1. بررسی اجمالی
Managed Active Directory یک دامنه بسیار در دسترس Microsoft Active Directory به عنوان یک سرویس است که در Google Cloud میزبانی می شود.
در این آموزش شما یک اکتیو دایرکتوری مدیریت شده جدید راه اندازی می کنید، یک Windows VM جدید ایجاد می کنید و آن را به دامنه جدید ملحق می کنید. نحوه راه اندازی شبکه، امنیت و مدیریت دامنه خود را با استفاده از همان ابزارهای مدیریتی که با آنها آشنا هستید خواهید دید.
چیزی که یاد خواهید گرفت
- نحوه ایجاد اکتیو دایرکتوری مدیریت شده در Google Cloud
- نحوه اضافه کردن یک ویندوز مجازی به دامنه
- نحوه مدیریت کاربران و رایانه ها در Managed Active Directory
آنچه شما نیاز دارید:
چگونه از این آموزش استفاده خواهید کرد؟
تجربه خود را با Google Cloud Platform چگونه ارزیابی می کنید؟
2. راه اندازی و الزامات
تنظیم محیط خود به خود
- به کنسول Cloud وارد شوید و یک پروژه جدید ایجاد کنید یا از یک موجود استفاده مجدد کنید. (اگر قبلاً یک حساب Gmail یا G Suite ندارید، باید یک حساب ایجاد کنید .)
شناسه پروژه را به خاطر بسپارید، یک نام منحصر به فرد در تمام پروژه های Google Cloud (نام بالا قبلاً گرفته شده است و برای شما کار نخواهد کرد، متأسفیم!). بعداً در این آزمایشگاه کد به عنوان PROJECT_ID
نامیده خواهد شد.
- در مرحله بعد، برای استفاده از منابع Google Cloud، باید صورتحساب را در Cloud Console فعال کنید .
اجرا کردن از طریق این کد لبه نباید هزینه زیادی داشته باشد، اگر اصلاً باشد. حتماً دستورالعملهای موجود در بخش «تمیز کردن» را دنبال کنید که به شما توصیه میکند چگونه منابع را خاموش کنید تا بیش از این آموزش متحمل صورتحساب نشوید. کاربران جدید Google Cloud واجد شرایط برنامه آزمایشی رایگان 300 دلاری هستند.
Cloud Shell را راه اندازی کنید
در حالی که Google Cloud را می توان از راه دور از لپ تاپ شما کار کرد، در این کد لبه از Google Cloud Shell استفاده می کنید، یک محیط خط فرمان که در Google Cloud اجرا می شود.
Cloud Shell را فعال کنید
- از Cloud Console، روی Activate Cloud Shell کلیک کنید
.
اگر قبلاً Cloud Shell را راهاندازی نکردهاید، با یک صفحه میانی (زیر تاشو) روبرو میشوید که آن را توصیف میکند. اگر اینطور است، روی Continue کلیک کنید (و دیگر آن را نخواهید دید). در اینجا به نظر می رسد که آن صفحه یک بار مصرف:
تهیه و اتصال به Cloud Shell فقط باید چند لحظه طول بکشد.
این ماشین مجازی با تمام ابزارهای توسعه که شما نیاز دارید بارگذاری شده است. این دایرکتوری اصلی 5 گیگابایتی دائمی را ارائه می دهد و در Google Cloud اجرا می شود و عملکرد شبکه و احراز هویت را بسیار افزایش می دهد. بیشتر، اگر نه همه، کار شما در این کد لبه را می توان به سادگی با یک مرورگر یا Chromebook انجام داد.
پس از اتصال به Cloud Shell، باید ببینید که قبلاً احراز هویت شده اید و پروژه قبلاً روی ID پروژه شما تنظیم شده است.
- برای تایید احراز هویت، دستور زیر را در Cloud Shell اجرا کنید:
gcloud auth list
خروجی فرمان
Credentialed Accounts ACTIVE ACCOUNT * <my_account>@<my_domain.com> To set the active account, run: $ gcloud config set account `ACCOUNT`
gcloud config list project
خروجی فرمان
[core] project = <PROJECT_ID>
اگر اینطور نیست، می توانید آن را با این دستور تنظیم کنید:
gcloud config set project <PROJECT_ID>
خروجی فرمان
Updated property [core/project].
3. مقداردهی اولیه کنید
پروژه GCP اولیه برای میزبانی شبکه VPC بین تمام ماشینهای مجازی ویندوز متصل به دامنه و اکتیو دایرکتوری مدیریت شده استفاده میشود.
بعداً چند متغیر برای اسکریپتنویسی آسانتر تنظیم میکنیم.
- در مورد نام دامنه تصمیم بگیرید (مثلاً ad.yourcompany.com )
- تصمیم بگیرید که در کدام منطقه می خواهید یک Domain Controller برای یک دامنه مدیریت شده ایجاد کنید
- نام VM، قانون فایروال و نام شبکه را تعیین کنید.
در حال حاضر مناطق زیر پشتیبانی می شوند:
- "us-west1"
- "us-west2"
- "us-central1"
- "us-east1"
- "us-east4"
- "اروپا-شمال 1"
- "اروپا-غرب 1"
- "اروپا-غرب 4"
- "Asia-East1"
- "آسیا-جنوب شرقی1"
متغیرها را تنظیم کنید
اگر روی لینوکس اجرا می شود، تایپ کنید:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
اگر روی ویندوز اجرا می شود، در ترمینال Powershell تایپ کنید:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
شناسه پروژه فعلی را تنظیم کنید، بنابراین تمام عملیات های بعدی در زمینه پروژه ابری راست انجام می شود:
$ gcloud config set project $PROJECT_ID
Cloud API ها را فعال کنید
برای فعال کردن Managed Active Directory، باید دو API را فعال کنیم: DNS و Managed Identities.
فعال کردن DNS API:
$ gcloud services enable dns.googleapis.com
فعال کردن Managed Identities API:
$ gcloud services enable managedidentities.googleapis.com
4. شبکه ابر خصوصی مجازی ایجاد کنید
برای برقراری ارتباط بین کنترلکننده دامنه دایرکتوری فعال مدیریت شده و ماشینهای مجازی ویندوز، باید یک شبکه ابری خصوصی مجازی ایجاد کنیم.
شبکه VPC ایجاد کنید
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
یک قانون فایروال ایجاد کنید تا امکان اتصال بین ماشین های مجازی ویندوز و کنترل کننده های دامنه فراهم شود
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. کنترل کننده های دامنه ایجاد کنید
ما VPC را تنظیم می کنیم که AD مدیریت شده را با منابع موجود در پروژه ما (VMs) متصل می کند. اکنون زمان راه اندازی یک کنترل کننده دامنه مدیریت شده است.
یک اکتیو دایرکتوری مدیریت شده ایجاد کنید
(پیش بینی می شود این عملیات حدود یک ساعت طول بکشد)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
هنگامی که استقرار در حال انجام است یا در هر زمانی، می توانید وضعیت ارائه دامنه را تأیید کنید.
3 حالت پشتیبانی شده وجود دارد:
ایجاد | ایجاد دامنه AD آغاز شده است، در حال انجام است. |
آماده است | ایجاد دامنه AD تکمیل شد، دامنه آماده استفاده است. |
تحت تعمیر و نگهداری | دامنه AD هنوز در دسترس است، اما در حال به روز رسانی است (ارتقای کنترل کننده های دامنه، افزودن مناطق و غیره) |
بررسی وضعیت استقرار:
$ gcloud active-directory domains describe $DOMAIN_NAME
باید انتظار داشته باشید که این دستور وضعیت READY را پس از تکمیل ایجاد دامنه گزارش کند.
6. ماشین های مجازی ویندوز را به یک دامنه مدیریت شده اضافه کنید
یک Windows VM جدید در Google Compute Engine ایجاد کنید
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
یک قانون فایروال ایجاد کنید تا امکان اتصال دسکتاپ از راه دور به ماشین های مجازی ویندوز شما فراهم شود:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
قبل از اتصال به VM و افزودن آن به دامنه، باید دو کاربر و اعتبار آنها را مشخص کنیم:
- یک سرپرست محلی در یک VM - این مورد نیاز است تا بتوان از راه دور به VM قبل از پیوستن به دامنه متصل شد
- کاربر مدیریت دامنه مدیریت شده - برای پیوستن VM به دامنه و همچنین انجام کلیه عملیات مدیریت دامنه مورد نیاز است.
7. اعتبارنامه مدیریت دامنه مدیریت شده را دریافت کنید
نام کاربری مدیریت دامنه مدیریت شده را تعیین کنید:
$ gcloud active-directory domains describe $DOMAIN_NAME
این عملیات نام کاربری مدیر را خروجی می دهد. به طور پیش فرض به آن miadmin می گویند.
بازنشانی رمز عبور سرپرست دامنه مدیریت شده:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
شما باید عملیات را تایید کنید (Y/N) زیرا رمز عبور را در متن واضح نشان می دهد. در ترمینال.
کاربر و رمز عبور را ذخیره کنید - بعداً از آن استفاده خواهیم کرد.
8. به دامنه بپیوندید
کاربر محلی و رمز عبور ویندوز را تولید کنید
کاربر محلی ویندوز و رمز عبور برای اتصال از راه دور به ماشین مجازی که ایجاد کرده اید مورد نیاز است. می توانید آنها را با استفاده از gcloud تولید کنید.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
این یک کاربر محلی به نام usr1 ایجاد می کند و رمز عبور آن را ایجاد می کند
با استفاده از Chrome RDP به نمونه Windows متصل شوید
یک پنجره مرورگر جدید در: https://console.cloud.google.com/compute/instancesDetail/zones/ your-zone /instances/ your-vm-name ?project= your-project-name باز کنید
ChromeRDP را با کلیک بر روی RDP باز کنید:
کاربر محلی و رمز عبور را وارد کنید. این کار شما را به ویندوز VM که ایجاد کرده اید متصل می کند.
در یک ماشین مجازی، خط فرمان بالا را با Powershell باز کنید:
در Powershell بالا، تایپ کنید:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
از شما خواسته می شود رمز عبور مدیریت مدیریت شده را ارائه دهید و سپس VM به دامنه مدیریت شده شما می پیوندد و راه اندازی مجدد می شود. قبل از رفتن به مرحله بعدی 2 دقیقه صبر کنید.
در این مرحله VM شما به دامنه متصل است، اما شما مجوزی برای اتصال به آن با استفاده از کاربر مدیریت دامنه مدیریت شده ندارید. شما باید کاربر مدیریت دامنه مدیریت شده را به عنوان سرپرست محلی آن ماشین مجازی اضافه کنید.
دوباره با استفاده از کاربر ادمین محلی (همان دستورالعمل بالا) به VM متصل شوید.
اگر چنین است، دستورالعمل های هشدار دهنده را دنبال کنید. این به این دلیل اتفاق افتاد که ما VM را به دامنه پیوستیم.
سعی کنید دوباره با استفاده از کاربر مدیریت محلی وصل شوید و خط فرمان Powershell بالا را باز کنید.
کاربر مدیریت دامنه مدیریت شده را اضافه کنید تا یک مدیر محلی در VM باشد
$ net localgroup administrators /add your-domain-name\miadmin
اکنون می توانید از VM جدا شوید.
9. Active Directory Tools
هنگامی که یک VM به دامنه متصل شد، می توانید از ابزارهای آشنای Active Directory برای مدیریت کاربران، گروه ها، رایانه ها و خط مشی گروه استفاده کنید.
با استفاده از اعتبارنامه سرپرست دامنه مدیریت شده به VM (همان روشی که در بالا توضیح داده شد) متصل شوید. خط فرمان پاورشل بالا را باز کنید:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
تأیید می خواهد و سپس Active Directory Management Tools را نصب می کند.
پس از اتمام نصب، میتوانید از dsa.msc (کاربران و رایانههای اکتیو دایرکتوری) و سایر ابزارهای آشنای اکتیو دایرکتوری برای مدیریت دامنه تحت « OU مشتری » استفاده کنید.
10. تبریک می گویم!
تبریک میگوییم، شما با موفقیت یک اکتیو دایرکتوری مدیریت شده جدید در Google Cloud Platform ایجاد کردید.
مراحل بعدی
- مستندات اکتیو دایرکتوری مدیریت شده
- درباره استفاده از VM ویندوز در GCP بیشتر بیاموزید.
- درباره اتصال به Windows VM بیشتر بیاموزید.
- درباره استقرار Fault Tolerant Active Directory در GCP بیشتر بیاموزید
- درباره .NET در Google Cloud Platform بیشتر بیاموزید.
.
11. پاکسازی
می توانید VM های ویندوز و شبکه VPC را حذف کنید.
VM های ویندوز را حذف کنید
- در کنسول GCP، به صفحه نمونه های VM بروید.
- روی کادر تأیید کنار نمونهای که میخواهید حذف کنید کلیک کنید
- برای حذف نمونه، روی دکمه "حذف" در بالای صفحه کلیک کنید.
شبکه های VPC را حذف کنید
- در کنسول GCP، به صفحه شبکه های VPC بروید
- شبکه VPC که ایجاد کردید را انتخاب کنید
- روی دکمه "حذف" در بالای صفحه کلیک کنید.