1. Descripción general
Active Directory administrado es un dominio de Microsoft Active Directory como servicio con alta disponibilidad y alojado en Google Cloud.
En este instructivo, configurarás un nuevo Active Directory administrado, crearás una nueva VM de Windows y la unirás al nuevo dominio. Verás cómo configurar las herramientas de redes y la seguridad, y administrar tu dominio con las mismas herramientas de administración que ya conoces.
Qué aprenderás
- Cómo crear Active Directory administrado en Google Cloud
- Cómo agregar una VM de Windows a un dominio
- Cómo administrar usuarios y computadoras en el Active Directory administrado
Requisitos:
¿Cómo usarás este instructivo?
¿Cómo calificarías tu experiencia con Google Cloud Platform?
2. Configuración y requisitos
Configuración del entorno de autoaprendizaje
- Accede a la consola de Cloud y crea un proyecto nuevo o reutiliza uno existente. (Si todavía no tienes una cuenta de Gmail o de G Suite, debes crear una).
Recuerde el ID de proyecto, un nombre único en todos los proyectos de Google Cloud (el nombre anterior ya se encuentra en uso y no lo podrá usar). Se mencionará más adelante en este codelab como PROJECT_ID.
- A continuación, deberás habilitar la facturación en la consola de Cloud para usar los recursos de Google Cloud recursos.
Ejecutar este codelab no debería costar mucho, tal vez nada. Asegúrate de seguir las instrucciones de la sección “Realiza una limpieza” en la que se aconseja cómo cerrar recursos para no incurrir en facturación más allá de este instructivo. Los usuarios nuevos de Google Cloud son aptos para participar en el programa Prueba gratuita de $300.
Inicia Cloud Shell
Si bien Google Cloud se puede operar de manera remota desde tu laptop, en este codelab usarás Google Cloud Shell, un entorno de línea de comandos que se ejecuta en Google Cloud.
Activar Cloud Shell
- En la consola de Cloud, haz clic en Activar Cloud Shell
.
Si nunca ha iniciado Cloud Shell, aparecerá una pantalla intermedia (debajo de la mitad inferior de la página) que describe qué es. Si ese es el caso, haz clic en Continuar (y no volverás a verlo). Así es como se ve la pantalla única:
El aprovisionamiento y la conexión a Cloud Shell solo tomará unos minutos.
Esta máquina virtual está cargada con todas las herramientas de desarrollo que necesitarás. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud, lo que permite mejorar considerablemente el rendimiento de la red y la autenticación. Gran parte de tu trabajo en este codelab, si no todo, se puede hacer simplemente con un navegador o tu Chromebook.
Una vez conectado a Cloud Shell, debería ver que ya se autenticó y que el proyecto ya se configuró con tu ID del proyecto.
- En Cloud Shell, ejecuta el siguiente comando para confirmar que está autenticado:
gcloud auth list
Resultado del comando
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Resultado del comando
[core] project = <PROJECT_ID>
De lo contrario, puedes configurarlo con el siguiente comando:
gcloud config set project <PROJECT_ID>
Resultado del comando
Updated property [core/project].
3. Inicialización
El proyecto de GCP inicializado se usará para alojar la red de VPC entre todas tus VMs de Windows unidas al dominio y Active Directory administrado.
Estableceremos algunas variables para facilitar la escritura de secuencias de comandos más adelante.
- Elige un nombre de dominio (p. ej., ad.yourcompany.com).
- Decide en qué región deseas crear un controlador de dominio para un dominio administrado.
- Decide el nombre de la VM, la regla de firewall y el nombre de la red.
Actualmente, se admiten las siguientes regiones:
- “us-west1”
- “us-west2”
- “us-central1”
- “us-east1”
- “us-east4”
- “europe-north1”
- “europe-west1”
- “europe-west4”
- “asia-east1”
- “asia-southeast1”
Configura las variables
Si ejecutas Linux, escribe lo siguiente:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Si ejecutas Windows, escribe en la terminal PowerShell:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Establece el ID del proyecto actual, de modo que todas las operaciones posteriores se realicen en el contexto del proyecto de Cloud correcto:
$ gcloud config set project $PROJECT_ID
Habilita las API de Cloud
Para habilitar Managed Directory, debemos habilitar dos APIs: DNS y Identidades administradas.
Habilita la API de DNS:
$ gcloud services enable dns.googleapis.com
Habilita la API de identidades administradas:
$ gcloud services enable managedidentities.googleapis.com
4. Crear red de nube privada virtual
Para establecer la conectividad entre el controlador de dominio de Active Directory administrado y las VMs de Windows, debemos crear una red de nube privada virtual.
Crear red de VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Crea una regla de firewall para permitir la conectividad entre las VMs de Windows y los controladores de dominio
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Crear controladores de dominio
Configuramos la VPC que conecta AD administrado con los recursos de nuestro proyecto (VM). Ahora es el momento de configurar un controlador de dominio administrado.
Crea un Active Directory administrado
(Se espera que esta operación demore alrededor de una hora).
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Mientras se realiza la implementación o en cualquier momento, puedes verificar el estado de aprovisionamiento del dominio.
Existen 3 estados compatibles:
CREACIÓN EN CURSO | Se inició la creación del dominio de AD, en progreso. |
LISTO | AD Se completó la creación del dominio. El dominio está listo para usarse. |
EN MANTENIMIENTO | El dominio de AD todavía está disponible, pero se está actualizando (actualizando los controladores de dominio, agregando regiones, etc.) |
Verifica el estado de la implementación:
$ gcloud active-directory domains describe $DOMAIN_NAME
Deberías esperar que este comando informe el estado READY cuando se complete la creación del dominio.
6. Agrega VMs de Windows a un dominio administrado
Crea una VM de Windows nueva en Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Crea una regla de firewall para permitir la conectividad del escritorio remoto a tus VMs de Windows:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Antes de conectarnos a la VM y agregarla al dominio, debemos determinar los dos usuarios y sus credenciales:
- Un administrador local en una VM: Esto es necesario para poder conectarse de forma remota a la VM antes de que se una al dominio.
- Usuario administrador de dominio administrado: Esto es necesario para unir la VM al dominio, así como para realizar todas las operaciones de administración de dominios.
7. Obtén credenciales de administrador de dominio administrado
Determina el nombre de usuario administrador de dominio administrado:
$ gcloud active-directory domains describe $DOMAIN_NAME
Esta operación generará el nombre de usuario del administrador. De forma predeterminada, se llama miadmin.
Restablecer la contraseña del administrador del dominio administrado:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Debes confirmar (S/N) la operación, ya que esto revelará la contraseña en el texto no encriptado. En la terminal.
Guarda el usuario y la contraseña, ya que los usaremos más adelante.
8. Únete al dominio
Genera un usuario y una contraseña locales de Windows
Se requieren un usuario y una contraseña locales de Windows para conectarte de forma remota a la VM que creaste. Puedes generarlos con gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Esto creará un usuario local llamado "usr1" y generar su contraseña
Conéctate a la instancia de Windows con el RDP de Chrome
Abra una nueva ventana del navegador en https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
Haz clic en RDP para abrir ChromeRDP:
Ingresa el usuario y la contraseña locales. Esta acción te conectará a la VM de Windows que creaste.
En una VM, abre el símbolo del sistema elevado con PowerShell:
En PowerShell elevado, escribe lo siguiente:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Se te pedirá que proporciones una contraseña de administrador administrado. Luego, la VM se unirá a tu dominio administrado y se reiniciará. Espera 2 minutos antes de continuar con el siguiente paso.
En este punto, tu VM está unida al dominio, pero no tienes permisos para conectarte a ella con el usuario administrador de dominio administrado. Debes agregar un usuario administrador de dominio administrado como administrador local de esa VM.
Vuelve a conectarte a la VM con el usuario administrador local (las mismas instrucciones que se mencionaron anteriormente).
Si es así, sigue las instrucciones de advertencia. Esto ocurrió porque unimos la VM al dominio.
Intenta volver a conectarte con el usuario administrador local y abre el símbolo del sistema de PowerShell elevado.
Agrega un usuario administrador de dominio administrado para que sea administrador local en una VM
$ net localgroup administrators /add your-domain-name\miadmin
Ahora puedes desconectarte de la VM.
9. Herramientas de Active Directory
Una vez que una VM está unida al dominio, puedes usar las herramientas conocidas de Active Directory para administrar usuarios, grupos, computadoras y políticas de grupo.
Conéctate a la VM (el mismo método descrito anteriormente) con las credenciales del administrador del dominio administrado. Abre el símbolo del sistema de PowerShell elevado:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Se le pedirá confirmación y, luego, se instalarán las Herramientas de administración de Active Directory.
Una vez finalizada la instalación, puedes usar dsa.msc (Usuarios y computadoras de Active Directory) y otras herramientas conocidas de Active Directory para administrar el dominio en "UO del cliente".
10. ¡Felicitaciones!
Felicitaciones, creaste correctamente un nuevo Active Directory administrado en Google Cloud Platform.
Próximos pasos
- Documentación de Active Directory administrado
- Obtén más información sobre cómo usar una VM de Windows en GCP.
- Obtén más información sobre cómo conectarte a la VM de Windows.
- Obtén más información sobre cómo implementar Active Directory tolerante a errores en GCP.
- Obtenga más información sobre .NET en Google Cloud Platform.
.
11. Limpieza
Puedes borrar las VMs de Windows y la red de VPC.
Borra las VMs de Windows
- En GCP Console, ve a la página Instancias de VM.
- Haz clic en la casilla de verificación junto a la instancia que deseas borrar.
- Haz clic en el botón "Borrar" en la parte superior de la página para borrar la instancia.
Borra redes de VPC
- En GCP Console, ve a la página Redes de VPC.
- Selecciona la red de VPC que creaste
- Haz clic en el botón "Borrar" en la parte superior de la página.