פריסת יער משאבים של Active Directory

בסדרת המאמרים הזו נסביר איך להשתמש בשירות מנוהל ל-Microsoft AD כדי לפרוס יער משאבים של Active Directory ב- Google Cloud. במאמר הזה נסביר איך:

  • הגדרת VPC משותף שמאפשר גישה לשירות מנוהל ל-Microsoft AD מכמה פרויקטים, וחיבור של שירות מנוהל ל-Microsoft AD ל-Active Directory מקומי באמצעות יער מהימן.
  • הגדרת כללי חומת אש שמגנים על הגישה ל-Active Directory ממקורות לא מורשים.
  • פורסים שירות מנוהל ל-Microsoft AD באזור יחיד ומחברים אותו ל-VPC משותף קיים.
  • יוצרים מכונה וירטואלית לניהול ומצטרפים איתה לדומיין.
  • משתמשים באדמין עם הרשאת גישה מוגבלת כדי להתחבר לשירות מנוהל ל-Microsoft AD.

סקירה כללית של הארכיטקטורה

כדי לאפשר למכונות וירטואליות מכמה פרויקטים להשתמש ב-Active Directory, תצטרכו VPC משותף ושלוש רשתות משנה נפרדות:

  • רשת משנה של שירות מנוהל ל-Microsoft AD: משמשת את השירות המנוהל ל-Microsoft AD להפעלת בקרי דומיין.
  • רשת משנה לניהול: מכילה מכונות שמשמשות אך ורק לניהול Active Directory.
  • רשתות משנה של משאבים: מכילות שרתי חברים ב-Active Directory (כמו שרתי אפליקציות או מסדי נתונים). ההיקף של כל תת-רשת של משאב הוא אזור אחד. במדריך הזה ניצור רק רשת משנה אחת של משאבים, אבל אפשר להוסיף רשתות משנה נוספות של משאבים בהמשך אם מתכננים לפרוס שרתים בכמה אזורים.

ראשי פרקים של פריסה

כדי לצמצם את הסיכונים הביטחוניים, תפרסו מכונה וירטואלית לניהול עם כתובת IP פנימית RFC 1918 וללא גישה לאינטרנט. כדי להתחבר למכונות וירטואליות, משתמשים במנהור TCP באמצעות IAP.

בהתאם לשיטה המומלצת של שימוש בפרויקטים נפרדים לניהול ולשרתים, תיצרו שני פרויקטים נפרדים:

  • פרויקט מארח של VPC: מכיל את ההגדרה של ה-VPC המשותף וגם את שירות מנוהל ל-Microsoft AD.
  • פרויקט ניהול: מיועד לניהול Active Directory. תצטרכו ליצור מכונה וירטואלית לניהול בתוך הפרויקט הזה ולהשתמש בה כדי להגדיר את Active Directory.

לפני שמתחילים

במדריך הזה נעשה שימוש ב-VPC משותף, ולכן נדרש שימוש ב Google Cloudארגון. אם אין לכם ארגון, תצטרכו ליצור אותו קודם. בנוסף, חלק מפעולות ההגדרה דורשות תפקידי ניהול. לפני שממשיכים, צריך לוודא שהוקצו לכם התפקידים הבאים ב-IAM.

במאמר הזה אנחנו מניחים שאתם משתמשים במכונת Windows עם Google Cloud CLI מותקן. אם אתם משתמשים במערכת הפעלה אחרת, תצטרכו לשנות חלק מהשלבים.

לפני שמתחילים, חשוב לאסוף את הפרטים הבאים:

  • שמות הפרויקטים של פרויקט המארח של ה-VPC ושל פרויקט הניהול. לשני הפרויקטים האלה יהיה תפקיד מרכזי בהטמעה, לכן חשוב לבחור שמות שקל לזהות ולעקוב אחריהם, ושעומדים במוסכמות למתן שמות בחברה.
  • תיקיות כדי ליצור את הפרויקט המארח של ה-VPC ואת פרויקט הניהול. אם אין לכם תיקייה מתאימה, כדאי ליצור תיקיית משנה נפרדת למשאבים ולשירותים חוצי-פונקציות, כמו Active Directory.
  • שם דומיין DNS לשימוש בדומיין הבסיס של היער ביער החדש של Active Directory.
  • אזור ראשוני לפריסת משאבים. חשוב לזכור שאפשר לפרוס שירות מנוהל ל-Microsoft AD רק באזורים מסוימים (זה לא משפיע על זמינות לכלל המשתמשים (GA) של הדומיין, שזמין בכל האזורים שבהם יש נוכחות של ה-VPC). אם אתם לא בטוחים איזה אזור הכי מתאים לצרכים שלכם, כדאי לעיין בשיטות המומלצות לבחירת אזור. בהמשך תוכלו להרחיב את הפריסה לאזורים נוספים.
  • השם של ה-VPC המשותף שרוצים ליצור. מכיוון שרשת ה-VPC תהיה משותפת לכמה פרויקטים, חשוב לבחור שם שקל לזכור.

  • טווחים של תת-רשתות עבור תת-הרשתות הבאות:

    • שירות מנוהל ל-Microsoft AD: הגודל שלה צריך להיות לפחות ‎ /24.
    • תת-רשת לניהול: צריכה להכיל את כל שרתי הניהול. מומלץ להשתמש בטווח של רשת משנה בגודל ‎ /28 ומעלה.
    • תת-רשת של משאבים: צריך להגדיר את הגודל של תת-הרשת כך שיוכלו להיכנס לתוכה כל השרתים שמתכננים לפרוס באזור הראשוני.

    מוודאים שרשתות המשנה לא חופפות לרשתות משנה מקומיות, ושיש מספיק מקום להתרחבות.

עלויות

במדריך הזה נעשה שימוש ברכיבים של Google Cloudשחלים עליהם חיובים, כולל Compute Engine,‏ Cloud DNS ו-Google Cloud Observability. כדי לחשב את העלויות של השלמת המדריך הזה, אפשר להיעזר במחשבון התמחור. חשוב לכלול את כל המקורות האחרים שספציפיים לפריסה שלכם.

הגדרה של רשתות VPC

יצירת פרויקט מארח של VPC

פרויקט מארח של VPC משמש ליצירת VPC משותף ולניהול הגדרות שקשורות לרשת, כמו רשתות משנה, כללי חומת אש ומסלולים.

  1. במסוף Google Cloud , פותחים את הדף Manage resources.

    כניסה לדף Manage resources

  2. ברשימה הנפתחת ארגון בפינה הימנית העליונה, בוחרים את הארגון.

  3. לוחצים על יצירת פרויקט ומזינים את ההגדרות הבאות:

    1. Project Name: המזהה שבחרתם כשם הפרויקט.
    2. חשבון לחיוב: החשבון לחיוב.
    3. מיקום: התיקייה שבה רוצים ליצור את הפרויקט.

  4. לוחצים על יצירה.

הגנה על הפרויקט מפני מחיקה בטעות

אם מוחקים פרויקט, גם כל הדומיינים של שירות מנוהל ל-Microsoft AD שנפרסו בתוכו נמחקים. בנוסף לשימוש במדיניות IAM כדי להגביל את הגישה לפרויקט, כדאי להגן על הפרויקט מפני מחיקה בטעות.

  1. בGoogle Cloud מסוף, פותחים את Cloud Shell. ‫Cloud Shell נותן לכם גישה לשורת הפקודה במסוף Google Cloud , וכולל את Google Cloud CLI וכלים אחרים שאתם צריכים לניהול Google Cloud . יכולות לחלוף כמה דקות עד שההקצאה של Cloud Shell תושלם.
    הפעלת Cloud Shell

  2. מאתחלים משתנים שיכילו את שם הארגון ואת מזהה הפרויקט של פרויקט המארח של ה-VPC:

    ORG_NAME=[ORG-NAME] \
VPCHOST_PROJECT_ID=[PROJECT-ID]

    מחליפים את [ORG-NAME] בשם הארגון ואת [PROJECT-ID] במזהה של פרויקט המארח של ה-VPC. לדוגמה:

    ORG_NAME=example.com
VPCHOST_PROJECT_ID=ad-host-123

  3. מריצים את הפקודה הבאה כדי לחפש את המזהה של הארגון, ומחליפים את ORG-NAME בשם הארגון (למשל example.com):

    ORG_ID=$(gcloud organizations list \
  --filter="DISPLAY_NAME=$ORG_NAME" \
  --format=value\(ID\)) && \
echo "ID of $ORG_NAME is $ORG_ID"

  4. אכיפת המדיניות של compute.restrictXpnProjectLienRemoval בארגון:

    gcloud resource-manager org-policies enable-enforce \
  --organization $ORG_ID compute.restrictXpnProjectLienRemoval

מחיקת רשת ה-VPC שמוגדרת כברירת מחדל

‫Compute Engine יוצר רשת default VPC בכל פרויקט שאתם יוצרים. ה-VPC הזה מוגדר במצב אוטומטי, כלומר מוקצה מראש subnet לכל אזור ומוקצה לו באופן אוטומטי טווח subnet.

אם אתם מתכננים לחבר את ה-VPC לרשת מקומית, סביר להניח שטווח כתובות ה-IP המוגדר מראש ש-Compute Engine משתמש בו במצב אוטומטי לא יתאים לצרכים שלכם. יכול להיות שהוא יחפוף לטווח כתובות IP קיים, או שהוא לא יהיה גדול מספיק. מומלץ למחוק את ה-VPC שמוגדר כברירת מחדל ולהחליף אותו ב-VPC במצב מותאם אישית.

  1. חוזרים לסשן הקיים של Cloud Shell.

  2. מפעילים את Compute Engine API בפרויקט המארח של ה-VPC:

    gcloud services enable compute.googleapis.com --project=$VPCHOST_PROJECT_ID

  3. מוחקים את כל הכללים של חומת האש שמשויכים ל-VPC‏ default:

    gcloud compute firewall-rules list \
  --filter="network=default" \
  --project=$VPCHOST_PROJECT_ID \
  --format=value\(name\) | \
xargs gcloud compute firewall-rules delete \
  --project=$VPCHOST_PROJECT_ID

  4. מחיקת רשת ה-VPC שמוגדרת כברירת מחדל:

    gcloud compute networks delete default --project=$VPCHOST_PROJECT_ID

יצירת ה-VPC המשותף והתת-רשתות

אחרי שמוחקים את ה-VPC‏ default, אפשר ליצור את ה-VPC בהתאמה אישית (בהמשך תהפכו אותו ל-VPC משותף).

  1. חוזרים לסשן הקיים של Cloud Shell.

  2. יוצרים משתנים לשם ה-VPC, לאזור הראשוני ולטווחים של רשתות המשנה:

    SHAREDVPC_NAME=[NAME] \
SUBNET_REGION=[REGION] \
SUBNET_RANGE_MANAGEMENT=[MANAGEMENT-RANGE] \
SUBNET_RANGE_RESOURCES=[RESOURCES-RANGE] \
SUBNET_RANGE_MANAGEDAD=[MANAGED-AD-RANGE] \
SUBNET_RANGE_ONPREMAD=[ONPREM-AD-RANGE]

    מחליפים את משתני הפלייסהולדר בערכים הבאים:

    • [NAME] עם שם, למשל ad-network-env-test.
    • [REGION] עם האזור שבו רוצים לפרוס את בקרי הדומיין של Active Directory. בכל שלב אפשר להרחיב את ה-VPC ואת הדומיין כך שיכללו אזורים נוספים.
    • [MANAGEMENT-RANGE] עם טווח תת-הרשת לשימוש בתת-הרשת לניהול.
    • [RESOURCES-RANGE] עם טווח תת-הרשת לשימוש בתת-הרשת של המשאב.
    • [MANAGED-AD-RANGE] עם טווח תת-הרשת לשימוש בשירות מנוהל ל-Microsoft AD.
    • [ONPREM-AD-RANGE] עם טווח תת-הרשת לשימוש בתת-הרשת של AD המקומי.

    לדוגמה:

    SHAREDVPC_NAME=ad-network \
SUBNET_REGION=us-central1 \
SUBNET_RANGE_MANAGEMENT=10.0.0.0/24 \
SUBNET_RANGE_RESOURCES=10.0.1.0/24 \
SUBNET_RANGE_MANAGEDAD=10.0.2.0/24 \
SUBNET_RANGE_ONPREMAD=192.168.0.0/24

  3. הפעלת האפשרות לארח VPC משותף בפרויקט המארח של ה-VPC:

    gcloud compute shared-vpc enable $VPCHOST_PROJECT_ID

  4. יוצרים רשת VPC חדשה במצב מותאם אישית:

    gcloud compute networks create $SHAREDVPC_NAME \
    --subnet-mode=custom \
    --project=$VPCHOST_PROJECT_ID

  5. יוצרים את רשת המשנה לניהול ולמשאבים ומפעילים את הגישה הפרטית ל-Google כדי שניתן יהיה להפעיל את Windows בלי להעניק למכונות הווירטואליות גישה ישירה לאינטרנט.

    gcloud compute networks subnets create $SUBNET_REGION-management \
  --network=$SHAREDVPC_NAME \
  --range=$SUBNET_RANGE_MANAGEMENT \
  --region=$SUBNET_REGION \
  --enable-private-ip-google-access \
  --project=$VPCHOST_PROJECT_ID && \
gcloud compute networks subnets create $SUBNET_REGION-resources \
  --network=$SHAREDVPC_NAME \
  --range=$SUBNET_RANGE_RESOURCES \
  --region=$SUBNET_REGION \
  --enable-private-ip-google-access \
  --project=$VPCHOST_PROJECT_ID

אבטחת ה-VPC המשותף

עכשיו פרויקט המארח של ה-VPC מכיל VPC משותף עם שתי תת-רשתות. צירוף פרויקטים של שירותים ל-VPC המשותף מאפשר להשתמש ב-VPC המשותף בכמה פרויקטים.

במקום להעניק לחברים בפרויקטים של שירותים הרשאה להשתמש בכל רשתות המשנה של ה-VPC המשותף, מומלץ להעניק גישה לפי רשת משנה.

מטעמי אבטחה, כדאי להעניק את הזכות לגשת לרשת המשנה לניהול רק לקבוצה קטנה של צוות אדמיניסטרטיבי. כך מוודאים שרשת המשנה משמשת רק לניהול Active Directory. אפשר להחיל בקרת גישה מקלה יותר על רשת המשנה של המשאבים.

יצירת כללים לחומת האש

לפני שמפעילים את Active Directory, צריך ליצור כללי חומת אש שיאפשרו לכם לנהל אותו ולהשתמש בו.

  1. חוזרים לסשן הקיים של Cloud Shell.

  2. מפעילים רישום ביומן של חומת האש לתעבורת נתונים נכנסת (ingress), כדי שכל ניסיונות הגישה שנכשלו יירשמו ביומן:

    gcloud compute firewall-rules create deny-ingress-from-all \
    --direction=INGRESS \
    --action=deny \
    --rules=tcp:0-65535,udp:0-65535 \
    --enable-logging \
    --source-ranges=0.0.0.0/0 \
    --network=$SHAREDVPC_NAME \
    --project=$VPCHOST_PROJECT_ID \
    --priority 65000

  3. תנהלו את Active Directory באמצעות שרת ניהול ייעודי שנפרס ברשת המשנה לניהול. מכיוון שהשרת הזה יופעל ללא כתובת IP חיצונית, תצטרכו להשתמש בהעברת TCP ב-IAP כדי להתחבר לשרת.

    יוצרים את כלל חומת האש הבא כדי לאפשר תעבורת נתונים נכנסת מסוג RDP מ-IAP:

    gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:3389 \
  --enable-logging \
  --source-ranges=35.235.240.0/20 \
  --network=$SHAREDVPC_NAME \
  --project=$VPCHOST_PROJECT_ID \
  --priority 10000

ה-VPC המשותף מוכן עכשיו לפריסה של שירות מנוהל ל-Microsoft AD.

פריסת Active Directory

שירות מנוהל ל-Microsoft AD מטפל בהקצאה ובאחזקה של בקרי דומיין של Active Directory. התפקידים הבאים נפרסים בבקרי הדומיין:

  • Active Directory Domain Services
  • DNS

בקרי הדומיין נפרסים מחוץ לפרויקט ולא יופיעו כמופעי VM בפרויקט. כדי שתוכלו להשתמש בבקרי הדומיין, השינויים הבאים יחולו על הפרויקט שלכם כשתפרסו את שירות מנוהל ל-Microsoft AD:

מכיוון שאתם משתמשים ב-VPC משותף, אתם צריכים לפרוס את שירות מנוהל ל-Microsoft AD בפרויקט המארח של ה-VPC כדי שתוכלו להשתמש ב-Active Directory בכל הפרויקטים של השירותים.

יצירת יער ודומיין של Active Directory

כדי לפרוס את שירות מנוהל ל-Microsoft AD בפרויקט המארח של ה-VPC שנוצר בחלק הקודם של המדריך, פועלים לפי השלבים הבאים:

  1. במסוף Google Cloud , חוזרים אל Cloud Shell.

  2. מאחלים משתנה שיכיל את שם דומיין הבסיס של היער החדש של Active Directory שרוצים ליצור. הנחיות לבחירת שם מופיעות במאמר בנושא מוסכמות למתן שמות של מיקרוסופט.

    AD_DNS_DOMAIN=[AD-DNS-NAME]

    לדוגמה:

    AD_DNS_DOMAIN=cloud.example.com

  3. מפעילים את Cloud DNS בפרויקט המארח של ה-VPC:

    gcloud services enable dns.googleapis.com --project $VPCHOST_PROJECT_ID

  4. מפעילים את שירות מנוהל ל-Microsoft AD API בפרויקט המארח של ה-VPC:

    gcloud services enable managedidentities.googleapis.com --project $VPCHOST_PROJECT_ID

  5. הקצאת בקרים של דומיין ויצירת יער חדש:

    gcloud active-directory domains create $AD_DNS_DOMAIN \
  --admin-name=SetupAdmin \
  --reserved-ip-range=$SUBNET_RANGE_MANAGEDAD \
  --region=$SUBNET_REGION \
  --authorized-networks=projects/$VPCHOST_PROJECT_ID/global/networks/$SHAREDVPC_NAME \
  --project=$VPCHOST_PROJECT_ID

    צריך להמתין 15 עד 20 דקות עד שהפקודה תושלם.

  6. הפקודה הקודמת יוצרת משתמש ראשוני ב-Active Directory בשם SetupAdmin@[AD_DNS_DOMAIN]. למשתמש הזה הוקצו הרשאות של אדמין עם גישה מוגבלת, ואפשר להשתמש בו כדי להשלים את ההגדרה של יער Active Directory החדש.

    כדי לחשוף את פרטי הכניסה של המשתמש, מריצים את הפקודה הבאה. תצטרכו לאשר שהסיסמה יכולה להיחשף במסך.

    gcloud active-directory domains reset-admin-password $AD_DNS_DOMAIN \
  --project=$VPCHOST_PROJECT_ID

    מעתיקים את הסיסמה כי תצטרכו אותה בהמשך.

    בעלי הפרויקט ועורכי הפרויקט של פרויקט המארח של ה-VPC יכולים לאפס את הסיסמה בכל שלב.

יצירת פרויקט הניהול

יער Active Directory והדומיין הבסיסי של היער שנוצרו על ידי Managed Microsoft AD פועלים עכשיו באופן מלא, ויש לכם משתמש ראשון (SetupAdmin) לביצוע הגדרות נוספות. עם זאת, אי אפשר לגשת ישירות לבקרי דומיין של שירות מנוהל ל-Microsoft AD באמצעות RDP, ולכן כל ההגדרות צריכות להתבצע באמצעות מכונה וירטואלית לניהול.

תצטרכו ליצור את המכונה הווירטואלית הזו בפרויקט שמוקדש לניהול Active Directory, ואז לחבר את המכונה הווירטואלית לרשת המשנה לניהול של ה-VPC המשותף.

אחרי שמצטרפים לדומיין, אפשר להשתמש בכלים לניהול שרתים מרחוק, במסוף לניהול מדיניות קבוצתית וב-PowerShell כדי לנהל את Active Directory ואת המשאבים שקשורים ל-Active Directory.

כדי ליצור את פרויקט הניהול:

  1. במסוף Google Cloud, פותחים את הדף Manage resources.

    כניסה לדף Manage resources

  2. ברשימה הנפתחת ארגון בפינה הימנית העליונה, בוחרים את הארגון.
  3. לוחצים על Create Project וממלאים את השדות הבאים:
    1. Project Name: המזהה שבחרתם כשם הפרויקט.
    2. חשבון לחיוב: החשבון לחיוב. אם יש לכם גישה לכמה חשבונות לחיוב, כדאי לעיין במדיניות הפנימית של כל אחד מהם ולבחור את החשבון המתאים.
    3. מיקום: תיקייה שבה ייצור הפרויקט.
  4. לוחצים על יצירה.

פרויקט הניהול יכיל מכונות וירטואליות לניהול Active Directory. במודל הניהול לפי רמות, המשמעות היא שמשתמשים עם הרשאות גבוהות מרמה 0 ייכנסו למופעי המכונות הווירטואליות האלה.

המופעים האלה יכולים להיות יעד אטרקטיבי לתוקפים, כי הם עשויים לאפשר להם לתפוס סיסמאות, גיבובים של סיסמאות או טוקנים של Kerberos. מכיוון שלפרטי הכניסה האלה יש גישת אדמין ל-Active Directory, אפשר להשתמש בהם כדי לפרוץ לדומיין.

צריך להתייחס למכונות וירטואליות בפרויקט הניהול באופן שווה לתחנות עבודה עם הרשאות גישה. המשמעות היא:

  • רק לקבוצה קטנה של אנשי צוות אדמיניסטרטיביים צריכות להיות הרשאות להתחבר למופעים האלה (באמצעות RDP או בדרכים אחרות).
  • צריך להעניק גישה לפרויקט הניהול המכיל על בסיס הרשאות מינימליות. רק למספר מצומצם של משתמשים צריכה להיות הרשאה לצפות במשאבים בפרויקטGoogle Cloud ולגשת אליהם.

כדי לקבל מידע נוסף על אבטחת Google Cloud פרויקט, אפשר לעיין בשיטות המומלצות לאימות ניסיונות גישה.

שימוש ב-VPC משותף במקום ב-VPC שמוגדר כברירת מחדל

לפרויקט הניהול יש כרגע VPC משלו default. מכיוון שתשתמשו ב-VPC משותף במקום זאת, תוכלו למחוק את ה-VPC הזה.

  1. במסוף Google Cloud , חוזרים אל Cloud Shell.

  2. מאתחלים משתנה שיכיל את מזהה הפרויקט של פרויקט הניהול (מחליפים את [MANAGEMENT_PROJECT_ID] במזהה הפרויקט של פרויקט הניהול שיצרתם):

    MANAGEMENT_PROJECT_ID=[MANAGEMENT_PROJECT_ID]

  3. מפעילים את Compute Engine API בפרויקט המארח של ה-VPC:

    gcloud services enable compute.googleapis.com \
  --project=$MANAGEMENT_PROJECT_ID

  4. מוחקים את כל הכללים של חומת האש שמשויכים ל-VPC‏ default:

    gcloud compute firewall-rules list \
  --filter="network=default" \
  --project=$MANAGEMENT_PROJECT_ID \
  --format=value\(name\) | \
xargs gcloud compute firewall-rules delete \
    --project=$MANAGEMENT_PROJECT_ID

  5. מוחקים את רשת ה-default VPC:

    gcloud compute networks delete default --project=$MANAGEMENT_PROJECT_ID

  6. משייכים את פרויקט הניהול ל-VPC המשותף:

    gcloud compute shared-vpc associated-projects add $MANAGEMENT_PROJECT_ID \
  --host-project=$VPCHOST_PROJECT_ID

פרויקט הניהול הוא עכשיו פרויקט שירות, ואפשר להשתמש ב-VPC המשותף מתוך פרויקט הניהול.

מתבצעת התחברות ל-Active Directory

עכשיו אפשר ליצור מכונה וירטואלית ראשונה לניהול ולהצטרף איתה ל-Active Directory. אתם יכולים להשתמש במכונה הווירטואלית הזו כדי להגדיר את יער Active Directory ואת דומיין השורש של היער.

יצירת מכונת VM לניהול

כדי ליצור מכונה וירטואלית לניהול, פועלים לפי השלבים הבאים:

  1. במסוף Google Cloud , חוזרים אל Cloud Shell.

  2. יוצרים מכונה וירטואלית חדשה שמריצה Windows Server 2019 עם Remote Server Admin Tools (RSAT), כלי ניהול של שרת DNS ומסוף Group Policy Management Console (GPMC) שכבר מותקנים.

    מכיוון שתהיה לכם גישה למכונה באמצעות העברת TCP של IAP, לא צריך להקצות למופע כתובת IP חיצונית.

    gcloud compute instances create admin-01 \
  --image-family=windows-2019 \
  --image-project=windows-cloud \
  --machine-type=n1-standard-2 \
  --no-address \
  --zone=$SUBNET_REGION-a \
  --subnet=projects/$VPCHOST_PROJECT_ID/regions/$SUBNET_REGION/subnetworks/$SUBNET_REGION-management \
  --project=$MANAGEMENT_PROJECT_ID \
  --metadata="sysprep-specialize-script-ps1=Install-WindowsFeature -Name RSAT-AD-Tools;Install-WindowsFeature -Name GPMC;Install-WindowsFeature -Name RSAT-DNS-Server"

  3. מריצים את הפקודה הבאה כדי לצפות בתהליך האתחול.

    gcloud compute instances tail-serial-port-output admin-01 \
  --zone=$SUBNET_REGION-a \
  --project=$MANAGEMENT_PROJECT_ID

  4. מחכים כ-4 דקות עד שמוצגת הפלט Instance setup finished, ואז מקישים על Ctrl+C. המופעים של המכונות הווירטואליות מוכנים לשימוש.

  5. יוצרים משתמש SAM מקומי LocalAdminבמופע:

    gcloud compute reset-windows-password admin-01 \
  --user=LocalAdmin \
  --project=$MANAGEMENT_PROJECT_ID \
  --zone=$SUBNET_REGION-a \
  --quiet

    מעתיקים את הסיסמה, תצטרכו אותה בהמשך.

הצטרפות של מכונת ה-VM לניהול לדומיין

עכשיו אפשר להתחבר למכונה הווירטואלית לניהול ולצרף אותה ל-Active Directory

  1. בתחנת עבודה מקומית עם Windows, פותחים שורת פקודה (cmd).

  2. אם זו הפעם הראשונה שאתם משתמשים ב-gcloud בתחנת העבודה המקומית, הקפידו לבצע אימות קודם.

  3. מריצים את הפקודה הבאה כדי ליצור מנהרת TCP של IAP מתחנת העבודה המקומית אל המכונה הווירטואלית admin-01, ומחליפים את [MANAGEMENT_PROJECT_ID] במזהה של פרויקט הניהול.

    gcloud compute start-iap-tunnel admin-01 3389 ^
  --local-host-port=localhost:13389 ^
  --project=[MANAGEMENT_PROJECT_ID]

    מחכים שהפלט הבא יופיע

    Listening on port [13389]`

    המנהרה מוכנה לשימוש.

  4. פותחים את לקוח החיבור של Windows Remote Desktop‏ (mstsc.exe).

  5. לוחצים על הצגת אפשרויות.

  6. מזינים את הערכים הבאים:

    1. במחשב: localhost:13389
    2. שם המשתמש: localhost\LocalAdmin

  7. לוחצים על Connect.

  8. בתיבת הדו-שיח Enter your credentials (הזנת פרטי הכניסה), מדביקים את הסיסמה שיצרתם קודם למשתמש המקומי LocalAdmin. ואז לוחצים על אישור.

  9. מכיוון שלא הגדרתם אישורי RDP למכונה הווירטואלית לניהול, תוצג הודעת אזהרה שמציינת שלא ניתן לאמת את הזהות של המחשב המרוחק. כדי לסגור את האזהרה, לוחצים על כן.

  10. עכשיו אמור להופיע שולחן העבודה של Windows Server במכונה הווירטואלית admin-01.

  11. לוחצים לחיצה ימנית על Start (או מקישים על Win+X) ואז לוחצים על Command Prompt (Admin).

  12. לוחצים על כן כדי לאשר את ההודעה על העלאת הרשאות.

  13. בשורת הפקודה עם הרשאות אדמין, מפעילים סשן של PowerShell על ידי הרצת הפקודה powershell.

  14. מריצים את הפקודה הבאה כדי להצטרף לדומיין.

    Add-Computer -DomainName [AD-DNS-NAME]

    מחליפים את [AD-DNS-NAME] בשם ה-DNS של דומיין הבסיס של היער.

  15. בתיבת הדו-שיח Windows PowerShell credential request, מזינים את הערכים הבאים:

    1. שם המשתמש: SetupAdmin
    2. סיסמה: מזינים את הסיסמה שנוצרה עבור SetupAdmin כשפורסים את שירות מנוהל ל-Microsoft AD. אל תשתמשו בסיסמה של המשתמש המקומי LocalAdmin.

  16. מפעילים מחדש את המחשב על ידי הפעלת Restart-Computer. מחכים כדקה עד שה-VM יופעל מחדש.

הפעלת Active Directory Users and Computers

המכונה הווירטואלית לניהול היא עכשיו חברה בדומיין Active Directory שלכם. אתם יכולים להשתמש בו כדי לנהל את Active Directory:

  1. במחשב Windows המקומי, פותחים את לקוח Windows Remote Desktop Connection‏ (mstsc.exe).
  2. לוחצים על הצגת אפשרויות.
  3. מזינים את הערכים הבאים:
    1. במחשב: localhost:13389
    2. שם משתמש: SetupAdmin@[AD-DNS-NAME]. מחליפים את [AD-DNS-NAME] בשם ה-DNS של דומיין הבסיס של היער.
  4. לוחצים על Connect.
  5. בתיבת הדו-שיח הזנת פרטי הכניסה, מדביקים את הסיסמה שיצרתם קודם למשתמש SetupAdmin. ואז לוחצים על אישור.
  6. מכיוון שלא הגדרתם אישורי RDP למכונה הווירטואלית לניהול, תוצג הודעת אזהרה שמציינת שלא ניתן לאמת את הזהות של המחשב המרוחק. כדי לסגור את האזהרה, לוחצים על כן.
  7. עכשיו אמור להופיע שולחן העבודה של Windows Server במכונה הווירטואלית admin-01.
  8. לוחצים לחיצה ימנית על Start (או מקישים על Win+X) ובוחרים באפשרות Run.
  9. מזינים dsa.msc ולוחצים על OK.

עכשיו יוצג Active Directory Users and Computers:

משתמשים ב-AD

כל הכבוד! התחברתם לדומיין שלכם ב-Managed Microsoft AD!

סידור וארגון

אם אתם לא מתכננים להשתמש במשאבים מהמדריך הזה בעתיד, חשוב להסיר אותם כדי שלא תחויבו עליהם.

מחיקת היער והדומיין של Active Directory

  1. פותחים את Cloud Shell במסוף Google Cloud .

  2. מריצים את הפקודה הבאה כדי למחוק את יער Active Directory והדומיין. מחליפים את [AD_DNS_DOMAIN] בשם הדומיין של DNS שמשמש לשירות מנוהל ל-Microsoft AD, ואת [VPCHOST_PROJECT_ID] במזהה של פרויקט המארח של ה-VPC:

    gcloud active-directory domains delete [AD_DNS_DOMAIN] \
  --project=[VPCHOST_PROJECT_ID]

מחיקת פרויקט הניהול

  1. נכנסים לדף Projects במסוף Google Cloud.

    פתיחת דף הפרויקטים

  2. ברשימת הפרויקטים, בוחרים את פרויקט הניהול ולוחצים על מחיקה.
  3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

מחיקת הפרויקט המארח של ה-VPC

  1. נכנסים לדף Projects במסוף Google Cloud.

    פתיחת דף הפרויקטים

  2. ברשימת הפרויקטים, בוחרים את פרויקט המארח של ה-VPC ולוחצים על מחיקה.
  3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

המאמרים הבאים