הצטרפות אוטומטית של מכונת VM של Windows לדומיין

בדף הזה מוסבר איך לצרף מכונה וירטואלית (VM) של Windows Compute Engine לדומיין באמצעות התכונה האוטומטית לצירוף לדומיין ב-שירות מנוהל ל-Microsoft Active Directory.

איך שירות מנוהל ל-Microsoft AD מצטרף אוטומטית ל-VM של Windows לדומיין

כדי להשתמש בשירות מנוהל ל-Microsoft AD לאימות האפליקציות שפועלות במכונות הווירטואליות, צריך לצרף את המכונות הווירטואליות לדומיין של שירות מנוהל ל-Microsoft AD. תהליך צירוף הדומיין כולל בדרך כלל ביצוע של כמה שלבים ידניים.

כשיוצרים או מעדכנים מכונה וירטואלית (VM) ב-Compute Engine עם Windows, אפשר לצרף את המכונה הווירטואלית לדומיין שירות מנוהל ל-Microsoft AD באמצעות אוטומציה של הגישה הידנית באמצעות סקריפטים. עם זאת, כדי להריץ את הסקריפטים האלה במכונה וירטואלית של Compute Engine, צריך פרטי כניסה ל-AD שצריך לאחסן ולתחזק בצורה מאובטחת, וסביבה להקצאה ולהרצה של הסקריפטים האלה. כדי לבטל את הצורך בפרטי כניסה ובשירות נוסף, אתם יכולים להפוך את תהליך ההצטרפות לדומיין לאוטומטי באמצעות סקריפטים מוכנים מראש שזמינים בשירות מנוהל ל-Microsoft AD.

כשיוצרים מכונות וירטואליות ב-Compute Engine, אפשר להשתמש בסקריפטים כדי לצרף את המכונות הוירטואליות באופן אוטומטי לדומיין שירות מנוהל ל-Microsoft AD. אחרי שמערכת Compute Engine יוצרת את המכונות הווירטואליות, שירות מנוהל ל-Microsoft AD יוזם את בקשת ההצטרפות לדומיין ומנסה לצרף את המכונות הווירטואליות לדומיין שלכם. אם הבקשה להצטרפות לדומיין מצליחה, שירות מנוהל ל-Microsoft AD מצטרף למכונות הווירטואליות שנוצרו בדומיין שלכם. אם הבקשה להצטרפות לדומיין נכשלת, המכונות הווירטואליות שנוצרו ממשיכות לפעול. מטעמי אבטחה או חיוב, אתם יכולים להתאים אישית את ההתנהגות הזו, ושירות מנוהל ל-Microsoft AD יכול להפסיק את מכונות ה-VM אם בקשת ההצטרפות לדומיין נכשלת.

כשמעדכנים מכונות וירטואליות ב-Compute Engine, אפשר להשתמש בסקריפטים כדי להוסיף אוטומטית את המכונות הוירטואליות הקיימות לדומיין שירות מנוהל ל-Microsoft AD. כדי שבקשת צירוף הדומיין תצליח, שירות מנוהל ל-Microsoft AD מפעיל מחדש את המכונות הווירטואליות אחרי הפעלת הסקריפטים.

לפני שמתחילים

  1. יצירת דומיין של שירות מנוהל ל-Microsoft AD

  2. השם של המכונה הווירטואלית צריך להיות באורך של 15 תווים לכל היותר.

  3. מוודאים שהמכונה הווירטואלית פועלת בגרסת Windows ששירות מנוהל ל-Microsoft AD תומך בה.

  4. מגדירים קישור בין דומיינים בין שירות מנוהל ל-Microsoft AD לבין הרשת של המכונה הווירטואלית, או מוודאים ששירות מנוהל ל-Microsoft AD והמכונה הווירטואלית נמצאים באותה רשת.

  5. יוצרים חשבון שירות עם תפקיד ה-IAM‏ Google Cloud Managed Identities Domain Join (roles/managedidentities.domainJoin) בפרויקט שכולל את שירות מנוהל ל-Microsoft AD. מידע נוסף זמין במאמר תפקידים ב-Cloud Managed Identities.

  6. מגדירים את היקף הגישה המלא של cloud-platform במכונה הווירטואלית. מידע נוסף זמין במאמר בנושא הרשאות.

מטא-נתונים

כדי לצרף מכונה וירטואלית של Windows לדומיין, צריך את מפתחות המטא-נתונים הבאים.

מפתחות מטא-נתונים תיאור
windows-startup-script-url משתמשים במפתח המטא-נתונים הזה כדי לציין את המיקום הנגיש לציבור של סקריפט לטעינה בזמן ההפעלה של Windows שהמכונה הווירטואלית מריצה במהלך תהליך ההפעלה. כדי להשתמש בסקריפט לטעינה בזמן ההפעלה של Windows שמועבר מראש על ידי שירות מנוהל ל-Microsoft AD, אפשר להזין את כתובת ה-URL הבאה: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.

אם למכונה הווירטואלית אין גישה לכתובת ה-URL הזו, אפשר להעביר את סקריפט לטעינה בזמן ההפעלה באמצעות אחת מהשיטות הנתמכות האחרות. מידע נוסף זמין במאמר שימוש בסקריפטים להפעלה במכונות וירטואליות של Windows.
managed-ad-domain משתמשים במפתח המטא-נתונים הזה כדי לציין את שם המשאב המלא של שירות מנוהל ל-Microsoft AD שאליו רוצים להצטרף, בפורמט: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. לדוגמה, projects/my-project-123/locations/global/domains/my-domain.example.com.
managed-ad-domain-join-failure-stop אופציונלי: כברירת מחדל, ה-VM ממשיך לפעול גם אחרי שבקשת ההצטרפות לדומיין נכשלת. אפשר להגדיר את מפתח המטא-נתונים הזה לערך TRUE אם רוצים שהמכונה הווירטואלית תופסק כשהבקשה תיכשל. אחרי שמגדירים את מפתח המטא-נתונים הזה, שירות מנוהל ל-Microsoft AD יכול לעצור את המכונה הווירטואלית, אבל הוא לא מוחק אותה.
enable-guest-attributes אופציונלי: כברירת מחדל, מאפייני האורח מושבתים במכונה וירטואלית. אפשר להגדיר את מפתח המטא-נתונים הזה לערך TRUE אם רוצים להשתמש במאפייני האורח של ה-VM כדי לרשום ביומן את סטטוס ההצטרפות לדומיין אחרי ההרצה של סקריפט לטעינה בזמן ההפעלה.

‫שירות מנוהל ל-Microsoft AD כותב את סטטוס ההצטרפות לדומיין במפתחות הבאים במרחב השמות managed-ad של guest-attributes:
  • domain-join-status: המפתח הזה מספק את הסטטוס של בקשת ההצטרפות לדומיין אחרי הרצת הסקריפט.
  • domain-join-failure-message: אם הבקשה להצטרפות לדומיין נכשלת, המפתח הזה מספק את הודעת השגיאה.
  • כשמקבלים את מאפייני האורח, אפשר להשתמש במרחב השמות ובמפתחות האלה כדי לראות את סטטוס ההצטרפות לדומיין.
    managed-ad-ou-name אופציונלי: כברירת מחדל, שירות מנוהל ל-Microsoft AD מצטרף למכונה הווירטואלית של GCE Instances היחידה הארגונית (OU) שנוצרה מראש תחת היחידה הארגונית Cloud כדי לנהל את המדיניות בצורה טובה יותר. מידע נוסף על Cloud יחידות ארגוניות זמין במאמר יחידות ארגוניות.

    אם רוצים לצרף את המכונה הווירטואלית ליחידה ארגונית בהתאמה אישית, צריך ליצור את היחידה הארגונית בהתאמה אישית מתחת ליחידה הארגונית GCE Instances או ליחידה הארגונית Cloud ב-שירות מנוהל ל-Microsoft AD, ולהשתמש במפתח המטא-נתונים הזה כדי לציין את היחידה הארגונית בהתאמה אישית. שירות מנוהל ל-Microsoft AD לא תומך ביחידה ארגונית מותאמת אישית שיוצרים בכל מקום אחר מלבד ביחידה הארגונית Cloud או ביחידה הארגונית GCE Instances.

    אם יוצרים יחידה ארגונית מותאמת אישית מתחת ליחידה הארגונית Cloud, מציינים את הנתיב של היחידה הארגונית המותאמת אישית בפורמט הבא: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. לדוגמה, /cloud/my-sub-ou/my-custom-ou.

    מידע נוסף על ניהול אובייקטים של AD ב-שירות מנוהל ל-Microsoft AD זמין במאמר ניהול אובייקטים של Active Directory.
    managed-ad-force אופציונלי: כשמוחקים מכונה וירטואלית שהצטרפה לדומיין, חשבון המחשב של המכונה הווירטואלית ממשיך להתקיים בשירות מנוהל ל-Microsoft AD. כשמנסים להצטרף למכונה וירטואלית אחרת עם אותו חשבון מחשב, בקשת ההצטרפות לדומיין נכשלת כברירת מחדל. אם מגדירים את מפתח המטא-נתונים הזה לערך TRUE, שירות מנוהל ל-Microsoft AD יכול לעשות שימוש חוזר בחשבון מחשב קיים.

    הצטרפות למכונה הווירטואלית של Windows

    אפשר להשתמש במפתחות המטא-נתונים האלה כשיוצרים מכונה וירטואלית של Windows או כשמעדכנים מכונה וירטואלית קיימת. בקטעים הבאים מוסבר איך להשתמש במפתחות המטא-נתונים האלה בפקודות של ה-CLI של gcloud כשיוצרים מכונה וירטואלית או מעדכנים מכונה וירטואלית.

    עם זאת, אפשר להשתמש במפתחות המטא-נתונים האלה גם עם מכונה וירטואלית באמצעות האפשרויות האחרות שזמינות. למידע נוסף על שימוש במטא-נתונים במכונת VM של Windows Compute Engine, אפשר לעיין במאמר הגדרת מטא-נתונים מותאמים אישית.

    הצטרפות ל-VM של Windows במהלך היצירה

    כדי ליצור מכונה וירטואלית של Windows Compute Engine ולהצטרף אליה, מריצים את הפקודה הבאה ב-CLI של gcloud:

    gcloud compute instances create INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform \
        --image-project windows-cloud \
        --image-family IMAGE_FAMILY
    

    מחליפים את מה שכתוב בשדות הבאים:

    • INSTANCE_NAME: השם של מכונת ה-VM של Windows Compute Engine שרוצים ליצור. לדוגמה, my-instance-1.
    • URL: מיקום שנגיש לציבור של סקריפט לטעינה בזמן ההפעלה של Windows שהמכונה הווירטואלית מריצה במהלך תהליך ההפעלה.
    • DOMAIN_RESOURCE_PATH: שם המשאב המלא של דומיין שירות מנוהל ל-Microsoft AD שאליו רוצים להצטרף. לדוגמה, projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: חשבון שירות שרוצים לצרף למכונה הווירטואלית. לדוגמה, my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: היקפי הגישה שמוגדרים כברירת מחדל במכונה הווירטואלית מגבילים את הבקשה להצטרפות לדומיין. צריך להגדיר את היקף הגישה המלאה cloud-platform במכונה הווירטואלית. מידע נוסף זמין במאמר בנושא הרשאות.
    • --image-project: צריך להגדיר את הדגל הזה כ-windows-cloud כדי ליצור מכונה וירטואלית של Windows. מידע נוסף זמין במאמר gcloud compute instances create.
    • IMAGE_FAMILY: מציינים אחת ממשפחות התמונות הציבוריות שיש בהן תמונות של גרסאות Windows נתמכות. לדוגמה, windows-2019-core.

    מידע נוסף על הוספת מטא-נתונים במהלך יצירת מכונה וירטואלית זמין במאמר הגדרת מטא-נתונים במהלך יצירת מכונה וירטואלית.

    הצטרפות ל-VM קיים של Windows

    אתם יכולים לעדכן את מפתחות המטא-נתונים במכונה וירטואלית קיימת של Windows ב-Compute Engine ולצרף את המכונה הווירטואלית לדומיין שלכם. אחרי שמוסיפים את מפתחות המטא-נתונים האלה למכונה הווירטואלית, צריך להפעיל מחדש את המכונה הווירטואלית כדי שבקשת ההצטרפות לדומיין תצליח.

    כדי להצטרף למכונה וירטואלית קיימת של Windows Compute Engine, מריצים את הפקודה הבאה ב-CLI של gcloud:

    gcloud compute instances add-metadata INSTANCE_NAME \
        --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
        --service-account=SERVICE_ACCOUNT \
        --scopes=https://www.googleapis.com/auth/cloud-platform
    

    מחליפים את מה שכתוב בשדות הבאים:

    • INSTANCE_NAME: השם של מכונת ה-Windows Compute Engine הווירטואלית שרוצים להצטרף אליה. לדוגמה, my-instance-1.
    • URL: מיקום שנגיש לציבור של סקריפט לטעינה בזמן ההפעלה של Windows שהמכונה הווירטואלית מריצה אחרי הפעלה מחדש.
    • DOMAIN_RESOURCE_PATH: שם המשאב המלא של דומיין שירות מנוהל ל-Microsoft AD שאליו רוצים להצטרף. לדוגמה, projects/my-project-123/locations/global/domains/my-domain.example.com.
    • SERVICE_ACCOUNT: חשבון השירות שצירפתם למכונה הווירטואלית במהלך היצירה. לדוגמה, my-sa-123@my-project-123.iam.gserviceaccount.com.
    • --scopes: היקפי הגישה שמוגדרים כברירת מחדל במכונה הווירטואלית מגבילים את הבקשה להצטרפות לדומיין. צריך להגדיר את היקף הגישה המלאה cloud-platform במכונה הווירטואלית. מידע נוסף זמין במאמר בנושא הרשאות.

    מידע נוסף על הוספת מטא-נתונים למכונה וירטואלית קיימת זמין במאמר עדכון של מטא-נתונים במכונה וירטואלית פועלת.

    ניקוי מכונות וירטואליות שלא הצטרפו

    מומלץ למחוק את חשבון המחשב באופן ידני מ-Managed Microsoft AD בתרחישים הבאים:

    • אם מוחקים מכונה וירטואלית שהצטרפה לדומיין של שירות מנוהל ל-Microsoft AD.
    • אם מכונה וירטואלית לא הצליחה להצטרף לדומיין שירות מנוהל ל-Microsoft AD.

    צפייה ביומני ניפוי באגים

    אם בקשת ההצטרפות לדומיין נכשלת, אפשר לבדוק את היומנים של סקריפט לטעינה בזמן ההפעלה כדי לזהות את הבעיה ולפתור אותה. כדי לבדוק את היומנים של סקריפט לטעינה בזמן ההפעלה, אפשר לראות את הפלט של יציאה טורית 1. אם הפעלתם את מאפייני האורח במכונה הווירטואלית, תוכלו לקבל את מאפייני האורח כדי לראות את היומנים.

    מידע על שגיאות נפוצות שעלולות להתרחש כשמצטרפים למכונה וירטואלית בדומיין זמין במאמר אי אפשר להצטרף למכונה וירטואלית של Windows באופן אוטומטי לדומיין.

    המאמרים הבאים