Erste Schritte mit Managed Active Directory

1. Übersicht

Managed Active Directory ist eine hochverfügbare Microsoft Active Directory-Domain als Dienst, die in Google Cloud gehostet wird.

In dieser Anleitung richten Sie ein neues verwaltetes Active Directory ein, erstellen eine neue Windows-VM und fügen sie der neuen Domain hinzu. Sie erfahren, wie Sie mit den Tools, mit denen Sie bereits vertraut sind, das Netzwerk und die Sicherheit einrichten und Ihre Domain verwalten.

Aufgaben in diesem Lab

• Verwaltetes Active Directory in Google Cloud erstellen
• Windows-VM zu einer Domain hinzufügen
• Nutzer und Computer in Managed Active Directory verwalten

Sie benötigen:

• Browser, z. B. Chrome oder Firefox
• Maschine mit installierten gcloud-Tools

2. Einrichtung und Anforderungen

Umgebung für das selbstbestimmte Lernen einrichten

1. Melden Sie sich in der Cloud Console an und erstellen Sie ein neues Projekt oder verwenden Sie ein vorhandenes Projekt. Wenn Sie noch kein Gmail- oder G Suite-Konto haben, müssen Sie ein Konto erstellen.

Notieren Sie sich die Projekt-ID, also den projektübergreifend nur einmal vorkommenden Namen eines Google Cloud-Projekts. Der oben angegebene Name ist bereits vergeben und kann leider nicht mehr verwendet werden. Sie wird in diesem Codelab später als PROJECT_ID bezeichnet.

2. Als Nächstes müssen Sie in der Cloud Console die Abrechnung aktivieren, um Google Cloud-Ressourcen nutzen zu können.

Dieses Codelab sollte möglichst wenig kosten. Folgen Sie der Anleitung im Abschnitt „Bereinigen“, . Hier erfahren Sie, wie Sie Ressourcen herunterfahren, damit Ihnen über dieses Tutorial hinaus keine Kosten entstehen. Neue Google Cloud-Nutzer können an einem kostenlosen Testzeitraum mit 300$Guthaben teilnehmen.

Cloud Shell starten

Sie können Google Cloud zwar von Ihrem Laptop aus der Ferne bedienen, in diesem Codelab verwenden Sie jedoch Google Cloud Shell, eine Befehlszeilenumgebung, die in Google Cloud ausgeführt wird.

Cloud Shell aktivieren

1. Klicken Sie in der Cloud Console auf Cloud Shell aktivieren .

Wenn Sie Cloud Shell zum ersten Mal verwenden, wird ein Zwischenbildschirm (below the fold) angezeigt, in dem beschrieben wird, worum es sich dabei handelt. Klicken Sie in diesem Fall auf Weiter. Der Chat wird nie wieder angezeigt. So sieht dieser einmalige Bildschirm aus:

Die Bereitstellung und Verbindung mit Cloud Shell dauert nur einen Moment.

Diese virtuelle Maschine verfügt über sämtliche Entwicklertools, die Sie benötigen. Es bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und wird in Google Cloud ausgeführt. Dadurch werden die Netzwerkleistung und die Authentifizierung erheblich verbessert. Viele, wenn nicht sogar alle Arbeiten in diesem Codelab können Sie ganz einfach mit einem Browser oder Ihrem Chromebook erledigen.

Sobald Sie mit Cloud Shell verbunden sind, sollten Sie sehen, dass Sie bereits authentifiziert sind und dass das Projekt bereits auf Ihre Projekt-ID eingestellt ist.

2. Führen Sie in Cloud Shell den folgenden Befehl aus, um zu prüfen, ob Sie authentifiziert sind:

gcloud auth list

Befehlsausgabe

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Befehlsausgabe

[core]
project = <PROJECT_ID>

Ist dies nicht der Fall, können Sie die Einstellung mit diesem Befehl vornehmen:

gcloud config set project <PROJECT_ID>

Befehlsausgabe

Updated property [core/project].

3. Initialisieren

Das initialisierte GCP-Projekt wird zum Hosten des VPC-Netzwerks zwischen allen in die Domain eingebundenen Windows-VMs und Managed Active Directory verwendet.

Wir werden später einige Variablen zur einfacheren Erstellung von Skripts festlegen.

• Wählen Sie einen Domainnamen aus (z. B. ad.yourcompany.com).
• Entscheiden Sie, in welcher Region Sie einen Domaincontroller für eine verwaltete Domain erstellen möchten.
• Legen Sie den VM-Namen, die Firewallregel und den Netzwerknamen fest.

Derzeit werden die folgenden Regionen unterstützt:

1. „us-west1“
2. „us-west2“
3. „us-central1“
4. „us-east1“
5. „us-east4“
6. „europe-north1“
7. „europe-west1“
8. „europe-west4“
9. „asia-east1“
10. „asia-southeast1“

Variablen festlegen

Falls du es unter Linux ausführst, gib Folgendes ein:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Bei Ausführung unter Windows geben Sie im PowerShell-Terminal Folgendes ein:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Legen Sie die aktuelle Projekt-ID fest, damit alle nachfolgenden Vorgänge im Kontext des richtigen Cloud-Projekts ausgeführt werden:

$ gcloud config set project $PROJECT_ID

Cloud APIs aktivieren

Zum Aktivieren von Managed Active Directory müssen zwei APIs aktiviert werden: DNS und Managed Identities.

DNS API aktivieren:

$ gcloud services enable dns.googleapis.com

Managed Identities API aktivieren:

$ gcloud services enable managedidentities.googleapis.com

4. Virtual Private Cloud-Netzwerk erstellen

Um eine Verbindung zwischen dem verwalteten Active Directory-Domaincontroller und Windows-VMs herzustellen, müssen wir ein Virtual Private Cloud-Netzwerk erstellen.

VPC-Netzwerk erstellen

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Firewallregel erstellen, um Verbindungen zwischen Windows-VMs und Domaincontrollern zuzulassen

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Domaincontroller erstellen

Wir richten die VPC ein, die verwaltete AD mit Ressourcen in unserem Projekt (VMs) verbindet. Als Nächstes richten Sie einen verwalteten Domaincontroller ein.

Verwaltetes Active Directory erstellen

(Dieser Vorgang dauert voraussichtlich etwa eine Stunde.)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Sie können während der Bereitstellung oder zu einem beliebigen Zeitpunkt den Bereitstellungsstatus der Domain überprüfen.

Es gibt drei unterstützte Status:

Bereitstellungsstatus prüfen:

$ gcloud active-directory domains describe $DOMAIN_NAME

Dieser Befehl meldet den Status BEREIT, wenn die Domainerstellung abgeschlossen ist.

6. Windows-VMs zu einer verwalteten Domain hinzufügen

Neue Windows-VM in Google Compute Engine erstellen

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Erstellen Sie eine Firewallregel, um Remote Desktop-Verbindungen zu Ihren Windows-VMs zuzulassen:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Bevor Sie eine Verbindung zur VM herstellen und sie der Domain hinzufügen, müssen Sie zwei Nutzer und ihre Anmeldedaten ermitteln:

• Lokaler Administrator auf einer VM: Dies ist erforderlich, um eine Remote-Verbindung zur VM herstellen zu können, bevor sie in die Domain aufgenommen wird.
• Administrator für verwaltete Domains: Dies ist erforderlich, um die VM mit der Domain zu verbinden und alle Vorgänge zur Domainverwaltung auszuführen.

7. Anmeldedaten für Managed Domain Admin abrufen

Name des Administrators der verwalteten Domain ermitteln:

$ gcloud active-directory domains describe $DOMAIN_NAME

Durch diesen Vorgang wird der Administratornutzername ausgegeben. Standardmäßig heißt es miadmin.

Administratorpasswort für verwaltete Domain zurücksetzen:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Sie müssen den Vorgang bestätigen (J/N), da das Passwort im Klartext angezeigt wird. Im Terminal.

Speichern Sie den Nutzer und das Passwort – wir benötigen diese Daten später.

8. Der Domain beitreten

Lokalen Windows-Nutzer und ‐Passwort generieren

Der lokale Windows-Nutzer und das Passwort sind erforderlich, um eine Remote-Verbindung zu der von Ihnen erstellten VM herzustellen. Sie können sie mit gcloud generieren.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Dadurch wird ein lokaler Nutzer namens „usr1“ erstellt. und generieren ein Passwort

Verbindung zur Windows-Instanz über Chrome RDP herstellen

Öffnen Sie ein neues Browserfenster unter: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Öffnen Sie ChromeRDP, indem Sie auf „RDP“ klicken:

Geben Sie den lokalen Nutzer und das Passwort ein. Dadurch werden Sie mit der von Ihnen erstellten Windows-VM verbunden.

Öffnen Sie auf einer VM die Eingabeaufforderung mit erweiterten Rechten mit PowerShell:

Geben Sie in PowerShell mit erweiterten Rechten Folgendes ein:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Sie werden aufgefordert, ein verwaltetes Administratorpasswort anzugeben. Anschließend tritt die VM Ihrer verwalteten Domain bei und wird neu gestartet. Warten Sie zwei Minuten, bevor Sie mit dem nächsten Schritt fortfahren.

Ihre VM ist jetzt in die Domain eingebunden, Sie sind jedoch nicht berechtigt, eine Verbindung über den Administrator einer verwalteten Domain herzustellen. Sie müssen den Administrator der verwalteten Domain als lokaler Administrator dieser VM hinzufügen.

Stellen Sie über einen lokalen Administrator wieder eine Verbindung zur VM her (siehe Anleitung oben).

Folgen Sie in diesem Fall den Warnhinweisen. Dies liegt daran, dass wir die VM mit der Domain verbunden haben.

Versuchen Sie, die Verbindung über einen lokalen Administrator wiederherzustellen, und öffnen Sie dann die elevated PowerShell-Eingabeaufforderung.

Nutzer eines verwalteten Domainadministrators als lokalen Administrator auf einer VM hinzufügen

$ net localgroup administrators /add your-domain-name\miadmin

Jetzt können Sie die Verbindung zur VM trennen.

9. Active Directory-Tools

Sobald eine VM in die Domain aufgenommen wurde, können Sie bekannte Active Directory-Tools zum Verwalten von Nutzern, Gruppen, Computern und Gruppenrichtlinien verwenden.

Stellen Sie mit der oben beschriebenen Methode mithilfe der Anmeldedaten des Administrators der verwalteten Domain eine Verbindung zur VM her. Öffnen Sie die PowerShell-Eingabeaufforderung mit erweiterten Rechten:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Sie werden nach einer Bestätigung gefragt und dann Active Directory-Verwaltungstools installiert.

Nach Abschluss der Installation können Sie dsa.msc (Active Directory Users and Computers) und andere vertraute Active Directory-Tools verwenden, um die Domain unter Customer OU (Kunden-OE) zu verwalten.

10. Glückwunsch!

Herzlichen Glückwunsch, Sie haben erfolgreich ein neues verwaltetes Active Directory auf der Google Cloud Platform erstellt.

Nächste Schritte

• Dokumentation zu Managed Active Directory
• Weitere Informationen zum Verwenden einer Windows-VM auf der GCP
• Verbindung zur Windows-VM herstellen
• Fehlertolerantes Active Directory auf der GCP bereitstellen
• .NET auf der Google Cloud Platform

.

11. Bereinigen

Sie können Windows-VMs und VPC-Netzwerke löschen.

Windows-VMs löschen

• Rufen Sie in der GCP Console die Seite VM-Instanzen auf.
• Klicken Sie auf das Kästchen neben der Instanz, die Sie löschen möchten.
• Klicke auf die Schaltfläche „Löschen“. oben auf der Seite, um die Instanz zu löschen.

VPC-Netzwerke löschen

• Rufen Sie in der GCP Console die Seite VPC-Netzwerke auf.
• Wählen Sie das erstellte VPC-Netzwerk aus
• Klicke auf die Schaltfläche „Löschen“. oben auf der Seite.