Pierwsze kroki z zarządzanym katalogiem Active Directory

1. Omówienie

Zarządzana usługa Active Directory to usługa w domenie Microsoft Active Directory o wysokiej dostępności, hostowana w Google Cloud.

W tym samouczku skonfigurujesz nowy zarządzany katalog Active Directory, utworzysz nową maszynę wirtualną z systemem Windows i dołączysz ją do nowej domeny. Dowiesz się, jak konfigurować sieci i zabezpieczenia oraz zarządzać domeną, korzystając z dobrze znanych narzędzi.

Czego się nauczysz

• Jak utworzyć zarządzany katalog Active Directory w Google Cloud
• Jak dodać do domeny maszynę wirtualną z systemem Windows
• Jak zarządzać użytkownikami i komputerami w zarządzanym katalogu Active Directory

Co będzie Ci potrzebne:

• przeglądarki, np. Chrome lub Firefox;
• Maszyna z zainstalowanymi narzędziami gcloud

2. Konfiguracja i wymagania

Samodzielne konfigurowanie środowiska

1. Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub wykorzystaj już istniejący. Jeśli nie masz jeszcze konta Gmail lub G Suite, musisz je utworzyć.

Zapamiętaj identyfikator projektu, unikalną nazwę we wszystkich projektach Google Cloud (powyższa nazwa jest już zajęta i nie będzie Ci odpowiadać). W dalszej części tego ćwiczenia w Codelabs będzie ona określana jako PROJECT_ID.

2. Następnie musisz włączyć płatności w Cloud Console, aby korzystać z zasobów Google Cloud.

Ukończenie tego ćwiczenia z programowania nie powinno kosztować zbyt wiele. Postępuj zgodnie z instrukcjami podanymi w sekcji „Czyszczenie” W tym samouczku znajdziesz wskazówki, jak wyłączyć zasoby, aby uniknąć naliczania opłat. Nowi użytkownicy Google Cloud mogą skorzystać z programu bezpłatnego okresu próbnego o wartości 300 USD.

Uruchamianie Cloud Shell

Google Cloud można zarządzać zdalnie z laptopa, ale w tym ćwiczeniu z programowania wykorzystasz Google Cloud Shell – środowisko wiersza poleceń działające w Google Cloud.

Aktywowanie Cloud Shell

1. W konsoli Cloud kliknij Aktywuj Cloud Shell .

Jeśli dopiero zaczynasz korzystać z Cloud Shell, wyświetli się ekran pośredni (w części strony widocznej po przewinięciu) z opisem tej funkcji. W takim przypadku kliknij Dalej (nie zobaczysz go więcej). Tak wygląda ten jednorazowy ekran:

Uzyskanie dostępu do Cloud Shell i połączenie się z nim powinno zająć tylko kilka chwil.

Ta maszyna wirtualna ma wszystkie potrzebne narzędzia dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud, co znacznie zwiększa wydajność sieci i uwierzytelnianie. Większość czynności z tego ćwiczenia z programowania można wykonać w przeglądarce lub na Chromebooku.

Po nawiązaniu połączenia z Cloud Shell powinno pojawić się informacja, że użytkownik jest już uwierzytelniony i że projekt jest już ustawiony na identyfikator Twojego projektu.

2. Uruchom to polecenie w Cloud Shell, aby potwierdzić, że jesteś uwierzytelniony:

gcloud auth list

Dane wyjściowe polecenia

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Dane wyjściowe polecenia

[core]
project = <PROJECT_ID>

Jeśli tak nie jest, możesz go ustawić za pomocą tego polecenia:

gcloud config set project <PROJECT_ID>

Dane wyjściowe polecenia

Updated property [core/project].

3. Zainicjuj

Zainicjowany projekt GCP będzie używany do hostowania sieci VPC między wszystkimi maszynami wirtualnymi z systemem Windows dołączonymi do domeny oraz zarządzanymi katalogiem Active Directory.

Ustalimy kilka zmiennych, aby ułatwić później tworzenie skryptów.

• Wybierz nazwę domeny (np. ad.yourcompany.com).
• Określ, w którym regionie chcesz utworzyć kontroler dla domeny zarządzanej
• Określ nazwę maszyny wirtualnej, regułę zapory sieciowej i nazwę sieci.

Obecnie obsługiwane są te regiony:

1. „us-west1”
2. „us-west2”
3. „us-central1”
4. „us-east1”
5. „us-east4”
6. „europe-north1”
7. „europe-west1”
8. „europe-west4”
9. „asia-east1”
10. „asia-southeast1”

Ustaw zmienne

Jeśli korzystasz z systemu Linux, wpisz:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Jeśli działasz w systemie Windows, wpisz terminal Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Ustaw identyfikator bieżącego projektu, aby wszystkie kolejne operacje były wykonywane w kontekście odpowiedniego projektu w chmurze:

$ gcloud config set project $PROJECT_ID

Włącz Cloud APIs

Aby włączyć zarządzany katalog Active Directory, musisz włączyć 2 interfejsy API: DNS i tożsamości zarządzane.

Włącz interfejs DNS API:

$ gcloud services enable dns.googleapis.com

Włącz interfejs Managed Identities API:

$ gcloud services enable managedidentities.googleapis.com

4. Utwórz sieć prywatnego środowiska wirtualnego w chmurze

Aby nawiązać połączenie między kontrolerem domeny zarządzanego katalogu Active Directory a maszynami wirtualnymi z systemem Windows, musimy utworzyć sieć prywatnego środowiska wirtualnego w chmurze.

Tworzenie sieci VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Tworzenie reguły zapory sieciowej umożliwiającej połączenie między maszynami wirtualnymi z systemem Windows a kontrolerami domeny

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Tworzenie kontrolerów domeny

Konfigurujemy środowisko VPC, które łączy zarządzaną usługę AD z zasobami w naszym projekcie (maszynach wirtualnych). Pora skonfigurować kontroler zarządzanej domeny.

Tworzenie zarządzanego katalogu Active Directory

(Ta operacja zajmie około godziny).

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

W trakcie wdrażania lub w dowolnym momencie możesz sprawdzić stan obsługi administracyjnej domeny.

Dostępne są 3 obsługiwane stany:

Sprawdzanie stanu wdrożenia:

$ gcloud active-directory domains describe $DOMAIN_NAME

To polecenie powinno informować o stanie gotowości, gdy tworzenie domeny zostanie ukończone.

6. Dodawanie maszyn wirtualnych z systemem Windows do domeny zarządzanej

Tworzenie nowej maszyny wirtualnej z systemem Windows w Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Utwórz regułę zapory sieciowej, która umożliwia połączenie pulpitu zdalnego z maszynami wirtualnymi z systemem Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Zanim połączysz się z maszyną wirtualną i dodamy ją do domeny, musimy określić 2 użytkowników i ich dane logowania:

• Lokalny administrator maszyny wirtualnej – wymagany, aby móc zdalnie łączyć się z maszyną wirtualną przed dołączeniem do domeny.
• Administrator zarządzanej domeny – wymagany, aby dołączyć maszynę wirtualną do domeny oraz wykonywać wszystkie operacje zarządzania domeną

7. Uzyskaj dane logowania administratora zarządzanej domeny

Określ nazwę użytkownika administratora domeny zarządzanej:

$ gcloud active-directory domains describe $DOMAIN_NAME

Ta operacja zwróci nazwę użytkownika administratora. Domyślna nazwa to miadmin.

Resetowanie hasła administratora domeny zarządzanej:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Musisz potwierdzić operację (T/N), ponieważ hasło pojawi się w postaci zwykłego tekstu. w terminalu.

Zapisz użytkownika i hasło – użyjemy ich później.

8. Dołącz do domeny

Wygeneruj lokalnego użytkownika i hasło do systemu Windows

Lokalny użytkownik i hasło systemu Windows są wymagane do zdalnego łączenia się z utworzoną maszyną wirtualną. Możesz je wygenerować za pomocą gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Spowoduje to utworzenie lokalnego użytkownika o nazwie „usr1”. i wygeneruj jego hasło

Łączenie się z instancją z systemem Windows za pomocą RDP Chrome

Otwórz nowe okno przeglądarki na stronie https://console.cloud.google.com/compute/instancesDetails/zones/twoja-strefa/instances/nazwa-maszyny-vm?project=nazwa-projektu.

Otwórz ChromeRDP, klikając RDP:

Wpisz lokalnego użytkownika i hasło. Spowoduje to połączenie z utworzoną przez Ciebie maszyną wirtualną z systemem Windows.

W maszynie wirtualnej otwórz wiersz polecenia z podwyższonym poziomem uprawnień w Powershell:

W narzędziu Powershell z podwyższonym poziomem uprawnień wpisz:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Pojawi się prośba o podanie zarządzanego hasła administratora, a maszyna wirtualna dołączy do zarządzanej domeny i uruchomi ją ponownie. Zanim przejdziesz do następnego kroku, zaczekaj 2 minuty.

W tej chwili Twoja maszyna wirtualna jest połączona z domeną, ale nie masz uprawnień do nawiązania z nią połączenia za pomocą administratora domeny zarządzanej. Musisz dodać administratora domeny zarządzanej jako lokalnego administratora tej maszyny wirtualnej.

Ponownie połącz się z tą maszyną wirtualną za pomocą administratora lokalnego (instrukcje są takie same jak powyżej).

W takim przypadku postępuj zgodnie z instrukcjami ostrzegawczymi. Stało się tak, ponieważ dołączyliśmy maszynę wirtualną do domeny.

Spróbuj połączyć się ponownie, korzystając z adresu administratora lokalnego i otwórz podwyższony wiersz polecenia w PowerShell.

Dodawanie administratora domeny zarządzanej jako administratora lokalnego maszyny wirtualnej

$ net localgroup administrators /add your-domain-name\miadmin

Teraz możesz odłączyć się od maszyny wirtualnej.

9. Narzędzia Active Directory

Po dołączeniu maszyny wirtualnej do domeny możesz używać znanych narzędzi Active Directory do zarządzania użytkownikami, grupami, komputerami i zasadami grup.

Połącz się z maszyną wirtualną (taką samą jak powyżej) przy użyciu danych logowania administratora zarządzanej domeny. Otwórz wiersz polecenia PowerShell z podwyższonym poziomem uprawnień:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Pojawi się prośba o potwierdzenie, a następnie zainstalowanie narzędzi do zarządzania Active Directory.

Po zakończeniu instalacji możesz użyć narzędzia dsa.msc (Użytkownicy i komputery usługi Active Directory) oraz innych znanych narzędzi Active Directory, aby zarządzać domeną w sekcji „Jednostka organizacyjna klienta”.

10. Gratulacje!

Gratulujemy! Udało Ci się utworzyć nowy zarządzany katalog Active Directory w Google Cloud Platform.

Następne kroki

• Dokumentacja Managed Active Directory
• Dowiedz się więcej o używaniu maszyny wirtualnej z systemem Windows w GCP.
• Dowiedz się więcej o nawiązywaniu połączenia z maszyną wirtualną z systemem Windows.
• Dowiedz się więcej o wdrażaniu w GCP odpornych na awarie usługi Active Directory
• Dowiedz się więcej o .NET w Google Cloud Platform.

.

11. Czyszczenie

Możesz usunąć maszyny wirtualne z systemem Windows i sieć VPC.

Usuwanie maszyn wirtualnych z systemem Windows

• W konsoli GCP otwórz stronę instancji maszyn wirtualnych.
• Kliknij pole wyboru obok instancji, którą chcesz usunąć.
• Kliknij przycisk „Usuń”. u góry strony, aby usunąć instancję.

Usuwanie sieci VPC

• W konsoli GCP otwórz stronę Sieci VPC.
• Wybierz utworzoną sieć VPC
• Kliknij przycisk „Usuń”. u góry strony.