Questa pagina è stata tradotta dall'API Cloud Translation.

Aggiungere automaticamente una VM Windows a un dominio

Questa pagina spiega come aggiungere un'istanza VM Windows Compute Engine a un dominio utilizzando la funzionalità di adesione al dominio automatica in Managed Service for Microsoft Active Directory.

In che modo Managed Microsoft AD connette automaticamente una VM Windows a un dominio

Per utilizzare Managed Microsoft AD per l'autenticazione delle applicazioni in esecuzione sulle VM, devi unire le VM al tuo dominio Managed Microsoft AD. Il processo di unione al dominio prevede in genere l'esecuzione di alcuni passaggi manuali.

Quando crei o aggiorni una VM Windows Compute Engine, puoi unire la VM al tuo dominio Microsoft AD gestito automatizzando l'approccio manuale utilizzando gli script. Tuttavia, per eseguire questi script su una VM Compute Engine, sono necessarie credenziali AD che devono essere archiviate e gestite in modo sicuro e un ambiente per il provisioning e l'esecuzione di questi script. Per eliminare la necessità di credenziali e di un servizio aggiuntivo, puoi automatizzare la procedura di adesione al dominio con gli script pronti all'uso disponibili in AD di Microsoft gestito.

Quando crei VM Compute Engine, puoi utilizzare script per unire automaticamente le VM al tuo dominio Microsoft AD gestito. Dopo che Compute Engine ha creato le VM, Managed Microsoft AD avvia la richiesta di unione al dominio e tenta di unire le VM al tuo dominio. Se la richiesta di unione al dominio va a buon fine, Managed Microsoft AD unisce le VM create al tuo dominio. Se la richiesta di adesione al dominio non va a buon fine, le VM create continuano a funzionare. Per motivi di sicurezza o fatturazione, puoi personalizzare questo comportamento e Managed Microsoft AD può arrestare le VM quando la richiesta di adesione al dominio non va a buon fine.

Quando aggiorni le VM Compute Engine, puoi utilizzare script per unire automaticamente le VM esistenti al tuo dominio Microsoft AD gestito. Affinché la richiesta di adesione al dominio vada a buon fine, Microsoft AD gestito riavvia le VM dopo l'esecuzione degli script.

Prima di iniziare

Crea un dominio Microsoft AD gestito.
Assicurati che il nome della VM abbia un massimo di 15 caratteri.
Assicurati che la VM funzioni su una versione di Windows supportata da AD Microsoft gestito.
Configura il peering di dominio tra il dominio Microsoft AD gestito e la rete della VM oppure posiziona il dominio Microsoft AD gestito e la VM nella stessa rete.
Crea un account di servizio con il ruolo IAM Join a un dominio di Managed Identities di Google Cloud (roles/managedidentities.domainJoin) nel progetto che ha il dominio Microsoft AD gestito. Per ulteriori informazioni, consulta Ruoli di Cloud Identity gestite.
- Per ulteriori informazioni sulla concessione dei ruoli, consulta Concedere un singolo ruolo.
- Per informazioni sulla creazione di un account di servizio, vedi Autenticare i carichi di lavoro utilizzando gli account di servizio.
Imposta l'ambito di accesso completo a cloud-platform sulla VM. Per ulteriori informazioni, consulta Autorizzazione.

Metadati

Per aggiungere una VM Windows a un dominio, sono necessarie le seguenti chiavi dei metadati.

Chiavi dei metadati	Descrizione
`windows-startup-script-url`	Utilizza questa chiave dei metadati per specificare la posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue durante la procedura di avvio. Per utilizzare lo script di avvio di Windows preinstallato da Microsoft AD gestito, puoi inserire il seguente URL: `https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1`. Se la VM non ha accesso a questo URL, puoi passare lo script di avvio utilizzando uno degli altri metodi supportati. Per ulteriori informazioni, consulta Utilizzare gli script di avvio nelle VM Windows.
`managed-ad-domain`	Utilizza questa chiave dei metadati per specificare il nome completo della risorsa del dominio Microsoft AD gestito da unire, nel formato: `projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME`. Ad esempio: `projects/my-project-123/locations/global/domains/my-domain.example.com`.
`managed-ad-domain-join-failure-stop`	(Facoltativo) Per impostazione predefinita, la VM continua a funzionare anche dopo il fallimento della richiesta di adesione al dominio. Puoi impostare questa chiave dei metadati su `TRUE` se vuoi arrestare la VM quando la richiesta non va a buon fine. AD Microsoft gestito può arrestare la VM dopo aver impostato questa chiave dei metadati, ma non la elimina.
`enable-guest-attributes`	(Facoltativo) Per impostazione predefinita, gli attributi guest sono disattivati in una VM. Puoi impostare questa chiave dei metadati su `TRUE` se vuoi utilizzare gli attributi guest della VM per registrare lo stato dell'unione al dominio dopo l'esecuzione dello script di avvio. Microsoft AD gestito scrive lo stato dell'unione al dominio nelle seguenti chiavi nello spazio dei nomi `managed-ad` di `guest-attributes`: `domain-join-status`: questa chiave fornisce lo stato della richiesta di adesione al dominio dopo l'esecuzione dello script. `domain-join-failure-message`: se la richiesta di adesione al dominio non va a buon fine, questa chiave fornisce il messaggio di errore. Quando ottieni gli attributi guest, puoi utilizzare questo spazio dei nomi e queste chiavi per visualizzare lo stato dell'unione al dominio.
`managed-ad-ou-name`	(Facoltativo) Per impostazione predefinita, AD Microsoft gestito unisce la VM all'unità organizzativa (OU) `GCE Instances` precreata nell'OU `Cloud` per gestire meglio i criteri. Per ulteriori informazioni sull'UO `Cloud`, consulta Unità organizzative. Se vuoi unire la VM a un'OU personalizzata, devi creare l'OU personalizzata nell'OU `GCE Instances` o nell'OU `Cloud` in AD di Microsoft gestito e utilizzare questa chiave dei metadati per specificare l'OU personalizzata. AD Microsoft gestito non supporta un'OU personalizzata creata in un luogo diverso dall'OU `Cloud` o dall'OU `GCE Instances`. Se crei un'OU personalizzata sotto l'OU `Cloud`, specifica il percorso dell'OU personalizzata nel seguente formato: `/cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU`. Ad esempio, `/cloud/my-sub-ou/my-custom-ou`. Per ulteriori informazioni sulla gestione degli oggetti AD in Managed Microsoft AD, vedi Gestire gli oggetti Active Directory.
`managed-ad-force`	(Facoltativo) Quando elimini una VM a cui hai eseguito l'unione a un dominio, l'account computer della VM continua a esistere in Microsoft AD gestito. Quando provi ad aggiungere un'altra VM con lo stesso account computer, la richiesta di adesione al dominio non va a buon fine per impostazione predefinita. L'AD Microsoft gestito può riutilizzare un account computer esistente se imposti questa chiave dei metadati su `TRUE`.

Accedi alla VM Windows

Puoi utilizzare queste chiavi dei metadati quando crei una VM Windows o aggiorni una VM esistente. Le sezioni seguenti illustrano come utilizzare queste chiavi dei metadati nei comandi gcloud CLI quando crei o aggiorni una VM.

Tuttavia, puoi utilizzare queste chiavi dei metadati con una VM anche utilizzando le altre opzioni disponibili. Per ulteriori informazioni sull'utilizzo dei metadati con una VM Compute Engine Windows, consulta Impostare metadati personalizzati.

Partecipare a una VM Windows durante la creazione

Per creare e partecipare a una VM Windows Compute Engine, esegui il seguente comando gcloud CLI:

gcloud compute instances create INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --image-project windows-cloud \
    --image-family IMAGE_FAMILY

Sostituisci quanto segue:

INSTANCE_NAME: il nome della VM Windows Compute Engine da creare. Ad esempio, my-instance-1.
URL: una posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue durante la procedura di avvio.
DOMAIN_RESOURCE_PATH: nome completo della risorsa del dominio Microsoft AD gestito a cui eseguire l'unione. Ad esempio, projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: un account di servizio da associare alla VM. Ad esempio, my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: gli ambiti di accesso predefiniti configurati nella VM limitano la richiesta di adesione al dominio. Devi impostare l'ambito di accesso completo cloud-platform sulla VM. Per ulteriori informazioni, consulta Autorizzazione.
--image-project: devi impostare questo flag su windows-cloud per creare una VM Windows. Per ulteriori informazioni, vedi gcloud compute instances create.
IMAGE_FAMILY: specifica una delle famiglie di immagini pubbliche che contengono immagini per le versioni di Windows supportate. Ad esempio: windows-2019-core.

Per ulteriori informazioni sull'aggiunta di metadati durante la creazione della VM, consulta Impostare i metadati durante la creazione della VM.

Partecipare a una VM Windows esistente

Puoi aggiornare le chiavi di metadati su una VM Windows Compute Engine esistente e unire la VM al tuo dominio. Dopo aver aggiunto queste chiavi dei metadati alla VM, riavviala in modo che la richiesta di adesione al dominio vada a buon fine.

Per partecipare a una VM Windows Compute Engine esistente, esegui il seguente comando gcloud CLI:

gcloud compute instances add-metadata INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Sostituisci quanto segue:

INSTANCE_NAME: il nome della VM Windows Compute Engine a cui vuoi partecipare. Ad esempio, my-instance-1.
URL: una posizione accessibile pubblicamente dello script di avvio di Windows che la VM esegue dopo il riavvio.
DOMAIN_RESOURCE_PATH: nome completo della risorsa del dominio Microsoft AD gestito a cui eseguire l'unione. Ad esempio, projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: l'account di servizio a cui hai collegato la VM durante la creazione. Ad esempio, my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: gli ambiti di accesso predefiniti configurati nella VM limitano la richiesta di adesione al dominio. Devi impostare l'ambito di accesso completo cloud-platform sulla VM. Per ulteriori informazioni, consulta Autorizzazione.

Per ulteriori informazioni sull'aggiunta di metadati a una VM esistente, consulta Aggiornare i metadati su una VM in esecuzione.

Ripulire le VM non unite

Ti consigliamo di eliminare manualmente l'account computer da AD Microsoft gestito nei seguenti scenari:

Se elimini una VM a cui hai eseguito l'unione con il dominio Microsoft AD gestito.
Se non è stato possibile unire una VM al dominio Microsoft AD gestito.

Visualizzare i log di debug

Se la richiesta di adesione al dominio non va a buon fine, puoi controllare i log dello script di avvio per identificare e risolvere il problema. Per controllare i log dello script di avvio, puoi visualizzare l'output della porta seriale 1. Se hai attivato gli attributi guest sulla VM, puoi ottenere gli attributi guest per visualizzare i log.

Per informazioni sugli errori comuni che potresti riscontrare durante l'aggiunta di una VM a un dominio, consulta Impossibile aggiungere automaticamente una VM Windows a un dominio.

Passaggi successivi

Unisci automaticamente i nodi Windows Server GKE a un dominio Microsoft AD gestito.