Diese Seite wurde von der Cloud Translation API übersetzt.

Windows-VM automatisch mit einer Domain verbinden

Auf dieser Seite wird beschrieben, wie Sie eine Windows-Compute Engine-VM-Instanz mithilfe der Funktion für den automatischen Domainbeitritt in Managed Service for Microsoft Active Directory einer Domain beitreten.

So verbindet Managed Microsoft AD eine Windows-VM automatisch mit einer Domain

Wenn Sie Managed Microsoft AD zur Authentifizierung der auf Ihren VMs ausgeführten Anwendungen verwenden möchten, müssen Sie die VMs Ihrer Managed Microsoft AD-Domain zuordnen. Der Domainbeitritt erfordert in der Regel einige manuelle Schritte.

Wenn Sie eine Windows Compute Engine-VM erstellen oder aktualisieren, können Sie die VM mit Ihrer Managed Microsoft AD-Domain verknüpfen, indem Sie den manuellen Ansatz mithilfe von Scripts automatisieren. Um diese Scripts jedoch auf einer Compute Engine-VM auszuführen, benötigen Sie AD-Anmeldedaten, die sicher gespeichert und verwaltet werden müssen, sowie eine Umgebung, in der diese Scripts bereitgestellt und ausgeführt werden können. Damit Sie keine Anmeldedaten und keinen zusätzlichen Dienst benötigen, können Sie den Domainbeitritt mit vorgefertigten Scripts automatisieren, die in Managed Microsoft AD verfügbar sind.

Wenn Sie Compute Engine-VMs erstellen, können Sie mithilfe von Scripts die VMs automatisch mit Ihrer verwalteten Microsoft AD-Domain verknüpfen. Nachdem die Compute Engine die VMs erstellt hat, initiiert Managed Microsoft AD die Domain-Join-Anfrage und versucht, die VMs mit Ihrer Domain zu verknüpfen. Wenn die Domainbeitrittsanfrage erfolgreich ist, werden die erstellten VMs von Managed Microsoft AD mit Ihrer Domain verbunden. Wenn die Anfrage zum Domainbeitritt fehlschlägt, werden die erstellten VMs weiterhin ausgeführt. Aus Sicherheits- oder Abrechnungsgründen können Sie dieses Verhalten anpassen. Managed Microsoft AD kann die VMs beenden, wenn die Domainbeitrittsanfrage fehlschlägt.

Wenn Sie Compute Engine-VMs aktualisieren, können Sie Scripts verwenden, um die vorhandenen VMs automatisch Ihrer verwalteten Microsoft AD-Domain beizutreten. Damit die Domainbeitrittsanfrage erfolgreich ist, werden die VMs von Managed Microsoft AD nach Ausführung der Scripts neu gestartet.

Hinweise

Managed Microsoft AD-Domain erstellen
Der Name der VM darf maximal 15 Zeichen lang sein.
Achten Sie darauf, dass die VM eine von Managed Microsoft AD unterstützte Windows-Version ausführt.
Konfigurieren Sie das Domain-Peering zwischen der Managed Microsoft AD-Domain und dem Netzwerk der VM oder platzieren Sie die Managed Microsoft AD-Domain und die VM im selben Netzwerk.
Erstellen Sie ein Dienstkonto mit der IAM-Rolle „Google Cloud Managed Identities Domain Join“ (roles/managedidentities.domainJoin) im Projekt mit der verwalteten Microsoft AD-Domain. Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.
- Weitere Informationen zum Zuweisen von Rollen finden Sie unter Einzelne Rolle zuweisen.
- Informationen zum Erstellen eines Dienstkontos finden Sie unter Arbeitslasten mit Dienstkonten authentifizieren.
Legen Sie den vollständigen Zugriffsbereich cloud-platform auf der VM fest. Weitere Informationen finden Sie unter Autorisierung.

Metadaten

Sie benötigen die folgenden Metadatenschlüssel, um eine Windows-VM mit einer Domain zu verbinden.

Metadatenschlüssel	Beschreibung
`windows-startup-script-url`	Mit diesem Metadatenschlüssel geben Sie den öffentlich zugänglichen Speicherort des Windows-Startscripts an, das die VM während des Startvorgangs ausführt. Wenn Sie das von Managed Microsoft AD bereitgestellte Windows-Startskript verwenden möchten, können Sie die folgende URL eingeben: `https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1`. Wenn die VM keinen Zugriff auf diese URL hat, können Sie das Startskript mit einer der anderen unterstützten Methoden übergeben. Weitere Informationen finden Sie unter Startskripts auf Windows-VMs verwenden.
`managed-ad-domain`	Verwenden Sie diesen Metadatenschlüssel, um den vollständigen Ressourcennamen Ihrer Managed Microsoft AD-Domain anzugeben, die Sie verknüpfen möchten, in Form von `projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME`. Beispiel: `projects/my-project-123/locations/global/domains/my-domain.example.com`
`managed-ad-domain-join-failure-stop`	Optional: Standardmäßig wird die VM auch dann weiter ausgeführt, wenn der Domainbeitritt fehlschlägt. Sie können diesen Metadatenschlüssel auf `TRUE` setzen, wenn die VM bei einem Fehler bei der Anfrage beendet werden soll. Verwaltetes Microsoft AD kann die VM beenden, nachdem Sie diesen Metadatenschlüssel festgelegt haben, aber die VM wird nicht gelöscht.
`enable-guest-attributes`	Optional: Gastattribute sind standardmäßig auf einer VM deaktiviert. Sie können diesen Metadatenschlüssel auf `TRUE` festlegen, wenn Sie die Gastattribute der VM verwenden möchten, um den Domainbeitrittsstatus nach der Ausführung des Startscripts zu protokollieren. Managed Microsoft AD schreibt den Domainbeitrittsstatus in die folgenden Schlüssel im `managed-ad`-Namespace von `guest-attributes`: `domain-join-status`: Dieser Schlüssel gibt den Status der Domainbeitrittsanfrage nach der Ausführung des Scripts an. `domain-join-failure-message`: Wenn die Domainbeitrittsanfrage fehlschlägt, enthält dieser Schlüssel die Fehlermeldung. Wenn Sie die Gastattribute abrufen, können Sie mit diesen Namespaces und Schlüsseln den Domainbeitrittsstatus aufrufen.
`managed-ad-ou-name`	Optional: Standardmäßig wird die VM in Managed Microsoft AD mit der OE `GCE Instances` verknüpft, die unter der OE `Cloud` vorab erstellt wurde, um die Richtlinien besser verwalten zu können. Weitere Informationen zur `Cloud`-OE finden Sie unter Organisationseinheiten. Wenn Sie die VM mit einer benutzerdefinierten OU verknüpfen möchten, müssen Sie die benutzerdefinierte OU entweder unter der OU `GCE Instances` oder der OU `Cloud` in Managed Microsoft AD erstellen und diesen Metadatenschlüssel verwenden, um die benutzerdefinierte OU anzugeben. Managed Microsoft AD unterstützt keine benutzerdefinierte OE, die Sie an einer anderen Stelle als in der OE `Cloud` oder `GCE Instances` erstellen. Wenn Sie eine benutzerdefinierte OE unter der OE `Cloud` erstellen, geben Sie den Pfad der benutzerdefinierten OE im folgenden Format an: `/cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU`. Beispiel: `/cloud/my-sub-ou/my-custom-ou`. Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten.
`managed-ad-force`	Optional: Wenn Sie eine VM löschen, die Sie mit einer Domain verbunden haben, bleibt das Computerkonto der VM in Managed Microsoft AD bestehen. Wenn Sie versuchen, mit demselben Computerkonto einer anderen VM beizutreten, schlägt die Domainbeitrittsanfrage standardmäßig fehl. Managed Microsoft AD kann ein vorhandenes Computerkonto wiederverwenden, wenn Sie diesen Metadatenschlüssel auf `TRUE` festlegen.

Windows-VM beitreten

Sie können diese Metadatenschlüssel verwenden, wenn Sie eine Windows-VM erstellen oder eine vorhandene VM aktualisieren. In den folgenden Abschnitten wird gezeigt, wie Sie diese Metadatenschlüssel in gcloud CLI-Befehlen verwenden, wenn Sie eine VM erstellen oder aktualisieren.

Sie können diese Metadatenschlüssel jedoch auch mit einer VM verwenden, indem Sie die anderen verfügbaren Optionen verwenden. Weitere Informationen zur Verwendung von Metadaten mit einer Windows-Compute Engine-VM finden Sie unter Benutzerdefinierte Metadaten festlegen.

Bei der Erstellung einer Windows-VM beitreten

Führen Sie den folgenden gcloud CLI-Befehl aus, um eine Windows-Compute Engine-VM zu erstellen und ihr beizutreten:

gcloud compute instances create INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --image-project windows-cloud \
    --image-family IMAGE_FAMILY

Ersetzen Sie Folgendes:

INSTANCE_NAME: Name der zu erstellenden Windows Compute Engine-VM. Beispiel: my-instance-1.
URL: Ein öffentlich zugänglicher Speicherort des Windows-Startscripts, das die VM während des Startvorgangs ausführt.
DOMAIN_RESOURCE_PATH: Vollständiger Ressourcenname der Managed Microsoft AD-Domain, der beigetreten werden soll. Beispiel: projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: Ein Dienstkonto, das Sie an die VM anhängen möchten. Beispiel: my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: Die in der VM konfigurierten Standardzugriffsbereiche beschränken den Domainbeitrittsantrag. Sie müssen den vollständigen Zugriffsbereich cloud-platform auf der VM festlegen. Weitere Informationen finden Sie unter Autorisierung.
--image-project: Sie müssen dieses Flag auf windows-cloud festlegen, um eine Windows-VM zu erstellen. Weitere Informationen finden Sie unter gcloud compute instances create.
IMAGE_FAMILY: Geben Sie eine der öffentlichen Image-Familien an, die Images für die unterstützten Windows-Versionen enthält. Beispiel: windows-2019-core

Weitere Informationen zum Hinzufügen von Metadaten bei der VM-Erstellung finden Sie unter Metadaten bei der VM-Erstellung festlegen.

Einer vorhandenen Windows-VM beitreten

Sie können die Metadatenschlüssel auf einer vorhandenen Windows-Compute Engine-VM aktualisieren und die VM Ihrer Domain beitreten. Nachdem Sie diese Metadatenschlüssel der VM hinzugefügt haben, starten Sie die VM neu, damit die Domainbeitrittsanfrage erfolgreich ist.

Führen Sie den folgenden gcloud CLI-Befehl aus, um einer vorhandenen Windows-Compute Engine-VM beizutreten:

gcloud compute instances add-metadata INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Ersetzen Sie Folgendes:

INSTANCE_NAME: Name der Windows Compute Engine-VM, der Sie beitreten möchten. Beispiel: my-instance-1.
URL: Ein öffentlich zugänglicher Speicherort des Windows-Startscripts, das die VM nach dem Neustart ausführt.
DOMAIN_RESOURCE_PATH: Vollständiger Ressourcenname der Managed Microsoft AD-Domain, der beigetreten werden soll. Beispiel: projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: Das Dienstkonto, das Sie der VM beim Erstellen zugeordnet haben. Beispiel: my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: Die in der VM konfigurierten Standardzugriffsbereiche beschränken den Domainbeitrittsantrag. Sie müssen den vollständigen Zugriffsbereich cloud-platform auf der VM festlegen. Weitere Informationen finden Sie unter Autorisierung.

Weitere Informationen zum Hinzufügen von Metadaten zu einer vorhandenen VM finden Sie unter Metadaten auf einer laufenden VM aktualisieren.

Nicht verbundene VMs bereinigen

In den folgenden Fällen empfehlen wir, das Computerkonto manuell aus verwaltetem Microsoft AD zu löschen:

Wenn Sie eine VM löschen, die Sie der Managed Microsoft AD-Domain beigetreten haben.
Wenn eine VM nicht der Managed Microsoft AD-Domain beitreten konnte.

Debug-Logs ansehen

Wenn die Domainbeitrittsanfrage fehlschlägt, können Sie die Protokolle für das Startskript prüfen, um das Problem zu identifizieren und zu beheben. Wenn Sie die Logs für das Startskript prüfen möchten, können Sie sich die Ausgabe des seriellen Ports 1 ansehen. Wenn Sie Gastattribute auf der VM aktiviert haben, können Sie die Gastattribute abrufen, um sich die Protokolle anzusehen.

Informationen zu den häufigsten Fehlern, die beim Verbinden einer VM mit einer Domain auftreten können, finden Sie unter Windows-VM kann nicht automatisch mit einer Domain verbunden werden.

Nächste Schritte

GKE-Windows-Serverknoten automatisch mit einer verwalteten Microsoft AD-Domain verbinden