Aggiungere automaticamente una VM Windows a un dominio

Questa pagina spiega come unire un'istanza VM di Windows Compute Engine a un dominio utilizzando la funzionalità di aggiunta automatica del dominio in Managed Service for Microsoft Active Directory.

Come Microsoft AD gestito aggiunge automaticamente una VM Windows a un dominio

Per utilizzare Microsoft AD gestito per l'autenticazione delle applicazioni in esecuzione sulle tue VM, devi unirle al dominio Microsoft AD gestito. Il processo di aggiunta del dominio di solito prevede l'esecuzione di alcuni passaggi manuali.

Quando crei o aggiorni una VM Windows Compute Engine, puoi unirla al dominio Microsoft AD gestito automatizzando l'approccio manuale tramite gli script. Tuttavia, per eseguire questi script su una VM di Compute Engine, sono necessarie le credenziali AD, che devono essere archiviate e mantenute in modo sicuro, e un ambiente per il provisioning e l'esecuzione di questi script. Per eliminare la necessità di credenziali e di un servizio aggiuntivo, puoi automatizzare il processo di unione al dominio con script pronti all'uso disponibili da Managed Microsoft AD.

Quando crei VM di Compute Engine, puoi utilizzare gli script per unirle automaticamente al dominio Microsoft AD gestito. Dopo che Compute Engine ha creato le VM, Microsoft Active Directory gestito avvia la richiesta di iscrizione al dominio e tenta di unire le VM al tuo dominio. Se la richiesta di join al dominio ha esito positivo, Microsoft Active Directory gestito unisce le VM create al tuo dominio. Se la richiesta di join al dominio non va a buon fine, le VM create continuano a essere eseguite. Per motivi di sicurezza o di fatturazione, puoi personalizzare questo comportamento e Microsoft AD gestito può arrestare le VM quando la richiesta di unione al dominio non va a buon fine.

Quando aggiorni le VM di Compute Engine, puoi utilizzare gli script per unire automaticamente le VM esistenti al tuo dominio Microsoft AD gestito. Affinché la richiesta di join al dominio vada a buon fine, Microsoft Active Directory gestito riavvia le VM dopo l'esecuzione degli script.

Prima di iniziare

1. Crea un dominio Microsoft AD gestito.

2. Assicurati che il nome della VM contenga un massimo di 15 caratteri.

3. Assicurati che la VM venga eseguita su una versione di Windows supportata da Microsoft AD gestito.

4. Configura il peering di dominio tra il dominio Microsoft AD gestito e la rete della VM oppure assicurati che il dominio Microsoft AD gestito e la VM siano nella stessa rete.

5. Crea un account di servizio con il ruolo IAM Unione al dominio delle identità gestite da Google Cloud (roles/managedidentities.domainJoin) per il progetto che ha il dominio Microsoft AD gestito. Per maggiori informazioni, consulta Ruoli delle identità gestite da Cloud.

   • Per ulteriori informazioni sulla concessione dei ruoli, vedi Concedere un singolo ruolo.

   • Per informazioni sulla creazione di un account di servizio, vedi Autenticare i carichi di lavoro utilizzando account di servizio.

6. Imposta l'ambito di accesso completo a cloud-platform sulla VM. Per ulteriori informazioni, consulta la sezione Autorizzazione.

Metadati

Per unire una VM Windows a un dominio, sono necessarie le seguenti chiavi di metadati.

Chiavi dei metadati	Descrizione
windows-startup-script-url	Utilizza questa chiave di metadati per specificare la posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue durante il processo di avvio. Per utilizzare lo script di avvio di Windows fornito in precedenza da Microsoft Active Directory gestito, puoi inserire il seguente URL: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1. Se la VM non ha accesso a questo URL, puoi passare lo script di avvio utilizzando uno degli altri metodi supportati. Per ulteriori informazioni, consulta Utilizzo degli script di avvio sulle VM Windows.
managed-ad-domain	Utilizza questa chiave di metadati per specificare il nome completo della risorsa del dominio Microsoft AD gestito a cui partecipare, nel formato projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Ad esempio: projects/my-project-123/locations/global/domains/my-domain.example.com.
managed-ad-domain-join-failure-stop	(Facoltativo) Per impostazione predefinita, la VM continua a essere eseguita anche dopo che la richiesta di aggiunta al dominio non va a buon fine. Puoi impostare questa chiave di metadati su TRUE se vuoi arrestare la VM quando la richiesta ha esito negativo. Microsoft AD gestito può arrestare la VM dopo aver impostato questa chiave di metadati, ma non elimina la VM.
enable-guest-attributes	(Facoltativo) Per impostazione predefinita, gli attributi guest sono disabilitati su una VM. Puoi impostare questa chiave di metadati su TRUE se vuoi utilizzare gli attributi guest della VM per registrare lo stato di join al dominio dopo l'esecuzione dello script di avvio. Microsoft AD gestito scrive lo stato di join al dominio nelle seguenti chiavi nello spazio dei nomi managed-ad di guest-attributes: domain-join-status: questa chiave fornisce lo stato della richiesta di aggiunta al dominio dopo l'esecuzione dello script. domain-join-failure-message: se la richiesta di aggiunta del dominio non va a buon fine, questa chiave fornisce il messaggio di errore. Quando ottieni gli attributi guest, puoi utilizzare questi spazio dei nomi e chiavi per visualizzare lo stato di aggiunta al dominio.
managed-ad-ou-name	(Facoltativo) Per impostazione predefinita, Microsoft AD gestito unisce la VM all'unità organizzativa (UO) GCE Instances, precedentemente creata nell'UO Cloud, per gestire meglio i criteri. Per ulteriori informazioni sull'UO Cloud, vedi Unità organizzative. Se vuoi unire la VM a un'UO personalizzata, devi creare l'UO personalizzata sotto l'UO GCE Instances o l'UO Cloud in Microsoft AD gestito e utilizzare questa chiave di metadati per specificare l'UO personalizzata. Microsoft AD gestito non supporta le UO personalizzate che crei in nessun altro posto che nell'UO Cloud o nella UO GCE Instances. Se crei una UO personalizzata sotto quella Cloud, specifica il relativo percorso nel seguente formato: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Ad esempio, /cloud/my-sub-ou/my-custom-ou. Per saperne di più sulla gestione degli oggetti AD nella versione gestita di Microsoft AD, vedi Gestire gli oggetti Active Directory.
managed-ad-force	(Facoltativo) Quando elimini una VM che hai aggiunto a un dominio, l'account computer della VM continua a esistere in Microsoft AD gestito. Quando provi a unire un'altra VM con lo stesso account computer, per impostazione predefinita la richiesta di unione al dominio non va a buon fine. Microsoft AD gestito può riutilizzare un account computer esistente se imposti questa chiave di metadati su TRUE.

Unisci la VM Windows

Puoi utilizzare queste chiavi di metadati quando crei una VM Windows o ne aggiorni una esistente. Le seguenti sezioni illustrano come utilizzare queste chiavi di metadati nei comandi dell'interfaccia a riga di comando gcloud CLI quando crei una VM o ne aggiorni una.

Tuttavia, puoi utilizzare queste chiavi di metadati con una VM anche con le altre opzioni disponibili. Per saperne di più sull'utilizzo dei metadati con una VM di Windows Compute Engine, consulta Impostare i metadati personalizzati.

Partecipare a una VM Windows durante la creazione

Per creare e partecipare a una VM di Windows Compute Engine, esegui il seguente comando gcloud CLI:

gcloud compute instances create INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --image-project windows-cloud \
    --image-family IMAGE_FAMILY

Sostituisci quanto segue:

• INSTANCE_NAME: nome della VM Windows Compute Engine da creare. Ad esempio, my-instance-1.
• URL: una posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue durante il processo di avvio.
• DOMAIN_RESOURCE_PATH: nome completo della risorsa del tuo dominio Microsoft AD gestito a cui partecipare. Ad esempio, projects/my-project-123/locations/global/domains/my-domain.example.com.
• SERVICE_ACCOUNT: un account di servizio che vuoi collegare alla VM. Ad esempio, my-sa-123@my-project-123.iam.gserviceaccount.com.
• --scopes: gli ambiti di accesso predefiniti configurati nella VM limitano la richiesta di aggiunta al dominio. Devi impostare l'ambito di accesso completo a cloud-platform sulla VM. Per ulteriori informazioni, consulta la sezione Autorizzazione.
• --image-project: devi impostare questo flag su windows-cloud per creare una VM Windows. Per saperne di più, visita gcloud compute instances create.
• IMAGE_FAMILY: specifica una delle famiglie di immagini pubbliche con immagini per le versioni Windows supportate. Ad esempio: windows-2019-core.

Per saperne di più sull'aggiunta di metadati durante la creazione della VM, consulta Impostare i metadati durante la creazione della VM.

Unisci una VM Windows esistente

Puoi aggiornare le chiavi di metadati su una VM Windows Compute Engine esistente e aggiungerla al tuo dominio. Dopo aver aggiunto queste chiavi di metadati alla VM, riavviala in modo che la richiesta di join al dominio abbia esito positivo.

Per unire una VM di Windows Compute Engine esistente, esegui il seguente comando gcloud CLI:

gcloud compute instances add-metadata INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Sostituisci quanto segue:

• INSTANCE_NAME: nome della VM Windows Compute Engine a cui vuoi unire. Ad esempio, my-instance-1.
• URL: una posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue dopo il riavvio.
• DOMAIN_RESOURCE_PATH: nome completo della risorsa del tuo dominio Microsoft AD gestito a cui partecipare. Ad esempio, projects/my-project-123/locations/global/domains/my-domain.example.com.
• SERVICE_ACCOUNT: l'account di servizio a cui hai collegato la VM durante la creazione. Ad esempio, my-sa-123@my-project-123.iam.gserviceaccount.com.
• --scopes: gli ambiti di accesso predefiniti configurati nella VM limitano la richiesta di aggiunta al dominio. Devi impostare l'ambito di accesso completo a cloud-platform sulla VM. Per ulteriori informazioni, consulta la sezione Autorizzazione.

Per saperne di più sull'aggiunta di metadati a una VM esistente, consulta Aggiornamento dei metadati su una VM in esecuzione.

Pulisci VM non unite

Ti consigliamo di eliminare manualmente l'account computer dalla versione gestita di Microsoft AD nei seguenti casi:

• Se elimini una VM che hai aggiunto al dominio Microsoft AD gestito.
• Se non è stato possibile unire una VM al dominio Microsoft AD gestito.

Visualizza i log di debug

Se la richiesta di join al dominio non va a buon fine, puoi controllare i log dello script di avvio per identificare e risolvere il problema. Per verificare i log dello script di avvio, puoi visualizzare l'output della porta seriale 1. Se hai abilitato gli attributi guest sulla VM, puoi recuperarli per visualizzare i log.

Per informazioni sugli errori comuni che puoi riscontrare durante l'aggiunta di una VM a un dominio, vedi Impossibile aggiungere automaticamente una VM Windows a un dominio.

Passaggi successivi

• Unisci automaticamente i nodi GKE Windows Server a un dominio Microsoft AD gestito.