Halaman ini menjelaskan cara bergabung ke instance VM Windows Compute Engine ke domain menggunakan fitur penggabungan domain otomatis di Managed Service for Microsoft Active Directory.
Cara Microsoft AD Terkelola bergabung dengan VM Windows secara otomatis ke domain
Untuk menggunakan Microsoft AD Terkelola guna mengautentikasi aplikasi yang berjalan di VM, Anda harus menggabungkan VM ke domain Microsoft AD Terkelola. Proses bergabung ke domain biasanya melibatkan beberapa langkah manual.
Saat membuat atau mengupdate VM Windows Compute Engine, Anda dapat menggabungkan VM ke domain Microsoft AD Terkelola dengan mengotomatiskan pendekatan manual menggunakan skrip. Namun, untuk menjalankan skrip ini di VM Compute Engine, Anda memerlukan kredensial AD yang perlu disimpan dan dikelola dengan aman, serta lingkungan untuk menyediakan dan menjalankan skrip ini. Untuk menghilangkan kebutuhan akan kredensial dan layanan tambahan, Anda dapat mengotomatiskan proses penggabungan domain dengan skrip siap pakai yang tersedia dari Managed Microsoft AD.
Saat membuat VM Compute Engine, Anda dapat menggunakan skrip untuk otomatis menggabungkan VM ke domain Microsoft AD Terkelola. Setelah Compute Engine membuat VM, Microsoft AD Terkelola akan memulai permintaan penggabungan domain dan mencoba menggabungkan VM dengan domain Anda. Jika permintaan penggabungan domain berhasil, Microsoft AD Terkelola akan menggabungkan VM yang dibuat ke domain Anda. Jika permintaan bergabung ke domain gagal, VM yang dibuat akan terus berjalan. Untuk tujuan keamanan atau penagihan, Anda dapat menyesuaikan perilaku ini dan Managed Microsoft AD dapat menghentikan VM saat permintaan bergabung ke domain gagal.
Saat mengupdate VM Compute Engine, Anda dapat menggunakan skrip untuk bergabung secara otomatis dengan VM yang ada ke Managed Microsoft AD domain. Agar permintaan bergabung ke domain berhasil, Managed Microsoft AD akan memulai ulang VM setelah menjalankan skrip.
Sebelum memulai
Pastikan nama VM memiliki maksimum 15 karakter.
Pastikan VM berjalan di versi Windows yang didukung Microsoft AD Terkelola.
Konfigurasikan peering domain antara domain Microsoft AD Terkelola dan jaringan VM, atau tempatkan domain Microsoft AD Terkelola dan VM di jaringan yang sama.
Buat akun layanan dengan peran IAM Google Cloud Managed Identities Domain Join (
roles/managedidentities.domainJoin) di project yang memiliki Managed Microsoft AD domain. Untuk mengetahui informasi selengkapnya, lihat Peran Cloud Managed Identities.Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Memberikan satu peran.
Untuk mengetahui informasi tentang cara membuat akun layanan, lihat Mengautentikasi workload menggunakan akun layanan.
Tetapkan cakupan akses
cloud-platformpenuh di VM. Untuk mengetahui informasi selengkapnya, lihat Otorisasi.
Metadata
Anda memerlukan kunci metadata berikut untuk bergabung dengan VM Windows ke domain.
| Kunci metadata | Deskripsi |
|---|---|
windows-startup-script-url |
Gunakan kunci metadata ini untuk menentukan lokasi skrip startup Windows yang dapat diakses secara publik yang dijalankan VM selama proses startup. Untuk menggunakan skrip startup Windows yang dikirimkan sebelumnya oleh Microsoft AD Terkelola, Anda dapat memasukkan URL berikut: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.Jika VM tidak memiliki akses ke URL ini, Anda dapat meneruskan skrip startup menggunakan salah satu metode lain yang didukung. Untuk mengetahui informasi selengkapnya, lihat Menggunakan skrip startup di VM Windows. |
managed-ad-domain |
Gunakan kunci metadata ini untuk menentukan nama resource lengkap domain Microsoft AD Terkelola yang akan diikutsertakan, dalam bentuk: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Misalnya, projects/my-project-123/locations/global/domains/my-domain.example.com. |
managed-ad-domain-join-failure-stop |
Opsional: Secara default, VM akan terus berjalan meskipun setelah permintaan bergabung ke domain gagal. Anda dapat menetapkan kunci metadata ini ke TRUE jika ingin menghentikan VM saat permintaan gagal. Microsoft AD Terkelola dapat menghentikan VM setelah Anda menetapkan kunci metadata ini, tetapi tidak menghapus VM. |
enable-guest-attributes |
Opsional: Secara default, atribut tamu dinonaktifkan di VM. Anda dapat menetapkan kunci metadata ini ke TRUE jika ingin menggunakan atribut tamu VM untuk mencatat status bergabung ke domain setelah eksekusi skrip startup.Microsoft AD Terkelola menulis status penggabungan domain di kunci berikut dalam namespace managed-ad dari guest-attributes:
domain-join-status: Kunci ini memberikan status permintaan bergabung ke domain setelah eksekusi skrip.domain-join-failure-message: Jika permintaan bergabung ke domain gagal, kunci ini akan memberikan pesan error. |
managed-ad-ou-name |
Opsional: Secara default, Managed Microsoft AD menggabungkan VM ke unit organisasi (OU) GCE Instances yang telah dibuat sebelumnya di OU Cloud untuk mengelola kebijakan dengan lebih baik. Untuk informasi selengkapnya tentang OU Cloud, lihat Unit organisasi.Jika ingin menggabungkan VM ke OU kustom, Anda harus membuat OU kustom di OU GCE Instances atau OU Cloud di Managed Microsoft AD dan menggunakan kunci metadata ini untuk menentukan OU kustom. Microsoft AD Terkelola tidak mendukung OU kustom yang Anda buat di mana pun selain di OU Cloud atau OU GCE Instances.Jika Anda membuat OU kustom di OU Cloud, tentukan jalur OU kustom dalam format berikut: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Misalnya, /cloud/my-sub-ou/my-custom-ou.Untuk informasi selengkapnya tentang cara mengelola objek AD di Microsoft AD Terkelola, lihat Mengelola objek Active Directory. |
managed-ad-force |
Opsional: Saat Anda menghapus VM yang telah bergabung dengan domain, akun komputer VM akan tetap ada di Managed Microsoft AD. Saat Anda mencoba bergabung ke VM lain dengan akun komputer yang sama, permintaan bergabung ke domain akan gagal secara default. Microsoft AD Terkelola dapat menggunakan kembali akun komputer yang ada jika Anda menetapkan kunci metadata ini ke TRUE.
|
Bergabung ke VM Windows
Anda dapat menggunakan kunci metadata ini saat membuat VM Windows atau mengupdate VM yang ada. Bagian berikut mengilustrasikan cara menggunakan kunci metadata ini dalam perintah gcloud CLI saat Anda membuat VM atau mengupdate VM.
Namun, Anda juga dapat menggunakan kunci metadata ini dengan VM menggunakan opsi lain yang tersedia. Untuk mengetahui informasi selengkapnya tentang cara menggunakan metadata dengan VM Windows Compute Engine, lihat Menetapkan metadata kustom.
Bergabung ke VM Windows selama pembuatan
Untuk membuat dan bergabung ke VM Windows Compute Engine, jalankan perintah gcloud CLI berikut:
gcloud compute instances create INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--image-project windows-cloud \
--image-family IMAGE_FAMILY
Ganti kode berikut:
- INSTANCE_NAME: Nama VM Windows Compute Engine yang akan dibuat. Contoh,
my-instance-1. - URL: Lokasi skrip startup Windows yang dapat diakses secara publik dan dijalankan VM selama proses startup.
- DOMAIN_RESOURCE_PATH: Nama resource lengkap domain Managed Microsoft AD yang akan diikutsertakan. Contoh,
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: Akun layanan yang ingin Anda lampirkan ke VM. Contoh,
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Cakupan akses default yang dikonfigurasi di VM membatasi permintaan bergabung ke domain. Anda harus menetapkan cakupan aksescloud-platformpenuh di VM. Untuk mengetahui informasi selengkapnya, lihat Otorisasi.--image-project: Anda harus menetapkan tanda ini sebagaiwindows-clouduntuk membuat VM Windows. Untuk informasi selengkapnya, lihatgcloud compute instances create.- IMAGE_FAMILY: Tentukan salah satu grup image publik yang memiliki image untuk versi Windows yang didukung. Contohnya,
windows-2019-core
Untuk informasi selengkapnya tentang cara menambahkan metadata selama pembuatan VM, lihat Menetapkan metadata selama pembuatan VM.
Bergabung ke VM Windows yang ada
Anda dapat memperbarui kunci metadata di VM Windows Compute Engine yang ada dan bergabung dengan VM ke domain Anda. Setelah Anda menambahkan kunci metadata ini ke VM, mulai ulang VM agar permintaan bergabung ke domain berhasil.
Untuk bergabung ke VM Windows Compute Engine yang ada, jalankan perintah gcloud CLI berikut:
gcloud compute instances add-metadata INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform
Ganti kode berikut:
- INSTANCE_NAME: Nama VM Windows Compute Engine yang ingin Anda gabungkan. Contoh,
my-instance-1. - URL: Lokasi skrip startup Windows yang dapat diakses secara publik dan dijalankan VM setelah dimulai ulang.
- DOMAIN_RESOURCE_PATH: Nama resource lengkap domain Managed Microsoft AD yang akan diikutsertakan. Contoh,
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: Akun layanan yang telah Anda lampirkan ke VM selama pembuatan. Contoh,
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Cakupan akses default yang dikonfigurasi di VM membatasi permintaan bergabung ke domain. Anda harus menetapkan cakupan aksescloud-platformpenuh di VM. Untuk mengetahui informasi selengkapnya, lihat Otorisasi.
Untuk mengetahui informasi selengkapnya tentang cara menambahkan metadata ke VM yang ada, lihat Memperbarui metadata pada VM yang berjalan.
Membersihkan VM yang tidak tergabung
Sebaiknya hapus akun komputer secara manual dari Managed Microsoft AD dalam skenario berikut:
- Jika Anda menghapus VM yang telah bergabung dengan domain Microsoft AD Terkelola.
- Jika VM gagal bergabung dengan domain Microsoft AD Terkelola.
Lihat log debug
Jika permintaan bergabung ke domain gagal, Anda dapat memeriksa log untuk skrip startup guna mengidentifikasi dan memecahkan masalah. Untuk memeriksa log skrip startup, Anda dapat melihat output Port serial 1. Jika telah mengaktifkan atribut tamu di VM, Anda dapat mendapatkan atribut tamu untuk melihat log.
Untuk informasi tentang error umum yang dapat Anda alami saat bergabung ke VM ke domain, lihat Tidak dapat bergabung ke VM Windows secara otomatis ke domain.