自動將 Windows VM 加入網域

本頁說明如何使用 Managed Service for Microsoft Active Directory 中的自動網域加入功能,將 Windows Compute Engine VM 執行個體加入網域。

自動將 Windows VM 加入網域的 Microsoft AD 管理服務

如要使用受管理的 Microsoft AD 驗證在 VM 上執行的應用程式,您必須將 VM 加入受管理的 Microsoft AD 網域。網域加入程序通常需要執行一些手動步驟。

建立或更新 Windows Compute Engine VM 時,您可以使用指令碼自動執行手動方法,將 VM 加入 Managed Microsoft AD 網域。不過,如要在 Compute Engine VM 上執行這些指令碼,您需要 AD 憑證 (需要安全地儲存及維護),以及可佈建及執行這些指令碼的環境。如要避免使用憑證和額外服務,您可以使用 Managed Microsoft AD 提供的現成指令碼,自動執行網域加入程序。

建立 Compute Engine VM 時,您可以使用指令碼將 VM 自動加入 Managed Microsoft AD 網域。Compute Engine 建立 VM 後,受管理的 Microsoft AD 會啟動網域加入要求,並嘗試將 VM 加入您的網域。如果網域加入要求成功,Managed Microsoft AD 就會將建立的 VM 加入網域。如果網域加入要求失敗,則已建立的 VM 會繼續執行。為了安全或帳單目的,您可以自訂這項行為,而 Managed Microsoft AD 可以在網域加入要求失敗時停止 VM。

更新 Compute Engine VM 時,您可以使用指令碼自動將現有 VM 加入 Managed Microsoft AD 網域。為了讓網域加入要求成功,Managed Microsoft AD 會在執行指令碼後重新啟動 VM。

事前準備

  1. 建立代管的 Microsoft AD 網域

  2. 請確認 VM 名稱的長度上限為 15 個半形字元。

  3. 請確認 VM 執行的是 受 Managed Microsoft AD 支援的 Windows 版本

  4. 在 Managed Microsoft AD 網域和 VM 網路之間設定網域對等互連,或是讓 Managed Microsoft AD 網域和 VM 位於同一個網路中。

  5. 在設有 Managed Microsoft AD 網域的專案中,建立具備 Google Cloud Managed Identities Domain Join (roles/managedidentities.domainJoin) IAM 角色的服務帳戶。詳情請參閱「Cloud 管理式身分識別資訊角色」。

  6. 在 VM 上設定完整的 cloud-platform 存取範圍。詳情請參閱「授權」。

中繼資料

您需要下列中繼資料鍵,才能將 Windows VM 加入網域。

中繼資料鍵 說明
windows-startup-script-url 使用這個中繼資料鍵,指定 VM 在啟動程序期間執行的 Windows 開機指令碼的公開存取位置。如要使用由 Managed Microsoft AD 預先提供的 Windows 開機指令碼,請輸入以下網址:https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1

如果 VM 無法存取這個網址,您可以使用任何其他支援的方法傳遞啟動指令碼。詳情請參閱「在 Windows VM 中使用啟動指令碼」。
managed-ad-domain 使用這個中繼資料鍵,以 projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME 的格式指定要加入的受管理 Microsoft AD 網域完整資源名稱:例如:projects/my-project-123/locations/global/domains/my-domain.example.com
managed-ad-domain-join-failure-stop 選用:根據預設,即使網域加入要求失敗,VM 仍會繼續執行。如果您想在要求失敗時停止 VM,可以將這個中繼資料鍵值設為 TRUE。設定這個中繼資料鍵值後,受管理的 Microsoft AD 可以停止 VM,但不會刪除 VM。
enable-guest-attributes 選用:根據預設,VM 會停用訪客屬性。如果您想在執行開機指令碼後,使用 VM 的訪客屬性記錄網域加入狀態,可以將此中繼資料鍵設為 TRUE

Managed Microsoft AD 會在 guest-attributesmanaged-ad 命名空間下,將網域加入狀態寫入下列索引鍵:
  • domain-join-status:這個鍵會在指令碼執行後提供網域加入要求的狀態。
  • domain-join-failure-message:如果網域加入要求失敗,這個鍵會提供錯誤訊息。
    • 取得訪客屬性後,您可以使用這些命名空間和鍵來查看網域加入狀態。
    managed-ad-ou-name 選用:根據預設,受管理的 Microsoft AD 會將 VM 加入 GCE Instances 機構單位 (OU),該單位是在 Cloud 機構單位下預先建立,以便更妥善地管理政策。如要進一步瞭解 Cloud 機構單位,請參閱「機構單位」。

    如果您想將 VM 加入自訂 OU,請在受管理的 Microsoft AD 中,在 GCE Instances OU 或 Cloud OU 底下建立自訂 OU,然後使用這個中繼資料鍵來指定自訂 OU。受管理的 Microsoft AD 不支援您在 Cloud OU 或 GCE Instances OU 以外的任何位置建立的自訂 OU。

    如果您在 Cloud OU 下建立自訂 OU,請使用以下格式指定自訂 OU 的路徑:/cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU。例如:/cloud/my-sub-ou/my-custom-ou

    如要進一步瞭解如何在受管理的 Microsoft AD 中管理 AD 物件,請參閱「管理 Active Directory 物件」。
    managed-ad-force 選用步驟:刪除已加入網域的 VM 後,VM 的電腦帳戶仍會保留在 Managed Microsoft AD 中。當您嘗試使用相同的電腦帳戶加入其他 VM 時,網域加入要求預設會失敗。如果您將這個中繼資料鍵設為 TRUE,受管理的 Microsoft AD 就能重複使用現有的電腦帳戶。

    加入 Windows VM

    建立 Windows VM 或更新現有 VM 時,您可以使用這些中繼資料鍵。以下各節說明如何在建立或更新 VM 時,在 gcloud CLI 指令中使用這些中繼資料鍵。

    不過,您也可以使用其他可用選項,將這些中繼資料鍵用於 VM。如要進一步瞭解如何在 Windows Compute Engine VM 中使用中繼資料,請參閱「設定自訂中繼資料」。

    在建立期間加入 Windows VM

    如要建立及加入 Windows Compute Engine VM,請執行下列 gcloud CLI 指令:

    gcloud compute instances create INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --image-project windows-cloud \
    --image-family IMAGE_FAMILY

    更改下列內容:

    • INSTANCE_NAME:要建立的 Windows Compute Engine VM 名稱。例如:my-instance-1
    • URL:VM 在啟動程序期間執行的 Windows 啟動指令碼,可供公開存取。
    • DOMAIN_RESOURCE_PATH:要加入的 Managed Microsoft AD 網域的完整資源名稱。例如:projects/my-project-123/locations/global/domains/my-domain.example.com
    • SERVICE_ACCOUNT:您要附加至 VM 的服務帳戶。例如:my-sa-123@my-project-123.iam.gserviceaccount.com
    • --scopes:在 VM 中設定的預設存取範圍會限制網域加入要求。您必須在 VM 上設定完整的 cloud-platform 存取權範圍。詳情請參閱「授權」。
    • --image-project:您必須將這個標記設為 windows-cloud,才能建立 Windows VM。詳情請參閱 gcloud compute instances create
    • IMAGE_FAMILY:指定其中一個公開映像檔系列,其中包含支援的 Windows 版本的映像檔。例如:windows-2019-core

    如要進一步瞭解如何在建立 VM 時新增中繼資料,請參閱「在建立 VM 時設定中繼資料」一文。

    加入現有的 Windows VM

    您可以更新現有 Windows Compute Engine VM 上的中繼資料鍵,並將 VM 加入網域。將這些中繼資料鍵加入 VM 後,請重新啟動 VM,讓網域加入要求成功。

    如要加入現有的 Windows Compute Engine VM,請執行下列 gcloud CLI 指令:

    gcloud compute instances add-metadata INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform

    更改下列內容:

    • INSTANCE_NAME:您要加入的 Windows Compute Engine VM 名稱。例如:my-instance-1
    • URL:VM 重新啟動後執行的 Windows 啟動指令碼,位於可公開存取的位置。
    • DOMAIN_RESOURCE_PATH:要加入的 Managed Microsoft AD 網域的完整資源名稱。例如:projects/my-project-123/locations/global/domains/my-domain.example.com
    • SERVICE_ACCOUNT:您在建立 VM 時所附加的服務帳戶。例如:my-sa-123@my-project-123.iam.gserviceaccount.com
    • --scopes:在 VM 中設定的預設存取範圍會限制網域加入要求。您必須在 VM 上設定完整的 cloud-platform 存取權範圍。詳情請參閱「授權」。

    如要進一步瞭解如何在現有 VM 中新增中繼資料,請參閱「更新執行中 VM 的中繼資料」。

    清理未加入的 VM

    在下列情況下,建議您手動從受管理的 Microsoft AD 中刪除電腦帳戶:

    • 如果您刪除已加入 Managed Microsoft AD 網域的 VM。
    • 如果 VM 無法加入 Managed Microsoft AD 網域。

    查看偵錯記錄

    如果網域加入要求失敗,您可以查看開機指令碼的記錄檔,找出問題並進行疑難排解。如要查看開機指令碼的記錄,您可以查看序列埠 1 輸出內容。如果您已在 VM 上啟用訪客屬性,可以取得訪客屬性來查看記錄檔。

    如要瞭解將 VM 加入網域時可能遇到的常見錯誤,請參閱「無法自動將 Windows VM 加入網域」。

    後續步驟