Active Directory-Gesamtstruktur in Compute Engine bereitstellen

Last reviewed 2024-07-11 UTC

In diesem Dokument wird beschrieben, wie Sie eine Active Directory-Gesamtstruktur in Compute Engine bereitstellen. Dabei werden die Best Practices befolgt, die hier beschrieben sind: Best Practices für die Ausführung von Active Directory in Google Cloud.

Dieser Leitfaden richtet sich an Administratoren und DevOps-Entwickler. Es wird davon ausgegangen, dass Sie mit Active Directory vertraut sind und Grundkenntnisse in Sachen Google Cloud-Netzwerken und ‑Sicherheit haben.

Architektur

Die Bereitstellung besteht aus zwei Projekten:

Mit dieser Architektur können Sie Folgendes tun:

  • Stellen Sie zusätzliche Windows-Arbeitslasten in separaten Projekten bereit und lassen Sie diese das freigegebene VPC-Netzwerk und die Active Directory-Gesamtstruktur verwenden.
  • Binden Sie die Active Directory-Gesamtstruktur in eine vorhandene lokale Gesamtstruktur ein, um das Muster der Ressourcen-Gesamtstruktur zu implementieren.

Hinweis

Für die Schritte in dieser Anleitung benötigen Sie Folgendes:

  • Subnetz-CIDR-Bereiche für zwei Subnetze:

    • Subnetz der Domaincontroller. Dieses Subnetz enthält die Domaincontroller. Durch die Verwendung eines dedizierten Subnetzes für Domaincontroller können Sie den Domaincontrollertraffic von dem anderen Servertraffic unterscheiden, wenn Sie Firewallregeln verwalten oder Netzwerklogs analysieren.

      Wir empfehlen einen Subnetz-CIDR-Bereich mit der Größe /28 oder /29.

    • Ressource/Subnetz Dieses Subnetz enthält Server und administrative Workstations. Verwenden Sie einen Subnetz-CIDR-Bereich, der groß genug ist, um alle Server unterzubringen, die Sie bereitstellen möchten.

    Achten Sie darauf, dass sich Ihre Subnetze nicht mit lokalen Subnetzen überschneiden, und lassen Sie ausreichend Platz für Wachstum.

  • Einen DNS-Domainnamen und einen NetBIOS-Domainnamen für die Gesamtstruktur-Stammdomäne von Active Directory. Weitere Informationen zur Auswahl eines Namens finden Sie unter Microsoft-Namenskonventionen.

Freigegebenes Netzwerk bereitstellen

In diesem Abschnitt erstellen Sie ein neues Projekt und verwenden es, um ein freigegebenes VPC-Netzwerk bereitzustellen. Später verwenden Sie dieses Netzwerk, um die Active Directory-Domaincontroller bereitzustellen.

Projekt erstellen

Sie erstellen jetzt ein neues Projekt und verwenden es, um ein freigegebenes VPC-Netzwerk bereitzustellen.

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  3. Enable the Compute Engine and Cloud DNS APIs.

    Enable the APIs

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt oder den übergeordneten Ordner zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen eines freigegebenen Netzwerks benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Löschen Sie die Standard-VPC:

Standardmäßig erstellt Compute Engine in jedem neuen Projekt, das Sie erstellen, ein Standardnetzwerk. Dieses Netzwerk wird im automatischen Modus konfiguriert. Dies bedeutet, dass für jede Region ein Subnetz vorab zugewiesen und automatisch ein CIDR-Bereich zugewiesen wird.

In diesem Abschnitt ersetzen Sie dieses VPC-Netzwerk durch ein Netzwerk im benutzerdefinierten Modus, das zwei Subnetze enthält und benutzerdefinierte CIDR-Bereiche verwendet.

  1. Öffnen Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

  2. Starten Sie PowerShell:

    pwsh
    
  3. Konfigurieren Sie die gcloud CLI für die Verwendung des neuen Projekts:

    gcloud config set project PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

  4. Löschen Sie alle Firewallregeln, die mit der Standard-VPC verknüpft sind:

    $ProjectId = gcloud config get-value core/project
    & gcloud compute firewall-rules list `
      --filter "network=default" `
      --format "value(name)" |
      % { gcloud compute firewall-rules delete --quiet $_ --project $ProjectId }
    
  5. Löschen Sie die Standard-VPC:

    & gcloud compute networks list --format "value(name)" |
      % { gcloud compute networks delete $_ --quiet }
    

Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus.

Sie erstellen jetzt in Ihrem VPC-Hostprojekt ein VPC-Netzwerk im benutzerdefinierten Modus.

  1. Initialisieren Sie in PowerShell die folgenden Variablen:

    $VpcName = "VPC_NAME"
    $Region = "REGION"
    $SubnetRangeDomainControllers = "DC_CIDR"
    $SubnetRangeResources = "RESOURCES_CIDR"
    

    Dabei gilt:

    • VPC_NAME: der Name der VPC.
    • REGION mit der Region, in der die Active Directory-Domaincontroller bereitgestellt werden sollen.
    • DC_CIDR: mit dem Subnetzbereich, der für das Domaincontroller-Subnetz verwendet werden soll.
    • RESOURCES_CIDR mit dem Subnetzbereich, der für das Ressourcen-Subnetz verwendet werden soll.

    Beispiel:

    $VpcName = "ad"
    $Region = "us-central1"
    $SubnetRangeDomainControllers = "10.0.0.0/28"
    $SubnetRangeResources = "10.0.1.0/24"
    
  2. Erstellen Sie die VPC und konfigurieren Sie sie für die Verwendung als freigegebenes VPC-Netzwerk:

    $ProjectId = gcloud config get-value core/project
    & gcloud compute networks create $VpcName --subnet-mode custom
    & gcloud compute shared-vpc enable $ProjectId
    
  3. Erstellen Sie die Subnetze und aktivieren Sie Privaten Google Zugriff, damit Windows ohne Internetzugriff aktiviert werden kann.

    & gcloud compute networks subnets create domain-controllers `
      --network $VpcName `
      --range $SubnetRangeDomainControllers `
      --region $Region `
      --enable-private-ip-google-access
    
    & gcloud compute networks subnets create resources `
      --network $VpcName `
      --range $SubnetRangeResources `
      --region $Region `
      --enable-private-ip-google-access
    

Subnetze und Firewallregeln bereitstellen

Sie erstellen nun Firewallregeln, um die Active Directory-Kommunikation innerhalb der VPC zuzulassen.

  1. RDP-Verbindungen zu allen VM-Instanzen über die Cloud IAP-TCP-Weiterleitung zulassen:

    & gcloud compute firewall-rules create allow-rdp-ingress-from-iap `
      --direction INGRESS `
      --action allow `
      --rules tcp:3389 `
      --enable-logging `
      --source-ranges 35.235.240.0/20 `
      --network $VpcName `
      --priority 10000
    
  2. DNS-Abfragen von Cloud DNS an Domaincontroller zulassen.

    & gcloud compute firewall-rules create allow-dns-ingress-from-clouddns `
      --direction INGRESS `
      --action=allow `
      --rules udp:53,tcp:53 `
      --enable-logging `
      --source-ranges 35.199.192.0/19 `
      --target-tags ad-domaincontroller `
      --network $VpcName `
      --priority 10000
    

    Diese Firewallregel ist erforderlich, damit die private DNS-Weiterleitungszone funktioniert.

  3. Aktivieren Sie die Active Directory-Replikation zwischen Domaincontrollern:

    & gcloud compute firewall-rules create allow-replication-between-addc `
      --direction INGRESS `
      --action allow `
      --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:49152-65535" `
      --enable-logging `
      --source-tags ad-domaincontroller `
      --target-tags ad-domaincontroller `
      --network $VpcName `
      --priority 10000
    
  4. Lassen Sie Active Directory-Anmeldungen von VMs im Ressourcen-Subnetz bei Domaincontroller zu:

    & gcloud compute firewall-rules create allow-logon-ingress-to-addc `
      --direction INGRESS `
      --action allow `
      --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:464,udp:464,tcp:3268,udp:3268,tcp:9389,tcp:49152-65535" `
      --enable-logging `
      --source-ranges $SubnetRangeResources `
      --target-tags ad-domaincontroller `
      --network $VpcName `
      --priority 10000
    
  5. Wenn Sie Secure LDAP konfigurieren möchten, müssen Sie Secure LDAP-Verbindungen von VMs im Ressourcen-Subnetz zu Domaincontrollern zulassen:

    & gcloud compute firewall-rules create allow-ldaps-ingress-to-addc `
      --direction INGRESS `
      --action allow `
      --rules tcp:636 `
      --enable-logging `
      --source-ranges $SubnetRangeResources `
      --target-tags ad-domaincontroller `
      --network $VpcName `
      --priority 10000
    

    Sie benötigen diese Firewallregel nur, wenn Sie Secure LDAP konfigurieren möchten.

  6. (Optional) Erstellen Sie eine Firewallregel, die alle fehlgeschlagenen Zugriffsversuche protokolliert. Die Protokolle können bei der Diagnose von Verbindungsproblemen hilfreich sein, aber es kann zu einem erheblichen Volumen an Protokolldaten kommen.

    & gcloud compute firewall-rules create deny-ingress-from-all `
      --direction INGRESS `
      --action deny `
      --rules tcp:0-65535,udp:0-65535 `
      --enable-logging `
      --source-ranges 0.0.0.0/0 `
      --network $VpcName `
      --priority 65000
    

Active Directory-Gesamtstruktur bereitstellen

In diesem Abschnitt erstellen Sie ein neues Dienstprojekt und hängen es an das zuvor erstellte Hostprojekt der freigegebenen VPC an. Anschließend stellen Sie mithilfe des Dienstprojekts eine neue Active Directory-Gesamtstruktur mit zwei Domaincontrollern bereit.

Projekt erstellen

Sie erstellen jetzt ein neues Projekt und verwenden es, um die Active Directory-Domaincontroller-VMs bereitzustellen.

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  3. Enable the Compute Engine and Secret Manager APIs.

    Enable the APIs

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen der Active Directory-Gesamtstruktur benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Konfiguration vorbereiten

Im nächsten Schritt bereiten Sie die Konfiguration für die Active Directory-Bereitstellung vor.

  1. Wenn Sie die PowerShell-Sitzung zuvor geschlossen haben, öffnen Sie Cloud Shell.

    Cloud Shell aktivieren

  2. Starten Sie PowerShell:

    pwsh
    
  3. Konfigurieren Sie die gcloud CLI für die Verwendung des neuen Projekts:

    gcloud config set project DC_PROJECT_ID
    

    Ersetzen Sie DC_PROJECT_ID durch die ID Ihres Projekts.

  4. Erstellen Sie mit PowerShell die folgenden Variablen:

    $AdDnsDomain = "DNS_DOMAIN"
    $AdNetbiosDomain = "NETBIOS_DOMAIN"
    $VpcProjectId = "VPCHOST_PROJECT_ID"
    $VpcName = "VPC_NAME"
    $Region = "REGION"
    $Zones = "REGION-a", "REGION-b"
    

    Dabei gilt:

    • DNS_DOMAIN: der Stammdomainname der Gesamtstruktur des Active Directory-Gesamtstruktur, z. B. cloud.example.com.
    • NETBIOS_DOMAIN: der NetBIOS-Domainname für die Gesamtstruktur-Stammdomain, z. B. CLOUD.
    • VPCHOST_PROJECT_ID: Projekt-ID des VPC-Hostprojekts, das Sie zuvor erstellt haben.
    • VPC_NAME: Name des freigegebenen VPC-Netzwerks, das Sie zuvor erstellt haben.
    • REGION mit der Region, in der die Active Directory-Domaincontroller bereitgestellt werden sollen. Die Namen der Zonen basieren auf den Namen der von Ihnen angegebenen Region. Sie können die VPC und Ihre Domain jederzeit erweitern, um weitere Regionen abzudecken.

    Beispiel:

    $AdDnsDomain = "cloud.example.com"
    $AdNetbiosDomain = "CLOUD"
    $VpcProjectId = "vpc-project-123"
    $VpcName = "ad"
    $Region = "us-west1"
    $Zones = "us-west1-a", "us-west1-b"
    

Erstellen Sie eine private DNS-Weiterleitungszone

Sie reservieren jetzt zwei statische IP-Adressen für Ihre Domänencontroller und erstellen eine private DNS-Weiterleitungszone, die alle DNS-Abfragen für die Active Directory-Domain an diese IP-Adressen weiterleitet.

  1. Hängen Sie das Projekt an das freigegebene VPC-Netzwerk an:

    $ProjectId = gcloud config get-value core/project
    & gcloud compute shared-vpc associated-projects add $ProjectId --host-project $VpcProjectId
    
  2. Reservieren Sie zwei statische interne IP-Adressen im Subnetz der Domaincontroller:

    $AddressOfDc1 = gcloud compute addresses create dc-1 `
      --region $Region `
      --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" `
      --format value`(address`)
    $AddressOfDc2 = gcloud compute addresses create dc-2 `
      --region $Region `
      --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" `
      --format value`(address`)
    
  3. Erstellen Sie im VPC-Hostprojekt eine private Cloud DNS-Weiterleitungszone und konfigurieren Sie die Zone so, dass DNS-Abfragen an die beiden reservierten IP-Adressen weitergeleitet werden:

    & gcloud dns managed-zones create $AdDnsDomain.Replace(".", "-") `
      --project $VpcProjectId `
      --dns-name $AdDnsDomain `
      --description "Active Directory forwarding zone" `
      --networks $VpcName `
      --visibility private `
      --forwarding-targets "$AddressOfDc1,$AddressOfDc2"
    

DSRM-Passwort erstellen

Sie definieren jetzt das Passwort für den Directory Service Recovery Mode (DSRM) und speichern es im Secret Manager. Sie gewähren den Domaincontroller-VMs dann vorübergehenden Zugriff auf dieses Secret, damit sie damit die Active Directory-Gesamtstruktur bereitstellen können.

  1. Generieren Sie ein zufälliges Passwort und speichern Sie es in einem Secret Manager-Secret:

    # Generate a random password.
    $DsrmPassword = [Guid]::NewGuid().ToString()+"-"+[Guid]::NewGuid().ToString()
    
    $TempFile = New-TemporaryFile
    Set-Content $TempFile "$DsrmPassword" -NoNewLine
    & gcloud secrets create ad-password --data-file $TempFile
    Remove-Item $TempFile
    
  2. Erstellen Sie das Dienstkonto für die Domaincontroller-VM-Instanzen:

    $DcServiceAccount = gcloud iam service-accounts create ad-domaincontroller `
      --display-name "AD Domain Controller" `
      --format "value(email)"
    
  3. Gewähren Sie dem Dienstkonto die Berechtigung zum Lesen des Secrets für die nächste Stunde:

    $Expiry = [DateTime]::UtcNow.AddHours(1).ToString("o")
    & gcloud secrets add-iam-policy-binding ad-password `
      --member=serviceAccount:$($DcServiceAccount) `
      --role=roles/secretmanager.secretAccessor `
      --condition="title=Expires after 1h,expression=request.time < timestamp('$Expiry')"
    

Domänencontroller bereitstellen

Sie stellen jetzt zwei VM-Instanzen bereit und erstellen eine neue Active Directory-Gesamtstruktur und -Domain. Verwenden Sie Startskripts, um die Anzahl der manuellen Schritte zu minimieren.

  1. Führen Sie in PowerShell den folgenden Befehl aus, um ein Startskript zu generieren:

    '
    $ErrorActionPreference = "Stop"
    
    #
    # Only run the script if the VM is not a domain controller already.
    #
    if ((Get-CimInstance -ClassName Win32_OperatingSystem).ProductType -eq 2) {
        exit
    }
    
    #
    # Read configuration from metadata.
    #
    Import-Module "${Env:ProgramFiles}\Google\Compute Engine\sysprep\gce_base.psm1"
    
    $ActiveDirectoryDnsDomain     = Get-MetaData -Property "attributes/ActiveDirectoryDnsDomain" -instance_only
    $ActiveDirectoryNetbiosDomain = Get-MetaData -Property "attributes/ActiveDirectoryNetbiosDomain" -instance_only
    $ActiveDirectoryFirstDc       = Get-MetaData -Property "attributes/ActiveDirectoryFirstDc" -instance_only
    $ProjectId                    = Get-MetaData -Property "project-id" -project_only
    $Hostname                     = Get-MetaData -Property "hostname" -instance_only
    $AccessToken                  = (Get-MetaData -Property "service-accounts/default/token" | ConvertFrom-Json).access_token
    
    #
    # Read the DSRM password from secret manager.
    #
    $Secret = (Invoke-RestMethod `
        -Headers @{
            "Metadata-Flavor" = "Google";
            "x-goog-user-project" = $ProjectId;
            "Authorization" = "Bearer $AccessToken"} `
        -Uri "https://secretmanager.googleapis.com/v1/projects/$ProjectId/secrets/ad-password/versions/latest:access")
    $DsrmPassword = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Secret.payload.data))
    $DsrmPassword = ConvertTo-SecureString -AsPlainText $DsrmPassword -force
    
    #
    # Promote.
    #
    Write-Host "Setting administrator password..."
    Set-LocalUser -Name Administrator -Password $DsrmPassword
    
    if ($ActiveDirectoryFirstDc -eq $env:COMPUTERNAME) {
        Write-Host "Creating a new forest $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..."
        Install-ADDSForest `
            -DomainName $ActiveDirectoryDnsDomain `
            -DomainNetbiosName $DomainNetbiosName `
            -SafeModeAdministratorPassword $DsrmPassword `
            -DomainMode Win2008R2 `
            -ForestMode Win2008R2 `
            -InstallDns `
            -CreateDnsDelegation:$False `
            -NoRebootOnCompletion:$True `
            -Confirm:$false
    }
    else {
        do {
            Write-Host "Waiting for domain to become available..."
            Start-Sleep -s 60
            & ipconfig /flushdns | Out-Null
            & nltest /dsgetdc:$ActiveDirectoryDnsDomain | Out-Null
        } while ($LASTEXITCODE -ne 0)
    
        Write-Host "Adding DC to $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..."
        Install-ADDSDomainController `
            -DomainName $ActiveDirectoryDnsDomain `
            -SafeModeAdministratorPassword $DsrmPassword `
            -InstallDns `
            -Credential (New-Object System.Management.Automation.PSCredential ("Administrator@$ActiveDirectoryDnsDomain", $DsrmPassword)) `
            -NoRebootOnCompletion:$true  `
            -Confirm:$false
    }
    
    #
    # Configure DNS.
    #
    Write-Host "Configuring DNS settings..."
    Get-Netadapter| Disable-NetAdapterBinding -ComponentID ms_tcpip6
    Set-DnsClientServerAddress  `
        -InterfaceIndex (Get-NetAdapter -Name Ethernet).InterfaceIndex `
        -ServerAddresses 127.0.0.1
    
    #
    # Enable LSA protection.
    #
    New-ItemProperty `
        -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
        -Name "RunAsPPL" `
        -Value 1 `
        -PropertyType DWord
    
    Write-Host "Restarting to apply all settings..."
    Restart-Computer
    ' | Out-File dc-startup.ps1 -Encoding ASCII
    

    Das Skript tut Folgendes:

    • Das DSRM-Passwort wird aus Secret Manager gelesen.
    • Die VM wird zu einem Domänencontroller hochgestuft.
    • Die DNS-Einstellungen werden so konfiguriert, dass jeder Domaincontroller die Loopback-Adresse als DNS-Server verwendet.
    • IPv6 wird deaktiviert.
    • Der LSA-Schutz wird aktiviert.
  2. Erstellen Sie eine VM-Instanz für den ersten Domaincontroller:

    $Subnet = "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers"
    $Metadata = `
      "ActiveDirectoryDnsDomain=$AdDnsDomain",
      "ActiveDirectoryNetbiosDomain=$AdNetbiosDomain",
      "ActiveDirectoryFirstDc=dc-1",
      "sysprep-specialize-script-ps1=Install-WindowsFeature AD-Domain-Services; Install-WindowsFeature DNS",
      "disable-account-manager=true" -join ","
    
    & gcloud compute instances create dc-1  `
      --image-family windows-2022 `
      --image-project windows-cloud `
      --machine-type n2-standard-8 `
      --tags ad-domaincontroller `
      --metadata "$Metadata" `
      --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 `
      --no-address `
      --network-interface "no-address,private-network-ip=$AddressOfDc1,subnet=$Subnet" `
      --service-account $DcServiceAccount `
      --scopes cloud-platform `
      --zone $Zones[0] `
      --shielded-integrity-monitoring `
      --shielded-secure-boot `
      --shielded-vtpm `
      --deletion-protection
    

    Mit diesem Befehl wird Folgendes ausgeführt:

    • Es wird eine gesicherte Windows Server 2022-VM erstellt.
    • Der VM wird das ad-domaincontroller-Dienstkonto zugewiesen, damit es auf das DSRM-Passwort zugreifen kann.
    • Der Gast-Agenten wird so konfiguriert, dass der Kontomanager deaktiviert wird. Weitere Informationen zum Konfigurieren des Gast-Agents finden Sie unter Windows-Instanzfeatures aktivieren und deaktivieren.
    • Erlauben Sie der VM, die Windows-Features AD-Domain-Services und DNS während der Sysprep-Spezialisierungsphase zu installieren.
    • Lassen Sie die VM das Startskript ausführen, das Sie zuvor erstellt haben.
  3. Erstellen Sie eine weitere VM-Instanz für den zweiten Domaincontroller und platzieren Sie sie in einer anderen Zone:

    & gcloud compute instances create dc-2  `
      --image-family windows-2022 `
      --image-project windows-cloud `
      --machine-type n2-standard-8 `
      --tags ad-domaincontroller `
      --metadata "$Metadata" `
      --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 `
      --no-address `
      --network-interface "no-address,private-network-ip=$AddressOfDc2,subnet=$Subnet" `
      --service-account $DcServiceAccount `
      --scopes cloud-platform `
      --zone $Zones[1] `
      --shielded-integrity-monitoring `
      --shielded-secure-boot `
      --shielded-vtpm `
      --deletion-protection
    
  4. Überwachen Sie den Initialisierungsprozess des ersten Domaincontroller. Rufen Sie dazu die Ausgabe des seriellen Ports auf:

    & gcloud compute instances tail-serial-port-output dc-1 --zone $Zones[0]
    

    Warten Sie etwa zehn Minuten. Sobald die Meldung Restarting to apply all settings... angezeigt wird drücken Sie auf Ctrl+C.

  5. Überwachen Sie den Initialisierungsprozess des zweiten Domaincontroller. Rufen Sie dazu die Ausgabe des seriellen Ports auf:

    & gcloud compute instances tail-serial-port-output dc-2 --zone $Zones[1]
    

    Warten Sie etwa zehn Minuten. Sobald die Meldung Restarting to apply all settings... angezeigt wird drücken Sie auf Ctrl+C.

Die Active Directory-Gesamtstruktur und -Domain können jetzt verwendet werden.

Verbindung zu einem Domaincontroller herstellen

Sie können jetzt die Active Directory-Gesamtstruktur anpassen, indem Sie eine Verbindung zu einem der Domaincontroller herstellen.

  1. Greifen Sie in PowerShell auf das Passwort für den Administrator-Nutzer zu:

    gcloud secrets versions access latest --secret ad-password
    
  2. Stellen Sie über RDP eine Verbindung zu dc-1 her und melden Sie sich als Administrator-Nutzer an.

    Da die VM-Instanz keine öffentlichen IP-Adressen hat, müssen Sie eine Verbindung über die TCP-Weiterleitung für Identity-Aware Proxy herstellen.

Nächste Schritte