Esta página foi traduzida pela API Cloud Translation.

Associe automaticamente uma VM do Windows a um domínio

Esta página explica como associar uma instância de VM do Windows Compute Engine a um domínio através da funcionalidade de associação automática a um domínio no Managed Service for Microsoft Active Directory.

Como o Microsoft AD gerido associa automaticamente uma VM do Windows a um domínio

Para usar o Managed Microsoft AD para autenticar as aplicações em execução nas suas VMs, tem de associar as VMs ao seu domínio do Managed Microsoft AD. Normalmente, o processo de associação ao domínio envolve a execução de alguns passos manuais.

Quando cria ou atualiza uma VM do Compute Engine do Windows, pode associar a VM ao seu domínio do Microsoft AD gerido automatizando a abordagem manual através de scripts. No entanto, para executar estes scripts numa VM do Compute Engine, precisa de credenciais do AD que têm de ser armazenadas e mantidas em segurança, bem como de um ambiente para aprovisionar e executar estes scripts. Para eliminar a necessidade de credenciais e um serviço adicional, pode automatizar o processo de associação ao domínio com scripts prontos a usar disponíveis no Managed Microsoft AD.

Quando cria VMs do Compute Engine, pode usar scripts para associar automaticamente as VMs ao seu domínio do Microsoft AD gerido. Depois de o Compute Engine criar as VMs, o Managed Microsoft AD inicia o pedido de associação ao domínio e tenta associar as VMs ao seu domínio. Se o pedido de associação ao domínio for bem-sucedido, o Managed Microsoft AD associa as VMs criadas ao seu domínio. Se o pedido de associação ao domínio falhar, as VMs criadas continuam a ser executadas. Por motivos de segurança ou faturação, pode personalizar este comportamento e o Managed Microsoft AD pode parar as VMs quando o pedido de associação ao domínio falha.

Quando atualiza as VMs do Compute Engine, pode usar scripts para associar automaticamente as VMs existentes ao seu domínio do Microsoft AD gerido. Para que o pedido de associação ao domínio seja bem-sucedido, o Managed Microsoft AD reinicia as VMs após a execução dos scripts.

Antes de começar

Crie um domínio do Microsoft AD gerido.
Certifique-se de que o nome da VM tem um máximo de 15 carateres.
Certifique-se de que a VM é executada numa versão do Windows suportada pelo Managed Microsoft AD.
Configure a interligação de domínios entre o domínio do Microsoft AD gerido e a rede da VM ou tenha o domínio do Microsoft AD gerido e a VM na mesma rede.
Crie uma conta de serviço com a função de IAM Google Cloud Managed Identities Domain Joinroles/managedidentities.domainJoin no projeto que tem o domínio do Microsoft AD gerido. Para mais informações, consulte o artigo Funções das identidades geridas na nuvem.
- Para mais informações sobre a concessão de funções, consulte o artigo Conceda uma única função.
- Para ver informações sobre como criar uma conta de serviço, consulte o artigo Autentique cargas de trabalho com contas de serviço.
Defina o âmbito de acesso total do cloud-platform na VM. Para mais informações, consulte o artigo Autorização.

Metadados

Precisa das seguintes chaves de metadados para associar uma VM do Windows a um domínio.

Chaves de metadados	Descrição
`windows-startup-script-url`	Use esta chave de metadados para especificar a localização acessível publicamente do script de arranque do Windows que a VM executa durante o processo de arranque. Para usar o script de arranque do Windows pré-entregue pelo Managed Microsoft AD, pode introduzir o seguinte URL: `https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1`. Se a VM não tiver acesso a este URL, pode transmitir o script de arranque através de qualquer um dos outros métodos suportados. Para mais informações, consulte o artigo Usar scripts de arranque em VMs do Windows.
`managed-ad-domain`	Use esta chave de metadados para especificar o nome completo do recurso do seu domínio do Microsoft AD gerido para associar, no formato: `projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME`. Por exemplo, `projects/my-project-123/locations/global/domains/my-domain.example.com`.
`managed-ad-domain-join-failure-stop`	Opcional: por predefinição, a VM continua a ser executada mesmo depois de o pedido de associação ao domínio falhar. Pode definir esta chave de metadados como `TRUE` se quiser parar a VM quando o pedido falhar. O Microsoft AD gerido pode parar a VM depois de definir esta chave de metadados, mas não elimina a VM.
`enable-guest-attributes`	Opcional: por predefinição, os atributos do convidado estão desativados numa VM. Pode definir esta chave de metadados como `TRUE` se quiser usar os atributos do SO convidado da VM para registar o estado de associação ao domínio após a execução do script de arranque. O Microsoft AD gerido escreve o estado de associação ao domínio nas seguintes chaves no espaço de nomes `managed-ad` de `guest-attributes`: `domain-join-status`: esta chave fornece o estado do pedido de associação ao domínio após a execução do script. `domain-join-failure-message`: se o pedido de associação ao domínio falhar, esta chave fornece a mensagem de erro. Quando obtém os atributos de convidado, pode usar este espaço de nomes e chaves para ver o estado de associação ao domínio.
`managed-ad-ou-name`	Opcional: por predefinição, o Managed Microsoft AD associa-se à UO `GCE Instances` que é pré-criada na UO `Cloud` para gerir melhor as políticas. Para mais informações sobre a `Cloud`UO, consulte o artigo Unidades organizacionais. Se quiser associar a VM a uma UO personalizada, tem de criar a UO personalizada na UO `GCE Instances` ou na UO `Cloud` no Managed Microsoft AD e usar esta chave de metadados para especificar a UO personalizada. O Microsoft AD gerido não suporta uma UO personalizada que crie em qualquer lugar que não seja na UO `Cloud` ou na UO `GCE Instances`. Se criar uma UO personalizada na UO `Cloud`, especifique o caminho da UO personalizada no seguinte formato: `/cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU`. Por exemplo, `/cloud/my-sub-ou/my-custom-ou`. Para mais informações sobre a gestão de objetos do AD no Microsoft AD gerido, consulte o artigo Faça a gestão de objetos do Active Directory.
`managed-ad-force`	Opcional: quando elimina uma VM que associou a um domínio, a conta do computador da VM continua a existir no Managed Microsoft AD. Quando tenta associar outra VM com a mesma conta de computador, o pedido de associação ao domínio falha por predefinição. O Microsoft AD gerido pode reutilizar uma conta de computador existente se definir esta chave de metadados como `TRUE`.

Adira à VM do Windows

Pode usar estas chaves de metadados quando cria uma VM do Windows ou atualiza uma VM existente. As secções seguintes ilustram como usar estas chaves de metadados em comandos da CLI gcloud quando cria ou atualiza uma VM.

No entanto, também pode usar estas chaves de metadados com uma VM através das outras opções disponíveis. Para mais informações sobre a utilização de metadados com uma VM do Compute Engine do Windows, consulte o artigo Defina metadados personalizados.

Junte-se a uma VM do Windows durante a criação

Para criar e associar uma VM do Compute Engine do Windows, execute o seguinte comando da CLI gcloud:

gcloud compute instances create INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --image-project windows-cloud \
    --image-family IMAGE_FAMILY

Substitua o seguinte:

INSTANCE_NAME: nome da VM do Windows Compute Engine a criar. Por exemplo, my-instance-1.
URL: uma localização acessível publicamente do script de arranque do Windows que a VM executa durante o processo de arranque.
DOMAIN_RESOURCE_PATH: nome completo do recurso do seu domínio do Microsoft AD gerido ao qual quer aderir. Por exemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: uma conta de serviço que quer anexar à VM. Por exemplo, my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: os âmbitos de acesso predefinidos configurados na VM restringem o pedido de associação ao domínio. Tem de definir o âmbito de acesso cloud-platform completo na VM. Para mais informações, consulte o artigo Autorização.
--image-project: tem de definir esta flag como windows-cloud para criar uma VM do Windows. Para mais informações, consulte gcloud compute instances create.
IMAGE_FAMILY: especifique uma das famílias de imagens públicas que tem imagens para as versões do Windows suportadas. Por exemplo, windows-2019-core.

Para mais informações sobre como adicionar metadados durante a criação de VMs, consulte o artigo Defina metadados durante a criação de VMs.

Participe numa VM do Windows existente

Pode atualizar as chaves de metadados numa VM do Windows Compute Engine existente e associar a VM ao seu domínio. Depois de adicionar estas chaves de metadados à VM, reinicie a VM para que o pedido de associação ao domínio seja bem-sucedido.

Para associar uma VM do Compute Engine do Windows existente, execute o seguinte comando da CLI gcloud:

gcloud compute instances add-metadata INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Substitua o seguinte:

INSTANCE_NAME: nome da VM do Windows Compute Engine à qual quer aderir. Por exemplo, my-instance-1.
URL: uma localização acessível publicamente do script de arranque do Windows que a VM executa após o reinício.
DOMAIN_RESOURCE_PATH: nome completo do recurso do seu domínio do Microsoft AD gerido ao qual quer aderir. Por exemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: a conta de serviço à qual anexou a VM durante a criação. Por exemplo, my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: os âmbitos de acesso predefinidos configurados na VM restringem o pedido de associação ao domínio. Tem de definir o âmbito de acesso cloud-platform completo na VM. Para mais informações, consulte o artigo Autorização.

Para mais informações sobre como adicionar metadados a uma VM existente, consulte o artigo Atualizar metadados numa VM em execução.

Limpe VMs não associadas

Recomendamos que elimine manualmente a conta do computador do Managed Microsoft AD nos seguintes cenários:

Se eliminar uma VM à qual aderiu com o domínio do Microsoft AD gerido.
Se uma VM não tiver conseguido associar-se ao domínio do Microsoft AD gerido.

Veja registos de depuração

Se o pedido de associação ao domínio falhar, pode verificar os registos do script de arranque para identificar e resolver o problema. Para verificar os registos do script de arranque, pode ver a saída da porta série 1. Se ativou os atributos do convidado na VM, pode obter os atributos do convidado para ver os registos.

Para obter informações sobre os erros comuns que pode encontrar ao associar uma VM a um domínio, consulte o artigo Não é possível associar automaticamente uma VM do Windows a um domínio.

O que se segue?

Junte automaticamente nós do Windows Server do GKE a um domínio do Microsoft AD gerido.

Associe automaticamente uma VM do Windows a um domínio Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.