1. Übersicht
Managed Active Directory ist eine hochverfügbare Microsoft Active Directory-Domain als Dienst, die in Google Cloud gehostet wird.
In dieser Anleitung richten Sie ein neues verwaltetes Active Directory ein, erstellen eine neue Windows-VM und fügen sie der neuen Domain hinzu. Sie erfahren, wie Sie mit den Tools, mit denen Sie bereits vertraut sind, das Netzwerk und die Sicherheit einrichten und Ihre Domain verwalten.
Aufgaben in diesem Lab
- Verwaltetes Active Directory in Google Cloud erstellen
- Windows-VM zu einer Domain hinzufügen
- Nutzer und Computer in Managed Active Directory verwalten
Sie benötigen:
Wie möchten Sie diese Anleitung nutzen?
<ph type="x-smartling-placeholder">Wie würden Sie Ihre Erfahrung mit der Google Cloud Platform bewerten?
<ph type="x-smartling-placeholder">2. Einrichtung und Anforderungen
Umgebung für das selbstbestimmte Lernen einrichten
- Melden Sie sich in der Cloud Console an und erstellen Sie ein neues Projekt oder verwenden Sie ein vorhandenes Projekt. Wenn Sie noch kein Gmail- oder G Suite-Konto haben, müssen Sie ein Konto erstellen.
Notieren Sie sich die Projekt-ID, also den projektübergreifend nur einmal vorkommenden Namen eines Google Cloud-Projekts. Der oben angegebene Name ist bereits vergeben und kann leider nicht mehr verwendet werden. Sie wird in diesem Codelab später als PROJECT_ID
bezeichnet.
- Als Nächstes müssen Sie in der Cloud Console die Abrechnung aktivieren, um Google Cloud-Ressourcen nutzen zu können.
Dieses Codelab sollte möglichst wenig kosten. Folgen Sie der Anleitung im Abschnitt „Bereinigen“, . Hier erfahren Sie, wie Sie Ressourcen herunterfahren, damit Ihnen über dieses Tutorial hinaus keine Kosten entstehen. Neue Google Cloud-Nutzer können an einem kostenlosen Testzeitraum mit 300$Guthaben teilnehmen.
Cloud Shell starten
Sie können Google Cloud zwar von Ihrem Laptop aus der Ferne bedienen, in diesem Codelab verwenden Sie jedoch Google Cloud Shell, eine Befehlszeilenumgebung, die in Google Cloud ausgeführt wird.
Cloud Shell aktivieren
- Klicken Sie in der Cloud Console auf Cloud Shell aktivieren
.
Wenn Sie Cloud Shell zum ersten Mal verwenden, wird ein Zwischenbildschirm (below the fold) angezeigt, in dem beschrieben wird, worum es sich dabei handelt. Klicken Sie in diesem Fall auf Weiter. Der Chat wird nie wieder angezeigt. So sieht dieser einmalige Bildschirm aus:
Die Bereitstellung und Verbindung mit Cloud Shell dauert nur einen Moment.
Diese virtuelle Maschine verfügt über sämtliche Entwicklertools, die Sie benötigen. Es bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und wird in Google Cloud ausgeführt. Dadurch werden die Netzwerkleistung und die Authentifizierung erheblich verbessert. Viele, wenn nicht sogar alle Arbeiten in diesem Codelab können Sie ganz einfach mit einem Browser oder Ihrem Chromebook erledigen.
Sobald Sie mit Cloud Shell verbunden sind, sollten Sie sehen, dass Sie bereits authentifiziert sind und dass das Projekt bereits auf Ihre Projekt-ID eingestellt ist.
- Führen Sie in Cloud Shell den folgenden Befehl aus, um zu prüfen, ob Sie authentifiziert sind:
gcloud auth list
Befehlsausgabe
Credentialed Accounts ACTIVE ACCOUNT * <my_account>@<my_domain.com> To set the active account, run: $ gcloud config set account `ACCOUNT`
gcloud config list project
Befehlsausgabe
[core] project = <PROJECT_ID>
Ist dies nicht der Fall, können Sie die Einstellung mit diesem Befehl vornehmen:
gcloud config set project <PROJECT_ID>
Befehlsausgabe
Updated property [core/project].
3. Initialisieren
Das initialisierte GCP-Projekt wird zum Hosten des VPC-Netzwerks zwischen allen in die Domain eingebundenen Windows-VMs und Managed Active Directory verwendet.
Wir werden später einige Variablen zur einfacheren Erstellung von Skripts festlegen.
- Wählen Sie einen Domainnamen aus (z. B. ad.yourcompany.com).
- Entscheiden Sie, in welcher Region Sie einen Domaincontroller für eine verwaltete Domain erstellen möchten.
- Legen Sie den VM-Namen, die Firewallregel und den Netzwerknamen fest.
Derzeit werden die folgenden Regionen unterstützt:
- „us-west1“
- „us-west2“
- „us-central1“
- „us-east1“
- „us-east4“
- „europe-north1“
- „europe-west1“
- „europe-west4“
- „asia-east1“
- „asia-southeast1“
Variablen festlegen
Falls du es unter Linux ausführst, gib Folgendes ein:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Bei Ausführung unter Windows geben Sie im PowerShell-Terminal Folgendes ein:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Legen Sie die aktuelle Projekt-ID fest, damit alle nachfolgenden Vorgänge im Kontext des richtigen Cloud-Projekts ausgeführt werden:
$ gcloud config set project $PROJECT_ID
Cloud APIs aktivieren
Zum Aktivieren von Managed Active Directory müssen zwei APIs aktiviert werden: DNS und Managed Identities.
DNS API aktivieren:
$ gcloud services enable dns.googleapis.com
Managed Identities API aktivieren:
$ gcloud services enable managedidentities.googleapis.com
4. Virtual Private Cloud-Netzwerk erstellen
Um eine Verbindung zwischen dem verwalteten Active Directory-Domaincontroller und Windows-VMs herzustellen, müssen wir ein Virtual Private Cloud-Netzwerk erstellen.
VPC-Netzwerk erstellen
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Firewallregel erstellen, um Verbindungen zwischen Windows-VMs und Domaincontrollern zuzulassen
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Domaincontroller erstellen
Wir richten die VPC ein, die verwaltete AD mit Ressourcen in unserem Projekt (VMs) verbindet. Als Nächstes richten Sie einen verwalteten Domaincontroller ein.
Verwaltetes Active Directory erstellen
(Dieser Vorgang dauert voraussichtlich etwa eine Stunde.)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Sie können während der Bereitstellung oder zu einem beliebigen Zeitpunkt den Bereitstellungsstatus der Domain überprüfen.
Es gibt drei unterstützte Status:
WIRD ERSTELLT | Die Erstellung der AD-Domain wurde initiiert. |
BEREIT | AD-Domain wurde erstellt, die Domain ist einsatzbereit. |
WIRD GEWÄHRT | AD-Domain weiterhin verfügbar, wird aber aktualisiert (Upgrade von Domaincontrollern, Hinzufügen von Regionen usw.) |
Bereitstellungsstatus prüfen:
$ gcloud active-directory domains describe $DOMAIN_NAME
Dieser Befehl meldet den Status BEREIT, wenn die Domainerstellung abgeschlossen ist.
6. Windows-VMs zu einer verwalteten Domain hinzufügen
Neue Windows-VM in Google Compute Engine erstellen
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Erstellen Sie eine Firewallregel, um Remote Desktop-Verbindungen zu Ihren Windows-VMs zuzulassen:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Bevor Sie eine Verbindung zur VM herstellen und sie der Domain hinzufügen, müssen Sie zwei Nutzer und ihre Anmeldedaten ermitteln:
- Lokaler Administrator auf einer VM: Dies ist erforderlich, um eine Remote-Verbindung zur VM herstellen zu können, bevor sie in die Domain aufgenommen wird.
- Administrator für verwaltete Domains: Dies ist erforderlich, um die VM mit der Domain zu verbinden und alle Vorgänge zur Domainverwaltung auszuführen.
7. Anmeldedaten für Managed Domain Admin abrufen
Name des Administrators der verwalteten Domain ermitteln:
$ gcloud active-directory domains describe $DOMAIN_NAME
Durch diesen Vorgang wird der Administratornutzername ausgegeben. Standardmäßig heißt es miadmin.
Administratorpasswort für verwaltete Domain zurücksetzen:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Sie müssen den Vorgang bestätigen (J/N), da das Passwort im Klartext angezeigt wird. Im Terminal.
Speichern Sie den Nutzer und das Passwort – wir benötigen diese Daten später.
8. Der Domain beitreten
Lokalen Windows-Nutzer und ‐Passwort generieren
Der lokale Windows-Nutzer und das Passwort sind erforderlich, um eine Remote-Verbindung zu der von Ihnen erstellten VM herzustellen. Sie können sie mit gcloud generieren.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Dadurch wird ein lokaler Nutzer namens „usr1“ erstellt. und generieren ein Passwort
Verbindung zur Windows-Instanz über Chrome RDP herstellen
Öffnen Sie ein neues Browserfenster unter: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
Öffnen Sie ChromeRDP, indem Sie auf „RDP“ klicken:
Geben Sie den lokalen Nutzer und das Passwort ein. Dadurch werden Sie mit der von Ihnen erstellten Windows-VM verbunden.
Öffnen Sie auf einer VM die Eingabeaufforderung mit erweiterten Rechten mit PowerShell:
Geben Sie in PowerShell mit erweiterten Rechten Folgendes ein:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Sie werden aufgefordert, ein verwaltetes Administratorpasswort anzugeben. Anschließend tritt die VM Ihrer verwalteten Domain bei und wird neu gestartet. Warten Sie zwei Minuten, bevor Sie mit dem nächsten Schritt fortfahren.
Ihre VM ist jetzt in die Domain eingebunden, Sie sind jedoch nicht berechtigt, eine Verbindung über den Administrator einer verwalteten Domain herzustellen. Sie müssen den Administrator der verwalteten Domain als lokaler Administrator dieser VM hinzufügen.
Stellen Sie über einen lokalen Administrator wieder eine Verbindung zur VM her (siehe Anleitung oben).
Folgen Sie in diesem Fall den Warnhinweisen. Dies liegt daran, dass wir die VM mit der Domain verbunden haben.
Versuchen Sie, die Verbindung über einen lokalen Administrator wiederherzustellen, und öffnen Sie dann die elevated PowerShell-Eingabeaufforderung.
Nutzer eines verwalteten Domainadministrators als lokalen Administrator auf einer VM hinzufügen
$ net localgroup administrators /add your-domain-name\miadmin
Jetzt können Sie die Verbindung zur VM trennen.
9. Active Directory-Tools
Sobald eine VM in die Domain aufgenommen wurde, können Sie bekannte Active Directory-Tools zum Verwalten von Nutzern, Gruppen, Computern und Gruppenrichtlinien verwenden.
Stellen Sie mit der oben beschriebenen Methode mithilfe der Anmeldedaten des Administrators der verwalteten Domain eine Verbindung zur VM her. Öffnen Sie die PowerShell-Eingabeaufforderung mit erweiterten Rechten:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Sie werden nach einer Bestätigung gefragt und dann Active Directory-Verwaltungstools installiert.
Nach Abschluss der Installation können Sie dsa.msc (Active Directory Users and Computers) und andere vertraute Active Directory-Tools verwenden, um die Domain unter Customer OU (Kunden-OE) zu verwalten.
10. Glückwunsch!
Herzlichen Glückwunsch, Sie haben erfolgreich ein neues verwaltetes Active Directory auf der Google Cloud Platform erstellt.
Nächste Schritte
- Dokumentation zu Managed Active Directory
- Weitere Informationen zum Verwenden einer Windows-VM auf der GCP
- Verbindung zur Windows-VM herstellen
- Fehlertolerantes Active Directory auf der GCP bereitstellen
- .NET auf der Google Cloud Platform
.
11. Bereinigen
Sie können Windows-VMs und VPC-Netzwerke löschen.
Windows-VMs löschen
- Rufen Sie in der GCP Console die Seite VM-Instanzen auf.
- Klicken Sie auf das Kästchen neben der Instanz, die Sie löschen möchten.
- Klicke auf die Schaltfläche „Löschen“. oben auf der Seite, um die Instanz zu löschen.
VPC-Netzwerke löschen
- Rufen Sie in der GCP Console die Seite VPC-Netzwerke auf.
- Wählen Sie das erstellte VPC-Netzwerk aus
- Klicke auf die Schaltfläche „Löschen“. oben auf der Seite.