代管式 Active Directory 教學― AD 網域服務及雲地混和環境實作

之前我們已經帶大家認識了代管式 Active Directory（Managed AD）的架構和優點，所以這次將進入實作，從 Managed AD 的網域架構開始，手把手地帶大家使用 Resource Forest Pattern 模式，打造雲地混和的用戶管理環境並以 One-way Trust 建立單向的用戶權限認證機制。

建置雲地混合環境的 One-way Trust Resource Forest Pattern

在上次的《代管式 Active Directory 是什麼？架構、優點一次解析》中我們介紹了代管式 Active Directory （Managed AD）的服務與雲地環境的網路延伸架構，但不實踐一下怎麼知道 Managed AD 到底好不好用呢？因此下面我們將帶大家實際建立 Google 推薦的 Resource Forest Pattern 模式，並以 One-way Trust 建立單向的用戶權限認證機制。那就話不多說馬上開始吧！

Resource Forest Pattern 是什麼？

假設今天我們在地端有一個持續在使用的 AD 系統，該系統有著自己的 Domain Forest，而今天我們在 GCP 建立屬於雲端自已的 AD 環境，這個 AD 環境一來要能夠建立自己的管理系統，二來是能認得地端的既有用戶權限，三來是能用 Domain 區分用戶的來源，最理想的狀況是雲端帳戶系統不會影響既有的地端環境且能獨立運行。

這時候，我們就能使用 Resource Forest Pattern。如下圖所示，透過 One-way Trust relationship，我們能確保雲端認識地端帳戶，但地端又不會受雲端影響。這代表我們不僅讓既有帳戶在雲端延伸權限，且雲端也能發展符合自己環境需求的獨立帳戶，控管運算資源。當然我們也能做雙向的 Trust Relationship，一切取決於自身需求，可說是相當靈活。

建立代管式 Active Directory 網域

那我們首先就從 Managed AD 的服務開始建置吧！設置過程非常簡單，只要填入自訂的 Domain Name（記得不要跟地端重複！），而後選擇希望起作用的 VPC 網路環境，並指定 Managed AD 使用的 IP Range。這邊記得不能跟希望起作用的 VPC 中現有 Subnet 衝突，不然創建時會出現錯誤訊息！

接著再選擇希望作用的 Region，提醒大家初始雖然只能指定一個，但創建完後可再追加。最後只要設定 AD 管理者的帳號（預設是 setupadmin），等創建完後再來修改密碼，這樣一來 Managed AD 的設定就大功告成了。

觀察被啟用的網域服務

創建完成後，Managed AD 需要一小時左右的時間建置相關資源，這時大家可以先去做別的事情，讓 GCP 為你工作。等創建的 Domain 狀態顯示 Ready 後，就可以來看看 Managed AD 為我們啟用了哪些服務。

首先在「Network services > Cloud DNS」中，可以看到出現了一條亂碼名稱的 DNS Peering Zone，而當中 Peer 的 Project ID 也是亂碼，Peer Network 則是 network VPC，這些資源都是上面提到由 GCP 建立的封閉環境。同樣的，前往「VPC network > VPC network peering」後，我們也會看到一條由目前 VPC 對接 network VPC 的 VPC Peering，代表雙邊網路對接完成。

將 Windows VM 加入 Managed AD Domain

接著我們可以在雲端建立一台 Windows VM，並到「Server Manager > Local Server」內的 Workgroup，將目前的 Workgroup 修改為 Managed AD domain，並填上剛剛創建的 Managed AD 管理者帳密。這時還沒有管理者密碼，所以我們可以在 Managed AD Web Console 裡點選上方的 SET PASSWORD 隨機產生一組密碼，用來登入管理者帳號。到這裡 Windows VM 就正式納入 Managed AD 的管轄，可以切換帳號成 Managed AD 的用戶囉。

安裝遠端 AD 管理套組

但此時我們還不需急著切換帳戶，而是可以先來架設一台具有 Managed AD 管理工具的 Server。首先點選「Server Manager > Dashboard」，接著再選擇 Add roles and features，然後一路點擊確認到 Features 分頁。這邊我們依序勾選「Group Policy Management」、「Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools」，和「DNS Server Tools」並確認安裝。之後就可以用這些工具來管理 Managed AD 帳戶與 DNS 服務了。

建立 Cloud DNS Server Policy

完成上述步驟後，Managed AD 服務環境就算正式完成了，所以接下來要開始建構它與地端的連線設置。首先我們要來建構給地端 Conditional Forwarder 指向的 DNS Server Policy，請大家進入「Network services > Cloud DNS > DNS SERVER POLICIES」分頁，點選上方的 CREATE POLICY 按鈕進入設置頁面。

設定一個方便管理的政策名稱，並將 Inbound query forwarding 設定成 On，最後指定轉發的 VPC 為啟用 Managed AD 服務的 VPC 網路環境。 完成設置後，點選進入該政策並在分頁選擇 IN USE BY，就可看到轉發用的 IP 了。

地端 AD DNS 設置 DNS Delegation

獲得 DNS 轉發 IP 後，我們要來設置地端 DNS 的 Conditional Forwarder。但這裡要先提醒一個前提，雲端及地端的 Domain 兩者不可是階層關係。舉例來說，a.b.com 與 b.com 就是階層關係，b.com 是 a.b.com 的 Root Domain，而如果在這樣的狀況下設置 Conditional Forwarder，是會出現錯誤訊息的。

那這時我們就可以用 DNS Delegation 來解決這個問題。DNS Delegation 顧名思義就是一個代理性質的 DNS Server，作用是讓 DNS 在查找 Child Domain 的時候使用指定的 DNS Server。所以我們可以透過在 DNS Manager 對地端 Root Domain 右鍵點選 New Delegation 進行設置，將雲端 Domain 與轉發 IP 設定上去。這樣一來，當地端查詢雲端 Domain 時，就會被轉發至 Cloud DNS。

地端 AD DNS 設置 Conditional Forwarder

設定 Conditional Forwarder 與上面建立 DNS Delegation 很相似，同樣在 DNS Manager 中設置，只需對著 Conditional Forwarder 目錄右鍵點選 New Conditional Forwarder，而後設置雲端 Managed AD Domain Name 並指定轉發 IP，最後勾選「存放於 AD 並複製給所有地端 Domain 的 DNS Server」即可完成設置。

設置地對雲 Domain Trust Relationship

再來就要進入設置 Resource Forest Trust 最關鍵的一步了，那就是建立地對雲的 Domain Trust Relationship。首先左下角搜尋開啟 Active Directory Domains and Trusts，於地端 Domain 右鍵點選 Properties，接著在 Properties 頁面點選 Trust 分頁，並按下方流程設定。

One-way Domain Trust 建立流程：
1. 點選左下方 New Trust… 開啟 Trust 設置精靈
2. 於 Trust Name 頁面輸入雲端 Managed AD Domain
3. 於 Trust Type 頁面選擇 Forest Trust
4. 於 Direction of Trust 頁面選擇 One-way:incoming
5. 於 Sides of Trust 頁面選擇 This domain only
6. 於 Trust Password 頁面設置雲端請求驗證用的 Trust Password
7. 於 Confirm Incoming Trust 頁面選擇 No, do not confirm the incoming trust
8. One-way Forest Trust 設置完成

更新 Name Suffix Routing

創建完地對雲的 One-way Forest Trust 後，我們還需要更新該 Trust 的名稱後綴路由，讓所有來自 Managed AD Domain 的請求都使用這個 Trust。首先，選擇我們剛剛創建的 Forest Trust 並按下右邊的 Properties… 按鈕，選擇 Name Suffix Routing 分頁後按下 Refresh。而後輸入 Managed AD 的管理者帳密來修改 Trust，輸入完成後即可看到 *.managed-ad-domain 出現，其 Routing 顯示為 Enabled 狀態。

設置 Anonymous Access Local Security Policy

來到地端的環境設定的最後一個步驟！這一步非常簡單，我們只需開啟 Local Security Policy 服務頁面，於「Local Policies > Security Options」目錄雙擊 Network access: Named Pipes that can be accessed anonymously，將 「netlogon」、「samr」和「lsarpc」一個一行輸入欄位，就算完成地端設置了。

設置 Managed AD Domain Trust

設置完地端對雲端的 Trust Relationship，現在我們要來建立雲端對地端的 Domain Trust。首先回到 Managed AD 頁面，進入我們創立的 Domain 頁面後，點選 CREATE TRUST 來進行設置。這邊我們要輸入地端 AD Domain 名稱，Trust Type 選擇 Forest ；Trust direction 選擇 Outbound。

這裡的 Outbound 指的是 Managed AD 對地端 AD 進行查詢的方向，如同在地端 Domain Trust 建立的方向為 Inbound，兩者是對應關係。最後再將 DNS Conditional Forwarder IPs 設為地端 DNS Server IP，即可建立雲對地的 Trust Relationship。

將地端 AD 用戶加入 Managed AD 授權群組

完成雙邊的 Trust Relationship 後，我們就可以讓地端的 AD 用戶在 Managed AD 管理的 VM 進行身份驗證。但別忘了前面提到的， Managed AD 創建時會自動為我們建立了一系列管理群組物件。要讓用戶能正常登入 VM，我們還需將用戶新增至 Cloud Service Computer Remote Desktop 安全群組。

首先進入前面安裝了 AD 管理套件的 VM，開啟 Active Directory Users and Computers 介面，右鍵點擊「Cloud Service Objects > Cloud Service Computer Remote Desktop」，點選 Properties 開啟屬性視窗後，再點選 Members 分頁並按下 Add 按鍵開啟用戶篩選頁面。

這裡要先點擊 Locations 按鈕，將目前的搜尋目的地設為地端 AD Domain，接著再點選「Advanced… > Find Now」進行用戶搜尋。這時會跳出 Managed AD 與地端 AD 的管理者帳密驗證視窗，分別輸入各自的管理者帳密後，即可獲得地端的用戶清單。選擇希望加入的用戶後就算完成地端用戶的雲端 VM 登入授權囉！

代管式 Active Directory 教學實作結論

繼上一篇我們提到了跨專案與雲地混合的 AD 網路架構，這篇接著帶大家實作雲地混合的 Resource Forest Pattern，希望看到這裡的各位都對 Managed AD 的服務有了更深一層的認識。但其實雲地混合的 AD 管理環境還有許多可實作的內容，例如過去介紹過的《AD 帳號登入 GCP 方法攻略！運用 ADFS 作為 GCP 外部身分認證》，和透過 AD Site 建立雙邊的帳戶快取服務等。對這些內容有興趣的人歡迎點文章連結了解，或留言想了解的主題，未來有機會我們會再寫成文章與大家分享！

那以上就是透過 Managed AD 執行地雲使用者管理的實作教學。希望大家在跟著文章實際操作過一次後，能更了解這項方便的工具該如何使用。 而如果想更了解 GCP 與代管式 Microsoft AD，或是對上述服務有相關需求都歡迎聯絡我們獲得更進一步的資訊！今天就分享到這，我們下次見掰掰！

▋延伸閱讀：

・比 SSH 連線 GCE 更好管理！輕鬆以 OS Login 掌握用戶資訊
・AD 帳號登入 GCP 方法攻略！用 Cloud Identity 與 GCDS/PS 移轉帳號資料
・AD 帳號登入 GCP 方法攻略！運用 ADFS 作為 GCP 外部身分認證
・什麼是 Cloud IAM
・GCP上如何建立Organization ？ 透過Cloud Identity Free 幫你實現