En esta página se explica cómo unir una instancia de máquina virtual de Windows Compute Engine a un dominio mediante la función de unión a dominio automatizada de Managed Service for Microsoft Active Directory.
Cómo une Managed Microsoft AD automáticamente una máquina virtual de Windows a un dominio
Para usar Microsoft AD gestionado con el fin de autenticar las aplicaciones que se ejecutan en tus VMs, debes unir las VMs a tu dominio de Microsoft AD gestionado. El proceso de unión a un dominio suele implicar la realización de algunos pasos manuales.
Cuando creas o actualizas una VM de Compute Engine de Windows, puedes unirla a tu dominio de Microsoft AD gestionado automatizando el método manual mediante secuencias de comandos. Sin embargo, para ejecutar estas secuencias de comandos en una máquina virtual de Compute Engine, necesitas credenciales de AD que deben almacenarse y mantenerse de forma segura, así como un entorno para aprovisionar y ejecutar estas secuencias de comandos. Para no tener que usar credenciales ni un servicio adicional, puedes automatizar el proceso de unión al dominio con las secuencias de comandos predefinidas que ofrece Managed Microsoft AD.
Cuando creas VMs de Compute Engine, puedes usar secuencias de comandos para unirlas automáticamente a tu dominio de Microsoft AD gestionado. Una vez que Compute Engine crea las VMs, Managed Microsoft AD inicia la solicitud de unión al dominio e intenta unir las VMs a tu dominio. Si la solicitud para unir el dominio se realiza correctamente, Managed Microsoft AD une las VMs creadas a tu dominio. Si la solicitud de unión al dominio falla, las VMs creadas seguirán ejecutándose. Por motivos de seguridad o facturación, puedes personalizar este comportamiento y Managed Microsoft AD puede detener las VMs cuando falle la solicitud de unión al dominio.
Cuando actualizas las máquinas virtuales de Compute Engine, puedes usar secuencias de comandos para unir automáticamente las máquinas virtuales a tu dominio de Microsoft AD gestionado. Para que la solicitud de unión al dominio se realice correctamente, Managed Microsoft AD reinicia las VMs después de ejecutar las secuencias de comandos.
Antes de empezar
Asegúrate de que el nombre de la máquina virtual tenga un máximo de 15 caracteres.
Asegúrate de que la VM se ejecute en una versión de Windows compatible con Microsoft AD gestionado.
Configura el emparejamiento de dominios entre el dominio de Managed Microsoft AD y la red de la VM, o haz que tanto el dominio de Managed Microsoft AD como la VM estén en la misma red.
Crea una cuenta de servicio con el rol de gestión de identidades y accesos Google Cloud Unión al dominio de identidades gestionadas (
roles/managedidentities.domainJoin) en el proyecto que tenga el dominio de Microsoft AD gestionado. Para obtener más información, consulta Roles de identidades gestionadas en la nube.Para obtener más información sobre cómo conceder roles, consulta el artículo Conceder un solo rol.
Para obtener información sobre cómo crear una cuenta de servicio, consulta Autenticar cargas de trabajo mediante cuentas de servicio.
Define el ámbito de acceso completo de
cloud-platformen la VM. Para obtener más información, consulta Autorización.
Metadatos
Necesitas las siguientes claves de metadatos para unir una VM de Windows a un dominio.
| Claves de metadatos | Descripción |
|---|---|
windows-startup-script-url |
Usa esta clave de metadatos para especificar la ubicación accesible públicamente de la secuencia de comandos de inicio de Windows que ejecuta la VM durante el proceso de inicio. Para usar la secuencia de comandos de inicio de Windows que se proporciona de forma predeterminada en Microsoft AD gestionado, puedes introducir la siguiente URL: https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1.Si la VM no tiene acceso a esta URL, puedes transferir la secuencia de comandos de inicio mediante cualquiera de los otros métodos admitidos. Para obtener más información, consulta Usar secuencias de comandos de inicio en máquinas virtuales de Windows. |
managed-ad-domain |
Usa esta clave de metadatos para especificar el nombre completo del recurso del dominio de Managed Microsoft AD al que quieres unirte. El formato es el siguiente: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. Por ejemplo, projects/my-project-123/locations/global/domains/my-domain.example.com. |
managed-ad-domain-join-failure-stop |
Opcional: De forma predeterminada, la VM sigue ejecutándose incluso después de que falle la solicitud de unión al dominio. Puedes definir esta clave de metadatos como TRUE si quieres detener la VM cuando falle la solicitud. Managed Microsoft AD puede detener la VM después de que definas esta clave de metadatos, pero no la elimina. |
enable-guest-attributes |
Opcional: De forma predeterminada, los atributos de invitado están inhabilitados en una VM. Puedes asignar el valor TRUE a esta clave de metadatos si quieres usar los atributos de invitado de la VM para registrar el estado de unión al dominio después de ejecutar la secuencia de comandos de inicio.Managed Microsoft AD escribe el estado de unión al dominio en las siguientes claves del espacio de nombres managed-ad de guest-attributes:
domain-join-status: esta clave proporciona el estado de la solicitud de unión al dominio después de la ejecución de la secuencia de comandos.domain-join-failure-message: si la solicitud de unión al dominio falla, esta clave proporciona el mensaje de error. |
managed-ad-ou-name |
Opcional: De forma predeterminada, Managed Microsoft AD une la máquina virtual a la unidad organizativa GCE Instances que se crea previamente en la unidad organizativa Cloud para gestionar mejor las políticas. Para obtener más información sobre la Cloud unidad organizativa, consulta el artículo Unidades organizativas.Si quieres unir la VM a una unidad organizativa personalizada, debes crearla en la unidad organizativa GCE Instances o en la Cloud de Managed Microsoft AD y usar esta clave de metadatos para especificar la unidad organizativa personalizada. Microsoft AD gestionado no admite unidades organizativas personalizadas que crees en ningún otro lugar que no sea la unidad organizativa Cloud o la unidad organizativa GCE Instances.Si creas una UO personalizada en la UO Cloud, especifica la ruta de la UO personalizada con el siguiente formato: /cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU. Por ejemplo, /cloud/my-sub-ou/my-custom-ou.Para obtener más información sobre cómo gestionar objetos de AD en Managed Microsoft AD, consulta Gestionar objetos de Active Directory. |
managed-ad-force |
Opcional: Cuando eliminas una VM que has unido a un dominio, la cuenta de ordenador de la VM sigue existiendo en Managed Microsoft AD. Cuando intentas unir otra VM con la misma cuenta de ordenador, la solicitud de unión al dominio falla de forma predeterminada. Managed Microsoft AD puede reutilizar una cuenta de ordenador si asignas el valor TRUE a esta clave de metadatos.
|
Unirse a la VM de Windows
Puedes usar estas claves de metadatos cuando crees una VM de Windows o actualices una que ya tengas. En las siguientes secciones se muestra cómo usar estas claves de metadatos en los comandos de la CLI de gcloud al crear o actualizar una VM.
Sin embargo, también puede usar estas claves de metadatos con una VM mediante las otras opciones disponibles. Para obtener más información sobre cómo usar metadatos con una VM de Compute Engine de Windows, consulta Definir metadatos personalizados.
Unirse a una VM de Windows durante la creación
Para crear una máquina virtual de Compute Engine de Windows y unirte a ella, ejecuta el siguiente comando de la CLI de gcloud:
gcloud compute instances create INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--image-project windows-cloud \
--image-family IMAGE_FAMILY
Haz los cambios siguientes:
- INSTANCE_NAME: nombre de la VM de Windows Compute Engine que se va a crear. Por ejemplo,
my-instance-1. - URL: ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM durante el proceso de inicio.
- DOMAIN_RESOURCE_PATH: nombre de recurso completo del dominio de Managed Microsoft AD al que quieres unirte. Por ejemplo,
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: una cuenta de servicio que quieras asociar a la máquina virtual. Por ejemplo,
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud de unión al dominio. Debes definir el ámbito de acceso completocloud-platformen la VM. Para obtener más información, consulta Autorización.--image-project: debes definir este valor comowindows-cloudpara crear una VM de Windows. Para obtener más información, consultagcloud compute instances create.- IMAGE_FAMILY: especifica una de las familias de imágenes públicas que tenga imágenes para las versiones de Windows admitidas. Por ejemplo,
windows-2019-core.
Para obtener más información sobre cómo añadir metadatos durante la creación de una VM, consulta Definir metadatos durante la creación de una VM.
Unirse a una VM de Windows
Puedes actualizar las claves de metadatos de una VM de Windows Compute Engine y unir la VM a tu dominio. Después de añadir estas claves de metadatos a la VM, reiníciala para que la solicitud de unión al dominio se realice correctamente.
Para unirte a una máquina virtual de Compute Engine de Windows, ejecuta el siguiente comando de la CLI de gcloud:
gcloud compute instances add-metadata INSTANCE_NAME \
--metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
--service-account=SERVICE_ACCOUNT \
--scopes=https://www.googleapis.com/auth/cloud-platform
Haz los cambios siguientes:
- INSTANCE_NAME: nombre de la VM de Windows Compute Engine a la que quieres unirte. Por ejemplo,
my-instance-1. - URL: ubicación de acceso público de la secuencia de comandos de inicio de Windows que ejecuta la VM después de reiniciarse.
- DOMAIN_RESOURCE_PATH: nombre de recurso completo del dominio de Managed Microsoft AD al que quieres unirte. Por ejemplo,
projects/my-project-123/locations/global/domains/my-domain.example.com. - SERVICE_ACCOUNT: la cuenta de servicio que has asociado a la VM durante la creación. Por ejemplo,
my-sa-123@my-project-123.iam.gserviceaccount.com. --scopes: Los permisos de acceso predeterminados configurados en la VM restringen la solicitud de unión al dominio. Debes definir el ámbito de acceso completocloud-platformen la VM. Para obtener más información, consulta Autorización.
Para obtener más información sobre cómo añadir metadatos a una VM, consulta Actualizar metadatos en una VM en ejecución.
Limpiar las VMs que no se han unido
Te recomendamos que elimines manualmente la cuenta del ordenador de Managed Microsoft AD en los siguientes casos:
- Si eliminas una VM que has unido al dominio de Microsoft AD gestionado.
- Si una VM no se ha podido unir al dominio de Microsoft AD gestionado.
Ver registros de depuración
Si la solicitud de unión al dominio falla, puedes consultar los registros de la secuencia de comandos de inicio para identificar y solucionar el problema. Para consultar los registros de la secuencia de comandos de inicio, puedes ver la salida del puerto serie 1. Si has habilitado los atributos de invitado en la VM, puedes obtener los atributos de invitado para ver los registros.
Para obtener información sobre los errores habituales que pueden producirse al unir una VM a un dominio, consulta No se puede unir automáticamente una VM de Windows a un dominio.