Auf dieser Seite wird erläutert, wie Sie eine Windows Compute Engine-VM-Instanz mithilfe der Funktion zum automatischen Domainbeitritt in Managed Service for Microsoft Active Directory mit einer Domain verknüpfen.
So fügt Managed Microsoft AD eine Windows-VM automatisch einer Domain hinzu
Wenn Sie Managed Microsoft AD für die Authentifizierung der auf Ihren VMs ausgeführten Anwendungen verwenden möchten, müssen Sie die VMs mit Ihrer Managed Microsoft AD-Domain verknüpfen. Der Domainbeitritt umfasst in der Regel einige manuelle Schritte.
Wenn Sie eine Windows Compute Engine-VM erstellen oder aktualisieren, können Sie die VM mit Ihrer verwalteten Microsoft AD-Domain verknüpfen, indem Sie den manuellen Ansatz mithilfe von Skripts automatisieren. Zum Ausführen dieser Skripts auf einer Compute Engine-VM benötigen Sie jedoch AD-Anmeldedaten, die sicher gespeichert und gepflegt werden müssen, sowie eine Umgebung, in der die Skripts bereitgestellt und ausgeführt werden können. Sie können den Domainbeitritt mit vorgefertigten Skripts automatisieren, die über Managed Microsoft AD verfügbar sind. So müssen Sie keine Anmeldedaten und keinen zusätzlichen Dienst mehr benötigen.
Beim Erstellen von Compute Engine-VMs können Sie die VMs mithilfe von Skripts automatisch mit Ihrer verwalteten Microsoft AD-Domain verknüpfen. Nachdem Compute Engine die VMs erstellt hat, initiiert Managed Microsoft AD die Domainbeitrittsanfrage und versucht, die VMs mit Ihrer Domain zu verknüpfen. Wenn die Anfrage zum Domainbeitritt erfolgreich ist, werden die erstellten VMs von Managed Microsoft AD mit Ihrer Domain verknüpft. Wenn die Anfrage zum Beitritt der Domain fehlschlägt, werden die erstellten VMs weiterhin ausgeführt. Aus Sicherheits- oder Abrechnungsgründen können Sie dieses Verhalten anpassen. Managed Microsoft AD kann die VMs dann beenden, wenn die Anfrage zum Domainbeitritt fehlschlägt.
Wenn Sie Compute Engine-VMs aktualisieren, können Sie die vorhandenen VMs über Skripts automatisch mit Ihrer verwalteten Microsoft AD-Domain verknüpfen. Damit die Anfrage zum Domainbeitritt erfolgreich ist, startet Managed Microsoft AD die VMs nach dem Ausführen der Skripts neu.
Hinweise
Achten Sie darauf, dass der VM-Name maximal 15 Zeichen lang ist.
Prüfen Sie, ob die VM unter einer Windows-Version ausgeführt wird, die von Managed Microsoft AD unterstützt wird.
Konfigurieren Sie das Domain-Peering zwischen der Managed Microsoft AD-Domain und dem VM-Netzwerk oder legen Sie sowohl die Managed Microsoft AD-Domain als auch die VM im selben Netzwerk fest.
Erstellen Sie für das Projekt mit der Managed Microsoft AD-Domain ein Dienstkonto mit der IAM-Rolle „Google Cloud Managed Identities Domain Join“ (
roles/managedidentities.domainJoin). Weitere Informationen finden Sie unter Cloud Managed Identities-Rollen.Weitere Informationen zum Zuweisen von Rollen finden Sie unter Einzelne Rolle zuweisen.
Informationen zum Erstellen eines Dienstkontos finden Sie unter Arbeitslasten mithilfe von Dienstkonten authentifizieren.
Legen Sie den vollständigen Zugriffsbereich
cloud-platformfür die VM fest. Weitere Informationen finden Sie unter Autorisierung.
Metadaten
Sie benötigen die folgenden Metadatenschlüssel, um eine Windows-VM mit einer Domain zu verknüpfen.
| Metadatenschlüssel | Beschreibung |
|---|---|
windows-startup-script-url |
Verwenden Sie diesen Metadatenschlüssel, um den öffentlich zugänglichen Speicherort des Windows-Startup-Skripts anzugeben, das die VM während des Startvorgangs ausführt. Wenn Sie das von Managed Microsoft AD vorab bereitgestellte Windows-Startup-Skript verwenden möchten, können Sie die folgende URL eingeben: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.Wenn die VM keinen Zugriff auf diese URL hat, können Sie das Startup-Skript mit einer der anderen unterstützten Methoden übergeben. Weitere Informationen finden Sie unter Startskripts auf Windows-VMs verwenden. |
managed-ad-domain |
Verwenden Sie diesen Metadatenschlüssel, um den vollständigen Ressourcennamen Ihrer Managed Microsoft AD-Domain anzugeben, der hinzugefügt werden soll, im Format projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Beispiel: projects/my-project-123/locations/global/domains/my-domain.example.com |
managed-ad-domain-join-failure-stop |
Optional: Standardmäßig wird die VM auch dann weiter ausgeführt, wenn die Anfrage zum Domainbeitritt fehlschlägt. Sie können diesen Metadatenschlüssel auf TRUE setzen, wenn Sie die VM beenden möchten, wenn die Anfrage fehlschlägt. Managed Microsoft AD kann die VM beenden, nachdem Sie diesen Metadatenschlüssel festgelegt haben, die VM wird jedoch nicht gelöscht. |
enable-guest-attributes |
Optional: Standardmäßig sind die Gastattribute auf einer VM deaktiviert. Sie können diesen Metadatenschlüssel auf TRUE setzen, wenn Sie die Gastattribute der VM verwenden möchten, um den Status des Domainbeitritts nach der Ausführung des Startups zu protokollieren.Managed Microsoft AD schreibt den Domainbeitrittsstatus in die folgenden Schlüssel unter dem managed-ad-Namespace von guest-attributes:
domain-join-status: Dieser Schlüssel liefert den Status der Beitrittsanfrage nach Ausführung des Skripts.domain-join-failure-message: Wenn die Beitrittsanfrage für die Domain fehlschlägt, liefert dieser Schlüssel die Fehlermeldung. |
managed-ad-ou-name |
Optional: Managed Microsoft AD fügt die VM standardmäßig der Organisationseinheit GCE Instances hinzu, die vorab unter der Organisationseinheit Cloud erstellt wurde, um die Richtlinien besser verwalten zu können. Weitere Informationen zur Organisationseinheit Cloud finden Sie unter Organisationseinheiten.Wenn Sie die VM einer benutzerdefinierten OE hinzufügen möchten, müssen Sie die benutzerdefinierte OE entweder unter der OE GCE Instances oder Cloud in Managed Microsoft AD erstellen und mit diesem Metadatenschlüssel die benutzerdefinierte OE angeben. Managed Microsoft AD unterstützt keine benutzerdefinierte OE, die Sie außerhalb der OE Cloud oder GCE Instances erstellen.Wenn Sie eine benutzerdefinierte OE unter der OE Cloud erstellen, geben Sie den Pfad der benutzerdefinierten OE im folgenden Format an: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Beispiel: /cloud/my-sub-ou/my-custom-ou.Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten. |
managed-ad-force |
Optional: Wenn Sie eine VM löschen, die Sie mit einer Domain verbunden haben, ist das Computerkonto der VM weiterhin in Managed Microsoft AD vorhanden. Wenn Sie versuchen, einer anderen VM mit demselben Computerkonto beizutreten, schlägt die Beitrittsanfrage für die Domain standardmäßig fehl. Managed Microsoft AD kann ein vorhandenes Computerkonto wiederverwenden, wenn Sie diesen Metadatenschlüssel auf TRUE festlegen.
|
Windows-VM hinzufügen
Sie können diese Metadatenschlüssel verwenden, wenn Sie eine Windows-VM erstellen oder eine vorhandene VM aktualisieren. In den folgenden Abschnitten wird gezeigt, wie Sie diese Metadatenschlüssel in gcloud CLI-Befehlen verwenden, wenn Sie eine VM erstellen oder eine VM aktualisieren.
Mithilfe der anderen verfügbaren Optionen können Sie diese Metadatenschlüssel jedoch auch mit einer VM verwenden. Weitere Informationen zur Verwendung von Metadaten mit einer Windows Compute Engine-VM finden Sie unter Benutzerdefinierte Metadaten festlegen.
Windows-VM beim Erstellen beitreten
Führen Sie den folgenden gcloud CLI-Befehl aus, um eine Windows Compute Engine-VM zu erstellen und zu verknüpfen:
gcloud compute instances create INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--image-project windows-cloud \
--image-family IMAGE_FAMILY
Ersetzen Sie Folgendes:
- INSTANCE_NAME: Name der Windows Compute Engine-VM, die erstellt werden soll. Beispiel:
my-instance-1. - URL: Ein öffentlich zugänglicher Speicherort des Windows-Startup-Skripts, das die VM während des Startvorgangs ausführt.
- DOMAIN_RESOURCE_PATH: Vollständiger Ressourcenname Ihrer verwalteten Microsoft AD-Domain, der beigetreten werden soll. Beispiel:
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: Ein Dienstkonto, das Sie an die VM anhängen möchten. Beispiel:
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Die in der VM konfigurierten Standardzugriffsbereiche schränken die Anfrage zum Beitritt der Domain ein. Sie müssen auf der VM den vollständigen Zugriffsbereichcloud-platformfestlegen. Weitere Informationen finden Sie unter Autorisierung.--image-project: Legen Sie dieses Flag aufwindows-cloudfest, um eine Windows-VM zu erstellen. Weitere Informationen finden Sie untergcloud compute instances create.- IMAGE_FAMILY: Geben Sie eine der öffentlichen Image-Familien an, die Images für die unterstützten Windows-Versionen haben. Beispiel:
windows-2019-core
Weitere Informationen zum Hinzufügen von Metadaten während der VM-Erstellung finden Sie unter Metadaten während der VM-Erstellung festlegen.
Vorhandene Windows-VM verknüpfen
Sie können die Metadatenschlüssel auf einer vorhandenen Windows Compute Engine-VM aktualisieren und die VM mit Ihrer Domain verknüpfen. Nachdem Sie der VM diese Metadatenschlüssel hinzugefügt haben, starten Sie die VM neu, damit die Anfrage zum Domainbeitritt erfolgreich ist.
Führen Sie den folgenden gcloud CLI-Befehl aus, um eine vorhandene Windows Compute Engine-VM hinzuzufügen:
gcloud compute instances add-metadata INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform
Ersetzen Sie Folgendes:
- INSTANCE_NAME: Name der Windows Compute Engine-VM, die Sie verknüpfen möchten. Beispiel:
my-instance-1. - URL: Ein öffentlich zugänglicher Speicherort des Windows-Startup-Skripts, das die VM nach dem Neustart ausführt.
- DOMAIN_RESOURCE_PATH: Vollständiger Ressourcenname Ihrer verwalteten Microsoft AD-Domain, der beigetreten werden soll. Beispiel:
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: Das Dienstkonto, das Sie beim Erstellen der VM angehängt haben. Beispiel:
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Die in der VM konfigurierten Standardzugriffsbereiche schränken die Anfrage zum Beitritt der Domain ein. Sie müssen auf der VM den vollständigen Zugriffsbereichcloud-platformfestlegen. Weitere Informationen finden Sie unter Autorisierung.
Weitere Informationen zum Hinzufügen von Metadaten zu einer vorhandenen VM finden Sie unter Metadaten auf einer laufenden VM aktualisieren.
Nicht verbundene VMs bereinigen
Wir empfehlen, das Computerkonto in den folgenden Fällen manuell aus Managed Microsoft AD zu löschen:
- Sie löschen eine VM, die Sie mit der Managed Microsoft AD-Domain verknüpft haben.
- Wenn eine VM nicht der Managed Microsoft AD-Domain beitreten konnte.
Debug-Logs ansehen
Wenn die Anfrage zum Beitritt einer Domain fehlschlägt, können Sie die Protokolle des Startup-Skripts überprüfen, um das Problem zu identifizieren und zu beheben. Sie können die Logs des seriellen Ports 1 aufrufen, um die Logs für das Startup-Skript zu prüfen. Wenn Sie auf der VM Gastattribute aktiviert haben, können Sie die Gastattribute abrufen, um die Logs anzusehen.
Informationen zu den häufigsten Fehlern beim Beitritt einer VM zu einer Domain finden Sie unter Windows-VM kann nicht automatisch einer Domain hinzugefügt werden.