1. Omówienie
Zarządzana usługa Active Directory to usługa w domenie Microsoft Active Directory o wysokiej dostępności, hostowana w Google Cloud.
W tym samouczku skonfigurujesz nowy zarządzany katalog Active Directory, utworzysz nową maszynę wirtualną z systemem Windows i dołączysz ją do nowej domeny. Dowiesz się, jak konfigurować sieci i zabezpieczenia oraz zarządzać domeną, korzystając z dobrze znanych narzędzi.
Czego się nauczysz
- Jak utworzyć zarządzany katalog Active Directory w Google Cloud
- Jak dodać do domeny maszynę wirtualną z systemem Windows
- Jak zarządzać użytkownikami i komputerami w zarządzanym katalogu Active Directory
Co będzie Ci potrzebne:
Jak wykorzystasz ten samouczek?
Jak oceniasz swoje doświadczenia z Google Cloud Platform?
2. Konfiguracja i wymagania
Samodzielne konfigurowanie środowiska
- Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub wykorzystaj już istniejący. Jeśli nie masz jeszcze konta Gmail lub G Suite, musisz je utworzyć.
Zapamiętaj identyfikator projektu, unikalną nazwę we wszystkich projektach Google Cloud (powyższa nazwa jest już zajęta i nie będzie Ci odpowiadać). W dalszej części tego ćwiczenia w Codelabs będzie ona określana jako PROJECT_ID
.
- Następnie musisz włączyć płatności w Cloud Console, aby korzystać z zasobów Google Cloud.
Ukończenie tego ćwiczenia z programowania nie powinno kosztować zbyt wiele. Postępuj zgodnie z instrukcjami podanymi w sekcji „Czyszczenie” W tym samouczku znajdziesz wskazówki, jak wyłączyć zasoby, aby uniknąć naliczania opłat. Nowi użytkownicy Google Cloud mogą skorzystać z programu bezpłatnego okresu próbnego o wartości 300 USD.
Uruchamianie Cloud Shell
Google Cloud można zarządzać zdalnie z laptopa, ale w tym ćwiczeniu z programowania wykorzystasz Google Cloud Shell – środowisko wiersza poleceń działające w Google Cloud.
Aktywowanie Cloud Shell
- W konsoli Cloud kliknij Aktywuj Cloud Shell
.
Jeśli dopiero zaczynasz korzystać z Cloud Shell, wyświetli się ekran pośredni (w części strony widocznej po przewinięciu) z opisem tej funkcji. W takim przypadku kliknij Dalej (nie zobaczysz go więcej). Tak wygląda ten jednorazowy ekran:
Uzyskanie dostępu do Cloud Shell i połączenie się z nim powinno zająć tylko kilka chwil.
Ta maszyna wirtualna ma wszystkie potrzebne narzędzia dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud, co znacznie zwiększa wydajność sieci i uwierzytelnianie. Większość czynności z tego ćwiczenia z programowania można wykonać w przeglądarce lub na Chromebooku.
Po nawiązaniu połączenia z Cloud Shell powinno pojawić się informacja, że użytkownik jest już uwierzytelniony i że projekt jest już ustawiony na identyfikator Twojego projektu.
- Uruchom to polecenie w Cloud Shell, aby potwierdzić, że jesteś uwierzytelniony:
gcloud auth list
Dane wyjściowe polecenia
Credentialed Accounts ACTIVE ACCOUNT * <my_account>@<my_domain.com> To set the active account, run: $ gcloud config set account `ACCOUNT`
gcloud config list project
Dane wyjściowe polecenia
[core] project = <PROJECT_ID>
Jeśli tak nie jest, możesz go ustawić za pomocą tego polecenia:
gcloud config set project <PROJECT_ID>
Dane wyjściowe polecenia
Updated property [core/project].
3. Zainicjuj
Zainicjowany projekt GCP będzie używany do hostowania sieci VPC między wszystkimi maszynami wirtualnymi z systemem Windows dołączonymi do domeny oraz zarządzanymi katalogiem Active Directory.
Ustalimy kilka zmiennych, aby ułatwić później tworzenie skryptów.
- Wybierz nazwę domeny (np. ad.yourcompany.com).
- Określ, w którym regionie chcesz utworzyć kontroler dla domeny zarządzanej
- Określ nazwę maszyny wirtualnej, regułę zapory sieciowej i nazwę sieci.
Obecnie obsługiwane są te regiony:
- „us-west1”
- „us-west2”
- „us-central1”
- „us-east1”
- „us-east4”
- „europe-north1”
- „europe-west1”
- „europe-west4”
- „asia-east1”
- „asia-southeast1”
Ustaw zmienne
Jeśli korzystasz z systemu Linux, wpisz:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Jeśli działasz w systemie Windows, wpisz terminal Powershell:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Ustaw identyfikator bieżącego projektu, aby wszystkie kolejne operacje były wykonywane w kontekście odpowiedniego projektu w chmurze:
$ gcloud config set project $PROJECT_ID
Włącz Cloud APIs
Aby włączyć zarządzany katalog Active Directory, musisz włączyć 2 interfejsy API: DNS i tożsamości zarządzane.
Włącz interfejs DNS API:
$ gcloud services enable dns.googleapis.com
Włącz interfejs Managed Identities API:
$ gcloud services enable managedidentities.googleapis.com
4. Utwórz sieć prywatnego środowiska wirtualnego w chmurze
Aby nawiązać połączenie między kontrolerem domeny zarządzanego katalogu Active Directory a maszynami wirtualnymi z systemem Windows, musimy utworzyć sieć prywatnego środowiska wirtualnego w chmurze.
Tworzenie sieci VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Tworzenie reguły zapory sieciowej umożliwiającej połączenie między maszynami wirtualnymi z systemem Windows a kontrolerami domeny
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Tworzenie kontrolerów domeny
Konfigurujemy środowisko VPC, które łączy zarządzaną usługę AD z zasobami w naszym projekcie (maszynach wirtualnych). Pora skonfigurować kontroler zarządzanej domeny.
Tworzenie zarządzanego katalogu Active Directory
(Ta operacja zajmie około godziny).
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
W trakcie wdrażania lub w dowolnym momencie możesz sprawdzić stan obsługi administracyjnej domeny.
Dostępne są 3 obsługiwane stany:
TWORZĘ | Rozpoczęto tworzenie domeny usługi AD. |
TAK | Ukończono tworzenie domeny usługi AD. Domena jest gotowa do użycia. |
PODCZAS KONSERWACJI | Domena usługi AD jest nadal dostępna, ale w trakcie aktualizacji (uaktualniania kontrolerów domeny, dodawania regionów itp.) |
Sprawdzanie stanu wdrożenia:
$ gcloud active-directory domains describe $DOMAIN_NAME
To polecenie powinno informować o stanie gotowości, gdy tworzenie domeny zostanie ukończone.
6. Dodawanie maszyn wirtualnych z systemem Windows do domeny zarządzanej
Tworzenie nowej maszyny wirtualnej z systemem Windows w Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Utwórz regułę zapory sieciowej, która umożliwia połączenie pulpitu zdalnego z maszynami wirtualnymi z systemem Windows:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Zanim połączysz się z maszyną wirtualną i dodamy ją do domeny, musimy określić 2 użytkowników i ich dane logowania:
- Lokalny administrator maszyny wirtualnej – wymagany, aby móc zdalnie łączyć się z maszyną wirtualną przed dołączeniem do domeny.
- Administrator zarządzanej domeny – wymagany, aby dołączyć maszynę wirtualną do domeny oraz wykonywać wszystkie operacje zarządzania domeną
7. Uzyskaj dane logowania administratora zarządzanej domeny
Określ nazwę użytkownika administratora domeny zarządzanej:
$ gcloud active-directory domains describe $DOMAIN_NAME
Ta operacja zwróci nazwę użytkownika administratora. Domyślna nazwa to miadmin.
Resetowanie hasła administratora domeny zarządzanej:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Musisz potwierdzić operację (T/N), ponieważ hasło pojawi się w postaci zwykłego tekstu. w terminalu.
Zapisz użytkownika i hasło – użyjemy ich później.
8. Dołącz do domeny
Wygeneruj lokalnego użytkownika i hasło do systemu Windows
Lokalny użytkownik i hasło systemu Windows są wymagane do zdalnego łączenia się z utworzoną maszyną wirtualną. Możesz je wygenerować za pomocą gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Spowoduje to utworzenie lokalnego użytkownika o nazwie „usr1”. i wygeneruj jego hasło
Łączenie się z instancją z systemem Windows za pomocą RDP Chrome
Otwórz nowe okno przeglądarki na stronie https://console.cloud.google.com/compute/instancesDetails/zones/twoja-strefa/instances/nazwa-maszyny-vm?project=nazwa-projektu.
Otwórz ChromeRDP, klikając RDP:
Wpisz lokalnego użytkownika i hasło. Spowoduje to połączenie z utworzoną przez Ciebie maszyną wirtualną z systemem Windows.
W maszynie wirtualnej otwórz wiersz polecenia z podwyższonym poziomem uprawnień w Powershell:
W narzędziu Powershell z podwyższonym poziomem uprawnień wpisz:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Pojawi się prośba o podanie zarządzanego hasła administratora, a maszyna wirtualna dołączy do zarządzanej domeny i uruchomi ją ponownie. Zanim przejdziesz do następnego kroku, zaczekaj 2 minuty.
W tej chwili Twoja maszyna wirtualna jest połączona z domeną, ale nie masz uprawnień do nawiązania z nią połączenia za pomocą administratora domeny zarządzanej. Musisz dodać administratora domeny zarządzanej jako lokalnego administratora tej maszyny wirtualnej.
Ponownie połącz się z tą maszyną wirtualną za pomocą administratora lokalnego (instrukcje są takie same jak powyżej).
W takim przypadku postępuj zgodnie z instrukcjami ostrzegawczymi. Stało się tak, ponieważ dołączyliśmy maszynę wirtualną do domeny.
Spróbuj połączyć się ponownie, korzystając z adresu administratora lokalnego i otwórz podwyższony wiersz polecenia w PowerShell.
Dodawanie administratora domeny zarządzanej jako administratora lokalnego maszyny wirtualnej
$ net localgroup administrators /add your-domain-name\miadmin
Teraz możesz odłączyć się od maszyny wirtualnej.
9. Narzędzia Active Directory
Po dołączeniu maszyny wirtualnej do domeny możesz używać znanych narzędzi Active Directory do zarządzania użytkownikami, grupami, komputerami i zasadami grup.
Połącz się z maszyną wirtualną (taką samą jak powyżej) przy użyciu danych logowania administratora zarządzanej domeny. Otwórz wiersz polecenia PowerShell z podwyższonym poziomem uprawnień:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Pojawi się prośba o potwierdzenie, a następnie zainstalowanie narzędzi do zarządzania Active Directory.
Po zakończeniu instalacji możesz użyć narzędzia dsa.msc (Użytkownicy i komputery usługi Active Directory) oraz innych znanych narzędzi Active Directory, aby zarządzać domeną w sekcji „Jednostka organizacyjna klienta”.
10. Gratulacje!
Gratulujemy! Udało Ci się utworzyć nowy zarządzany katalog Active Directory w Google Cloud Platform.
Następne kroki
- Dokumentacja Managed Active Directory
- Dowiedz się więcej o używaniu maszyny wirtualnej z systemem Windows w GCP.
- Dowiedz się więcej o nawiązywaniu połączenia z maszyną wirtualną z systemem Windows.
- Dowiedz się więcej o wdrażaniu w GCP odpornych na awarie usługi Active Directory
- Dowiedz się więcej o .NET w Google Cloud Platform.
.
11. Czyszczenie
Możesz usunąć maszyny wirtualne z systemem Windows i sieć VPC.
Usuwanie maszyn wirtualnych z systemem Windows
- W konsoli GCP otwórz stronę instancji maszyn wirtualnych.
- Kliknij pole wyboru obok instancji, którą chcesz usunąć.
- Kliknij przycisk „Usuń”. u góry strony, aby usunąć instancję.
Usuwanie sieci VPC
- W konsoli GCP otwórz stronę Sieci VPC.
- Wybierz utworzoną sieć VPC
- Kliknij przycisk „Usuń”. u góry strony.