Windows-VM automatisch mit einer Domain verbinden

Auf dieser Seite wird beschrieben, wie Sie eine Windows-Compute Engine-VM-Instanz mithilfe der Funktion für den automatischen Domainbeitritt in Managed Service for Microsoft Active Directory einer Domain beitreten.

So verbindet Managed Microsoft AD eine Windows-VM automatisch mit einer Domain

Wenn Sie Managed Microsoft AD zur Authentifizierung der Anwendungen verwenden möchten, die auf Ihren VMs ausgeführt werden, müssen Sie die VMs mit Ihrer Managed Microsoft AD-Domain verknüpfen. Der Domainbeitritt erfordert in der Regel einige manuelle Schritte.

Wenn Sie eine Windows Compute Engine-VM erstellen oder aktualisieren, können Sie die VM mit Ihrer Managed Microsoft AD-Domain verknüpfen, indem Sie den manuellen Ansatz mithilfe von Scripts automatisieren. Um diese Scripts jedoch auf einer Compute Engine-VM auszuführen, benötigen Sie AD-Anmeldedaten, die sicher gespeichert und verwaltet werden müssen, sowie eine Umgebung, in der diese Scripts bereitgestellt und ausgeführt werden können. Damit keine Anmeldedaten und ein zusätzlicher Dienst erforderlich sind, können Sie den Domainbeitritt mit vorgefertigten Skripts automatisieren, die in Managed Microsoft AD verfügbar sind.

Wenn Sie Compute Engine-VMs erstellen, können Sie die VMs mithilfe von Skripts automatisch mit Ihrer Managed Microsoft AD-Domain verknüpfen. Nachdem die Compute Engine die VMs erstellt hat, initiiert Managed Microsoft AD die Domain-Join-Anfrage und versucht, die VMs mit Ihrer Domain zu verknüpfen. Wenn die Anfrage zum Domainbeitritt erfolgreich war, nimmt Managed Microsoft AD die erstellten VMs mit Ihrer Domain bei. Wenn die Domainbeitrittsanfrage fehlschlägt, werden die erstellten VMs weiterhin ausgeführt. Sie können dieses Verhalten aus Sicherheits- oder Abrechnungsgründen anpassen. Managed Microsoft AD kann die VMs beenden, wenn die Domainbeitrittsanfrage fehlschlägt.

Wenn Sie Compute Engine-VMs aktualisieren, können Sie Scripts verwenden, um die vorhandenen VMs automatisch Ihrer verwalteten Microsoft AD-Domain beizutreten. Damit die Domainbeitrittsanfrage erfolgreich ist, werden die VMs von Managed Microsoft AD nach Ausführung der Scripts neu gestartet.

Hinweis

  1. Managed Microsoft AD-Domain erstellen

  2. Der Name der VM darf maximal 15 Zeichen lang sein.

  3. Die VM muss unter einer Windows-Version ausgeführt werden, die von Managed Microsoft AD unterstützt wird.

  4. Konfigurieren Sie das Domain-Peering zwischen der Managed Microsoft AD-Domain und dem Netzwerk der VM oder platzieren Sie die Managed Microsoft AD-Domain und die VM im selben Netzwerk.

  5. Erstellen Sie ein Dienstkonto mit der IAM-Rolle „Google Cloud Managed Identities Domain Join“ (roles/managedidentities.domainJoin) im Projekt mit der verwalteten Microsoft AD-Domain. Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.

  6. Legen Sie den vollständigen Zugriffsbereich cloud-platform auf der VM fest. Weitere Informationen finden Sie unter Autorisierung.

Metadaten

Sie benötigen die folgenden Metadatenschlüssel, um eine Windows-VM mit einer Domain zu verknüpfen.

Metadatenschlüssel Beschreibung
windows-startup-script-url Mit diesem Metadatenschlüssel geben Sie den öffentlich zugänglichen Speicherort des Windows-Startscripts an, das die VM während des Startvorgangs ausführt. Wenn Sie das von Managed Microsoft AD bereitgestellte Windows-Startskript verwenden möchten, können Sie die folgende URL eingeben: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.

Wenn die VM keinen Zugriff auf diese URL hat, können Sie das Startskript mit einer der anderen unterstützten Methoden übergeben. Weitere Informationen finden Sie unter Startskripts auf Windows-VMs verwenden.
managed-ad-domain Verwenden Sie diesen Metadatenschlüssel, um den vollständigen Ressourcennamen Ihrer Managed Microsoft AD-Domain anzugeben, die Sie verknüpfen möchten, in Form von projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Beispiel: projects/my-project-123/locations/global/domains/my-domain.example.com
managed-ad-domain-join-failure-stop Optional: Standardmäßig wird die VM auch dann weiter ausgeführt, wenn der Domainbeitritt fehlschlägt. Sie können diesen Metadatenschlüssel auf TRUE festlegen, wenn Sie die VM beenden möchten, wenn die Anfrage fehlschlägt. Verwaltetes Microsoft AD kann die VM beenden, nachdem Sie diesen Metadatenschlüssel festgelegt haben, aber die VM wird nicht gelöscht.
enable-guest-attributes Optional: Gastattribute sind standardmäßig auf einer VM deaktiviert. Sie können diesen Metadatenschlüssel auf TRUE festlegen, wenn Sie die Gastattribute der VM verwenden möchten, um den Status des Domainbeitritts nach der Ausführung des Startskripts zu protokollieren.

Managed Microsoft AD schreibt den Domainbeitrittsstatus in die folgenden Schlüssel unter den Namespace managed-ad von guest-attributes:
  • domain-join-status: Dieser Schlüssel gibt den Status der Domainbeitrittsanfrage nach der Ausführung des Skripts an.
  • domain-join-failure-message: Wenn die Anfrage zum Beitritt zur Domain fehlschlägt, gibt dieser Schlüssel die Fehlermeldung aus.
  • Wenn Sie die Gastattribute abrufen, können Sie diesen Namespace und diese Schlüssel verwenden, um den Domainbeitrittsstatus anzusehen.
    managed-ad-ou-name Optional: Managed Microsoft AD verknüpft die VM standardmäßig mit der Organisationseinheit GCE Instances, die vorab in der Organisationseinheit Cloud erstellt wurde, um die Richtlinien besser verwalten zu können. Weitere Informationen zur Cloud-OE finden Sie unter Organisationseinheiten.

    Wenn Sie die VM mit einer benutzerdefinierten Organisationseinheit verbinden möchten, müssen Sie die benutzerdefinierte Organisationseinheit entweder unter der Organisationseinheit GCE Instances oder in Managed Microsoft AD unter der Organisationseinheit Cloud erstellen und mit diesem Metadatenschlüssel die benutzerdefinierte Organisationseinheit angeben. Managed Microsoft AD unterstützt nur benutzerdefinierte OEs, die Sie nirgendwo in der OE „Cloud“ oder der OE „GCE Instances“ erstellen.

    Wenn Sie eine benutzerdefinierte Organisationseinheit unter der Organisationseinheit Cloud erstellen, geben Sie den Pfad der benutzerdefinierten Organisationseinheit im folgenden Format an: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Beispiel: /cloud/my-sub-ou/my-custom-ou.

    Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten.
    managed-ad-force Optional: Wenn Sie eine VM löschen, die Sie mit einer Domain verbunden haben, bleibt das Computerkonto der VM in Managed Microsoft AD bestehen. Wenn Sie versuchen, einer anderen VM mit demselben Computerkonto beizutreten, schlägt die Anfrage zum Beitritt zur Domain standardmäßig fehl. Managed Microsoft AD kann ein vorhandenes Computerkonto wiederverwenden, wenn Sie diesen Metadatenschlüssel auf TRUE festlegen.

    Windows-VM beitreten

    Sie können diese Metadatenschlüssel verwenden, wenn Sie eine Windows-VM erstellen oder eine vorhandene VM aktualisieren. In den folgenden Abschnitten wird erläutert, wie Sie diese Metadatenschlüssel in gcloud CLI-Befehlen verwenden, wenn Sie eine VM erstellen oder aktualisieren.

    Sie können diese Metadatenschlüssel jedoch mit den anderen verfügbaren Optionen für eine VM verwenden. Weitere Informationen zur Verwendung von Metadaten mit einer Windows-Compute Engine-VM finden Sie unter Benutzerdefinierte Metadaten festlegen.

    Bei der Erstellung einer Windows-VM beitreten

    Führen Sie den folgenden gcloud CLI-Befehl aus, um eine Windows-Compute Engine-VM zu erstellen und ihr beizutreten:

    gcloud compute instances create INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform \
        --image-project windows-cloud \
        --image-family IMAGE_FAMILY
    

    Ersetzen Sie Folgendes:

    • INSTANCE_NAME: Name der zu erstellenden Windows Compute Engine-VM. Beispiel: my-instance-1.
    • URL: Ein öffentlich zugänglicher Speicherort des Windows-Startskripts, das die VM während des Startvorgangs ausführt.
    • DOMAIN_RESOURCE_PATH: vollständiger Ressourcenname Ihrer Managed Microsoft AD-Domain, der Sie beitreten möchten. Beispiel: projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: Ein Dienstkonto, das Sie an die VM anhängen möchten. Beispiel: my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: Die in der VM konfigurierten Standardzugriffsbereiche beschränken den Domainbeitrittsantrag. Sie müssen den vollständigen Zugriffsbereich cloud-platform auf der VM festlegen. Weitere Informationen finden Sie unter Autorisierung.
    • --image-project: Sie müssen dieses Flag auf windows-cloud festlegen, um eine Windows-VM zu erstellen. Weitere Informationen finden Sie unter gcloud compute instances create.
    • IMAGE_FAMILY: Geben Sie eine der öffentlichen Image-Familien an, die Images für die unterstützten Windows-Versionen enthält. Beispiel: windows-2019-core

    Weitere Informationen zum Hinzufügen von Metadaten bei der VM-Erstellung finden Sie unter Metadaten bei der VM-Erstellung festlegen.

    Einer vorhandenen Windows-VM beitreten

    Sie können die Metadatenschlüssel auf einer vorhandenen Windows Compute Engine-VM aktualisieren und die VM mit Ihrer Domain verknüpfen. Nachdem Sie diese Metadatenschlüssel der VM hinzugefügt haben, starten Sie die VM neu, damit die Domainbeitrittsanfrage erfolgreich ist.

    Führen Sie den folgenden gcloud CLI-Befehl aus, um einer vorhandenen Windows-Compute Engine-VM beizutreten:

    gcloud compute instances add-metadata INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform
    

    Ersetzen Sie Folgendes:

    • INSTANCE_NAME: Name der Windows Compute Engine-VM, der Sie beitreten möchten. Beispiel: my-instance-1.
    • URL: Ein öffentlich zugänglicher Speicherort des Windows-Startscripts, das die VM nach dem Neustart ausführt.
    • DOMAIN_RESOURCE_PATH: Vollständiger Ressourcenname der Managed Microsoft AD-Domain, der beigetreten werden soll. Beispiel: projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: Das Dienstkonto, dem Sie die VM bei der Erstellung zugeordnet haben. Beispiel: my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: Die in der VM konfigurierten Standardzugriffsbereiche beschränken den Domainbeitrittsantrag. Sie müssen den vollständigen Zugriffsbereich cloud-platform auf der VM festlegen. Weitere Informationen finden Sie unter Autorisierung.

    Weitere Informationen zum Hinzufügen von Metadaten zu einer vorhandenen VM finden Sie unter Metadaten auf einer laufenden VM aktualisieren.

    Nicht verbundene VMs bereinigen

    In den folgenden Fällen empfehlen wir, das Computerkonto manuell aus verwaltetem Microsoft AD zu löschen:

    • Wenn Sie eine VM löschen, die Sie der Managed Microsoft AD-Domain beigetreten haben.
    • Wenn eine VM nicht der Managed Microsoft AD-Domain beitreten konnte.

    Debug-Logs ansehen

    Wenn die Domainbeitrittsanfrage fehlschlägt, können Sie die Protokolle für das Startskript prüfen, um das Problem zu identifizieren und zu beheben. Um die Logs für das Startskript zu überprüfen, können Sie die Ausgabe des seriellen Ports 1 ansehen. Wenn Sie Gastattribute auf der VM aktiviert haben, können Sie die Gastattribute abrufen, um sich die Protokolle anzusehen.

    Informationen zu den häufigsten Fehlern, die beim Verbinden einer VM mit einer Domain auftreten können, finden Sie unter Windows-VM kann nicht automatisch mit einer Domain verbunden werden.

    Nächste Schritte