Halaman ini menjelaskan cara menggabungkan instance VM Compute Engine Windows ke domain menggunakan fitur penggabungan domain otomatis di Layanan Terkelola untuk Microsoft Active Directory.
Cara Microsoft AD Terkelola menggabungkan VM Windows secara otomatis ke domain
Agar dapat menggunakan Microsoft AD Terkelola untuk mengautentikasi aplikasi yang berjalan di VM, Anda harus menggabungkan VM ke domain Microsoft AD Terkelola Anda. Proses penggabungan domain biasanya melibatkan beberapa langkah manual.
Saat membuat atau mengupdate VM Windows Compute Engine, Anda dapat menggabungkan VM ke domain Microsoft AD Terkelola dengan mengotomatiskan pendekatan manual menggunakan skrip. Namun, untuk menjalankan skrip ini di VM Compute Engine, Anda memerlukan kredensial AD yang perlu disimpan dan dipelihara dengan aman, serta lingkungan untuk menyediakan dan menjalankan skrip ini. Agar kredensial dan layanan tambahan tidak diperlukan, Anda dapat mengotomatiskan proses penggabungan domain dengan skrip siap pakai yang tersedia dari Microsoft AD Terkelola.
Saat membuat VM Compute Engine, Anda dapat menggunakan skrip untuk otomatis menggabungkan VM ke domain Microsoft AD Terkelola Anda. Setelah Compute Engine membuat VM, Microsoft AD Terkelola memulai permintaan bergabung dengan domain dan mencoba untuk menggabungkan VM dengan domain Anda. Jika permintaan bergabung ke domain berhasil, Microsoft AD Terkelola akan menggabungkan VM yang dibuat ke domain Anda. Jika permintaan bergabung ke domain gagal, VM yang dibuat akan terus berjalan. Untuk tujuan keamanan atau penagihan, Anda dapat menyesuaikan perilaku ini dan Microsoft AD Terkelola dapat menghentikan VM saat permintaan bergabung ke domain gagal.
Saat mengupdate VM Compute Engine, Anda dapat menggunakan skrip untuk otomatis menggabungkan VM yang ada ke domain Microsoft AD Terkelola. Agar permintaan bergabung ke domain berhasil, Microsoft AD Terkelola akan memulai ulang VM setelah menjalankan skrip.
Sebelum memulai
Pastikan nama VM berisi maksimal 15 karakter.
Pastikan VM berjalan pada versi Windows yang didukung Microsoft AD Terkelola.
Konfigurasikan peering domain antara domain Microsoft AD Terkelola dan jaringan VM, atau miliki domain Microsoft AD dan VM Terkelola di jaringan yang sama.
Buat akun layanan dengan peran IAM Google Cloud Managed Identities Domain Join (
roles/managedidentities.domainJoin) di project yang memiliki domain Microsoft AD Terkelola. Untuk mengetahui informasi selengkapnya, lihat Peran Cloud Managed Identities.Untuk mengetahui informasi selengkapnya tentang memberikan peran, lihat Memberikan satu peran.
Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Mengautentikasi beban kerja menggunakan akun layanan.
Tetapkan cakupan akses
cloud-platformpenuh pada VM. Untuk informasi lebih lanjut, lihat Otorisasi.
Metadata
Anda memerlukan kunci metadata berikut untuk menggabungkan VM Windows ke domain.
| Kunci metadata | Deskripsi |
|---|---|
windows-startup-script-url |
Gunakan kunci metadata ini untuk menentukan lokasi skrip startup Windows yang dapat diakses publik yang dijalankan VM selama proses startup. Untuk menggunakan skrip startup Windows yang telah dikirimkan sebelumnya oleh Microsoft AD Terkelola, Anda dapat memasukkan URL berikut: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.Jika VM tidak memiliki akses ke URL ini, Anda dapat meneruskan skrip startup menggunakan salah satu metode lain yang didukung. Untuk informasi selengkapnya, lihat Menggunakan skrip startup di VM Windows. |
managed-ad-domain |
Gunakan kunci metadata ini untuk menentukan nama resource lengkap domain Microsoft AD Terkelola yang akan digabungkan, dalam bentuk: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Misalnya, projects/my-project-123/locations/global/domains/my-domain.example.com. |
managed-ad-domain-join-failure-stop |
Opsional: Secara default, VM akan terus berjalan bahkan setelah permintaan bergabung ke domain gagal. Anda dapat menetapkan kunci metadata ini ke TRUE jika ingin menghentikan VM saat permintaan gagal. Microsoft AD terkelola dapat menghentikan VM setelah Anda menetapkan kunci metadata ini, tetapi tindakan ini tidak menghapus VM. |
enable-guest-attributes |
Opsional: Secara default, atribut tamu dinonaktifkan di VM. Anda dapat menetapkan kunci metadata ini ke TRUE jika ingin menggunakan atribut tamu VM untuk mencatat status bergabung domain ke dalam log setelah skrip startup dijalankan.Microsoft AD terkelola menulis status penggabungan domain di kunci berikut pada namespace managed-ad dari guest-attributes:
domain-join-status: Kunci ini memberikan status permintaan bergabung domain setelah eksekusi skrip.domain-join-failure-message: Jika permintaan bergabung domain gagal, kunci ini akan memberikan pesan error. |
managed-ad-ou-name |
Opsional: Secara default, Microsoft AD Terkelola menggabungkan VM ke unit organisasi (OU) GCE Instances yang telah dibuat sebelumnya di OU Cloud untuk mengelola kebijakan dengan lebih baik. Untuk informasi selengkapnya tentang OU Cloud, lihat Unit organisasi.Jika ingin menggabungkan VM ke OU kustom, Anda harus membuat OU kustom di bawah OU GCE Instances atau OU Cloud di Microsoft AD Terkelola dan menggunakan kunci metadata ini untuk menentukan OU kustom. Microsoft AD terkelola tidak mendukung OU kustom yang Anda buat di mana pun selain di bawah Cloud OU atau GCE Instances OU.Jika Anda membuat OU kustom pada OU Cloud, tentukan jalur OU kustom dalam format berikut: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Contoh, /cloud/my-sub-ou/my-custom-ou.Untuk informasi selengkapnya tentang mengelola objek AD di Microsoft AD Terkelola, lihat Mengelola objek Active Directory. |
managed-ad-force |
Opsional: Saat Anda menghapus VM yang telah digabungkan dengan domain, akun komputer VM akan tetap ada di Microsoft AD Terkelola. Saat Anda mencoba bergabung ke VM lain dengan akun komputer yang sama, permintaan bergabung ke domain akan gagal secara default. Microsoft AD terkelola dapat menggunakan kembali akun komputer yang ada jika Anda menetapkan kunci metadata ini ke TRUE.
|
Bergabung dengan VM Windows
Anda dapat menggunakan kunci metadata ini saat membuat VM Windows atau mengupdate VM yang ada. Bagian berikut menggambarkan cara menggunakan kunci metadata ini dalam perintah gcloud CLI saat Anda membuat VM atau mengupdate VM.
Namun, Anda juga dapat menggunakan kunci metadata ini dengan VM menggunakan opsi lain yang tersedia. Untuk mengetahui informasi selengkapnya tentang penggunaan metadata dengan VM Windows Compute Engine, lihat Menetapkan metadata kustom.
Bergabung dengan VM Windows selama pembuatan
Untuk membuat dan bergabung dengan VM Compute Engine Windows, jalankan perintah gcloud CLI berikut:
gcloud compute instances create INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--image-project windows-cloud \
--image-family IMAGE_FAMILY
Ganti kode berikut:
- INSTANCE_NAME: Nama VM Compute Engine Windows yang akan dibuat. Contoh,
my-instance-1. - URL: Lokasi skrip startup Windows yang dapat diakses secara publik yang dijalankan VM selama proses startup.
- DOMAIN_RESOURCE_PATH: Nama resource lengkap domain Microsoft AD Terkelola yang akan bergabung. Contoh,
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: Akun layanan yang ingin Anda pasang ke VM. Contoh,
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Cakupan akses default yang dikonfigurasi di VM membatasi permintaan bergabung domain. Anda perlu menetapkan cakupan aksescloud-platformpenuh di VM. Untuk informasi lebih lanjut, lihat Otorisasi.--image-project: Anda harus menetapkan tanda ini sebagaiwindows-clouduntuk membuat VM Windows. Untuk informasi selengkapnya, lihatgcloud compute instances create.- IMAGE_FAMILY: Menentukan salah satu kelompok gambar publik yang memiliki gambar untuk versi Windows yang didukung. Contohnya,
windows-2019-core
Untuk mengetahui informasi selengkapnya tentang menambahkan metadata selama pembuatan VM, lihat Menetapkan metadata selama pembuatan VM.
Bergabung dengan VM Windows yang ada
Anda dapat memperbarui kunci metadata di VM Windows Compute Engine yang ada dan menggabungkan VM ke domain Anda. Setelah Anda menambahkan kunci metadata ini ke VM, mulai ulang VM agar permintaan bergabung dengan domain berhasil.
Untuk bergabung dengan VM Compute Engine Windows yang ada, jalankan perintah gcloud CLI berikut:
gcloud compute instances add-metadata INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform
Ganti kode berikut:
- INSTANCE_NAME: Nama VM Compute Engine Windows yang ingin Anda ikuti. Contoh,
my-instance-1. - URL: Lokasi skrip startup Windows yang dapat diakses secara publik yang dijalankan VM setelah mulai ulang.
- DOMAIN_RESOURCE_PATH: Nama resource lengkap domain Microsoft AD Terkelola yang akan bergabung. Contoh,
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: Akun layanan tempat Anda memasang VM selama pembuatan. Contoh,
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Cakupan akses default yang dikonfigurasi di VM membatasi permintaan bergabung domain. Anda perlu menetapkan cakupan aksescloud-platformpenuh di VM. Untuk informasi lebih lanjut, lihat Otorisasi.
Untuk mengetahui informasi selengkapnya tentang cara menambahkan metadata ke VM yang sudah ada, lihat Memperbarui metadata di VM yang berjalan.
Membersihkan VM yang tidak bergabung
Sebaiknya hapus akun komputer secara manual dari Microsoft AD Terkelola dalam skenario berikut:
- Jika Anda menghapus VM yang telah digabungkan dengan domain Microsoft AD Terkelola.
- Jika VM gagal digabungkan dengan domain Microsoft AD Terkelola.
Lihat log debug
Jika permintaan bergabung domain gagal, Anda dapat memeriksa log skrip startup guna mengidentifikasi dan memecahkan masalah. Untuk memeriksa log skrip startup, Anda dapat melihat output Port serial 1. Jika Anda telah mengaktifkan atribut tamu di VM, Anda bisa mendapatkan atribut tamu untuk melihat log.
Untuk informasi tentang error umum yang dapat Anda alami saat bergabung dengan VM ke domain, lihat Tidak dapat bergabung dengan VM Windows secara otomatis ke domain.