Bắt đầu sử dụng Managed Active Directory

1. Tổng quan

Managed Active Directory là một miền Microsoft Active Directory có tính sẵn sàng cao dưới dạng một dịch vụ, được lưu trữ trên Google Cloud.

Trong hướng dẫn này, bạn sẽ thiết lập một Active Directory được quản lý mới, tạo một máy ảo Windows mới và liên kết máy ảo đó với miền mới. Bạn sẽ thấy cách thiết lập mạng, bảo mật và quản lý miền bằng các công cụ quản lý quen thuộc.

Kiến thức bạn sẽ học được

  • Cách tạo Active Directory được quản lý trên Google Cloud
  • Cách thêm một máy ảo Windows vào một miền
  • Cách quản lý người dùng và máy tính trong Managed Active Directory

Những thứ bạn cần:

  • Một trình duyệt, chẳng hạn như Chrome hoặc Firefox
  • Một máy đã cài đặt các công cụ gcloud

Bạn sẽ sử dụng hướng dẫn này như thế nào?

Chỉ đọc Đọc và hoàn thành bài tập

Bạn đánh giá thế nào về trải nghiệm của mình với Google Cloud Platform?

Người mới bắt đầu Trung cấp Thành thạo

2. Thiết lập và yêu cầu

Thiết lập môi trường theo tốc độ của riêng bạn

  1. Đăng nhập vào Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. (Nếu chưa có tài khoản Gmail hoặc G Suite, bạn phải tạo một tài khoản.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Hãy nhớ mã dự án, một tên duy nhất trên tất cả các dự án trên Google Cloud (tên ở trên đã được sử dụng và sẽ không hoạt động đối với bạn, xin lỗi!). Sau này trong lớp học lập trình này, chúng ta sẽ gọi nó là PROJECT_ID.

  1. Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên của Google Cloud.

Việc thực hiện lớp học lập trình này sẽ không tốn nhiều chi phí, nếu có. Hãy nhớ làm theo mọi hướng dẫn trong phần "Dọn dẹp" để biết cách tắt các tài nguyên nhằm tránh bị tính phí ngoài phạm vi hướng dẫn này. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí trị giá 300 USD.

Khởi động Cloud Shell

Mặc dù có thể vận hành Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trong Google Cloud.

Kích hoạt Cloud Shell

  1. Trong Cloud Console, hãy nhấp vào Kích hoạt Cloud Shell H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0Zz5LtwBlUZFXFCWFrmrWZLqg1MkZz2LdgUDQ.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Nếu chưa từng khởi động Cloud Shell, bạn sẽ thấy một màn hình trung gian (bên dưới phần hiển thị đầu tiên) mô tả về Cloud Shell. Nếu vậy, hãy nhấp vào Tiếp tục (và bạn sẽ không bao giờ thấy màn hình này nữa). Sau đây là giao diện của màn hình xuất hiện một lần:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Quá trình cung cấp và kết nối với Cloud Shell chỉ mất vài giây.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

Máy ảo này được trang bị tất cả các công cụ phát triển mà bạn cần. Nền tảng này cung cấp một thư mục chính có dung lượng 5 GB và chạy trong Google Cloud, giúp tăng cường đáng kể hiệu suất mạng và hoạt động xác thực. Bạn có thể thực hiện hầu hết, nếu không muốn nói là tất cả, công việc trong lớp học lập trình này chỉ bằng một trình duyệt hoặc Chromebook.

Sau khi kết nối với Cloud Shell, bạn sẽ thấy rằng mình đã được xác thực và dự án đã được đặt thành mã dự án của bạn.

  1. Chạy lệnh sau trong Cloud Shell để xác nhận rằng bạn đã được xác thực:
gcloud auth list

Đầu ra của lệnh

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Đầu ra của lệnh

[core]
project = <PROJECT_ID>

Nếu không, bạn có thể đặt nó bằng lệnh sau:

gcloud config set project <PROJECT_ID>

Đầu ra của lệnh

Updated property [core/project].

3. Khởi chạy

Dự án GCP đã khởi tạo sẽ được dùng để lưu trữ Mạng VPC giữa tất cả các VM Windows đã tham gia miền và Managed Active Directory.

Chúng ta sẽ đặt một vài biến để dễ dàng viết kịch bản sau này.

  • Quyết định chọn tên miền (ví dụ: ad.yourcompany.com)
  • Quyết định khu vực mà bạn muốn tạo Bộ điều khiển miền cho một miền được quản lý
  • Quyết định tên máy ảo, quy tắc tường lửa và tên mạng.

Hiện tại, chúng tôi hỗ trợ các khu vực sau:

  1. "us-west1"
  2. "us-west2"
  3. "us-central1"
  4. "us-east1"
  5. "us-east4"
  6. "europe-north1"
  7. "europe-west1"
  8. "europe-west4"
  9. "asia-east1"
  10. "asia-southeast1"

Đặt biến

Nếu bạn đang chạy trên Linux, hãy nhập:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Nếu bạn đang chạy trên Windows, hãy nhập vào cửa sổ dòng lệnh Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Đặt mã dự án hiện tại để tất cả các thao tác tiếp theo sẽ diễn ra trong bối cảnh của dự án trên đám mây phù hợp:

$ gcloud config set project $PROJECT_ID

Bật Cloud API

Để bật Managed Active Directory, chúng ta cần bật 2 API: DNS và Managed Identities.

Bật DNS API:

$ gcloud services enable dns.googleapis.com

Bật Managed Identities API:

$ gcloud services enable managedidentities.googleapis.com

4. Tạo mạng Virtual Private Cloud

Để thiết lập kết nối giữa bộ điều khiển miền Active Directory được quản lý và các máy ảo Windows, chúng ta cần tạo một mạng đám mây riêng ảo.

Tạo mạng VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Tạo quy tắc tường lửa để cho phép kết nối giữa các máy ảo Windows và bộ điều khiển miền

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Tạo bộ điều khiển miền

Chúng tôi thiết lập VPC kết nối AD được quản lý với các tài nguyên trong dự án (máy ảo). Giờ là lúc thiết lập một bộ điều khiển miền được quản lý.

Tạo một Active Directory được quản lý

(Thao tác này dự kiến sẽ mất khoảng một giờ)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Trong quá trình triển khai hoặc bất cứ lúc nào, bạn đều có thể xác minh trạng thái cấp phép của miền.

Có 3 trạng thái được hỗ trợ:

TẠO

Đã bắt đầu tạo miền AD, đang diễn ra.

SẴN SÀNG

Đã hoàn tất việc tạo miền AD, miền đã sẵn sàng để sử dụng.

ĐANG BẢO TRÌ

Miền AD vẫn hoạt động nhưng đang được cập nhật (nâng cấp Bộ điều khiển miền, thêm khu vực, v.v.)

Xác minh trạng thái triển khai:

$ gcloud active-directory domains describe $DOMAIN_NAME

Bạn nên chờ lệnh này báo cáo trạng thái SẴN SÀNG khi quá trình tạo miền hoàn tất.

6. Thêm máy ảo Windows vào miền được quản lý

Tạo một máy ảo Windows mới trên Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Tạo quy tắc tường lửa để cho phép kết nối Remote Desktop với các VM Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Trước khi kết nối với máy ảo và thêm máy ảo vào miền, chúng ta cần xác định 2 người dùng và thông tin đăng nhập của họ:

  • Quản trị viên cục bộ trên một máy ảo – bạn cần có quyền này để có thể kết nối từ xa với máy ảo trước khi máy ảo đó được tham gia miền
  • Người dùng Quản trị viên miền được quản lý – cần có người dùng này để liên kết máy ảo với miền cũng như thực hiện tất cả các thao tác quản lý miền

7. Lấy thông tin đăng nhập của Quản trị viên miền được quản lý

Xác định tên người dùng quản trị viên miền được quản lý:

$ gcloud active-directory domains describe $DOMAIN_NAME

Thao tác này sẽ xuất tên người dùng quản trị viên. Theo mặc định, tên này là miadmin.

Đặt lại mật khẩu của quản trị viên miền được quản lý:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Bạn phải xác nhận (Y/N) thao tác này vì thao tác này sẽ tiết lộ mật khẩu ở dạng văn bản rõ ràng. Trong thiết bị đầu cuối.

Lưu người dùng và mật khẩu – chúng ta sẽ sử dụng thông tin này sau.

8. Tham gia miền

Tạo người dùng và mật khẩu cục bộ trên Windows

Bạn cần có tên người dùng và mật khẩu cục bộ của Windows để kết nối từ xa với máy ảo mà bạn đã tạo. Bạn có thể tạo các khoá này bằng gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Thao tác này sẽ tạo một người dùng cục bộ có tên là "usr1" và tạo mật khẩu cho người dùng đó

Kết nối với phiên bản Windows bằng Chrome RDP

Mở một cửa sổ trình duyệt mới tại: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Mở ChromeRDP bằng cách nhấp vào RDP:

d0bd7a5329d27723.png

Nhập tên người dùng và mật khẩu cục bộ. Thao tác này sẽ kết nối bạn với máy ảo Windows mà bạn đã tạo.

23fbff0f7c180f62.png

Trên một máy ảo, hãy mở dấu nhắc lệnh ở chế độ nâng cao bằng PowerShell:

c5c876d4424217e7.png

Trong Powershell có đặc quyền nâng cao, hãy nhập:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Bạn sẽ được yêu cầu cung cấp mật khẩu quản trị viên được quản lý, sau đó VM sẽ tham gia miền được quản lý của bạn và khởi động lại. Đợi 2 phút rồi chuyển sang bước tiếp theo.

Tại thời điểm này, VM của bạn đã được liên kết với miền nhưng bạn không có quyền kết nối với VM đó bằng người dùng quản trị miền được quản lý. Bạn cần thêm người dùng quản trị miền được quản lý làm quản trị viên cục bộ của VM đó.

Kết nối lại với máy ảo bằng người dùng quản trị viên cục bộ (làm theo hướng dẫn tương tự như trên).

b2c98b9784dd421e.png

Nếu có, hãy làm theo hướng dẫn cảnh báo. Điều này xảy ra vì chúng tôi đã kết nối máy ảo với miền.

Hãy thử kết nối lại bằng người dùng quản trị viên cục bộ và mở Dấu nhắc lệnh Powershell được nâng cao.

Thêm người dùng Quản trị viên miền được quản lý làm quản trị viên cục bộ trên một máy ảo

$ net localgroup administrators /add your-domain-name\miadmin

Giờ đây, bạn có thể ngắt kết nối với máy ảo.

9. Công cụ Active Directory

Sau khi máy ảo tham gia miền, bạn có thể sử dụng các công cụ Active Directory quen thuộc để quản lý người dùng, nhóm, máy tính và chính sách nhóm.

Kết nối với máy ảo (cùng phương thức như mô tả ở trên) bằng thông tin đăng nhập của quản trị viên miền được quản lý. Mở bảng nhập lệnh Powershell ở chế độ nâng cao:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Hệ thống sẽ yêu cầu bạn xác nhận rồi cài đặt Công cụ quản lý Active Directory.

Sau khi cài đặt xong, bạn có thể sử dụng dsa.msc (Active Directory Users and Computers) và các công cụ Active Directory quen thuộc khác để quản lý miền trong "Customer OU"

3e548e3c8f88dbc1.png

10. Xin chúc mừng!

Chúc mừng bạn đã tạo thành công một Managed Active Directory mới trên Google Cloud Platform.

Các bước tiếp theo

.

11. Dọn dẹp

Bạn có thể xoá các VM Windows và mạng VPC.

Xoá máy ảo Windows

  • Trong Bảng điều khiển GCP, hãy chuyển đến trang Phiên bản máy ảo.
  • Nhấp vào hộp đánh dấu bên cạnh phiên bản mà bạn muốn xoá
  • Nhấp vào nút "Xoá" ở đầu trang để xoá phiên bản.

Xoá mạng VPC

  • Trong Bảng điều khiển GCP, hãy chuyển đến trang Mạng VPC
  • Chọn mạng VPC mà bạn đã tạo
  • Nhấp vào nút "Xoá" ở đầu trang.