פריסת יער Active Directory ב-Compute Engine

Last reviewed 2024-07-11 UTC

במסמך הזה מוסבר איך לפרוס יער של Active Directory ב-Compute Engine באופן שתואם לשיטות המומלצות שמתוארות במאמר שיטות מומלצות להפעלת Active Directory ב-Google Cloud.

המדריך הזה מיועד לאדמינים ולמהנדסי DevOps. ההנחה היא שיש לכם הבנה טובה של Active Directory וידע בסיסי בGoogle Cloud רישות ובאבטחה.

ארכיטקטורה

הפריסה מורכבת משני פרויקטים:

הארכיטקטורה הזו מאפשרת לכם:

  • אפשר לפרוס עומסי עבודה נוספים של Windows בפרויקטים נפרדים, ולאפשר להם להשתמש ברשת ה-VPC המשותפת וביער Active Directory.
  • משלבים את יער Active Directory עם יער מקומי קיים כדי להטמיע את דפוס יער המשאבים.

לפני שמתחילים

כדי לפעול לפי ההוראות במדריך הזה, צריך לוודא שיש לכם את הדברים הבאים:

  • טווחים של CIDR של תת-רשתות לשתי תת-רשתות:

    • תת-רשת של בקרי דומיין. רשת המשנה הזו מכילה את בקרי הדומיין. שימוש ברשת משנה ייעודית לבקרי דומיין עוזר להבחין בין התנועה של בקרי הדומיין לבין תנועה של שרתים אחרים כשמנהלים כללים של חומת אש או כשמנתחים יומנים של הרשת.

      מומלץ להשתמש בטווח CIDR של רשת משנה בגודל /28 או /29.

    • רשת משנה של משאבים. רשת המשנה הזו מכילה שרתים ותחנות עבודה אדמיניסטרטיביות. משתמשים בטווח CIDR של רשת משנה שהוא גדול מספיק כדי להכיל את כל השרתים שמתכננים לפרוס.

    חשוב לוודא שרשתות המשנה לא חופפות לרשתות משנה מקומיות, ושיש מספיק מקום להתרחבות.

  • שם דומיין DNS ושם דומיין NetBIOS עבור דומיין הבסיס של יער Active Directory. מידע נוסף על בחירת שם זמין במאמר מוסכמות למתן שמות של מיקרוסופט.

פריסת רשת משותפת

בקטע הזה, יוצרים פרויקט חדש ומשתמשים בו כדי לפרוס רשת VPC משותפת. בהמשך, תשתמשו ברשת הזו כדי לפרוס את בקרי הדומיין של Active Directory.

יצירת פרויקט

עכשיו יוצרים פרויקט חדש ומשתמשים בו כדי לפרוס רשת VPC משותפת.

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine and Cloud DNS APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

כדי לקבל את ההרשאות שדרושות לפריסת רשת משותפת, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט או בתיקיית האב:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

מחיקת רשת ה-VPC שמוגדרת כברירת מחדל

כברירת מחדל, Compute Engine יוצר רשת ברירת מחדל בכל פרויקט חדש שאתם יוצרים. הרשת הזו מוגדרת במצב אוטומטי, כלומר מוקצה מראש רשת משנה לכל אזור ומוקצה לה באופן אוטומטי טווח CIDR.

בקטע הזה, מחליפים את רשת ה-VPC ברשת מותאמת אישית שמכילה שתי תת-רשתות ומשתמשת בטווחים מותאמים אישית של CIDR.

  1. בGoogle Cloud מסוף, פותחים את Cloud Shell.

    הפעלת Cloud Shell

  2. מפעילים את PowerShell:

    pwsh

  3. מגדירים את ה-CLI של gcloud לשימוש בפרויקט החדש:

    gcloud config set project PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט.

  4. מחיקה של כל כללי חומת האש שמשויכים ל-VPC שמוגדר כברירת מחדל:

    $ProjectId = gcloud config get-value core/project
& gcloud compute firewall-rules list `
  --filter "network=default" `
  --format "value(name)" |
  % { gcloud compute firewall-rules delete --quiet $_ --project $ProjectId }

  5. מחיקת רשת ה-VPC שמוגדרת כברירת מחדל:

    & gcloud compute networks list --format "value(name)" |
  % { gcloud compute networks delete $_ --quiet }

יצירת רשת VPC במצב מותאם אישית

עכשיו יוצרים רשת VPC במצב מותאם אישית בפרויקט המארח של ה-VPC.

  1. ב-PowerShell, מאתחלים את המשתנים הבאים:

    $VpcName = "VPC_NAME"
$Region = "REGION"
$SubnetRangeDomainControllers = "DC_CIDR"
$SubnetRangeResources = "RESOURCES_CIDR"

    מחליפים את מה שכתוב בשדות הבאים:

    • VPC_NAME: השם של ה-VPC.
    • REGION: האזור שבו רוצים לפרוס את בקרי הדומיין של Active Directory.
    • DC_CIDR: טווח תת-הרשת לשימוש בתת-הרשת של בקרי הדומיין.
    • RESOURCES_CIDR: טווח רשת המשנה לשימוש ברשת המשנה של המשאב.

    דוגמה:

    $VpcName = "ad"
$Region = "us-central1"
$SubnetRangeDomainControllers = "10.0.0.0/28"
$SubnetRangeResources = "10.0.1.0/24"

  2. יוצרים את ה-VPC ומגדירים אותו לשימוש כרשת VPC משותפת:

    $ProjectId = gcloud config get-value core/project
& gcloud compute networks create $VpcName --subnet-mode custom
& gcloud compute shared-vpc enable $ProjectId

  3. יוצרים את רשתות המשנה ומפעילים את הגישה הפרטית ל-Google כדי שמערכת Windows תוכל להפעיל את עצמה בלי גישה לאינטרנט.

    & gcloud compute networks subnets create domain-controllers `
  --network $VpcName `
  --range $SubnetRangeDomainControllers `
  --region $Region `
  --enable-private-ip-google-access

& gcloud compute networks subnets create resources `
  --network $VpcName `
  --range $SubnetRangeResources `
  --region $Region `
  --enable-private-ip-google-access

פריסת רשתות משנה וכללים לחומת האש

עכשיו יוצרים כללים של חומת אש כדי לאפשר תקשורת של Active Directory בתוך ה-VPC.

  1. מאפשרים חיבורי RDP לכל מכונות ה-VM באמצעות העברת TCP ב-Cloud IAP:

    & gcloud compute firewall-rules create allow-rdp-ingress-from-iap `
  --direction INGRESS `
  --action allow `
  --rules tcp:3389 `
  --enable-logging `
  --source-ranges 35.235.240.0/20 `
  --network $VpcName `
  --priority 10000

  2. מתן הרשאה לשאילתות DNS מ-Cloud DNS לבקרי דומיין.

    & gcloud compute firewall-rules create allow-dns-ingress-from-clouddns `
  --direction INGRESS `
  --action=allow `
  --rules udp:53,tcp:53 `
  --enable-logging `
  --source-ranges 35.199.192.0/19 `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

    כלל חומת אש זה נדרש כדי שאזור העברת ה-DNS הפרטי יפעל.

  3. מתן הרשאה לשכפול של Active Directory בין בקרי דומיין:

    & gcloud compute firewall-rules create allow-replication-between-addc `
  --direction INGRESS `
  --action allow `
  --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:49152-65535" `
  --enable-logging `
  --source-tags ad-domaincontroller `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

  4. מתן הרשאה לכניסה ל-Active Directory ממכונות וירטואליות שנמצאות ברשת המשנה של המשאבים אל בקרי הדומיין:

    & gcloud compute firewall-rules create allow-logon-ingress-to-addc `
  --direction INGRESS `
  --action allow `
  --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:464,udp:464,tcp:3268,udp:3268,tcp:9389,tcp:49152-65535" `
  --enable-logging `
  --source-ranges $SubnetRangeResources `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

  5. אם אתם מתכננים להגדיר LDAP מאובטח, אתם צריכים לאפשר חיבורים של LDAP מאובטח ממכונות וירטואליות שנמצאות ברשת המשנה של המשאבים לבקרי הדומיין:

    & gcloud compute firewall-rules create allow-ldaps-ingress-to-addc `
  --direction INGRESS `
  --action allow `
  --rules tcp:636 `
  --enable-logging `
  --source-ranges $SubnetRangeResources `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

    כלל חומת האש הזה נדרש רק אם אתם מתכננים להגדיר LDAP מאובטח.

  6. (אופציונלי) יוצרים כלל חומת אש שמתעד את כל ניסיונות הגישה שנכשלו. היומנים יכולים להיות שימושיים לאבחון בעיות בקישוריות, אבל הם עשויים ליצור נפח משמעותי של נתוני יומן.

    & gcloud compute firewall-rules create deny-ingress-from-all `
  --direction INGRESS `
  --action deny `
  --rules tcp:0-65535,udp:0-65535 `
  --enable-logging `
  --source-ranges 0.0.0.0/0 `
  --network $VpcName `
  --priority 65000

פריסת יער Active Directory

בקטע הזה יוצרים פרויקט שירות חדש ומצרפים אותו לפרויקט המארח של ה-VPC המשותף שנוצר קודם. לאחר מכן משתמשים בפרויקט השירות כדי לפרוס יער חדש של Active Directory עם שני בקרי דומיין.

יצירת פרויקט

עכשיו יוצרים פרויקט חדש ומשתמשים בו כדי לפרוס את מכונות ה-VM של בקר הדומיין של Active Directory.

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine and Secret Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

כדי לקבל את ההרשאות שדרושות לפריסת יער Active Directory, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הכנת ההגדרות

השלב הבא הוא הכנת ההגדרה לפריסה של Active Directory.

  1. אם סגרתם קודם את סשן PowerShell, פותחים את Cloud Shell.

    הפעלת Cloud Shell

  2. מפעילים את PowerShell:

    pwsh

  3. מגדירים את ה-CLI של gcloud לשימוש בפרויקט החדש:

    gcloud config set project DC_PROJECT_ID

    מחליפים את DC_PROJECT_ID במזהה הפרויקט.

  4. משתמשים ב-PowerShell כדי ליצור את המשתנים הבאים:

    $AdDnsDomain = "DNS_DOMAIN"
$AdNetbiosDomain = "NETBIOS_DOMAIN"
$VpcProjectId = "VPCHOST_PROJECT_ID"
$VpcName = "VPC_NAME"
$Region = "REGION"
$Zones = "REGION-a", "REGION-b"

    מחליפים את מה שכתוב בשדות הבאים:

    • DNS_DOMAIN: שם הדומיין הבסיסי של היער ב-Active Directory, לדוגמה cloud.example.com.
    • NETBIOS_DOMAIN: שם הדומיין של NetBIOS עבור דומיין הבסיס של היער, לדוגמה CLOUD.
    • VPCHOST_PROJECT_ID: מזהה הפרויקט של פרויקט המארח של ה-VPC שיצרתם קודם.
    • VPC_NAME: השם של רשת ה-VPC המשותפת שיצרתם קודם.
    • REGION: האזור שבו רוצים לפרוס את בקרי הדומיין של Active Directory. שימו לב ששמות האזורים מבוססים על שמות האזור שציינתם. בכל שלב אפשר להרחיב את ה-VPC ואת הדומיין כך שיכללו אזורים נוספים.

    דוגמה:

    $AdDnsDomain = "cloud.example.com"
$AdNetbiosDomain = "CLOUD"
$VpcProjectId = "vpc-project-123"
$VpcName = "ad"
$Region = "us-west1"
$Zones = "us-west1-a", "us-west1-b"

יצירת אזור פרטי להעברת DNS

עכשיו אתם שומרים שתי כתובות IP סטטיות עבור בקרי הדומיין ויוצרים אזור פרטי להעברת DNS שמעביר את כל שאילתות ה-DNS של דומיין Active Directory לכתובות ה-IP האלה.

  1. מצרפים את הפרויקט לרשת ה-VPC המשותפת:

    $ProjectId = gcloud config get-value core/project
& gcloud compute shared-vpc associated-projects add $ProjectId --host-project $VpcProjectId

  2. משריינים שתי כתובות IP פנימיות סטטיות ברשת המשנה של בקרי הדומיין:

    $AddressOfDc1 = gcloud compute addresses create dc-1 `
  --region $Region `
  --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" `
  --format value`(address`)
$AddressOfDc2 = gcloud compute addresses create dc-2 `
  --region $Region `
  --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" `
  --format value`(address`)

  3. יוצרים אזור העברה פרטי ב-Cloud DNS בפרויקט המארח של ה-VPC, ומגדירים את האזור להעברת שאילתות DNS לשתי כתובות ה-IP השמורות:

    & gcloud dns managed-zones create $AdDnsDomain.Replace(".", "-") `
  --project $VpcProjectId `
  --dns-name $AdDnsDomain `
  --description "Active Directory forwarding zone" `
  --networks $VpcName `
  --visibility private `
  --forwarding-targets "$AddressOfDc1,$AddressOfDc2"

יצירת סיסמת DSRM

עכשיו מגדירים את הסיסמה של מצב השחזור של שירות הספרייה (DSRM) ושומרים אותה ב-Secret Manager. לאחר מכן, מעניקים למכונות הווירטואליות של בקרי הדומיין גישה זמנית לסוד הזה כדי שיוכלו להשתמש בו לפריסת יער Active Directory.

  1. יוצרים סיסמה אקראית ושומרים אותה בסוד ב-Secret Manager:

    # Generate a random password.
$DsrmPassword = [Guid]::NewGuid().ToString()+"-"+[Guid]::NewGuid().ToString()

$TempFile = New-TemporaryFile
Set-Content $TempFile "$DsrmPassword" -NoNewLine
& gcloud secrets create ad-password --data-file $TempFile
Remove-Item $TempFile

  2. יוצרים את חשבון השירות עבור מכונות וירטואליות של בקר דומיין:

    $DcServiceAccount = gcloud iam service-accounts create ad-domaincontroller `
  --display-name "AD Domain Controller" `
  --format "value(email)"

  3. נותנים לחשבון השירות הרשאה לקרוא את הסוד למשך השעה הבאה:

    $Expiry = [DateTime]::UtcNow.AddHours(1).ToString("o")
& gcloud secrets add-iam-policy-binding ad-password `
  --member=serviceAccount:$($DcServiceAccount) `
  --role=roles/secretmanager.secretAccessor `
  --condition="title=Expires after 1h,expression=request.time < timestamp('$Expiry')"

פריסת בקרי דומיין

עכשיו פורסים שתי מכונות וירטואליות ויוצרים יער ודומיין חדשים של Active Directory. כדי לצמצם את מספר השלבים הידניים, משתמשים בסקריפטים להפעלה.

  1. ב-PowerShell, מריצים את הפקודה הבאה כדי ליצור סקריפט לטעינה בזמן ההפעלה:

    '
$ErrorActionPreference = "Stop"

#
# Only run the script if the VM is not a domain controller already.
#
if ((Get-CimInstance -ClassName Win32_OperatingSystem).ProductType -eq 2) {
    exit
}

#
# Read configuration from metadata.
#
Import-Module "${Env:ProgramFiles}\Google\Compute Engine\sysprep\gce_base.psm1"

$ActiveDirectoryDnsDomain     = Get-MetaData -Property "attributes/ActiveDirectoryDnsDomain" -instance_only
$ActiveDirectoryNetbiosDomain = Get-MetaData -Property "attributes/ActiveDirectoryNetbiosDomain" -instance_only
$ActiveDirectoryFirstDc       = Get-MetaData -Property "attributes/ActiveDirectoryFirstDc" -instance_only
$ProjectId                    = Get-MetaData -Property "project-id" -project_only
$Hostname                     = Get-MetaData -Property "hostname" -instance_only
$AccessToken                  = (Get-MetaData -Property "service-accounts/default/token" | ConvertFrom-Json).access_token

#
# Read the DSRM password from secret manager.
#
$Secret = (Invoke-RestMethod `
    -Headers @{
        "Metadata-Flavor" = "Google";
        "x-goog-user-project" = $ProjectId;
        "Authorization" = "Bearer $AccessToken"} `
    -Uri "https://secretmanager.googleapis.com/v1/projects/$ProjectId/secrets/ad-password/versions/latest:access")
$DsrmPassword = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Secret.payload.data))
$DsrmPassword = ConvertTo-SecureString -AsPlainText $DsrmPassword -force

#
# Promote.
#
Write-Host "Setting administrator password..."
Set-LocalUser -Name Administrator -Password $DsrmPassword

if ($ActiveDirectoryFirstDc -eq $env:COMPUTERNAME) {
    Write-Host "Creating a new forest $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..."
    Install-ADDSForest `
        -DomainName $ActiveDirectoryDnsDomain `
        -DomainNetbiosName $ActiveDirectoryNetbiosDomain `
        -SafeModeAdministratorPassword $DsrmPassword `
        -DomainMode Win2008R2 `
        -ForestMode Win2008R2 `
        -InstallDns `
        -CreateDnsDelegation:$False `
        -NoRebootOnCompletion:$True `
        -Confirm:$false
}
else {
    do {
        Write-Host "Waiting for domain to become available..."
        Start-Sleep -s 60
        & ipconfig /flushdns | Out-Null
        & nltest /dsgetdc:$ActiveDirectoryDnsDomain | Out-Null
    } while ($LASTEXITCODE -ne 0)

    Write-Host "Adding DC to $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..."
    Install-ADDSDomainController `
        -DomainName $ActiveDirectoryDnsDomain `
        -SafeModeAdministratorPassword $DsrmPassword `
        -InstallDns `
        -Credential (New-Object System.Management.Automation.PSCredential ("Administrator@$ActiveDirectoryDnsDomain", $DsrmPassword)) `
        -NoRebootOnCompletion:$true  `
        -Confirm:$false
}

#
# Configure DNS.
#
Write-Host "Configuring DNS settings..."
Get-Netadapter| Disable-NetAdapterBinding -ComponentID ms_tcpip6
Set-DnsClientServerAddress  `
    -InterfaceIndex (Get-NetAdapter -Name Ethernet).InterfaceIndex `
    -ServerAddresses 127.0.0.1

#
# Enable LSA protection.
#
New-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
    -Name "RunAsPPL" `
    -Value 1 `
    -PropertyType DWord

Write-Host "Restarting to apply all settings..."
Restart-Computer
' | Out-File dc-startup.ps1 -Encoding ASCII

    הסקריפט מבצע את הפעולות הבאות:

  2. יוצרים מכונה וירטואלית עבור בקר הדומיין הראשון:

    $Subnet = "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers"
$Metadata = `
  "ActiveDirectoryDnsDomain=$AdDnsDomain",
  "ActiveDirectoryNetbiosDomain=$AdNetbiosDomain",
  "ActiveDirectoryFirstDc=dc-1",
  "sysprep-specialize-script-ps1=Install-WindowsFeature AD-Domain-Services; Install-WindowsFeature DNS",
  "disable-account-manager=true" -join ","

& gcloud compute instances create dc-1  `
  --image-family windows-2022 `
  --image-project windows-cloud `
  --machine-type n2-standard-8 `
  --tags ad-domaincontroller `
  --metadata "$Metadata" `
  --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 `
  --no-address `
  --network-interface "no-address,private-network-ip=$AddressOfDc1,subnet=$Subnet" `
  --service-account $DcServiceAccount `
  --scopes cloud-platform `
  --zone $Zones[0] `
  --shielded-integrity-monitoring `
  --shielded-secure-boot `
  --shielded-vtpm `
  --deletion-protection

    הפקודה הזו מבצעת את הפעולות הבאות:

    • יוצרים מכונה וירטואלית של Windows Server 2022 מוגנת.
    • מקצים את חשבון השירות ad-domaincontroller למכונה הווירטואלית כדי שיוכל לגשת לסיסמה של DSRM.
    • מגדירים את סוכן האורח להשבתת מנהל החשבון. מידע נוסף על הגדרת הסוכן של האורח זמין במאמר הפעלה והשבתה של תכונות של מופע Windows.
    • מאפשרים למכונה הווירטואלית להתקין את התכונות של Windows‏ AD-Domain-Services ו-DNS במהלך שלב ההתמחות של sysprep.
    • מאפשרים למכונה הווירטואלית להריץ את הסקריפט לטעינה בזמן ההפעלה שיצרתם קודם.

  3. יוצרים עוד מופע של מכונה וירטואלית עבור בקר הדומיין השני וממקמים אותו באזור אחר:

    & gcloud compute instances create dc-2  `
  --image-family windows-2022 `
  --image-project windows-cloud `
  --machine-type n2-standard-8 `
  --tags ad-domaincontroller `
  --metadata "$Metadata" `
  --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 `
  --no-address `
  --network-interface "no-address,private-network-ip=$AddressOfDc2,subnet=$Subnet" `
  --service-account $DcServiceAccount `
  --scopes cloud-platform `
  --zone $Zones[1] `
  --shielded-integrity-monitoring `
  --shielded-secure-boot `
  --shielded-vtpm `
  --deletion-protection

  4. כדי לעקוב אחרי תהליך האתחול של בקר הדומיין הראשון, אפשר לצפות בפלט של היציאה הטורית שלו:

    & gcloud compute instances tail-serial-port-output dc-1 --zone $Zones[0]

    ממתינים כ-10 דקות עד שמופיעה ההודעה Restarting to apply all settings..., ואז לוחצים על Ctrl+C.

  5. כדי לעקוב אחר תהליך האתחול של בקר הדומיין השני, צופים בפלט של היציאה הטורית שלו:

    & gcloud compute instances tail-serial-port-output dc-2 --zone $Zones[1]

    ממתינים כ-10 דקות עד שמופיעה ההודעה Restarting to apply all settings..., ואז לוחצים על Ctrl+C.

היער והדומיין של Active Directory מוכנים לשימוש.

חיבור לבקר דומיין

עכשיו אפשר להתאים אישית את יער Active Directory על ידי התחברות לאחד מבקרי הדומיין.

  1. ב-PowerShell, ניגשים לסיסמה של המשתמש Administrator:

    gcloud secrets versions access latest --secret ad-password

  2. מתחברים אל dc-1 באמצעות RDP ונכנסים בתור המשתמש Administrator.

    למופע של המכונה הווירטואלית אין כתובות IP ציבוריות, ולכן צריך להתחבר דרך העברת TCP של שרת proxy לאימות זהויות (IAP).

המאמרים הבאים