1. 概要
Managed Active Directory は、Google Cloud でホストされる、高可用性の Microsoft Active Directory ドメインです。
このチュートリアルでは、新しいマネージド Active Directory を設定し、新しい Windows VM を作成して新しいドメインに参加させます。使い慣れた管理ツールでネットワーキングやセキュリティの設定、ドメインの管理を行う方法を確認します。
学習内容
- Google Cloud で Managed Active Directory を作成する方法
- Windows VM をドメインに追加する方法
- Managed Active Directory でユーザーとコンピュータを管理する方法
必要なもの:
このチュートリアルの利用方法をお選びください。
Google Cloud Platform のご利用経験について、いずれに該当されますか?
<ph type="x-smartling-placeholder">2. 設定と要件
セルフペース型の環境設定
- Cloud Console にログインし、新しいプロジェクトを作成するか、既存のプロジェクトを再利用します(Gmail アカウントまたは G Suite アカウントをお持ちでない場合は、アカウントを作成する必要があります)。
プロジェクト ID を忘れないようにしてください。プロジェクト ID はすべての Google Cloud プロジェクトを通じて一意の名前にする必要があります(上記の名前はすでに使用されているので使用できません)。以降、このコードラボでは PROJECT_ID と呼びます。
- 次に、Google Cloud リソースを使用するために、Cloud Console で課金を有効にする必要があります。
このコードラボを実行しても、費用はほとんどかからないはずです。このチュートリアル以外で請求が発生しないように、リソースのシャットダウン方法を説明する「クリーンアップ」セクションの手順に従うようにしてください。Google Cloud の新規ユーザーは $300 の無料トライアル プログラムをご利用いただけます。
Cloud Shell の起動
Google Cloud はノートパソコンからリモートで操作できますが、この Codelab では、Google Cloud 上で動作するコマンドライン環境である Google Cloud Shell を使用します。
Cloud Shell をアクティブにする
- Cloud Console で、[Cloud Shell をアクティブにする]
をクリックします。
Cloud Shell を起動したことがない場合、その内容を説明する中間画面が(スクロールしなければ見えない範囲に)が表示されます。その場合は、[続行] をクリックします(以後表示されなくなります)。このワンタイム スクリーンは次のようになります。
Cloud Shell のプロビジョニングと接続に少し時間がかかる程度です。
この仮想マシンには、必要な開発ツールがすべて準備されています。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働するため、ネットワーク パフォーマンスが充実しており認証もスムーズです。このコードラボでの作業のほとんどは、ブラウザまたは Chromebook から実行できます。
Cloud Shell に接続すると、すでに認証は完了しており、プロジェクトに各自のプロジェクト ID が設定されていることがわかります。
- Cloud Shell で次のコマンドを実行して、認証されたことを確認します。
gcloud auth list
コマンド出力
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
コマンド出力
[core] project = <PROJECT_ID>
上記のようになっていない場合は、次のコマンドで設定できます。
gcloud config set project <PROJECT_ID>
コマンド出力
Updated property [core/project].
3. 初期化
初期化された GCP プロジェクトを使用して、ドメインに参加しているすべての Windows VM と Managed Active Directory の間で VPC ネットワークをホストします。
後でスクリプトを簡単に作成できるように、いくつかの変数を設定します。
- ドメイン名を決定する(例: ad.yourcompany.com)
- マネージド ドメインのドメイン コントローラを作成するリージョンを決定する
- VM 名、ファイアウォール ルール、ネットワーク名を決定します。
現在サポートされているリージョンは次のとおりです。
- 「us-west1」
- 「us-west2」
- 「us-central1」
- 「us-east1」
- 「us-east4」
- 「europe-north1」
- europe-west1
- europe-west4
- 「asia-east1」
- 「asia-southeast1」
変数を設定する
Linux で実行している場合は、次のように入力します。
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Windows で実行している場合は、Powershell ターミナルに次のように入力します。
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
後続のすべてのオペレーションが適切なクラウド プロジェクトのコンテキストで行われるように、現在のプロジェクト ID を設定します。
$ gcloud config set project $PROJECT_ID
Cloud APIs を有効にする
Managed Active Directory を有効にするには、DNS と Managed Identities の 2 つの API を有効にする必要があります。
DNS API を有効にします。
$ gcloud services enable dns.googleapis.com
Managed Identities API を有効にします。
$ gcloud services enable managedidentities.googleapis.com
4. Virtual Private Cloud ネットワークを作成
マネージド Active Directory ドメイン コントローラと Windows VM の間の接続を確立するために、Virtual Private Cloud ネットワークを作成する必要があります。
VPC ネットワークを作成する
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Windows VM とドメイン コントローラ間の接続を許可するファイアウォール ルールを作成する
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. ドメイン コントローラの作成
マネージド AD をプロジェクト内のリソース(VM)に接続する VPC を設定します。次に、マネージド ドメイン コントローラを設定します。
マネージド Active Directory を作成する
(この処理には 1 時間ほどかかる見込みです)。
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
デプロイの進行中でも、いつでも、ドメインのプロビジョニング ステータスを確認できます。
次の 3 つの状態がサポートされています。
作成中 | AD ドメインの作成が開始されました。 |
下準備 | AD ドメインの作成が完了し、ドメインを使用できるようになりました。 |
メンテナンス中 | AD ドメインは引き続き使用できますが、更新が進行中です(ドメイン コントローラのアップグレード、リージョンの追加など) |
デプロイのステータスを確認します。
$ gcloud active-directory domains describe $DOMAIN_NAME
このコマンドは、ドメインの作成が完了すると「READY」状態を報告します。
6. マネージド ドメインに Windows VM を追加する
Google Compute Engine で新しい Windows VM を作成する
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Windows VM へのリモート デスクトップ接続を許可するファイアウォール ルールを作成します。
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
VM に接続してドメインに追加する前に、2 人のユーザーとその認証情報を特定する必要があります。
- VM のローカル管理者 - ドメインに参加する前に VM にリモート接続できるようにするために必要です。
- 管理対象ドメイン管理者ユーザー - VM をドメインに参加させ、すべてのドメイン管理オペレーションを実行するために必要です。
7. 管理対象ドメイン管理者の認証情報を取得する
管理対象ドメイン管理者のユーザー名を確認する:
$ gcloud active-directory domains describe $DOMAIN_NAME
この操作により、管理者のユーザー名が出力されます。デフォルトでは、このアカウントは miadmin です。
管理対象ドメイン管理者のパスワードを再設定する:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
パスワードがクリアテキストで表示されるため、操作の確認(はい/いいえ)が必要です。ターミナルでの操作。
ユーザーとパスワードを保存します。後で使用します。
8. ドメインに参加する
Windows のローカル ユーザーとパスワードを生成する
作成した VM にリモート接続するには、Windows のローカル ユーザーとパスワードが必要です。これらは gcloud を使用して生成できます。
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
これにより、「usr1」というローカル ユーザーが作成されます。パスワードを生成します。
Chrome RDP を使用して Windows インスタンスに接続する
https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name で新しいブラウザ ウィンドウを開きます。
RDP をクリックして ChromeRDP を開きます。
ローカル ユーザーとパスワードを入力します。これで、作成した Windows VM に接続されます。
VM で、PowerShell を使用して昇格したコマンド プロンプトを開きます。
昇格した Powershell で、次のように入力します。
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
管理対象管理者のパスワードを入力するよう求められます。その後、VM が管理対象ドメインに参加し、再起動します。2 分待ってから次のステップに進みます。
この時点で VM はドメインに参加していますが、管理対象ドメイン管理者ユーザーを使用して VM に接続する権限がありません。管理対象ドメインの管理者ユーザーを、その VM のローカル管理者として追加する必要があります。
ローカル管理者ユーザーを使用して VM に再度接続します(上記と同じ手順)。
その場合は、警告の手順に沿って対応します。これは、VM をドメインに参加させたために発生しました。
ローカル管理者ユーザーを使用して再接続を再試行し、昇格した Powershell コマンド プロンプトを開きます。
管理対象ドメイン管理者ユーザーを VM のローカル管理者として追加する
$ net localgroup administrators /add your-domain-name\miadmin
VM から切断できるようになりました。
9. Active Directory ツール
VM をドメインに参加させると、使い慣れた Active Directory ツールを使用してユーザー、グループ、コンピュータ、グループ ポリシーを管理できます。
マネージド ドメイン管理者の認証情報を使用して(上記と同じ方法で)VM に接続します。管理者権限で PowerShell コマンド プロンプトを開きます。
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
確認のメッセージが表示されたら、Active Directory 管理ツールをインストールします。
インストールが完了したら、dsa.msc(Active Directory ユーザーとコンピュータ)とその他の使い慣れた Active Directory ツールを使用して、[Customer OU] でドメインを管理できます。
10. 完了
これで、Google Cloud Platform 上に新しい Managed Active Directory が正常に作成されました。
次のステップ
- Managed Active Directory のドキュメント
- GCP での Windows VM の使用について詳細を確認する。
- Windows VM への接続について詳細を確認する。
- GCP へのフォールト トレラント Active Directory のデプロイの詳細を確認する
- Google Cloud Platform での .NET の詳細を学ぶ
.
11. クリーンアップ
Windows VM と VPC ネットワークを削除できます。
Windows VM を削除する
- GCP Console の [VM インスタンス] ページに移動します。
- 削除するインスタンスの横にあるチェックボックスをオンにします
- [削除] をクリックします。ボタンをクリックしてインスタンスを削除します。
VPC ネットワークを削除する
- GCP Console で、[VPC ネットワーク] ページに移動します。
- 作成した VPC ネットワークを選択します。
- [削除] をクリックします。ページ上部のボタンから