniniz yoktur. Yönetilen alan adı yönetici kullanıcısını söz konusu sanal makinenin yerel yöneticisi olarak eklemeniz gerekir.
Yerel yönetici kullanıcısını kullanarak sanal makineye tekrar bağlanın (yukarıdaki talimatların aynısı).
Bu durumda uyarı talimatlarını uygulayın. Bunun nedeni, sanal makineyi alana eklememizdir.
Yerel yönetici kullanıcısını kullanarak tekrar bağlanmayı deneyin ve yükseltilmiş Powershell komut istemini açın.
Yönetilen alan yöneticisi kullanıcısını sanal makinede yerel yönetici olarak ekleme
$ net localgroup administrators /add your-domain-name\miadmin
Artık sanal makinenin bağlantısını kesebilirsiniz.
9. Active Directory Araçları
Bir sanal makine alana katıldıktan sonra kullanıcıları, grupları, bilgisayarları ve grup ilkesini yönetmek için tanıdık Active Directory araçlarını kullanabilirsiniz.
Yönetilen alan yöneticisinin kimlik bilgilerini kullanarak sanal makineye bağlanın (yukarıda açıklanan yöntemle aynı). Yükseltilmiş PowerShell komut istemini açın:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Onay istenir ve ardından Active Directory Yönetim Araçları yüklenir.
Yükleme tamamlandıktan sonra, "Customer OU" altındaki alanı yönetmek için dsa.msc (Active Directory Kullanıcıları ve Bilgisayarları) ve diğer tanıdık Active Directory araçlarını kullanabilirsiniz.
10. Tebrikler!
Tebrikler, Google Cloud Platform'da yeni bir yönetilen Active Directory'yi başarıyla oluşturdunuz.
Sonraki Adımlar
- Managed Active Directory dokümanları
- GCP'de Windows sanal makinesi kullanma hakkında daha fazla bilgi edinin.
- Windows sanal makinesine bağlanma hakkında daha fazla bilgi edinin.
- GCP'de hataya dayanıklı Active Directory dağıtma hakkında daha fazla bilgi edinin.
- Google Cloud Platform'da.NET hakkında daha fazla bilgi edinin.
.
11. Temizleme
Windows sanal makinelerini ve VPC ağını silebilirsiniz.
Windows sanal makinelerini silme
- GCP Console'da Sanal makine örnekleri sayfasına gidin.
- Silmek istediğiniz örneğin yanındaki onay kutusunu tıklayın.
- Örneği silmek için sayfanın üst kısmındaki "Sil" düğmesini tıklayın.
VPC ağlarını silme
- GCP Console'da VPC Ağları Sayfası'na gidin.
- Oluşturduğunuz VPC ağını seçin.
- Sayfanın üst kısmındaki "Sil" düğmesini tıklayın.