Aggiungere automaticamente una VM Windows a un dominio

Questa pagina spiega come aggiungere un'istanza VM Windows Compute Engine a un dominio utilizzando la funzionalità di adesione al dominio automatica in Managed Service for Microsoft Active Directory.

In che modo Managed Microsoft AD connette automaticamente una VM Windows a un dominio

Per utilizzare Managed Microsoft AD per autenticare le applicazioni in esecuzione sulle tue VM, devi unire le VM al dominio Microsoft Active Directory gestito. Il processo di unione al dominio di solito prevede l'esecuzione di alcuni passaggi manuali.

Quando crei o aggiorni una VM Windows Compute Engine, puoi unire la VM al tuo dominio Microsoft AD gestito automatizzando l'approccio manuale utilizzando script. Tuttavia, per eseguire questi script su una VM di Compute Engine, sono necessarie le credenziali AD, che devono essere archiviate e gestite in modo sicuro, e un ambiente per il provisioning e l'esecuzione di questi script. Per eliminare la necessità di credenziali e di un servizio aggiuntivo, puoi automatizzare il processo di join del dominio con script pronti all'uso disponibili in Managed Microsoft AD.

Quando crei VM Compute Engine, puoi utilizzare script per unire automaticamente le VM al tuo dominio Microsoft AD gestito. Dopo che Compute Engine ha creato le VM, Microsoft Active Directory gestito avvia la richiesta di unione al dominio e tenta di unire le VM al tuo dominio. Se la richiesta di unione al dominio ha esito positivo, Microsoft Active Directory gestito unisce le VM create al tuo dominio. Se la richiesta di adesione al dominio non va a buon fine, le VM create continuano a funzionare. Per motivi di sicurezza o fatturazione, puoi personalizzare questo comportamento e Managed Microsoft AD può arrestare le VM quando la richiesta di adesione al dominio non va a buon fine.

Quando aggiorni le VM di Compute Engine, puoi utilizzare gli script per unire automaticamente le VM esistenti al tuo dominio Microsoft AD gestito. Affinché la richiesta di unione al dominio vada a buon fine, Microsoft Active Directory gestito riavvia le VM dopo aver eseguito gli script.

Prima di iniziare

  1. Crea un dominio Microsoft AD gestito.

  2. Assicurati che il nome della VM abbia un massimo di 15 caratteri.

  3. Assicurati che la VM venga eseguita su una versione di Windows supportata da Managed Microsoft AD.

  4. Configura il peering di domini tra il dominio Microsoft Active Directory gestito e la rete della VM oppure fai in modo che il dominio Microsoft Active Directory gestito e la VM siano nella stessa rete.

  5. Crea un account di servizio con il ruolo IAM Join di dominio delle identità gestite di Google Cloud (roles/managedidentities.domainJoin) nel progetto che ha il dominio Microsoft Active Directory gestito. Per saperne di più, consulta Ruoli delle identità gestite da Cloud.

  6. Imposta l'ambito di accesso cloud-platform completo sulla VM. Per ulteriori informazioni, consulta la sezione Autorizzazione.

Metadati

Per aggiungere una VM Windows a un dominio, sono necessarie le seguenti chiavi dei metadati.

Chiavi dei metadati Descrizione
windows-startup-script-url Utilizza questa chiave di metadati per specificare la posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue durante il processo di avvio. Per utilizzare lo script di avvio di Windows precaricato da Managed Microsoft AD, puoi inserire il seguente URL: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.

Se la VM non ha accesso a questo URL, puoi passare lo script di avvio utilizzando uno qualsiasi degli altri metodi supportati. Per ulteriori informazioni, consulta la sezione Utilizzo degli script di avvio sulle VM Windows.
managed-ad-domain Utilizza questa chiave di metadati per specificare il nome completo della risorsa del dominio Microsoft Active Directory gestito a cui eseguire l'unione, sotto forma di: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Ad esempio: projects/my-project-123/locations/global/domains/my-domain.example.com.
managed-ad-domain-join-failure-stop (Facoltativo) Per impostazione predefinita, la VM continua a essere eseguita anche dopo che la richiesta di unione al dominio ha esito negativo. Puoi impostare questa chiave di metadati su TRUE se vuoi arrestare la VM quando la richiesta non va a buon fine. Microsoft Active Directory gestito può arrestare la VM dopo che hai impostato questa chiave di metadati, ma non la elimina.
enable-guest-attributes (Facoltativo) Per impostazione predefinita, gli attributi guest sono disattivati in una VM. Puoi impostare questa chiave di metadati su TRUE se vuoi utilizzare gli attributi guest della VM per registrare lo stato di join del dominio dopo l'esecuzione dello script di avvio.

Microsoft Active Directory gestito scrive lo stato di join del dominio nelle seguenti chiavi nello spazio dei nomi managed-ad di guest-attributes:
  • domain-join-status: questa chiave fornisce lo stato della richiesta di unione al dominio dopo l'esecuzione dello script.
  • domain-join-failure-message: se la richiesta di adesione al dominio non va a buon fine, questa chiave fornisce il messaggio di errore.
  • Quando ricevi gli attributi guest, puoi utilizzare lo spazio dei nomi e le chiavi per visualizzare lo stato di unione al dominio.
    managed-ad-ou-name (Facoltativo) Per impostazione predefinita, Microsoft Active Directory gestito unisce la VM all'unità organizzativa (UO) GCE Instances creata in precedenza nell'UO Cloud per gestire meglio i criteri. Per saperne di più sull'UO Cloud, vedi Unità organizzative.

    Se vuoi unire la VM a una UO personalizzata, devi creare l'UO personalizzata sotto l'UO GCE Instances o nell'UO Cloud in Microsoft Active Directory gestito e utilizzare questa chiave di metadati per specificare l'UO personalizzata. AD Microsoft gestito non supporta un'OU personalizzata creata in un luogo diverso dall'OU Cloud o dall'OU GCE Instances.

    Se crei una UO personalizzata all'interno dell'UO Cloud, specifica il percorso della UO personalizzata nel seguente formato: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Ad esempio, /cloud/my-sub-ou/my-custom-ou.

    Per saperne di più sulla gestione degli oggetti AD in Microsoft Active Directory gestito, vedi Gestire gli oggetti Active Directory.
    managed-ad-force (Facoltativo) Quando elimini una VM che hai aggiunto a un dominio, l'account computer della VM continua a esistere in Microsoft Active Directory gestito. Quando provi a unire un'altra VM con lo stesso account computer, la richiesta di unione al dominio non va a buon fine per impostazione predefinita. Microsoft Active Directory gestito può riutilizzare un account computer esistente se imposti questa chiave di metadati su TRUE.

    Unisci la VM Windows

    Puoi utilizzare queste chiavi dei metadati quando crei una VM Windows o aggiorni una VM esistente. Le sezioni seguenti illustrano come utilizzare queste chiavi di metadati nei comandi gcloud CLI quando crei una VM o aggiorni una VM.

    Tuttavia, puoi utilizzare queste chiavi dei metadati con una VM anche utilizzando le altre opzioni disponibili. Per saperne di più sull'utilizzo dei metadati con una VM Windows Compute Engine, consulta Impostare i metadati personalizzati.

    Unisci una VM Windows durante la creazione

    Per creare e unire una VM Windows Compute Engine, esegui questo comando gcloud CLI:

    gcloud compute instances create INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform \
        --image-project windows-cloud \
        --image-family IMAGE_FAMILY
    

    Sostituisci quanto segue:

    • INSTANCE_NAME: nome della VM Windows Compute Engine da creare. Ad esempio, my-instance-1.
    • URL: un percorso accessibile pubblicamente dello script di avvio di Windows che la VM esegue durante il processo di avvio.
    • DOMAIN_RESOURCE_PATH: nome completo della risorsa del dominio Microsoft Active Directory gestito a cui partecipare. Ad esempio, projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: un account di servizio che vuoi collegare alla VM. Ad esempio, my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: gli ambiti di accesso predefiniti configurati nella VM limitano la richiesta di adesione al dominio. Devi impostare l'ambito di accesso cloud-platform completo sulla VM. Per ulteriori informazioni, consulta la sezione Autorizzazione.
    • --image-project: devi impostare questo flag su windows-cloud per creare una VM Windows. Per ulteriori informazioni, vedi gcloud compute instances create.
    • IMAGE_FAMILY: specifica una delle famiglie di immagini pubbliche che contengono immagini per le versioni di Windows supportate. Ad esempio: windows-2019-core.

    Per saperne di più sull'aggiunta di metadati durante la creazione della VM, consulta Impostare i metadati durante la creazione della VM.

    Unisci una VM Windows esistente

    Puoi aggiornare le chiavi di metadati su una VM Windows Compute Engine esistente e aggiungere la VM al tuo dominio. Dopo aver aggiunto queste chiavi dei metadati alla VM, riavviala in modo che la richiesta di adesione al dominio vada a buon fine.

    Per unire una VM Windows Compute Engine esistente, esegui questo comando gcloud CLI:

    gcloud compute instances add-metadata INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform
    

    Sostituisci quanto segue:

    • INSTANCE_NAME: nome della VM Windows Compute Engine che vuoi unire. Ad esempio, my-instance-1.
    • URL: una posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue dopo il riavvio.
    • DOMAIN_RESOURCE_PATH: nome completo della risorsa del dominio Microsoft Active Directory gestito a cui partecipare. Ad esempio, projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: l'account di servizio a cui hai collegato la VM durante la creazione. Ad esempio, my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: gli ambiti di accesso predefiniti configurati nella VM limitano la richiesta di adesione al dominio. Devi impostare l'ambito di accesso completo cloud-platform sulla VM. Per ulteriori informazioni, consulta la sezione Autorizzazione.

    Per saperne di più sull'aggiunta di metadati a una VM esistente, consulta Aggiornare i metadati su una VM in esecuzione.

    Ripulire le VM non unite

    Consigliamo di eliminare manualmente l'account del computer da Microsoft Active Directory gestito nei seguenti scenari:

    • Se elimini una VM che hai aggiunto al dominio Microsoft AD gestito.
    • Se non è stato possibile unire una VM al dominio Microsoft AD gestito.

    Visualizzare i log di debug

    Se la richiesta di unione al dominio non va a buon fine, puoi controllare lo script di avvio nei log per identificare e risolvere il problema. Per controllare i log dello script di avvio, puoi visualizzare l'output della porta seriale 1. Se hai attivato gli attributi guest sulla VM, puoi ottenere gli attributi guest per visualizzare i log.

    Per informazioni sugli errori comuni che si possono verificare durante l'aggiunta di una VM a un dominio, vedi Impossibile aggiungere automaticamente una VM Windows a un dominio.

    Passaggi successivi