Une automáticamente una VM de Windows a un dominio

En esta página, se explica cómo unir una instancia de VM de Windows Compute Engine a un dominio mediante la función de unión automatizada de dominios en Managed Service para Microsoft Active Directory.

Cómo Microsoft AD administrado une automáticamente una VM de Windows a un dominio

Si quieres usar Microsoft AD administrado para autenticar las aplicaciones que se ejecutan en tus VMs, debes unirlas a tu dominio de Microsoft AD administrado. El proceso de unión de dominios suele implicar algunos pasos manuales.

Cuando creas o actualizas una VM de Windows Compute Engine, puedes unirla a tu dominio de Microsoft AD administrado mediante la automatización de el enfoque manual mediante secuencias de comandos. Sin embargo, para ejecutar estas secuencias de comandos en una VM de Compute Engine, necesita credenciales de AD que deben almacenarse y mantenerse de forma segura, y un entorno para aprovisionar y ejecutar estas secuencias de comandos. Para eliminar la necesidad de credenciales y un servicio adicional, puedes automatizar el proceso de unión de dominios con secuencias de comandos listas que están disponibles en Microsoft AD administrado.

Cuando creas VMs de Compute Engine, puedes usar secuencias de comandos para unir automáticamente las VMs a tu dominio de Microsoft AD administrado. Después de que Compute Engine crea las VMs, Microsoft AD administrado inicia la solicitud para unirse al dominio y, luego, intenta unir las VMs con tu dominio. Si la solicitud de unión al dominio se realiza correctamente, Microsoft AD administrado une las VMs creadas a tu dominio. Si la solicitud para unirse al dominio falla, las VMs creadas continúan ejecutándose. Por motivos de seguridad o facturación, puedes personalizar este comportamiento, y Microsoft AD administrado puede detener las VMs cuando falle la solicitud para unirse al dominio.

Cuando actualizas las VMs de Compute Engine, puedes usar secuencias de comandos para unir automáticamente las VMs existentes a tu dominio de Microsoft AD administrado. Para que la solicitud de unión al dominio tenga éxito, Microsoft AD administrado reinicia las VMs después de ejecutar las secuencias de comandos.

Antes de comenzar

  1. Cree un dominio de Managed Microsoft AD.

  2. Asegúrate de que el nombre de la VM tenga un máximo de 15 caracteres.

  3. Asegúrate de que la VM se ejecute en una versión de Windows compatible con Microsoft AD administrado.

  4. Configura el intercambio de tráfico entre dominios entre el dominio de Microsoft AD administrado y la red de la VM, o bien ten el dominio de Microsoft AD administrado y la VM en la misma red.

  5. Crea una cuenta de servicio con el rol de IAM de unión de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainJoin) en el proyecto que tiene el dominio de Microsoft AD administrado. Para obtener más información, consulta Funciones de identidades administradas de Cloud.

  6. Establece el permiso de acceso cloud-platform completo en la VM. Para obtener más información, consulta Autorización.

Metadata

Necesitas las siguientes claves de metadatos para unir una VM de Windows a un dominio.

Claves de metadatos Descripción
windows-startup-script-url Usa esta clave de metadatos para especificar la ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM durante el proceso de inicio. Para usar la secuencia de comandos de inicio de Windows que entrega previamente Microsoft AD administrado, puedes ingresar la siguiente URL: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.

Si la VM no tiene acceso a esta URL, puedes pasar la secuencia de comandos de inicio con cualquiera de los otros métodos admitidos. Para obtener más información, consulta Usa secuencias de comandos de inicio en VMs de Windows.
managed-ad-domain Usa esta clave de metadatos para especificar el nombre completo del recurso de tu dominio de Microsoft AD administrado a fin de unirte, en la forma de: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Por ejemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
managed-ad-domain-join-failure-stop Opcional: De forma predeterminada, la VM continúa ejecutándose incluso después de que falla la solicitud para unirse al dominio. Puedes establecer esta clave de metadatos en TRUE si deseas detener la VM cuando falla la solicitud. Microsoft AD administrado puede detener la VM después de establecer esta clave de metadatos, pero no la borra.
enable-guest-attributes Opcional: De forma predeterminada, los atributos de invitado están inhabilitados en una VM. Puedes establecer esta clave de metadatos en TRUE si deseas usar los atributos de invitado de la VM para registrar el estado de unión al dominio después de la ejecución de la secuencia de comandos de inicio.

Microsoft AD administrado escribe el estado de unión del dominio en las siguientes claves en el espacio de nombres managed-ad de guest-attributes:
  • domain-join-status: Esta clave proporciona el estado de la solicitud para unirse al dominio después de la ejecución de la secuencia de comandos.
  • domain-join-failure-message: Si la solicitud para unirse al dominio falla, esta clave proporciona el mensaje de error.
  • Cuando obtienes los atributos de invitado, puedes usar estos espacios de nombres y claves para ver el estado de unión al dominio.
    managed-ad-ou-name Opcional: De forma predeterminada, Microsoft AD administrado une la VM a la unidad organizativa (UO) GCE Instances que se creó previamente en la UO Cloud para administrar mejor las políticas. Para obtener más información sobre la UO Cloud, consulta Unidades organizativas.

    Si deseas unir la VM a una UO personalizada, debes crearla en la UO GCE Instances o en la UO Cloud en Microsoft AD administrado y usar esta clave de metadatos para especificar la UO personalizada. Microsoft AD administrado no admite una UO personalizada que crees en otro lugar que no sea la UO Cloud o la UO GCE Instances.

    Si creas una UO personalizada en la UO Cloud, especifica la ruta de acceso de la UO personalizada en el siguiente formato: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Por ejemplo, /cloud/my-sub-ou/my-custom-ou.

    Para obtener más información sobre la administración de objetos de AD en Microsoft AD administrado, consulta Administra objetos de Active Directory.
    managed-ad-force Opcional: Cuando borras una VM que te uniste con un dominio, la cuenta de computadora de la VM sigue existiendo en Microsoft AD administrado. Cuando intentas unirte a otra VM con la misma cuenta de computadora, la solicitud para unirse al dominio falla de forma predeterminada. Microsoft AD administrado puede reutilizar una cuenta de computadora existente si estableces esta clave de metadatos en TRUE.

    Únete a la VM de Windows

    Puedes usar estas claves de metadatos cuando creas una VM de Windows o actualizas una VM existente. En las siguientes secciones, se ilustra cómo usar estas claves de metadatos en los comandos de gcloud CLI cuando creas o actualizas una VM.

    Sin embargo, también puedes usar estas claves de metadatos con una VM con las otras opciones disponibles. Para obtener más información sobre el uso de metadatos con una VM de Windows Compute Engine, consulta Establece metadatos personalizados.

    Únete a una VM de Windows durante la creación

    Para crear una VM de Windows Compute Engine y unirte a ella, ejecuta el siguiente comando de gcloud CLI:

    gcloud compute instances create INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform \
        --image-project windows-cloud \
        --image-family IMAGE_FAMILY
    

    Reemplaza lo siguiente:

    • INSTANCE_NAME: El nombre de la VM de Windows Compute Engine que se creará. Por ejemplo, my-instance-1
    • URL: Es una ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM durante el proceso de inicio.
    • DOMAIN_RESOURCE_PATH: Es el nombre de recurso completo de tu dominio de Microsoft AD administrado para unirte. Por ejemplo, projects/my-project-123/locations/global/domains/my-domain.example.com
    • SERVICE_ACCOUNT: Una cuenta de servicio que deseas conectar a la VM. Por ejemplo, my-sa-123@my-project-123.iam.gserviceaccount.com
    • --scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud para unirse al dominio. Debes establecer el permiso de acceso cloud-platform completo en la VM. Para obtener más información, consulta Autorización.
    • --image-project: Debes establecer esta marca como windows-cloud para crear una VM de Windows. Para obtener más información, consulta gcloud compute instances create:
    • IMAGE_FAMILY: Especifica una de las familias de imágenes públicas que tiene imágenes para las versiones de Windows compatibles. Por ejemplo, windows-2019-core.

    Para obtener más información sobre cómo agregar metadatos durante la creación de una VM, consulta Establece metadatos durante la creación de una VM.

    Únete a una VM de Windows existente

    Puedes actualizar las claves de metadatos en una VM existente de Windows Compute Engine y unirla a tu dominio. Después de agregar estas claves de metadatos a la VM, reiníciala para que la solicitud de unión al dominio se realice de forma correcta.

    Para unirte a una VM existente de Windows Compute Engine, ejecuta el siguiente comando de gcloud CLI:

    gcloud compute instances add-metadata INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform
    

    Reemplaza lo siguiente:

    • INSTANCE_NAME: El nombre de la VM de Windows Compute Engine a la que deseas unir. Por ejemplo, my-instance-1
    • URL: Es una ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM después del reinicio.
    • DOMAIN_RESOURCE_PATH: Es el nombre de recurso completo de tu dominio de Microsoft AD administrado para unirte. Por ejemplo, projects/my-project-123/locations/global/domains/my-domain.example.com
    • SERVICE_ACCOUNT: La cuenta de servicio que adjuntaste a la VM durante la creación. Por ejemplo, my-sa-123@my-project-123.iam.gserviceaccount.com
    • --scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud para unirse al dominio. Debes establecer el permiso de acceso cloud-platform completo en la VM. Para obtener más información, consulta Autorización.

    Para obtener más información sobre cómo agregar metadatos a una VM existente, consulta Actualiza metadatos en una VM en ejecución.

    Limpia las VMs no unidas

    Recomendamos borrar la cuenta de computadora de forma manual desde Microsoft AD administrado en los siguientes casos:

    • Si borras una VM que te uniste con el dominio administrado de Microsoft AD.
    • Si una VM no pudo unirse con el dominio de Microsoft AD administrado.

    Consulta registros de depuración

    Si la solicitud para unirse al dominio falla, puedes revisar los registros de la secuencia de comandos de inicio para identificar y solucionar el problema. Para verificar los registros de la secuencia de comandos de inicio, puedes ver la salida del puerto en serie 1. Si habilitaste atributos de invitado en la VM, puedes obtener los atributos de invitado para ver los registros.

    Para obtener información sobre los errores comunes que puedes encontrar cuando unes una VM a un dominio, consulta No se puede unir automáticamente una VM de Windows a un dominio.

    ¿Qué sigue?