En esta página, se explica cómo unir una instancia de VM de Windows Compute Engine a un dominio con la función de unión automatizada de dominios en Managed Service para Microsoft Active Directory.
Cómo Microsoft AD administrado une automáticamente una VM de Windows a un dominio
Si quieres usar Microsoft AD administrado para autenticar las aplicaciones que se ejecutan en tus VMs, debes unirlas a tu dominio de Microsoft AD administrado. El proceso de unión de dominios suele implicar la realización de algunos pasos manuales.
Cuando creas o actualizas una VM de Windows Compute Engine, puedes unirla a tu dominio administrado de Microsoft AD automatizando el enfoque manual con secuencias de comandos. Sin embargo, para ejecutar estas secuencias de comandos en una VM de Compute Engine, necesitas credenciales de AD que se deben almacenar y mantener de forma segura, además de un entorno para aprovisionar y ejecutar estas secuencias de comandos. Para eliminar la necesidad de credenciales y un servicio adicional, puedes automatizar el proceso de unión de dominios con secuencias de comandos prediseñadas que están disponibles en Microsoft AD administrado.
Cuando creas VMs de Compute Engine, puedes usar secuencias de comandos para unir automáticamente las VMs a tu dominio administrado de Microsoft AD. Después de que Compute Engine crea las VMs, Microsoft AD administrado inicia la solicitud para unirse al dominio y, luego, intenta unir las VMs con tu dominio. Si la solicitud para unirse al dominio se realiza correctamente, Microsoft AD administrado une las VMs creadas a tu dominio. Si la solicitud para unirse al dominio falla, las VMs creadas siguen ejecutándose. Por motivos de seguridad o facturación, puedes personalizar este comportamiento, y Microsoft AD administrado puede detener las VMs cuando falla la solicitud para unirse al dominio.
Cuando actualizas VMs de Compute Engine, puedes usar secuencias de comandos para unir automáticamente las VMs existentes a tu dominio administrado de Microsoft AD. Para que la solicitud de unión al dominio se realice correctamente, Microsoft AD administrado reinicia las VMs después de ejecutar las secuencias de comandos.
Antes de comenzar
Asegúrate de que el nombre de la VM tenga un máximo de 15 caracteres.
Asegúrate de que la VM se ejecute en una versión de Windows que admita Microsoft AD administrado.
Configura el intercambio de tráfico del dominio entre el dominio de Microsoft AD administrado y la red de la VM, o ten el dominio de Microsoft AD administrado y la VM en la misma red.
Crear una cuenta de servicio con el rol de IAM de unión de dominios de identidades administradas de Google Cloud (
roles/managedidentities.domainJoin) en el proyecto que tiene el dominio administrado de Microsoft AD Para obtener más información, consulta Funciones de identidades administradas en la nube.Para obtener más información sobre cómo otorgar roles, consulta Otorga un solo rol.
Para obtener información sobre cómo crear una cuenta de servicio, consulta Autentica cargas de trabajo mediante cuentas de servicio.
Configura el permiso de acceso
cloud-platformcompleto en la VM. Para obtener más información, consulta Autorización.
Metadatos
Necesitas las siguientes claves de metadatos para unir una VM de Windows a un dominio.
| Claves de metadatos | Descripción |
|---|---|
windows-startup-script-url |
Usa esta clave de metadatos para especificar la ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM durante el proceso de inicio. Para usar la secuencia de comandos de inicio de Windows que Microsoft AD administrado entrega previamente, puedes ingresar la siguiente URL: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.Si la VM no tiene acceso a esta URL, puedes pasar la secuencia de comandos de inicio con cualquiera de los otros métodos admitidos. Para obtener más información, consulta Usa secuencias de comandos de inicio en VM de Windows. |
managed-ad-domain |
Usa esta clave de metadatos para especificar el nombre completo del recurso del dominio de Microsoft AD administrado al que deseas unirte, con el formato projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Por ejemplo, projects/my-project-123/locations/global/domains/my-domain.example.com. |
managed-ad-domain-join-failure-stop |
Opcional: De forma predeterminada, la VM continúa ejecutándose incluso después de que falla la solicitud para unirse al dominio. Puedes establecer esta clave de metadatos en TRUE si deseas detener la VM cuando falle la solicitud. Microsoft AD administrado puede detener la VM después de establecer esta clave de metadatos, pero no borra la VM. |
enable-guest-attributes |
Opcional: De forma predeterminada, los atributos de invitado están inhabilitados en una VM. Puedes establecer esta clave de metadatos en TRUE si quieres usar los atributos de invitado de la VM para registrar el estado de unión al dominio después de la ejecución de la secuencia de comandos de inicio.Microsoft AD administrado escribe el estado de unión al dominio en las siguientes claves en el espacio de nombres managed-ad de guest-attributes:
domain-join-status: Esta clave proporciona el estado de la solicitud para unirse al dominio después de la ejecución de la secuencia de comandos.domain-join-failure-message: Si la solicitud para unirse al dominio falla, esta clave mostrará el mensaje de error. |
managed-ad-ou-name |
Opcional: De forma predeterminada, Microsoft AD administrado une la VM a la unidad organizativa (UO) GCE Instances que se creó previamente en la UO Cloud para administrar mejor las políticas. Para obtener más información sobre la UO Cloud, consulta Unidades organizativas.Si quieres unir la VM a una UO personalizada, debes crearla en la UO GCE Instances o la UO Cloud en Microsoft AD administrado y usar esta clave de metadatos para especificar la UO personalizada. Microsoft AD administrado no admite una UO personalizada que crees en ningún otro lugar, excepto en la UO Cloud o GCE Instances.Si creas una UO personalizada en la UO Cloud, especifica su ruta de acceso en el siguiente formato: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Por ejemplo, /cloud/my-sub-ou/my-custom-ou.Para obtener más información sobre la administración de objetos de AD en Microsoft AD administrado, consulta Administra objetos de Active Directory. |
managed-ad-force |
Opcional: Cuando borras una VM que uniste a un dominio, la cuenta de computadora de la VM sigue existiendo en Microsoft AD administrado. Cuando intentas unirte a otra VM con la misma cuenta de computadora, la solicitud para unirse al dominio falla de forma predeterminada. Microsoft AD administrado puede volver a usar una cuenta de computadora existente si estableces esta clave de metadatos en TRUE.
|
Únete a la VM de Windows
Puedes usar estas claves de metadatos cuando crees una VM de Windows o actualices una existente. En las siguientes secciones, se ilustra cómo usar estas claves de metadatos en los comandos de gcloud CLI cuando creas o actualizas una VM.
Sin embargo, también puedes usar estas claves de metadatos con una VM mediante las otras opciones disponibles. Para obtener más información sobre el uso de metadatos con una VM de Windows Compute Engine, consulta Establece metadatos personalizados.
Únete a una VM de Windows durante la creación
Para crear una VM de Windows Compute Engine y unirte a ella, ejecuta el siguiente comando de gcloud CLI:
gcloud compute instances create INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--image-project windows-cloud \
--image-family IMAGE_FAMILY
Reemplaza lo siguiente:
- INSTANCE_NAME: Nombre de la VM de Windows Compute Engine que se creará. Por ejemplo,
my-instance-1 - URL: Es una ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM durante el proceso de inicio.
- DOMAIN_RESOURCE_PATH: Es el nombre completo del recurso del dominio de Microsoft AD administrado al que deseas unirte. Por ejemplo,
projects/my-project-123/locations/global/domains/my-domain.example.com - SERVICE_ACCOUNT: Una cuenta de servicio que deseas conectar a la VM Por ejemplo,
my-sa-123@my-project-123.iam.gserviceaccount.com --scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud para unirse al dominio. Debes configurar el permiso de accesocloud-platformcompleto en la VM. Para obtener más información, consulta Autorización.--image-project: Debes establecer esta marca comowindows-cloudpara crear una VM de Windows. Para obtener más información, consultagcloud compute instances create:- IMAGE_FAMILY: Especifica una de las familias de imágenes públicas que contengan imágenes para las versiones de Windows compatibles. Por ejemplo,
windows-2019-core.
Para obtener más información sobre cómo agregar metadatos durante la creación de una VM, consulta Establece metadatos durante la creación de una VM.
Únete a una VM de Windows existente
Puedes actualizar las claves de metadatos de una VM existente de Windows Compute Engine y unirla a tu dominio. Después de agregar estas claves de metadatos a la VM, reiníciala para que la solicitud de unión al dominio se realice correctamente.
Para unirte a una VM de Windows Compute Engine existente, ejecuta el siguiente comando de gcloud CLI:
gcloud compute instances add-metadata INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform
Reemplaza lo siguiente:
- INSTANCE_NAME: El nombre de la VM de Compute Engine de Windows a la que deseas unirte. Por ejemplo,
my-instance-1 - URL: Es una ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM después del reinicio.
- DOMAIN_RESOURCE_PATH: Es el nombre completo del recurso del dominio de Microsoft AD administrado al que deseas unirte. Por ejemplo,
projects/my-project-123/locations/global/domains/my-domain.example.com - SERVICE_ACCOUNT: La cuenta de servicio a la que conectaste la VM durante su creación. Por ejemplo,
my-sa-123@my-project-123.iam.gserviceaccount.com --scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud para unirse al dominio. Debes configurar el permiso de accesocloud-platformcompleto en la VM. Para obtener más información, consulta Autorización.
Para obtener más información sobre cómo agregar metadatos a una VM existente, consulta Actualiza metadatos en una VM en ejecución.
Limpia las VMs no unidas
Recomendamos borrar la cuenta de computadora de forma manual de Microsoft AD administrado en los siguientes casos:
- Si borras una VM que te uniste con el dominio administrado de Microsoft AD,
- Si una VM no pudo unirse al dominio de Microsoft AD administrado.
Consulta registros de depuración
Si la solicitud para unirse al dominio falla, puedes revisar los registros de la secuencia de comandos de inicio para identificar y solucionar el problema. Para verificar los registros de la secuencia de comandos de inicio, puedes ver el resultado del puerto en serie 1. Si habilitaste los atributos de invitado en la VM, puedes obtener los atributos de invitado para ver los registros.
Para obtener información sobre los errores comunes que pueden ocurrir cuando se une una VM a un dominio, consulta No es posible unir automáticamente una VM de Windows a un dominio.