Vincular uma VM do Windows automaticamente a um domínio

Esta página explica como ingressar em uma instância de VM do Windows Compute Engine em um domínio usando o recurso de união de domínios automatizada no serviço gerenciado para o Microsoft Active Directory.

Como o Managed Microsoft AD associa uma VM do Windows a um domínio automaticamente

Para usar o Microsoft AD gerenciado para autenticar os aplicativos em execução nas suas VMs, é necessário associar as VMs ao domínio do Microsoft AD gerenciado. O processo de associação de domínio geralmente envolve algumas etapas manuais.

Ao criar ou atualizar uma VM do Windows Compute Engine, você pode associar a VM ao seu domínio gerenciado do Microsoft AD automatizando a abordagem manual usando scripts. No entanto, para executar esses scripts em uma VM do Compute Engine, é necessário ter credenciais do AD, que precisam ser armazenadas e mantidas com segurança, e um ambiente para provisionar e executar esses scripts. Para eliminar a necessidade de credenciais e de um serviço adicional, automatize o processo de associação ao domínio com scripts prontos disponíveis no Microsoft AD gerenciado.

Ao criar VMs do Compute Engine, você pode usar scripts para associar automaticamente as VMs ao seu domínio gerenciado do Microsoft AD. Depois que o Compute Engine cria as VMs, o Microsoft AD gerenciado inicia a solicitação de mesclagem de domínio e tenta mesclar as VMs com seu domínio. Se a solicitação de associação ao domínio for bem-sucedida, o Managed Microsoft AD vai associar as VMs criadas ao seu domínio. Se a solicitação de associação ao domínio falhar, as VMs criadas vão continuar em execução. Por motivos de segurança ou faturamento, é possível personalizar esse comportamento. O Microsoft AD gerenciado poderá interromper as VMs quando houver falha na solicitação de participação no domínio.

Ao atualizar as VMs do Compute Engine, é possível usar scripts para mesclar automaticamente as VMs atuais ao domínio do Microsoft AD gerenciado. Para que a solicitação de associação ao domínio seja bem-sucedida, o Managed Microsoft AD reinicia as VMs após a execução dos scripts.

Antes de começar

  1. Crie um domínio do Managed Microsoft AD.

  2. O nome da VM precisa ter no máximo 15 caracteres.

  3. Verifique se a VM é executada em uma versão do Windows com suporte do Managed Microsoft AD.

  4. Configure o peering de domínio entre o domínio do Microsoft AD gerenciado e a rede da VM ou tenha ambos na mesma rede.

  5. Criar uma conta de serviço com o papel do IAM de mesclagem de domínio de identidades gerenciadas do Google Cloud (roles/managedidentities.domainJoin) no projeto que tem o domínio do Microsoft AD gerenciado. Para mais informações, consulte Papéis das identidades gerenciadas do Cloud.

  6. Defina o escopo de acesso cloud-platform completo na VM. Para mais informações, consulte Autorização.

Metadados

As chaves de metadados a seguir são necessárias para unir uma VM do Windows a um domínio.

Chaves de metadados Descrição
windows-startup-script-url Use essa chave de metadados para especificar o local acessível publicamente do script de inicialização do Windows que a VM executa durante o processo de inicialização. Para usar o script de inicialização do Windows entregue pelo Microsoft AD gerenciado, digite o seguinte URL: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.

Se a VM não tiver acesso a esse URL, você poderá transmitir o script de inicialização usando qualquer um dos outros métodos compatíveis. Para mais informações, consulte Como usar scripts de inicialização em VMs do Windows.
managed-ad-domain Use essa chave de metadados para especificar o nome completo do recurso do seu domínio do Microsoft AD gerenciado a ser adicionado, no formato: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Por exemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
managed-ad-domain-join-failure-stop Opcional: por padrão, a VM continua em execução mesmo após falha na solicitação de participação no domínio. Defina essa chave de metadados como TRUE se quiser interromper a VM quando a solicitação falhar. O Microsoft AD gerenciado pode interromper a VM depois que você definir essa chave de metadados, mas não exclui a VM.
enable-guest-attributes Opcional: por padrão, os atributos de convidado estão desativados em uma VM. Defina essa chave de metadados como TRUE se quiser usar os atributos de convidado da VM para registrar o status de participação no domínio após a execução do script de inicialização.

O Microsoft AD gerenciado grava o status de mesclagem do domínio nas seguintes chaves no namespace managed-ad de guest-attributes:
  • domain-join-status: essa chave fornece o status da solicitação de associação ao domínio após a execução do script.
  • domain-join-failure-message: se a solicitação de mesclagem de domínio falhar, essa chave vai fornecer a mensagem de erro.
  • Ao receber os atributos de convidado, você pode usar esses namespaces e chaves para ver o status de associação do domínio.
    managed-ad-ou-name Opcional: por padrão, o Microsoft AD gerenciado mescla a VM à unidade organizacional (UO) GCE Instances que foi criada anteriormente na UO Cloud para gerenciar melhor as políticas. Para mais informações sobre a OU Cloud, consulte Unidades organizacionais.

    Se você quiser mesclar a VM a uma UO personalizada, crie a UO personalizada na UO GCE Instances ou Cloud no AD gerenciado do Microsoft e use essa chave de metadados para especificar a UO personalizada. O Microsoft AD gerenciado não é compatível com uma UO personalizada criada em qualquer lugar que não seja a UO Cloud ou GCE Instances.

    Se você criar uma UO personalizada na UO Cloud, especifique o caminho da UO personalizada no seguinte formato: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Por exemplo, /cloud/my-sub-ou/my-custom-ou.

    Para mais informações sobre como gerenciar objetos do AD no Managed Microsoft AD, consulte Gerenciar objetos do Active Directory.
    managed-ad-force Opcional: ao excluir uma VM que foi mesclada a um domínio, a conta de computador da VM continua existindo no Microsoft AD gerenciado. Quando você tenta participar de outra VM com a mesma conta de computador, a solicitação de participação no domínio falha por padrão. O Microsoft AD gerenciado poderá reutilizar uma conta de computador atual se você definir essa chave de metadados como TRUE.

    Participar da VM do Windows

    É possível usar essas chaves de metadados ao criar uma VM do Windows ou atualizar uma atual. As seções a seguir mostram como usar essas chaves de metadados nos comandos da CLI gcloud ao criar ou atualizar uma VM.

    No entanto, elas também podem ser usadas com uma VM com as outras opções disponíveis. Saiba mais sobre o uso de metadados com uma VM do Windows Compute Engine em Definir metadados personalizados.

    Participar de uma VM do Windows durante a criação

    Para criar e ingressar em uma VM do Windows Compute Engine, execute o seguinte comando da CLI gcloud:

    gcloud compute instances create INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform \
        --image-project windows-cloud \
        --image-family IMAGE_FAMILY
    

    Substitua:

    • INSTANCE_NAME: nome da VM do Windows Compute Engine a ser criada. Por exemplo, my-instance-1.
    • URL: um local acessível publicamente do script de inicialização do Windows que a VM executa durante o processo de inicialização.
    • DOMAIN_RESOURCE_PATH: nome completo do recurso do domínio do Microsoft AD gerenciado para participar. Por exemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: uma conta de serviço que você quer anexar à VM. Por exemplo, my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: os escopos de acesso padrão configurados na VM restringem a solicitação de participação no domínio. Você precisa definir o escopo de acesso cloud-platform completo na VM. Para mais informações, consulte Autorização.
    • --image-project: é necessário definir essa flag como windows-cloud para criar uma VM do Windows. Veja mais informações em gcloud compute instances create.
    • IMAGE_FAMILY: especifique uma das famílias de imagens públicas que tenha imagens para as versões do Windows com suporte. Por exemplo, windows-2019-core.

    Para mais informações sobre como adicionar metadados durante a criação da VM, consulte Definir metadados durante a criação da VM.

    Participar de uma VM do Windows atual

    É possível atualizar as chaves de metadados em uma VM do Compute Engine no Windows e associar a VM ao seu domínio. Depois de adicionar essas chaves de metadados à VM, reinicie-a para que a solicitação de participação no domínio seja bem-sucedida.

    Para participar de uma VM do Windows Compute Engine, execute o seguinte comando da CLI gcloud:

    gcloud compute instances add-metadata INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform
    

    Substitua:

    • INSTANCE_NAME: nome da VM do Windows Compute Engine que você quer incluir. Por exemplo, my-instance-1.
    • URL: um local acessível publicamente do script de inicialização do Windows que a VM executa após a reinicialização.
    • DOMAIN_RESOURCE_PATH: nome completo do recurso do domínio do Microsoft AD gerenciado para participar. Por exemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: a conta de serviço à qual você anexou a VM durante a criação. Por exemplo, my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: os escopos de acesso padrão configurados na VM restringem a solicitação de participação no domínio. Você precisa definir o escopo de acesso cloud-platform completo na VM. Para mais informações, consulte Autorização.

    Para mais informações sobre como adicionar metadados a uma VM, consulte Atualizar metadados em uma VM em execução.

    Limpar VMs desvinculadas

    Recomendamos excluir a conta de computador manualmente do Microsoft AD gerenciado nos seguintes cenários:

    • Se você excluir uma VM que foi associada ao domínio do Microsoft AD gerenciado.
    • Se uma VM não conseguir ingressar no domínio do Microsoft AD gerenciado.

    Ver registros de depuração

    Se a solicitação de participação no domínio falhar, verifique os registros do script de inicialização para identificar e solucionar o problema. Para verificar os registros do script de inicialização, confira a saída da porta serial 1. Se você tiver ativado os atributos de convidado na VM, poderá receber os atributos de convidado para conferir os registros.

    Para informações sobre erros comuns que podem ser encontrados ao vincular uma VM a um domínio, consulte Não é possível vincular uma VM do Windows automaticamente a um domínio.

    A seguir