1. Panoramica
Managed Active Directory è un dominio Microsoft Active Directory as a Service ad alta disponibilità, ospitato su Google Cloud.
In questo tutorial configurerai una nuova Active Directory gestita, creerai una nuova VM Windows e la unirai al nuovo dominio. Scoprirai come configurare il networking, la sicurezza e gestire il tuo dominio utilizzando gli stessi strumenti di gestione che conosci.
Cosa imparerai a fare
- Creare Managed Active Directory su Google Cloud
- Come aggiungere una VM Windows a un dominio
- Come gestire utenti e computer in Managed Active Directory
Che cosa ti serve:
Come utilizzerai questo tutorial?
Come valuteresti la tua esperienza con la piattaforma Google Cloud?
2. Configurazione e requisiti
Configurazione dell'ambiente da seguire in modo autonomo
- Accedi alla console Cloud e crea un nuovo progetto o riutilizzane uno esistente. Se non hai ancora un account Gmail o G Suite, devi crearne uno.
Ricorda l'ID progetto, un nome univoco in tutti i progetti Google Cloud (il nome precedente è già stato utilizzato e non funzionerà correttamente). Verrà indicato più avanti in questo codelab come PROJECT_ID.
- Successivamente, dovrai abilitare la fatturazione in Cloud Console per utilizzare le risorse Google Cloud.
Eseguire questo codelab non dovrebbe costare molto. Assicurati di seguire le istruzioni nella sezione "Pulizia" in cui viene spiegato come arrestare le risorse in modo da non incorrere in fatturazione oltre questo tutorial. I nuovi utenti di Google Cloud sono idonei al programma prova senza costi di 300$.
Avvia Cloud Shell
Sebbene Google Cloud possa essere utilizzato da remoto dal tuo laptop, in questo codelab utilizzerai Google Cloud Shell, un ambiente a riga di comando in esecuzione su Google Cloud.
Attiva Cloud Shell
- Dalla console Cloud, fai clic su Attiva Cloud Shell
.
Se non hai mai avviato Cloud Shell, verrà visualizzata una schermata intermedia (below the fold) in cui viene descritto di cosa si tratta. In tal caso, fai clic su Continua (e non la vedrai più). Ecco come appare quella singola schermata:
Il provisioning e la connessione a Cloud Shell dovrebbero richiedere solo qualche istante.
Questa macchina virtuale viene caricata con tutti gli strumenti di sviluppo necessari. Offre una home directory permanente da 5 GB e viene eseguita in Google Cloud, migliorando notevolmente le prestazioni di rete e l'autenticazione. Gran parte, se non tutto, del lavoro in questo codelab può essere svolto semplicemente con un browser o Chromebook.
Una volta eseguita la connessione a Cloud Shell, dovresti vedere che il tuo account è già autenticato e il progetto è già impostato sul tuo ID progetto.
- Esegui questo comando in Cloud Shell per verificare che l'account sia autenticato:
gcloud auth list
Output comando
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Output comando
[core] project = <PROJECT_ID>
In caso contrario, puoi impostarlo con questo comando:
gcloud config set project <PROJECT_ID>
Output comando
Updated property [core/project].
3. Inizializza
Il progetto Google Cloud inizializzato verrà utilizzato per ospitare la rete VPC tra tutte le VM Windows aggiunte al dominio e Managed Active Directory.
In seguito imposteremo alcune variabili per semplificare lo script.
- Scegli un nome di dominio (ad es. ad.yourcompany.com)
- Decidi in quale regione vuoi creare un controller di dominio per un dominio gestito
- Decidi il nome della VM, la regola firewall e il nome della rete.
Attualmente sono supportate le seguenti regioni:
- "us-west1"
- "us-west2"
- "us-central1"
- "us-east1"
- "us-east4"
- "europe-north1"
- "europe-west1"
- "europe-west4"
- "asia-east1"
- "asia-southeast1"
Imposta variabili
Se viene eseguito su Linux, digita:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Se viene eseguito su Windows, digita Terminale PowerShell:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Imposta l'ID progetto attuale, in modo che tutte le operazioni successive vengano eseguite nel contesto del progetto cloud corretto:
$ gcloud config set project $PROJECT_ID
Abilita API Cloud
Per abilitare Managed Active Directory, dobbiamo abilitare due API: DNS e Managed Identities.
Abilita l'API DNS:
$ gcloud services enable dns.googleapis.com
Abilita l'API Managed Identities:
$ gcloud services enable managedidentities.googleapis.com
4. Crea una rete Virtual Private Cloud
Per stabilire la connettività tra il controller di dominio Active Directory gestito e le VM Windows, dobbiamo creare una rete VPC (Virtual Private Cloud).
Crea rete VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Crea una regola firewall per consentire la connettività tra le VM Windows e i controller di dominio
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Crea controller di dominio
Configuriamo il VPC che connette AD gestito alle risorse nel nostro progetto (VM). A questo punto occorre configurare un controller di dominio gestito.
Crea una Active Directory gestita
(Questa operazione dovrebbe richiedere circa un'ora)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Durante il deployment o in qualsiasi momento, puoi verificare lo stato del provisioning del dominio.
Sono supportati tre stati:
CREAZIONE | Creazione del dominio AD avviata, in corso. |
PRONTO | Creazione del dominio AD completata. Dominio pronto per l'uso. |
IN MANUTENZIONE | Dominio AD ancora disponibile, ma è in fase di aggiornamento (upgrade dei controller di dominio, aggiunta di regioni e così via) |
Verifica lo stato del deployment:
$ gcloud active-directory domains describe $DOMAIN_NAME
Al termine della creazione del dominio, questo comando dovrebbe segnalare lo stato PRONTO.
6. Aggiungi VM Windows a un dominio gestito
Crea una nuova VM Windows su Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Crea una regola firewall per consentire la connettività desktop remoto alle tue VM Windows:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Prima di connetterci alla VM e aggiungerla al dominio, dobbiamo determinare due utenti e le relative credenziali:
- Un amministratore locale su una VM: è necessario per potersi connettere da remoto alla VM prima che venga aggiunta al dominio
- Utente amministratore dominio gestito: necessario per aggiungere la VM al dominio ed eseguire tutte le operazioni di gestione del dominio
7. Ottieni credenziali amministratore dominio gestito
Determina il nome utente dell'amministratore del dominio gestito:
$ gcloud active-directory domains describe $DOMAIN_NAME
Questa operazione restituirà il nome utente dell'amministratore. Per impostazione predefinita, si chiama miadmin.
Reimpostare la password dell'amministratore del dominio gestito:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Devi confermare (S/N) l'operazione perché ti verrà mostrata la password in chiaro. Nel terminale.
Salva l'utente e la password, che utilizzeremo più avanti.
8. Partecipa al dominio
Generare password e utente locali Windows
Per connettersi da remoto alla VM che hai creato, sono necessari l'utente e la password locale Windows. Puoi generarle con gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Verrà creato un utente locale chiamato "usr1". e generare la password
Connettiti all'istanza Windows utilizzando Chrome RDP
Apri una nuova finestra del browser all'indirizzo: https://console.cloud.google.com/compute/instancesDetails/zones/your-zone/instances/your-vm-name?project=your-project-name
Apri ChromeRDP facendo clic su RDP:
Inserisci l'utente e la password locali. Questa operazione ti connetterà alla VM Windows che hai creato.
Su una VM, apri il prompt dei comandi con privilegi elevati con Powershell:
In Powershell con privilegi elevati, digita:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Ti verrà chiesto di fornire la password di amministratore gestito, dopodiché la VM verrà aggiunta al dominio gestito e verrà riavviata. Attendi 2 minuti prima di andare al passaggio successivo.
A questo punto la tua VM è unita al dominio, ma non hai le autorizzazioni per connetterti utilizzando l'utente amministratore di dominio gestito. Devi aggiungere l'utente amministratore di dominio gestito come amministratore locale della VM.
Connettiti di nuovo alla VM utilizzando un utente amministratore locale (stesse istruzioni di cui sopra).
In questo caso, segui le istruzioni di avviso. Questo è successo perché abbiamo aggiunto la VM al dominio.
Prova a riconnetterti utilizzando un utente amministratore locale e apri il prompt dei comandi di Powershell elevato.
Aggiungere un amministratore del dominio gestito al ruolo di amministratore locale su una VM
$ net localgroup administrators /add your-domain-name\miadmin
Ora puoi disconnetterti dalla VM.
9. Strumenti di Active Directory
Quando una VM è unita a un dominio, puoi utilizzare gli strumenti familiari di Active Directory per la gestione di utenti, gruppi, computer e criteri di gruppo.
Connettiti alla VM (stesso metodo descritto sopra) utilizzando le credenziali dell'amministratore del dominio gestito. Apri il prompt dei comandi di PowerShell con privilegi elevati:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Verrà richiesta la conferma e quindi installerà gli strumenti di gestione di Active Directory.
Al termine dell'installazione puoi utilizzare dsa.msc (utenti e computer di Active Directory) e altri strumenti di Active Directory che già conosci per gestire il dominio in "UO del cliente"
10. Complimenti!
Congratulazioni, hai creato correttamente una nuova versione gestita di Active Directory su Google Cloud.
Passaggi successivi
- Documentazione di Managed Active Directory
- Scopri di più sull'utilizzo di una VM Windows su Google Cloud.
- Scopri di più sulla connessione a una VM Windows.
- Scopri di più sul deployment di Active Directory a tolleranza di errore su Google Cloud
- Scopri di più su .NET su Google Cloud.
.
11. Esegui la pulizia
Puoi eliminare le VM Windows e la rete VPC.
Elimina le VM Windows
- Nella console Google Cloud, vai alla pagina Istanze VM.
- Fai clic sulla casella di controllo accanto all'istanza da eliminare
- Fai clic sul pulsante "Elimina" nella parte superiore della pagina per eliminare l'istanza.
Elimina reti VPC
- Nella console Google Cloud, vai alla pagina Reti VPC
- Seleziona la rete VPC che hai creato
- Fai clic sul pulsante "Elimina" nella parte superiore della pagina.