1. Visão geral
O Active Directory gerenciado é um domínio como serviço altamente disponível do Microsoft Active Directory, hospedado no Google Cloud.
Neste tutorial, você vai configurar um novo Active Directory gerenciado, criar uma nova VM do Windows e associá-la ao novo domínio. Você verá como configurar a rede e a segurança e gerenciar seu domínio com as mesmas ferramentas de gerenciamento que já conhece.
O que você vai aprender
- Como criar um Active Directory gerenciado no Google Cloud
- Como adicionar uma VM do Windows a um domínio
- Como gerenciar usuários e computadores no Managed Active Directory
O que é necessário:
Como você usará este tutorial?
Como você classificaria sua experiência com o Google Cloud Platform?
2. Configuração e requisitos
Configuração de ambiente autoguiada
- Faça login no Console do Cloud e crie um novo projeto ou reutilize um existente. Crie uma se você ainda não tiver uma conta do Gmail ou do G Suite.
Lembre-se do código do projeto, um nome exclusivo em todos os projetos do Google Cloud. O nome acima já foi escolhido e não servirá para você. Faremos referência a ele mais adiante neste codelab como PROJECT_ID
.
- Em seguida, será necessário ativar o faturamento no Console do Cloud para usar os recursos do Google Cloud.
A execução deste codelab não será muito cara, se for o caso. Siga todas as instruções na seção "Limpeza", que orienta você sobre como encerrar recursos para não incorrer em cobranças além deste tutorial. Novos usuários do Google Cloud estão qualificados para o programa de avaliação gratuita de US$ 300.
Inicie o Cloud Shell
Embora o Google Cloud possa ser operado remotamente em um laptop, neste codelab você vai usar o Google Cloud Shell, um ambiente de linha de comando executado no Google Cloud.
Ativar o Cloud Shell
- No Console do Cloud, clique em Ativar o Cloud Shell
.
Se você nunca tiver iniciado o Cloud Shell, verá uma tela intermediária (abaixo da dobra) com a descrição do que ele é. Se esse for o caso, clique em Continuar e você não o verá novamente. Esta é uma tela única:
Leva apenas alguns instantes para provisionar e se conectar ao Cloud Shell.
Essa máquina virtual contém todas as ferramentas de desenvolvimento necessárias. Ela oferece um diretório principal persistente de 5 GB, além de ser executada no Google Cloud. Isso aprimora o desempenho e a autenticação da rede. Praticamente todo o seu trabalho neste codelab pode ser feito em um navegador ou no seu Chromebook.
Depois de se conectar ao Cloud Shell, você já estará autenticado e o projeto já estará configurado com seu ID do projeto.
- Execute o seguinte comando no Cloud Shell para confirmar que você está autenticado:
gcloud auth list
Resposta ao comando
Credentialed Accounts ACTIVE ACCOUNT * <my_account>@<my_domain.com> To set the active account, run: $ gcloud config set account `ACCOUNT`
gcloud config list project
Resposta ao comando
[core] project = <PROJECT_ID>
Se o projeto não estiver configurado, configure-o usando este comando:
gcloud config set project <PROJECT_ID>
Resposta ao comando
Updated property [core/project].
3. Inicializar
O projeto inicializado do GCP será usado para hospedar a rede VPC entre todas as VMs do Windows associadas ao domínio e o Active Directory gerenciado.
Definiremos algumas variáveis para criar um script mais fácil posteriormente.
- Escolha um nome de domínio (por exemplo: ad.yourcompany.com)
- Decida em qual região você quer criar um controlador de domínio para um domínio gerenciado
- Decida o nome da VM, a regra de firewall e o nome da rede.
Atualmente, as seguintes regiões são aceitas:
- “us-west1”
- “us-west2”
- "us-central1"
- “us-east1”
- "us-east4"
- "europe-north1"
- "europe-west1"
- "europe-west4"
- “asia-east1”
- “asia-southeast1”
Definir variáveis
Se estiver executando no Linux, digite:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Se a execução for no Windows, digite no terminal do PowerShell:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Defina o ID do projeto atual para que todas as operações subsequentes ocorram no contexto do projeto correto na nuvem:
$ gcloud config set project $PROJECT_ID
Ativar Cloud APIs
Para ativar o Managed Active Directory, precisamos ativar duas APIs: DNS e Managed Identities.
Ativar API DNS:
$ gcloud services enable dns.googleapis.com
Ative a API Managed Identities:
$ gcloud services enable managedidentities.googleapis.com
4. Criar uma rede de nuvem privada virtual
Para estabelecer a conectividade entre o controlador de domínio do Active Directory gerenciado e as VMs do Windows, precisamos criar uma rede de nuvem privada virtual.
Criar rede VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Criar uma regra de firewall para permitir a conectividade entre VMs do Windows e controladores de domínio
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Criar controladores de domínio
Configuramos a VPC que conecta o AD gerenciado aos recursos no projeto (VMs). Agora é hora de configurar um controlador de domínio gerenciado.
Criar um Active Directory gerenciado
Essa operação deve levar cerca de uma hora.
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Durante a implantação ou a qualquer momento, você pode verificar o status de provisionamento do domínio.
Há três estados compatíveis:
CRIANDO | A criação do domínio do AD foi iniciada, em andamento. |
PRONTO | A criação do domínio do AD foi concluída, o domínio está pronto para uso. |
EM MANUTENÇÃO | O domínio do AD ainda está disponível, mas está passando por atualizações (upgrade dos controladores de domínio, adição de regiões etc.). |
Verifique o status da implantação:
$ gcloud active-directory domains describe $DOMAIN_NAME
Esse comando informará o estado READY quando a criação do domínio for concluída.
6. Adicionar VMs do Windows a um domínio gerenciado
Crie uma nova VM do Windows no Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Crie uma regra de firewall para permitir a conectividade da área de trabalho remota às VMs do Windows:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Antes de nos conectarmos à VM e adicioná-la ao domínio, precisamos determinar dois usuários e suas credenciais:
- Um administrador local em uma VM: necessário para se conectar remotamente à VM antes de ela ser associada ao domínio.
- Usuário administrador do domínio gerenciado: necessário para unir a VM ao domínio e executar todas as operações de gerenciamento do domínio.
7. Receber credenciais de administrador de domínio gerenciado
Determinar o nome de usuário do administrador do domínio gerenciado:
$ gcloud active-directory domains describe $DOMAIN_NAME
Essa operação vai gerar o nome de usuário do administrador. Por padrão, ele se chama miadmin.
Para redefinir a senha do administrador do domínio gerenciado:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Você precisa confirmar (S/N) a operação, pois ela revelará a senha em texto não criptografado. No terminal.
Salve o usuário e a senha, porque eles serão usados mais tarde.
8. Mesclar o domínio
Gerar usuário e senha locais do Windows
O usuário e a senha locais do Windows são necessários para se conectar remotamente à VM que você criou. É possível gerá-las usando a gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Isso criará um usuário local chamado "usr1". e gerar a senha dele
Conectar-se à instância do Windows usando o RDP do Chrome
Abra uma nova janela do navegador em: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name
Para abrir o RDP do Chrome, clique em "RDP":
Digite o usuário e a senha locais. Isso vai conectar você à VM do Windows que você criou.
Em uma VM, abra o prompt de comando elevado com o PowerShell:
No PowerShell elevado, digite:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Você precisará informar a senha de administrador gerenciado. Depois, a VM será conectada ao seu domínio gerenciado e será reiniciada. Aguarde dois minutos antes de prosseguir para a próxima etapa.
Neste momento, sua VM é associada ao domínio, mas você não tem permissão para se conectar a ela usando o usuário administrador de domínio gerenciado. Você precisa adicionar o usuário administrador do domínio gerenciado como administrador local da VM.
Conecte-se à VM novamente usando o usuário administrador local (as mesmas instruções acima).
Nesse caso, siga as instruções de aviso. Isso aconteceu porque associamos a VM ao domínio.
Tente se reconectar usando o usuário administrador local e abra o prompt de comando elevated do PowerShell.
Adicionar um usuário administrador de domínio gerenciado como administrador local em uma VM
$ net localgroup administrators /add your-domain-name\miadmin
Agora você pode se desconectar da VM.
9. Ferramentas do Active Directory
Depois que uma VM é associada ao domínio, é possível usar ferramentas conhecidas do Active Directory para gerenciar usuários, grupos, computadores e políticas de grupo.
Conecte-se à VM (mesmo método descrito acima) usando as credenciais do administrador do domínio gerenciado. Abra o prompt de comando elevado do PowerShell:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Ele vai pedir uma confirmação e instalar as Ferramentas de Gerenciamento do Active Directory.
Após a conclusão da instalação, você poderá usar dsa.msc (Usuários e Computadores do Active Directory) e outras ferramentas conhecidas do Active Directory para gerenciar o domínio em UO do cliente.
10. Parabéns!
Parabéns, você criou um novo Active Directory gerenciado no Google Cloud Platform.
Próximas etapas
- Documentação do Active Directory gerenciado
- Saiba mais sobre como usar uma VM do Windows no GCP.
- Saiba mais sobre como se conectar a uma VM do Windows.
- Saiba mais sobre como implantar um Active Directory tolerante a falhas no GCP.
- Saiba mais sobre .NET no Google Cloud Platform.
.
11. Limpeza
É possível excluir VMs do Windows e redes VPC.
Excluir VMs do Windows
- No console do GCP, acesse a página Instâncias de VM.
- Clique na caixa de seleção ao lado da instância que você quer excluir.
- Clique no botão "Excluir" na parte superior da página para excluir a instância.
Excluir redes VPC
- No console do GCP, acesse a página Redes VPC.
- Selecione a rede VPC que você criou
- Clique no botão "Excluir" na parte superior da página.