Esta página foi traduzida pela API Cloud Translation.

Vincular uma VM do Windows automaticamente a um domínio

Nesta página, explicamos como associar uma instância de VM do Windows Compute Engine a um domínio usando o recurso de mesclagem automatizada do serviço gerenciado para o Microsoft Active Directory.

Como o Microsoft AD gerenciado associa uma VM do Windows automaticamente a um domínio

Para usar o Managed Microsoft AD para autenticar os aplicativos executados nas VMs, você precisa associar as VMs ao seu domínio do Managed Microsoft AD. O processo de junção de domínio geralmente envolve a execução de algumas etapas manuais.

Ao criar ou atualizar uma VM do Windows Compute Engine, é possível associá-la ao domínio do Microsoft AD gerenciado automatizando a abordagem manual com scripts. No entanto, para executar esses scripts em uma VM do Compute Engine, é necessário ter credenciais do AD, que precisam ser armazenadas e mantidas com segurança, e um ambiente para provisionar e executar esses scripts. Para eliminar a necessidade de credenciais e de um serviço adicional, automatize o processo de associação ao domínio com scripts prontos disponíveis no Microsoft AD gerenciado.

Ao criar VMs do Compute Engine, é possível usar scripts para fazer a mesclagem automática delas ao domínio do Microsoft AD gerenciado. Depois que o Compute Engine cria as VMs, o Microsoft AD gerenciado inicia a solicitação de participação no domínio e tenta associar as VMs ao seu domínio. Se a solicitação de associação ao domínio for bem-sucedida, o Managed Microsoft AD vai associar as VMs criadas ao seu domínio. Se a solicitação de participação no domínio falhar, as VMs criadas continuarão em execução. Por motivos de segurança ou faturamento, é possível personalizar esse comportamento. O Microsoft AD gerenciado poderá interromper as VMs quando houver falha na solicitação de participação no domínio.

Ao atualizar as VMs do Compute Engine, você pode usar scripts para unir automaticamente as VMs ao seu domínio gerenciado do Microsoft AD. Para que a solicitação de participação no domínio seja bem-sucedida, o Microsoft AD gerenciado reinicia as VMs depois de executar os scripts.

Antes de começar

Crie um domínio do Managed Microsoft AD.
O nome da VM precisa ter no máximo 15 caracteres.
Verifique se a VM é executada em uma versão do Windows compatível com o Microsoft AD gerenciado.
Configure o peering de domínio entre o domínio do Microsoft AD gerenciado e a rede da VM ou tenha ambos na mesma rede.
Criar uma conta de serviço com o papel do IAM de mesclagem de domínio de identidades gerenciadas do Google Cloud (roles/managedidentities.domainJoin) no projeto que tem o domínio do Microsoft AD gerenciado. Para mais informações, consulte Papéis das identidades gerenciadas do Cloud.
- Para mais informações sobre como conceder papéis, consulte Conceder um único papel.
- Para informações sobre como criar uma conta de serviço, consulte Autenticar cargas de trabalho usando contas de serviço.
Defina o escopo de acesso cloud-platform completo na VM. Para mais informações, consulte Autorização.

Metadados

As chaves de metadados a seguir são necessárias para unir uma VM do Windows a um domínio.

Chaves de metadados	Descrição
`windows-startup-script-url`	Use essa chave de metadados para especificar o local acessível publicamente do script de inicialização do Windows que a VM executa durante o processo de inicialização. Para usar o script de inicialização do Windows pré-entregue pelo Microsoft AD gerenciado, insira o seguinte URL: `https://raw.githubusercontent.com/GoogleCloudPlatform/managed-microsoft-activedirectory/main/domain_join.ps1`. Se a VM não tiver acesso a esse URL, transmita o script de inicialização usando qualquer um dos outros métodos compatíveis. Para mais informações, consulte Como usar scripts de inicialização em VMs do Windows.
`managed-ad-domain`	Use esta chave de metadados para especificar o nome completo do recurso do domínio do Microsoft AD gerenciado que será incluído, no formato: `projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME`. Por exemplo, `projects/my-project-123/locations/global/domains/my-domain.example.com`.
`managed-ad-domain-join-failure-stop`	Opcional: por padrão, a VM continua em execução mesmo após falha na solicitação de participação no domínio. Defina essa chave de metadados como `TRUE` se quiser interromper a VM quando a solicitação falhar. O Microsoft AD gerenciado pode interromper a VM depois que você definir essa chave de metadados, mas não exclui a VM.
`enable-guest-attributes`	Opcional: por padrão, os atributos de convidado estão desativados em uma VM. Defina essa chave de metadados como `TRUE` se quiser usar os atributos de convidado da VM para registrar o status de participação no domínio após a execução do script de inicialização. O Microsoft AD gerenciado grava o status de mesclagem do domínio nas seguintes chaves no namespace `managed-ad` de `guest-attributes`: `domain-join-status`: esta chave fornece o status da solicitação de participação no domínio após a execução do script. `domain-join-failure-message`: se a solicitação de participação no domínio falhar, essa chave fornecerá a mensagem de erro. Ao receber os atributos de convidado, você pode usar esses namespaces e chaves para ver o status de associação do domínio.
`managed-ad-ou-name`	Opcional: por padrão, o Microsoft AD gerenciado mescla a VM à unidade organizacional (UO) `GCE Instances`, que é pré-criada na UO `Cloud` para gerenciar melhor as políticas. Para mais informações sobre a UO `Cloud`, consulte Unidades organizacionais. Se você quiser vincular a VM a uma UO personalizada, crie a UO personalizada na UO `GCE Instances` ou na UO `Cloud` no Microsoft AD gerenciado e use essa chave de metadados para especificar a UO personalizada. O Microsoft AD gerenciado não é compatível com uma UO personalizada criada em qualquer lugar que não seja a UO `Cloud` ou `GCE Instances`. Se você criar uma UO personalizada na UO `Cloud`, especifique o caminho da UO personalizada no seguinte formato: `/cloud/SUB_OU1/SUB_OU2/…/CUSTOM_OU`. Por exemplo, `/cloud/my-sub-ou/my-custom-ou`. Para mais informações sobre como gerenciar objetos do AD no Managed Microsoft AD, consulte Gerenciar objetos do Active Directory.
`managed-ad-force`	Opcional: quando você exclui uma VM que foi associada a um domínio, a conta de computador da VM continua existindo no Microsoft AD gerenciado. Quando você tenta participar de outra VM com a mesma conta de computador, a solicitação de participação no domínio falha por padrão. O Microsoft AD gerenciado poderá reutilizar uma conta de computador atual se você definir essa chave de metadados como `TRUE`.

Participar da VM do Windows

É possível usar essas chaves de metadados ao criar uma VM do Windows ou atualizar uma atual. As seções a seguir mostram como usar essas chaves de metadados nos comandos da CLI gcloud ao criar ou atualizar uma VM.

No entanto, você também pode usar essas chaves de metadados com uma VM usando as outras opções disponíveis. Saiba mais sobre o uso de metadados com uma VM do Windows Compute Engine em Definir metadados personalizados.

Participar de uma VM do Windows durante a criação

Para criar e participar de uma VM do Windows Compute Engine, execute o seguinte comando da CLI gcloud:

gcloud compute instances create INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --image-project windows-cloud \
    --image-family IMAGE_FAMILY

Substitua:

INSTANCE_NAME: nome da VM do Windows Compute Engine a ser criada. Por exemplo, my-instance-1.
URL: um local publicamente acessível do script de inicialização do Windows que a VM executa durante o processo de inicialização.
DOMAIN_RESOURCE_PATH: nome completo do recurso do domínio do Microsoft AD gerenciado para participação. Por exemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: uma conta de serviço que você quer anexar à VM. Por exemplo, my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: os escopos de acesso padrão configurados na VM restringem a solicitação de participação no domínio. É necessário definir o escopo de acesso cloud-platform completo na VM. Para mais informações, consulte Autorização.
--image-project: é necessário definir essa flag como windows-cloud para criar uma VM do Windows. Veja mais informações em gcloud compute instances create.
IMAGE_FAMILY: especifique uma das famílias de imagens públicas que tenham imagens para as versões compatíveis do Windows. Por exemplo, windows-2019-core.

Para mais informações sobre como adicionar metadados durante a criação da VM, consulte Definir metadados durante a criação da VM.

Participar de uma VM do Windows atual

É possível atualizar as chaves de metadados em uma VM do Windows Compute Engine e associar a VM ao seu domínio. Depois de adicionar essas chaves de metadados à VM, reinicie a VM para que a solicitação de associação ao domínio seja bem-sucedida.

Para participar de uma VM do Windows Compute Engine, execute o seguinte comando da CLI gcloud:

gcloud compute instances add-metadata INSTANCE_NAME \
    --metadata=windows-startup-script-url=URL,managed-ad-domain=DOMAIN_RESOURCE_PATH,managed-ad-domain-join-failure-stop=TRUE,enable-guest-attributes=TRUE \
    --service-account=SERVICE_ACCOUNT \
    --scopes=https://www.googleapis.com/auth/cloud-platform

Substitua:

INSTANCE_NAME: nome da VM do Windows Compute Engine em que você quer ingressar. Por exemplo, my-instance-1.
URL: um local publicamente acessível do script de inicialização do Windows que a VM executa após a reinicialização.
DOMAIN_RESOURCE_PATH: o nome completo do recurso do domínio do Microsoft AD gerenciado a ser adicionado. Por exemplo, projects/my-project-123/locations/global/domains/my-domain.example.com.
SERVICE_ACCOUNT: a conta de serviço que você anexou à VM durante a criação. Por exemplo, my-sa-123@my-project-123.iam.gserviceaccount.com.
--scopes: os escopos de acesso padrão configurados na VM restringem a solicitação de participação no domínio. Você precisa definir o escopo de acesso cloud-platform completo na VM. Para mais informações, consulte Autorização.

Para mais informações sobre como adicionar metadados a uma VM, consulte Como atualizar metadados em uma VM em execução.

Limpar VMs desvinculadas

Recomendamos excluir a conta do computador manualmente do Microsoft AD gerenciado nos seguintes cenários:

Se você excluir uma VM que foi associada ao domínio do Managed Microsoft AD.
Se uma VM não for associada ao domínio do Microsoft AD gerenciado

Ver registros de depuração

Se a solicitação de participação no domínio falhar, verifique os registros do script de inicialização para identificar e solucionar o problema. Para verificar os registros do script de inicialização, confira a saída da porta serial 1. Se você tiver ativado os atributos de convidado na VM, confira os atributos de convidado para acessar os registros.

Para informações sobre erros comuns que podem ser encontrados ao vincular uma VM a um domínio, consulte Não é possível vincular uma VM do Windows automaticamente a um domínio.

A seguir

Juntar nós do GKE do Windows Server automaticamente a um Domínio do Microsoft AD gerenciado.