Active Directory-Gesamtstruktur in Compute Engine bereitstellen

Last reviewed 2024-07-11 UTC

In diesem Dokument wird beschrieben, wie Sie eine Active Directory-Gesamtstruktur in Compute Engine bereitstellen. Dabei werden die Best Practices befolgt, die hier beschrieben sind: Best Practices für die Ausführung von Active Directory in Google Cloud.

Dieser Leitfaden richtet sich an Administratoren und DevOps-Entwickler. Es wird davon ausgegangen, dass Sie mit Active Directory vertraut sind und Grundkenntnisse in Sachen Google Cloud-Netzwerken und ‑Sicherheit haben.

Architektur

Die Bereitstellung besteht aus zwei Projekten:

Mit dieser Architektur haben Sie folgende Möglichkeiten:

  • Stellen Sie zusätzliche Windows-Arbeitslasten in separaten Projekten bereit und lassen Sie diese das freigegebene VPC-Netzwerk und die Active Directory-Gesamtstruktur verwenden.
  • Integrieren Sie die Active Directory-Gesamtstruktur in eine vorhandene lokale Gesamtstruktur, um das Muster der Ressourcen-Gesamtstruktur zu implementieren.

Hinweis

Für die Schritte in dieser Anleitung benötigen Sie Folgendes:

  • CIDR-Bereiche von Subnetzen für zwei Subnetze:

    • Subnetz des Domaincontrollers Dieses Subnetz enthält die Domaincontroller. Durch die Verwendung eines dedizierten Subnetzes für Domaincontroller können Sie den Domaincontrollertraffic von dem anderen Servertraffic unterscheiden, wenn Sie Firewallregeln verwalten oder Netzwerklogs analysieren.

      Wir empfehlen einen CIDR-Bereich für das Subnetz mit einer Größe von /28 oder /29.

    • Ressource/Subnetz Dieses Subnetz enthält Server und administrative Workstations. Verwenden Sie einen CIDR-Bereich für das Subnetz, der groß genug für alle Server ist, die Sie bereitstellen möchten.

    Achten Sie darauf, dass sich Ihre Subnetze nicht mit lokalen Subnetzen überschneiden, und lassen Sie ausreichend Platz für Wachstum.

  • Einen DNS-Domainnamen und einen NetBIOS-Domainnamen für die Gesamtstruktur-Stammdomäne von Active Directory. Weitere Informationen zur Auswahl eines Namens finden Sie in den Microsoft-Namenskonventionen.

Freigegebenes Netzwerk bereitstellen

In diesem Abschnitt erstellen Sie ein neues Projekt und verwenden es, um ein freigegebene VPC-Netzwerk bereitzustellen. Später verwenden Sie dieses Netzwerk, um die Active Directory-Domaincontroller bereitzustellen.

Projekt erstellen

Sie erstellen jetzt ein neues Projekt und verwenden es, um ein freigegebene VPC-Netzwerk bereitzustellen.

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Make sure that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine and Cloud DNS APIs.

    Enable the APIs

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt oder den übergeordneten Ordner zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen eines freigegebenen Netzwerks benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Löschen Sie die Standard-VPC:

Standardmäßig erstellt Compute Engine in jedem neuen Projekt, das Sie erstellen, ein Standardnetzwerk. Dieses Netzwerk ist im automatischen Modus konfiguriert. Das bedeutet, dass für jede Region ein Subnetz vorab zugewiesen und automatisch ein CIDR-Bereich zugewiesen wird.

In diesem Abschnitt ersetzen Sie dieses VPC-Netzwerk durch ein Netzwerk im benutzerdefinierten Modus, das zwei Subnetze enthält und benutzerdefinierte CIDR-Bereiche verwendet.

  1. Öffnen Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

  2. Starten Sie PowerShell:

    pwsh

  3. Konfigurieren Sie die gcloud CLI so, dass das neue Projekt verwendet wird:

    gcloud config set project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

  4. Löschen Sie alle Firewallregeln, die mit der Standard-VPC verknüpft sind:

    $ProjectId = gcloud config get-value core/project
& gcloud compute firewall-rules list `
  --filter "network=default" `
  --format "value(name)" |
  % { gcloud compute firewall-rules delete --quiet $_ --project $ProjectId }

  5. Löschen Sie die Standard-VPC:

    & gcloud compute networks list --format "value(name)" |
  % { gcloud compute networks delete $_ --quiet }

Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus.

Erstellen Sie jetzt ein VPC-Netzwerk im benutzerdefinierten Modus in Ihrem VPC-Hostprojekt.

  1. Initialisieren Sie in PowerShell die folgenden Variablen:

    $VpcName = "VPC_NAME"
$Region = "REGION"
$SubnetRangeDomainControllers = "DC_CIDR"
$SubnetRangeResources = "RESOURCES_CIDR"

    Dabei gilt:

    • VPC_NAME: der Name der VPC.
    • REGION mit der Region, in der die Active Directory-Domaincontroller bereitgestellt werden sollen.
    • DC_CIDR: mit dem Subnetzbereich, der für das Domaincontroller-Subnetz verwendet werden soll.
    • RESOURCES_CIDR mit dem Subnetzbereich, der für das Ressourcen-Subnetz verwendet werden soll.

    Beispiel:

    $VpcName = "ad"
$Region = "us-central1"
$SubnetRangeDomainControllers = "10.0.0.0/28"
$SubnetRangeResources = "10.0.1.0/24"

  2. Erstellen Sie das VPC und konfigurieren Sie es für die Verwendung als freigegebenes VPC-Netzwerk:

    $ProjectId = gcloud config get-value core/project
& gcloud compute networks create $VpcName --subnet-mode custom
& gcloud compute shared-vpc enable $ProjectId

  3. Erstellen Sie die Subnetze und aktivieren Sie Privaten Google Zugriff, damit Windows ohne Internetzugriff aktiviert werden kann.

    & gcloud compute networks subnets create domain-controllers `
  --network $VpcName `
  --range $SubnetRangeDomainControllers `
  --region $Region `
  --enable-private-ip-google-access

& gcloud compute networks subnets create resources `
  --network $VpcName `
  --range $SubnetRangeResources `
  --region $Region `
  --enable-private-ip-google-access

Subnetze und Firewallregeln bereitstellen

Sie erstellen jetzt Firewallregeln, um die Active Directory-Kommunikation innerhalb des VPC zuzulassen.

  1. RDP-Verbindungen zu allen VM-Instanzen über die Cloud-IAP-TCP-Weiterleitung zulassen:

    & gcloud compute firewall-rules create allow-rdp-ingress-from-iap `
  --direction INGRESS `
  --action allow `
  --rules tcp:3389 `
  --enable-logging `
  --source-ranges 35.235.240.0/20 `
  --network $VpcName `
  --priority 10000

  2. DNS-Abfragen von Cloud DNS an Domaincontroller zulassen.

    & gcloud compute firewall-rules create allow-dns-ingress-from-clouddns `
  --direction INGRESS `
  --action=allow `
  --rules udp:53,tcp:53 `
  --enable-logging `
  --source-ranges 35.199.192.0/19 `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

    Diese Firewallregel ist erforderlich, damit die private DNS-Weiterleitungszone funktioniert.

  3. Aktivieren Sie die Active Directory-Replikation zwischen Domaincontrollern:

    & gcloud compute firewall-rules create allow-replication-between-addc `
  --direction INGRESS `
  --action allow `
  --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:49152-65535" `
  --enable-logging `
  --source-tags ad-domaincontroller `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

  4. Lassen Sie Active Directory-Anmeldungen von VMs im Ressourcen-Subnetz bei Domaincontroller zu:

    & gcloud compute firewall-rules create allow-logon-ingress-to-addc `
  --direction INGRESS `
  --action allow `
  --rules "icmp,tcp:53,udp:53,tcp:88,udp:88,udp:123,tcp:135,tcp:389,udp:389,tcp:445,udp:445,tcp:464,udp:464,tcp:3268,udp:3268,tcp:9389,tcp:49152-65535" `
  --enable-logging `
  --source-ranges $SubnetRangeResources `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

  5. Wenn Sie Secure LDAP konfigurieren möchten, erlauben Sie Secure LDAP-Verbindungen von VMs im Ressourcen-Subnetz zu Domaincontrollern:

    & gcloud compute firewall-rules create allow-ldaps-ingress-to-addc `
  --direction INGRESS `
  --action allow `
  --rules tcp:636 `
  --enable-logging `
  --source-ranges $SubnetRangeResources `
  --target-tags ad-domaincontroller `
  --network $VpcName `
  --priority 10000

    Sie benötigen diese Firewallregel nur, wenn Sie Secure LDAP konfigurieren möchten.

  6. Optional: Erstellen Sie eine Firewallregel, die alle fehlgeschlagenen Zugriffsversuche protokolliert. Die Protokolle können bei der Diagnose von Verbindungsproblemen hilfreich sein, aber es kann zu einer erheblichen Menge an Protokolldaten kommen.

    & gcloud compute firewall-rules create deny-ingress-from-all `
  --direction INGRESS `
  --action deny `
  --rules tcp:0-65535,udp:0-65535 `
  --enable-logging `
  --source-ranges 0.0.0.0/0 `
  --network $VpcName `
  --priority 65000

Active Directory-Gesamtstruktur bereitstellen

In diesem Abschnitt erstellen Sie ein neues Dienstprojekt und hängen es an das zuvor erstellte Hostprojekt für die freigegebene VPC an. Anschließend stellen Sie mit dem Dienstprojekt eine neue Active Directory-Gesamtstruktur mit zwei Domaincontrollern bereit.

Projekt erstellen

Sie erstellen jetzt ein neues Projekt und verwenden es, um die Active Directory-Domaincontroller-VMs bereitzustellen.

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Make sure that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine and Secret Manager APIs.

    Enable the APIs

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Bereitstellen des Active Directory-Forsts benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Konfiguration vorbereiten

Im nächsten Schritt bereiten Sie die Konfiguration für die Active Directory-Bereitstellung vor.

  1. Wenn Sie die PowerShell-Sitzung zuvor geschlossen haben, öffnen Sie Cloud Shell.

    Cloud Shell aktivieren

  2. Starten Sie PowerShell:

    pwsh

  3. Konfigurieren Sie die gcloud CLI für die Verwendung des neuen Projekts:

    gcloud config set project DC_PROJECT_ID

    Ersetzen Sie DC_PROJECT_ID durch die ID Ihres Projekts.

  4. Erstellen Sie mit PowerShell die folgenden Variablen:

    $AdDnsDomain = "DNS_DOMAIN"
$AdNetbiosDomain = "NETBIOS_DOMAIN"
$VpcProjectId = "VPCHOST_PROJECT_ID"
$VpcName = "VPC_NAME"
$Region = "REGION"
$Zones = "REGION-a", "REGION-b"

    Dabei gilt:

    • DNS_DOMAIN: der Stammdomainname der Gesamtstruktur des Active Directory-Gesamtstruktur, z. B. cloud.example.com.
    • NETBIOS_DOMAIN: der NetBIOS-Domainname für die Gesamtstruktur-Stammdomain, z. B. CLOUD.
    • VPCHOST_PROJECT_ID: die Projekt-ID des zuvor erstellten VPC-Hostprojekts.
    • VPC_NAME: Name des freigegebene VPC-Netzwerks, das Sie zuvor erstellt haben.
    • REGION mit der Region, in der die Active Directory-Domaincontroller bereitgestellt werden sollen. Die Namen der Zonen basieren auf den Namen der von Ihnen angegebenen Region. Sie können die VPC und Ihre Domain jederzeit erweitern, um weitere Regionen abzudecken.

    Beispiel:

    $AdDnsDomain = "cloud.example.com"
$AdNetbiosDomain = "CLOUD"
$VpcProjectId = "vpc-project-123"
$VpcName = "ad"
$Region = "us-west1"
$Zones = "us-west1-a", "us-west1-b"

Erstellen Sie eine private DNS-Weiterleitungszone

Sie reservieren jetzt zwei statische IP-Adressen für Ihre Domaincontroller und erstellen eine private DNS-Weiterleitungszone, die alle DNS-Abfragen für die Active Directory-Domain an diese IP-Adressen weiterleitet.

  1. Hängen Sie das Projekt an das freigegebene VPC-Netzwerk an:

    $ProjectId = gcloud config get-value core/project
& gcloud compute shared-vpc associated-projects add $ProjectId --host-project $VpcProjectId

  2. Reservieren Sie zwei statische interne IP-Adressen im Subnetz der Domaincontroller:

    $AddressOfDc1 = gcloud compute addresses create dc-1 `
  --region $Region `
  --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" `
  --format value`(address`)
$AddressOfDc2 = gcloud compute addresses create dc-2 `
  --region $Region `
  --subnet "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers" `
  --format value`(address`)

  3. Erstellen Sie im VPC-Hostprojekt eine private Cloud DNS-Weiterleitungszone und konfigurieren Sie die Zone so, dass DNS-Abfragen an die beiden reservierten IP-Adressen weitergeleitet werden:

    & gcloud dns managed-zones create $AdDnsDomain.Replace(".", "-") `
  --project $VpcProjectId `
  --dns-name $AdDnsDomain `
  --description "Active Directory forwarding zone" `
  --networks $VpcName `
  --visibility private `
  --forwarding-targets "$AddressOfDc1,$AddressOfDc2"

DSRM-Passwort erstellen

Sie definieren jetzt das Passwort für den Directory Service Recovery Mode (DSRM) und speichern es im Secret Manager. Sie gewähren den Domaincontroller-VMs dann vorübergehenden Zugriff auf dieses Secret, damit sie damit die Active Directory-Gesamtstruktur bereitstellen können.

  1. Generieren Sie ein zufälliges Passwort und speichern Sie es in einem Secret Manager-Secret:

    # Generate a random password.
$DsrmPassword = [Guid]::NewGuid().ToString()+"-"+[Guid]::NewGuid().ToString()

$TempFile = New-TemporaryFile
Set-Content $TempFile "$DsrmPassword" -NoNewLine
& gcloud secrets create ad-password --data-file $TempFile
Remove-Item $TempFile

  2. Erstellen Sie das Dienstkonto für die VM-Instanzen des Domaincontrollers:

    $DcServiceAccount = gcloud iam service-accounts create ad-domaincontroller `
  --display-name "AD Domain Controller" `
  --format "value(email)"

  3. Gewähren Sie dem Dienstkonto die Berechtigung, das Secret für die nächste Stunde zu lesen:

    $Expiry = [DateTime]::UtcNow.AddHours(1).ToString("o")
& gcloud secrets add-iam-policy-binding ad-password `
  --member=serviceAccount:$($DcServiceAccount) `
  --role=roles/secretmanager.secretAccessor `
  --condition="title=Expires after 1h,expression=request.time < timestamp('$Expiry')"

Domänencontroller bereitstellen

Sie stellen jetzt zwei VM-Instanzen bereit und erstellen eine neue Active Directory-Gesamtstruktur und -Domain. Um die Anzahl der manuellen Schritte zu minimieren, verwenden Sie Startscripts.

  1. Führen Sie in PowerShell den folgenden Befehl aus, um ein Startskript zu generieren:

    '
$ErrorActionPreference = "Stop"

#
# Only run the script if the VM is not a domain controller already.
#
if ((Get-CimInstance -ClassName Win32_OperatingSystem).ProductType -eq 2) {
    exit
}

#
# Read configuration from metadata.
#
Import-Module "${Env:ProgramFiles}\Google\Compute Engine\sysprep\gce_base.psm1"

$ActiveDirectoryDnsDomain     = Get-MetaData -Property "attributes/ActiveDirectoryDnsDomain" -instance_only
$ActiveDirectoryNetbiosDomain = Get-MetaData -Property "attributes/ActiveDirectoryNetbiosDomain" -instance_only
$ActiveDirectoryFirstDc       = Get-MetaData -Property "attributes/ActiveDirectoryFirstDc" -instance_only
$ProjectId                    = Get-MetaData -Property "project-id" -project_only
$Hostname                     = Get-MetaData -Property "hostname" -instance_only
$AccessToken                  = (Get-MetaData -Property "service-accounts/default/token" | ConvertFrom-Json).access_token

#
# Read the DSRM password from secret manager.
#
$Secret = (Invoke-RestMethod `
    -Headers @{
        "Metadata-Flavor" = "Google";
        "x-goog-user-project" = $ProjectId;
        "Authorization" = "Bearer $AccessToken"} `
    -Uri "https://secretmanager.googleapis.com/v1/projects/$ProjectId/secrets/ad-password/versions/latest:access")
$DsrmPassword = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($Secret.payload.data))
$DsrmPassword = ConvertTo-SecureString -AsPlainText $DsrmPassword -force

#
# Promote.
#
Write-Host "Setting administrator password..."
Set-LocalUser -Name Administrator -Password $DsrmPassword

if ($ActiveDirectoryFirstDc -eq $env:COMPUTERNAME) {
    Write-Host "Creating a new forest $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..."
    Install-ADDSForest `
        -DomainName $ActiveDirectoryDnsDomain `
        -DomainNetbiosName $ActiveDirectoryNetbiosDomain `
        -SafeModeAdministratorPassword $DsrmPassword `
        -DomainMode Win2008R2 `
        -ForestMode Win2008R2 `
        -InstallDns `
        -CreateDnsDelegation:$False `
        -NoRebootOnCompletion:$True `
        -Confirm:$false
}
else {
    do {
        Write-Host "Waiting for domain to become available..."
        Start-Sleep -s 60
        & ipconfig /flushdns | Out-Null
        & nltest /dsgetdc:$ActiveDirectoryDnsDomain | Out-Null
    } while ($LASTEXITCODE -ne 0)

    Write-Host "Adding DC to $ActiveDirectoryDnsDomain ($ActiveDirectoryNetbiosDomain)..."
    Install-ADDSDomainController `
        -DomainName $ActiveDirectoryDnsDomain `
        -SafeModeAdministratorPassword $DsrmPassword `
        -InstallDns `
        -Credential (New-Object System.Management.Automation.PSCredential ("Administrator@$ActiveDirectoryDnsDomain", $DsrmPassword)) `
        -NoRebootOnCompletion:$true  `
        -Confirm:$false
}

#
# Configure DNS.
#
Write-Host "Configuring DNS settings..."
Get-Netadapter| Disable-NetAdapterBinding -ComponentID ms_tcpip6
Set-DnsClientServerAddress  `
    -InterfaceIndex (Get-NetAdapter -Name Ethernet).InterfaceIndex `
    -ServerAddresses 127.0.0.1

#
# Enable LSA protection.
#
New-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
    -Name "RunAsPPL" `
    -Value 1 `
    -PropertyType DWord

Write-Host "Restarting to apply all settings..."
Restart-Computer
' | Out-File dc-startup.ps1 -Encoding ASCII

    Das Skript tut Folgendes:

    • Das DSRM-Passwort wird aus Secret Manager gelesen.
    • Die VM wird zu einem Domänencontroller hochgestuft.
    • Die DNS-Einstellungen werden so konfiguriert, dass jeder Domaincontroller die Loopback-Adresse als DNS-Server verwendet.
    • IPv6 wird deaktiviert.
    • Der LSA-Schutz wird aktiviert.

  2. Erstellen Sie eine VM-Instanz für den ersten Domaincontroller:

    $Subnet = "projects/$VpcProjectId/regions/$Region/subnetworks/domain-controllers"
$Metadata = `
  "ActiveDirectoryDnsDomain=$AdDnsDomain",
  "ActiveDirectoryNetbiosDomain=$AdNetbiosDomain",
  "ActiveDirectoryFirstDc=dc-1",
  "sysprep-specialize-script-ps1=Install-WindowsFeature AD-Domain-Services; Install-WindowsFeature DNS",
  "disable-account-manager=true" -join ","

& gcloud compute instances create dc-1  `
  --image-family windows-2022 `
  --image-project windows-cloud `
  --machine-type n2-standard-8 `
  --tags ad-domaincontroller `
  --metadata "$Metadata" `
  --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 `
  --no-address `
  --network-interface "no-address,private-network-ip=$AddressOfDc1,subnet=$Subnet" `
  --service-account $DcServiceAccount `
  --scopes cloud-platform `
  --zone $Zones[0] `
  --shielded-integrity-monitoring `
  --shielded-secure-boot `
  --shielded-vtpm `
  --deletion-protection

    Mit diesem Befehl wird Folgendes ausgeführt:

    • Es wird eine gesicherte Windows Server 2022-VM erstellt.
    • Der VM wird das ad-domaincontroller-Dienstkonto zugewiesen, damit es auf das DSRM-Passwort zugreifen kann.
    • Der Gast-Agenten wird so konfiguriert, dass der Kontomanager deaktiviert wird. Weitere Informationen zum Konfigurieren des Gast-Agents finden Sie unter Windows-Instanzfunktionen aktivieren und deaktivieren.
    • Erlauben Sie der VM, die Windows-Features AD-Domain-Services und DNS während der Sysprep-Spezialisierungsphase zu installieren.
    • Lassen Sie die VM das zuvor erstellte Startskript ausführen.

  3. Erstellen Sie eine weitere VM-Instanz für den zweiten Domaincontroller und platzieren Sie sie in einer anderen Zone:

    & gcloud compute instances create dc-2  `
  --image-family windows-2022 `
  --image-project windows-cloud `
  --machine-type n2-standard-8 `
  --tags ad-domaincontroller `
  --metadata "$Metadata" `
  --metadata-from-file windows-startup-script-ps1=dc-startup.ps1 `
  --no-address `
  --network-interface "no-address,private-network-ip=$AddressOfDc2,subnet=$Subnet" `
  --service-account $DcServiceAccount `
  --scopes cloud-platform `
  --zone $Zones[1] `
  --shielded-integrity-monitoring `
  --shielded-secure-boot `
  --shielded-vtpm `
  --deletion-protection

  4. Überwachen Sie den Initialisierungsprozess des ersten Domaincontroller. Rufen Sie dazu die Ausgabe des seriellen Ports auf:

    & gcloud compute instances tail-serial-port-output dc-1 --zone $Zones[0]

    Warten Sie etwa zehn Minuten. Sobald die Meldung Restarting to apply all settings... angezeigt wird drücken Sie auf Ctrl+C.

  5. Überwachen Sie den Initialisierungsprozess des zweiten Domaincontroller. Rufen Sie dazu die Ausgabe des seriellen Ports auf:

    & gcloud compute instances tail-serial-port-output dc-2 --zone $Zones[1]

    Warten Sie etwa zehn Minuten. Sobald die Meldung Restarting to apply all settings... angezeigt wird drücken Sie auf Ctrl+C.

Die Active Directory-Gesamtstruktur und -Domain sind jetzt einsatzbereit.

Verbindung zu einem Domaincontroller herstellen

Sie können jetzt die Active Directory-Gesamtstruktur anpassen, indem Sie eine Verbindung zu einem der Domaincontroller herstellen.

  1. Greifen Sie in PowerShell auf das Passwort für den Administrator-Nutzer zu:

    gcloud secrets versions access latest --secret ad-password

  2. Stellen Sie über RDP eine Verbindung zu dc-1 her und melden Sie sich als Administrator-Nutzer an.

    Da die VM-Instanz keine öffentlichen IP-Adressen hat, müssen Sie eine Verbindung über die TCP-Weiterleitung für Identity-Aware Proxy herstellen.

Nächste Schritte