Se usó la API de Cloud Translation para traducir esta página.

Une una VM de Windows a un dominio automáticamente

En esta página, se explica cómo unir una instancia de VM de Windows Compute Engine a un dominio con la función de unión automatizada de dominios en el servicio administrado de Microsoft Active Directory.

Cómo Microsoft AD administrado une automáticamente una VM de Windows a un dominio

Para usar Microsoft AD administrado para autenticar las aplicaciones que se ejecutan en tus VMs, debes unirlas a tu dominio de Microsoft AD administrado. El proceso de unión de dominios suele implicar la realización de algunos pasos manuales.

Cuando creas o actualizas una VM de Windows Compute Engine, puedes unirla a tu dominio de Microsoft AD administrado automatizando el enfoque manual con secuencias de comandos. Sin embargo, para ejecutar estas secuencias de comandos en una VM de Compute Engine, necesitas credenciales de AD que se deben almacenar y mantener de forma segura, y un entorno para aprovisionarlas y ejecutarlas. Para eliminar la necesidad de credenciales y un servicio adicional, puedes automatizar el proceso de unión de dominios con secuencias de comandos listas para usar que están disponibles en Microsoft AD administrado.

Cuando creas VMs de Compute Engine, puedes usar secuencias de comandos para unirlas automáticamente a tu dominio de Microsoft AD administrado. Después de que Compute Engine crea las VMs, Microsoft AD administrado inicia la solicitud de unión de dominios y, luego, intenta unir las VMs con tu dominio. Si la solicitud de unión de dominio se realiza correctamente, Microsoft AD administrado une las VMs creadas a tu dominio. Si la solicitud de unión al dominio falla, las VMs creadas se seguirán ejecutando. Por motivos de seguridad o facturación, puedes personalizar este comportamiento, y Microsoft AD administrado puede detener las VMs cuando falla la solicitud de unión al dominio.

Cuando actualizas las VMs de Compute Engine, puedes usar secuencias de comandos para unir automáticamente las VMs existentes a tu dominio de Microsoft AD administrado. Para que la solicitud de unión de dominios se realice correctamente, Microsoft AD administrado reinicia las VMs después de ejecutar las secuencias de comandos.

Antes de comenzar

Cree un dominio de Managed Microsoft AD.
Asegúrate de que el nombre de la VM tenga un máximo de 15 caracteres.
Asegúrate de que la VM se ejecute en una versión de Windows compatible con Microsoft AD administrado.
Configura el intercambio de tráfico de dominio entre el dominio de Microsoft AD administrado y la red de la VM, o bien coloca el dominio de Microsoft AD administrado y la VM en la misma red.
Crea una cuenta de servicio con el rol de IAM de Unión de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainJoin) en el proyecto que tiene el dominio de Managed Microsoft AD. Para obtener más información, consulta Roles de identidades administradas por Cloud.
- Para obtener más información sobre cómo otorgar roles, consulta Otorga un solo rol.
- Para obtener información sobre cómo crear una cuenta de servicio, consulta Autentica cargas de trabajo con cuentas de servicio.
Establece el permiso de acceso completo de cloud-platform en la VM. Para obtener más información, consulta Autorización.

Metadatos

Necesitas las siguientes claves de metadatos para unir una VM de Windows a un dominio.

Claves de metadatos	Descripción
`windows-startup-script-url`	Usa esta clave de metadatos para especificar la ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM durante el proceso de inicio. Para usar la secuencia de comandos de inicio de Windows que entrega previamente Microsoft AD administrado, puedes ingresar la siguiente URL: `https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1`. Si la VM no tiene acceso a esta URL, puedes pasar la secuencia de comandos de inicio con cualquiera de los otros métodos admitidos. Para obtener más información, consulta Cómo usar secuencias de comandos de inicio en VMs de Windows.
`managed-ad-domain`	Usa esta clave de metadatos para especificar el nombre de recurso completo de tu dominio de Microsoft AD administrado al que te unirás, con el formato `projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME`. Por ejemplo, `projects/my-project-123/locations/global/domains/my-domain.example.com`.
`managed-ad-domain-join-failure-stop`	Opcional: De forma predeterminada, la VM sigue ejecutándose incluso después de que falla la solicitud de unión al dominio. Puedes establecer esta clave de metadatos en `TRUE` si deseas detener la VM cuando falle la solicitud. Microsoft AD administrado puede detener la VM después de que configures esta clave de metadatos, pero no la borra.
`enable-guest-attributes`	Opcional: De forma predeterminada, los atributos de invitado están inhabilitados en una VM. Puedes establecer esta clave de metadatos en `TRUE` si deseas usar los atributos de invitado de la VM para registrar el estado de unión al dominio después de la ejecución de la secuencia de comandos de inicio. Microsoft AD administrado escribe el estado de unión del dominio en las siguientes claves del espacio de nombres `managed-ad` de `guest-attributes`: `domain-join-status`: Esta clave proporciona el estado de la solicitud de unión de dominios después de la ejecución de la secuencia de comandos. `domain-join-failure-message`: Si la solicitud de unión de dominio falla, esta clave proporciona el mensaje de error. Cuando obtienes los atributos de invitado, puedes usar estos espacios de nombres y claves para ver el estado de unión del dominio.
`managed-ad-ou-name`	Opcional: De forma predeterminada, Microsoft AD administrado une la VM a la unidad organizativa (UO) `GCE Instances` que se crea previamente en la UO `Cloud` para administrar mejor las políticas. Para obtener más información sobre la UO `Cloud`, consulta Unidades organizativas. Si deseas unir la VM a una UO personalizada, debes crearla en la UO `GCE Instances` o en la UO `Cloud` en Microsoft AD administrado y usar esta clave de metadatos para especificarla. Microsoft AD administrado no admite una UO personalizada que crees en ningún otro lugar que no sea la UO `Cloud` o la UO `GCE Instances`. Si creas una UO personalizada en la UO `Cloud`, especifica la ruta de la UO personalizada en el siguiente formato: `/cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU`. Por ejemplo, `/cloud/my-sub-ou/my-custom-ou`. Para obtener más información sobre cómo administrar objetos de AD en Microsoft AD administrado, consulta Administra objetos de Active Directory.
`managed-ad-force`	Opcional: Cuando borras una VM a la que uniste con un dominio, la cuenta de la computadora de la VM sigue existiendo en Microsoft AD administrado. Cuando intentas unirte a otra VM con la misma cuenta de la computadora, la solicitud de unión al dominio falla de forma predeterminada. Microsoft AD administrado puede volver a usar una cuenta de computadora existente si configuras esta clave de metadatos en `TRUE`.

Únete a la VM de Windows

Puedes usar estas claves de metadatos cuando creas una VM de Windows o actualizas una existente. En las siguientes secciones, se muestra cómo usar estas claves de metadatos en los comandos de gcloud CLI cuando creas o actualizas una VM.

Sin embargo, también puedes usar estas claves de metadatos con una VM con las otras opciones disponibles. Para obtener más información sobre el uso de metadatos con una VM de Windows Compute Engine, consulta Configura metadatos personalizados.

Cómo unirse a una VM de Windows durante su creación

Para crear y unirte a una VM de Windows Compute Engine, ejecuta el siguiente comando de gcloud CLI:

gcloud compute instances create INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --image-project windows-cloud \
    --image-family IMAGE_FAMILY

Reemplaza lo siguiente:

INSTANCE_NAME: Es el nombre de la VM de Windows Compute Engine que se creará. Por ejemplo, my-instance-1
URL: Es una ubicación de acceso público de la secuencia de comandos de inicio de Windows que la VM ejecuta durante el proceso de inicio.
DOMAIN_RESOURCE_PATH: Es el nombre de recurso completo de tu dominio de Microsoft AD administrado al que te unirás. Por ejemplo, projects/my-project-123/locations/global/domains/my-domain.example.com
SERVICE_ACCOUNT: Es una cuenta de servicio que deseas conectar a la VM. Por ejemplo, my-sa-123@my-project-123.iam.gserviceaccount.com
--scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud de unión al dominio. Debes configurar el permiso de acceso completo cloud-platform en la VM. Para obtener más información, consulta Autorización.
--image-project: Debes establecer esta marca como windows-cloud para crear una VM de Windows. Para obtener más información, consulta gcloud compute instances create:
IMAGE_FAMILY: Especifica una de las familias de imágenes públicas que tenga imágenes para las versiones de Windows compatibles. Por ejemplo, windows-2019-core.

Para obtener más información sobre cómo agregar metadatos durante la creación de la VM, consulta Configura metadatos durante la creación de la VM.

Cómo unirse a una VM de Windows existente

Puedes actualizar las claves de metadatos en una VM de Windows Compute Engine existente y unirla a tu dominio. Después de agregar estas claves de metadatos a la VM, reiníciala para que la solicitud de unión al dominio se realice correctamente.

Para unirte a una VM de Windows Compute Engine existente, ejecuta el siguiente comando de gcloud CLI:

gcloud compute instances add-metadata INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Reemplaza lo siguiente:

INSTANCE_NAME: Es el nombre de la VM de Windows Compute Engine a la que deseas unirte. Por ejemplo, my-instance-1
URL: Es una ubicación de acceso público de la secuencia de comandos de inicio de Windows que la VM ejecuta después del reinicio.
DOMAIN_RESOURCE_PATH: Es el nombre de recurso completo de tu dominio de Microsoft AD administrado al que te unirás. Por ejemplo, projects/my-project-123/locations/global/domains/my-domain.example.com
SERVICE_ACCOUNT: Es la cuenta de servicio a la que adjuntaste la VM durante la creación. Por ejemplo, my-sa-123@my-project-123.iam.gserviceaccount.com
--scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud de unión al dominio. Debes configurar el permiso de acceso completo cloud-platform en la VM. Para obtener más información, consulta Autorización.

Para obtener más información sobre cómo agregar metadatos a una VM existente, consulta Actualiza los metadatos en una VM en ejecución.

Cómo limpiar las VMs que no se unieron

Te recomendamos que borres la cuenta de la computadora de forma manual de Microsoft AD administrado en las siguientes situaciones:

Si borras una VM que uniste con el dominio de Microsoft AD administrado.
Si una VM no pudo unirse al dominio de Microsoft AD administrado.

Consulta registros de depuración

Si la solicitud de unión al dominio falla, puedes verificar los registros de la secuencia de comandos de inicio para identificar y solucionar el problema. Para verificar los registros de la secuencia de comandos de inicio, puedes ver la salida del puerto en serie 1. Si habilitaste los atributos de invitado en la VM, puedes obtener los atributos de invitado para ver los registros.

Para obtener información sobre los errores comunes que puedes encontrar cuando unes una VM a un dominio, consulta No se puede unir una VM de Windows automáticamente a un dominio.

¿Qué sigue?

Une nodos de Windows Server de GKE automáticamente a un dominio de Microsoft AD administrado.