In diesem Dokument wird beschrieben, wie Sie eine Active Directory-Gesamtstruktur in Compute Engine bereitstellen. Dabei werden die Best Practices befolgt, die hier beschrieben sind: Best Practices für die Ausführung von Active Directory in Google Cloud.
Dieser Leitfaden richtet sich an Administratoren und DevOps-Entwickler. Dabei werden Grundkenntnisse in Active Directory und grundlegende Kenntnisse im Bereich Google Cloud-Netzwerk und -Sicherheit vorausgesetzt.
Architektur
Die Bereitstellung besteht aus zwei Projekten:
- Ein Hostprojekt, das ein freigegebenes VPC-Netzwerk, eine private DNS-Weiterleitungszone und Firewallregelnfür Active Directory enthält.
- Ein Dienstprojekt mit zwei Domaincontrollern, die in zwei Zonen bereitgestellt werden
Mit dieser Architektur können Sie Folgendes tun:
- Stellen Sie zusätzliche Windows-Arbeitslasten in separaten Projekten bereit und lassen Sie sie das freigegebene VPC-Netzwerk und die Active Directory-Gesamtstruktur verwenden.
- Binden Sie die Active Directory-Gesamtstruktur in eine vorhandene lokale Gesamtstruktur ein, um das Muster für die Ressourcengesamtstruktur zu implementieren.
Hinweis
Für die Anleitungen in diesem Handbuch benötigen Sie Folgendes:
Subnetz-CIDR-Bereiche für zwei Subnetze:
Domaincontroller-Subnetz. Dieses Subnetz enthält die Domaincontroller. Durch die Verwendung eines dedizierten Subnetzes für Domaincontroller können Sie den Domaincontrollertraffic von dem anderen Servertraffic unterscheiden, wenn Sie Firewallregeln verwalten oder Netzwerklogs analysieren.
Wir empfehlen einen Subnetz-CIDR-Bereich mit der Größe
/28oder/29.Ressource/Subnetz Dieses Subnetz enthält Server und administrative Workstations. Verwenden Sie einen Subnetz-CIDR-Bereich, der groß genug ist, um alle Server bereitzustellen, die Sie bereitstellen möchten.
Stellen Sie sicher, dass sich Ihre Subnetze nicht mit lokalen Subnetzen überschneiden, und lassen Sie ausreichend Platz für Wachstum.
Ein DNS-Domainname und ein NetBIOS-Domainname für die Stammdomain der Active Directory-Gesamtstruktur. Weitere Informationen zum Auswählen eines Namens finden Sie in den Microsoft-Namenskonventionen.
Freigegebenes Netzwerk bereitstellen
In diesem Abschnitt erstellen Sie ein neues Projekt und stellen damit ein freigegebenes VPC-Netzwerk bereit. Später verwenden Sie dieses Netzwerk zum Bereitstellen der Active Directory-Domaincontroller.
Projekt erstellen
Sie erstellen jetzt ein neues Projekt und verwenden es, um ein freigegebenes VPC-Netzwerk bereitzustellen.
-
Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
-
Compute Engine and Cloud DNS APIs aktivieren.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt oder den übergeordneten Ordner zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen eines freigegebenen Netzwerks benötigen:
- Compute-Netzwerkadministrator (
roles/compute.networkAdmin) - Compute-Sicherheitsadministrator (
roles/compute.securityAdmin) - Administrator für freigegebene Compute-VPC (
roles/compute.xpnAdmin) - DNS-Administrator
(
roles/dns.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Löschen Sie die Standard-VPC:
Standardmäßig erstellt Compute Engine in jedem neuen Projekt, das Sie erstellen, ein Standardnetzwerk. Dieses Netzwerk ist im automatischen Modus konfiguriert. Dies bedeutet, dass für jede Region ein Subnetz vorab zugewiesen und automatisch ein CIDR-Bereich zugewiesen wird.
In diesem Abschnitt ersetzen Sie dieses VPC-Netzwerk durch ein Netzwerk im benutzerdefinierten Modus, das zwei Subnetze enthält und benutzerdefinierte CIDR-Bereiche verwendet.
Öffnen Sie Cloud Shell in der Google Cloud Console.
Starten Sie PowerShell:
pwsh
Konfigurieren Sie die gcloud-CLI für die Verwendung des neuen Projekts:
gcloud config set project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.
Löschen Sie alle Firewallregeln, die der Standard-VPC zugeordnet sind:
$ProjectId = gcloud config get-value core/project & gcloud compute firewall-rules list ` --filter "network=default" ` --format "value(name)" | % { gcloud compute firewall-rules delete --quiet $_ --project $ProjectId }Löschen Sie die Standard-VPC:
& gcloud compute networks list --format "value(name)" | % { gcloud compute networks delete $_ --quiet }
Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus.
Sie erstellen jetzt ein VPC-Netzwerk im benutzerdefinierten Modus in Ihrem VPC-Hostprojekt.
Initialisieren Sie in PowerShell die folgenden Variablen:
$VpcName = "VPC_NAME" $Region = "REGION" $SubnetRangeDomainControllers = "DC_CIDR" $SubnetRangeResources = "RESOURCES_CIDR"
Dabei gilt:
VPC_NAME: der Name der VPC.REGIONmit der Region, in der die Active Directory-Domaincontroller bereitgestellt werden sollen.DC_CIDR: mit dem Subnetzbereich, der für das Domaincontroller-Subnetz verwendet werden soll.RESOURCES_CIDRmit dem Subnetzbereich, der für das Ressourcen-Subnetz verwendet werden soll.
Beispiel:
$VpcName = "ad" $Region = "us-central1" $SubnetRangeDomainControllers = "10.0.0.0/28" $SubnetRangeResources = "10.0.1.0/24"
Erstellen Sie die VPC und konfigurieren Sie sie für die Verwendung als freigegebenes VPC-Netzwerk:
$ProjectId = gcloud config get-value core/project & gcloud compute networks create $VpcName --subnet-mode custom & gcloud compute shared-vpc enable $ProjectId
Erstellen Sie die Subnetze und aktivieren Sie Privaten Google Zugriff, damit Windows ohne Internetzugriff aktiviert werden kann.
& gcloud compute networks subnets create domain-controllers ` --network $VpcName ` --range $SubnetRangeDomainControllers ` --region $Region ` --enable-private-ip-google-access & gcloud compute networks subnets create resources ` --network $VpcName ` --range $SubnetRangeResources ` --region $Region ` --enable-private-ip-google-access
Subnetze und Firewallregeln bereitstellen
Sie erstellen jetzt Firewallregeln, um die Active Directory-Kommunikation in der VPC zuzulassen.
Lassen Sie über die Cloud IAP-TCP-Weiterleitung RDP-Verbindungen zu allen VM-Instanzen zu:
& gcloud compute firewall-rules create allow-rdp-ingress-from-iap ` --direction INGRESS ` --action allow ` --rules tcp:3389 ` --enable-logging ` --source-ranges 35.235.240.0/20 ` --network $VpcName ` --priority 10000
DNS-Abfragen von Cloud DNS an Domaincontroller zulassen.
& gcloud compute firewall-rules create allow-dns-ingress-from-clouddns ` --direction INGRESS ` --action=allow ` --rules udp:53,tcp:53 ` --enable-logging ` --source-ranges 35.199.192.0/19 ` --target-tags ad-domaincontroller ` --network $VpcName ` --priority 10000
Diese Firewallregel ist erforderlich, damit die private DNS-Weiterleitungszone funktioniert.
Lassen Sie die Active Directory-Replikation zwischen Domaincontrollern zu:
& gcloud compute firewall-rules create allow-replication-between-addc ` --direction INGRESS ` --action allow ` --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:49152-65535" ` --enable-logging ` --source-tags ad-domaincontroller ` --target-tags ad-domaincontroller ` --network $VpcName ` --priority 10000
Lassen Sie Active Directory-Anmeldungen von VMs im Ressourcen-Subnetz bei Domaincontroller zu:
& gcloud compute firewall-rules create allow-logon-ingress-to-addc ` --direction INGRESS ` --action allow ` --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:464,udp:464,tcp:3268,udp:3268,tcp:9389,tcp:49152-65535" ` --enable-logging ` --source-ranges $SubnetRangeResources ` --target-tags ad-domaincontroller ` --network $VpcName ` --priority 10000
Wenn Sie Secure LDAP konfigurieren möchten, müssen Sie Secure LDAP-Verbindungen von VMs, die sich im Ressourcensubnetz befinden, zu Domaincontrollern zulassen:
& gcloud compute firewall-rules create allow-ldaps-ingress-to-addc ` --direction INGRESS ` --action allow ` --rules tcp:636 ` --enable-logging ` --source-ranges $SubnetRangeResources ` --target-tags ad-domaincontroller ` --network $VpcName ` --priority 10000
Sie benötigen diese Firewallregel nur, wenn Sie Secure LDAP konfigurieren möchten.
(Optional) Erstellen Sie eine Firewallregel, die alle fehlgeschlagenen Zugriffsversuche protokolliert. Die Logs können nützlich für die Diagnose von Verbindungsproblemen sein. Sie können jedoch ein erhebliches Volumen an Logdaten erzeugen.
& gcloud compute firewall-rules create deny-ingress-from-all ` --direction INGRESS ` --action deny ` --rules tcp:0-65535,udp:0-65535 ` --enable-logging ` --source-ranges 0.0.0.0/0 ` --network $VpcName ` --priority 65000
Active Directory-Gesamtstruktur bereitstellen
In diesem Abschnitt erstellen Sie ein neues Dienstprojekt und hängen es an das zuvor erstellte Hostprojekt der freigegebenen VPC an. Anschließend stellen Sie mithilfe des Dienstprojekts eine neue Active Directory-Gesamtstruktur mit zwei Domaincontrollern bereit.
Projekt erstellen
Sie erstellen jetzt ein neues Projekt und verwenden es, um die Active Directory-Domaincontroller-VMs bereitzustellen.
-
Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.
-
Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.
-
Compute Engine and Secret Manager APIs aktivieren.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die benötigten Berechtigungen für die Bereitstellung der Active Directory-Gesamtstruktur zu erhalten:
-
Compute-Instanzadministrator (Version 1) (
roles/compute.instanceAdmin.v1) -
Service Account Admin (
roles/iam.serviceAccountAdmin) -
Service Account User (
roles/iam.serviceAccountUser) -
Secret Manager-Administrator (
roles/secretmanager.admin) - Nutzer IAP-gesicherter Tunnel (
roles/iap.tunnelResourceAccessor)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Konfiguration vorbereiten
Im nächsten Schritt bereiten Sie die Konfiguration für die Active Directory-Bereitstellung vor.
Wenn Sie die PowerShell-Sitzung bereits geschlossen haben, öffnen Sie Cloud Shell.
Starten Sie PowerShell:
pwsh
Konfigurieren Sie die gcloud-CLI für die Verwendung des neuen Projekts:
gcloud config set project DC_PROJECT_ID
Ersetzen Sie DC_PROJECT_ID durch die ID Ihres Projekts.
Verwenden Sie PowerShell, um die folgenden Variablen zu erstellen:
$AdDnsDomain = "DNS_DOMAIN" $AdNetbiosDomain = "NETBIOS_DOMAIN" $VpcProjectId = "VPCHOST_PROJECT_ID" $VpcName = "VPC_NAME" $Region = "REGION" $Zones = "REGION-a", "REGION-b"
Dabei gilt:
DNS_DOMAIN: der Stammdomainname der Gesamtstruktur des Active Directory-Gesamtstruktur, z. B.cloud.example.com.NETBIOS_DOMAIN: der NetBIOS-Domainname für die Gesamtstruktur-Stammdomain, z. B.CLOUD.VPCHOST_PROJECT_IDist die Projekt-ID des VPC-Hostprojekts, das Sie zuvor erstellt haben.VPC_NAME: Name des freigegebenen VPC-Netzwerks, das Sie zuvor erstellt haben.REGIONmit der Region, in der die Active Directory-Domaincontroller bereitgestellt werden sollen. Die Namen der Zonen basieren auf den Namen der von Ihnen angegebenen Region. Sie können die VPC und Ihre Domain jederzeit erweitern, um weitere Regionen abzudecken.
Beispiel:
$AdDnsDomain = "cloud.example.com" $AdNetbiosDomain = "CLOUD" $VpcProjectId = "vpc-project-123" $VpcName = "ad" $Region = "us-west1" $Zones = "us-west1-a", "us-west1-b"
Erstellen Sie eine private DNS-Weiterleitungszone
Jetzt reservieren Sie zwei statische IP-Adressen für Ihre Domaincontroller und erstellen eine private DNS-Weiterleitungszone, die alle DNS-Abfragen für die Active Directory-Domain an diese IP-Adressen weiterleitet.
Hängen Sie das Projekt an das freigegebene VPC-Netzwerk an:
$ProjectId = gcloud config get-value core/project & gcloud compute shared-vpc associated-projects add $ProjectId --host-project $VpcProjectId
Reservieren Sie zwei statische interne IP-Adressen im Subnetz der Domaincontroller:
$AddressOfDc1 = gcloud compute addresses create dc-1 ` --region $Region ` --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" ` --format value`(address`) $AddressOfDc2 = gcloud compute addresses create dc-2 ` --region $Region ` --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" ` --format value`(address`)
Erstellen Sie im VPC-Hostprojekt eine private Cloud DNS-Weiterleitungszone und konfigurieren Sie die Zone so, dass DNS-Abfragen an die beiden reservierten IP-Adressen weitergeleitet werden:
& gcloud dns managed-zones create $AdDnsDomain.Replace(".", "-") ` --project $VpcProjectId ` --dns-name $AdDnsDomain ` --description "Active Directory forwarding zone" ` --networks $VpcName ` --visibility private ` --forwarding-targets "$AddressOfDc1,$AddressOfDc2"
DSRM-Passwort erstellen
Sie definieren jetzt das DSRM-Passwort (Directory Service Restore Mode) und speichern es im Secret Manager. Anschließend gewähren Sie den Domaincontroller-VMs temporären Zugriff auf dieses Secret, damit sie die Active Directory-Gesamtstruktur bereitstellen können.
Generieren Sie ein zufälliges Passwort und speichern Sie es in einem Secret Manager-Secret:
# Generate a random password. $DsrmPassword = [Guid]::NewGuid().ToString()+"-"+[Guid]::NewGuid().ToString() $TempFile = New-TemporaryFile Set-Content $TempFile "$DsrmPassword" -NoNewLine & gcloud secrets create ad-password --data-file $TempFile Remove-Item $TempFile
Erstellen Sie das Dienstkonto für die Domaincontroller-VM-Instanzen:
$DcServiceAccount = gcloud iam service-accounts create ad-domaincontroller ` --display-name "AD Domain Controller" ` --format "value(email)"
Gewähren Sie dem Dienstkonto die Berechtigung zum Lesen des Secrets für die nächste Stunde:
$Expiry = [DateTime]::UtcNow.AddHours(1).ToString("o") & gcloud secrets add-iam-policy-binding ad-password ` --member=serviceAccount:$($DcServiceAccount) ` --role=roles/secretmanager.secretAccessor ` --condition="title=Expires after 1h,expression=request.time < timestamp('$Expiry')"
Domaincontroller bereitstellen
Sie stellen jetzt zwei VM-Instanzen bereit und erstellen eine neue Active Directory-Gesamtstruktur und -Domain. Verwenden Sie Startskripts, um die Anzahl der manuellen Schritte zu minimieren.
Führen Sie in PowerShell den folgenden Befehl aus, um ein Startskript zu generieren:
' $ErrorActionPreference = "Stop" # # Only run the script if the VM is not a domain controller already. # if ((Get-CimInstance -ClassName Win32_OperatingSystem).ProductType -eq 2) { exit } # # Read configuration from metadata. # Import-Module "${Env:ProgramFiles}\Google\Compute Engine\sysprep\gce_base.psm1" $ActiveDirectoryDnsDomain = Get-MetaData -Property "attributes/ActiveDirectoryDnsDomain" -instance_only $ActiveDirectoryNetbiosDomain = Get-MetaData -Property "attributes/ActiveDirectoryNetbiosDomain" -instance_only $ActiveDirectoryFirstDc = Get-MetaData -Property "attributes/ActiveDirectoryFirstDc" -instance_only $ProjectId = Get-MetaData -Property "project-id" -project_only $Hostname = Get-MetaData -Property "hostname" -instance_only $AccessToken = (Get-MetaData -Property "service-accounts/default/token" | ConvertFrom-Json).access_token # # Read the DSRM password from secret manager. # $Secret = (Invoke-RestMethod ` -Headers @{ "Metadata-Flavor" = "Google"; "x-goog-user-project" = $ProjectId; "Authorization" = "Bearer $AccessToken"} ` -Uri "https://secretmanager.googleapis.com/v1/projects/$ProjectId/secrets/ad-password/versions/latest:access") $DsrmPassword = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Secret.payload.data)) $DsrmPassword = ConvertTo-SecureString -AsPlainText $DsrmPassword -force # # Promote. # Write-Host "Setting administrator password..." Set-LocalUser -Name Administrator -Password $DsrmPassword if ($ActiveDirectoryFirstDc -eq $env:COMPUTERNAME) { Write-Host "Creating a new forest $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..." Install-ADDSForest ` -DomainName $ActiveDirectoryDnsDomain ` -DomainNetbiosName $DomainNetbiosName ` -SafeModeAdministratorPassword $DsrmPassword ` -DomainMode Win2008R2 ` -ForestMode Win2008R2 ` -InstallDns ` -CreateDnsDelegation:$False ` -NoRebootOnCompletion:$True ` -Confirm:$false } else { do { Write-Host "Waiting for domain to become available..." Start-Sleep -s 60 & ipconfig /flushdns | Out-Null & nltest /dsgetdc:$ActiveDirectoryDnsDomain | Out-Null } while ($LASTEXITCODE -ne 0) Write-Host "Adding DC to $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..." Install-ADDSDomainController ` -DomainName $ActiveDirectoryDnsDomain ` -SafeModeAdministratorPassword $DsrmPassword ` -InstallDns ` -Credential (New-Object System.Management.Automation.PSCredential ("Administrator@$ActiveDirectoryDnsDomain", $DsrmPassword)) ` -NoRebootOnCompletion:$true ` -Confirm:$false } # # Configure DNS. # Write-Host "Configuring DNS settings..." Get-Netadapter| Disable-NetAdapterBinding -ComponentID ms_tcpip6 Set-DnsClientServerAddress ` -InterfaceIndex (Get-NetAdapter -Name Ethernet).InterfaceIndex ` -ServerAddresses 127.0.0.1 # # Enable LSA protection. # New-ItemProperty ` -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" ` -Name "RunAsPPL" ` -Value 1 ` -PropertyType DWord Write-Host "Restarting to apply all settings..." Restart-Computer ' | Out-File dc-startup.ps1 -Encoding ASCIIDas Skript tut Folgendes:
- Lesen Sie das DSRM-Passwort aus Secret Manager.
- Stufen Sie die VM zu einem Domaincontroller hoch.
- Konfigurieren Sie die DNS-Einstellungen so, dass jeder Domaincontroller die Loopback-Adresse als DNS-Server verwendet.
- Deaktivieren Sie IPv6.
- Aktivieren Sie den LSA-Schutz.
Erstellen Sie eine VM-Instanz für den ersten Domaincontroller:
$Subnet = "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" $Metadata = ` "ActiveDirectoryDnsDomain=$AdDnsDomain", "ActiveDirectoryNetbiosDomain=$AdNetbiosDomain", "ActiveDirectoryFirstDc=dc-1", "sysprep-specialize-script-ps1=Install-WindowsFeature AD-Domain-Services; Install-WindowsFeature DNS", "disable-account-manager=true" -join "," & gcloud compute instances create dc-1 ` --image-family windows-2022 ` --image-project windows-cloud ` --machine-type n2-standard-8 ` --tags ad-domaincontroller ` --metadata "$Metadata" ` --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 ` --no-address ` --network-interface "no-address,private-network-ip=$AddressOfDc1,subnet=$Subnet" ` --service-account $DcServiceAccount ` --scopes cloud-platform ` --zone $Zones[0] ` --shielded-integrity-monitoring ` --shielded-secure-boot ` --shielded-vtpm ` --deletion-protection
Mit diesem Befehl wird Folgendes ausgeführt:
- Erstellen Sie eine Shielded Windows Server 2022-VM.
- Weisen Sie der VM das
ad-domaincontroller-Dienstkonto zu, damit es auf das DSRM-Passwort zugreifen kann. - Konfigurieren Sie den Gast-Agent so, dass der Kontomanager deaktiviert wird. Weitere Informationen zum Konfigurieren des Gast-Agents finden Sie unter Windows-Instanzfeatures aktivieren und deaktivieren.
- Erlauben Sie der VM, die Windows-Features
AD-Domain-ServicesundDNSwährend der Sysprep-Spezialisierungsphase zu installieren. - Lassen Sie die VM das zuvor erstellte Startskript ausführen.
Erstellen Sie eine weitere VM-Instanz für den zweiten Domaincontroller und platzieren Sie sie in einer anderen Zone:
& gcloud compute instances create dc-2 ` --image-family windows-2022 ` --image-project windows-cloud ` --machine-type n2-standard-8 ` --tags ad-domaincontroller ` --metadata "$Metadata" ` --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 ` --no-address ` --network-interface "no-address,private-network-ip=$AddressOfDc2,subnet=$Subnet" ` --service-account $DcServiceAccount ` --scopes cloud-platform ` --zone $Zones[1] ` --shielded-integrity-monitoring ` --shielded-secure-boot ` --shielded-vtpm ` --deletion-protection
Überwachen Sie den Initialisierungsprozess des ersten Domaincontroller. Rufen Sie dazu die Ausgabe des seriellen Ports auf:
& gcloud compute instances tail-serial-port-output dc-1 --zone $Zones[0]
Warten Sie etwa zehn Minuten, bis die Meldung
Restarting to apply all settings...angezeigt wird, und drücken Sie dannCtrl+C.Überwachen Sie den Initialisierungsprozess des zweiten Domaincontroller. Rufen Sie dazu die Ausgabe des seriellen Ports auf:
& gcloud compute instances tail-serial-port-output dc-2 --zone $Zones[1]
Warten Sie etwa zehn Minuten, bis die Meldung
Restarting to apply all settings...angezeigt wird, und drücken Sie dannCtrl+C.
Die Active Directory-Gesamtstruktur und -Domain können jetzt verwendet werden.
Verbindung zu einem Domaincontroller herstellen
Sie können jetzt die Active Directory-Gesamtstruktur anpassen, indem Sie eine Verbindung zu einem der Domaincontroller herstellen.
Rufen Sie in PowerShell das Passwort für den Nutzer
Administratorauf:gcloud secrets versions access latest --secret ad-password
Stellen Sie eine Verbindung zu
dc-1über RDP her und melden Sie sich alsAdministrator-Nutzer an.Da die VM-Instanz keine öffentlichen IP-Adressen hat, müssen Sie die Verbindung über TCP-Weiterleitung mit Identity-Aware Proxy herstellen.