Vytvoření vztahu důvěryhodnosti s lokální doménou

admin 0 Comments Articles

Vytvoření vztahu důvěryhodnosti s lokální doménou

Tento článek ukazuje, jak vytvořit vztah důvěryhodnosti mezi lokálními doménami a spravovanou doménou Microsoft AD. Tento vztah důvěryhodnosti může být jednosměrný nebo obousměrný. Může se také vztahovat na více doménových struktur. Pokud jste již vztah důvěryhodnosti nastavili,naučte se spravovat vztahy důvěryhodnosti.

Typy vztahů důvěryhodnosti

Vztah důvěryhodnosti může být jednosměrný nebo obousměrný. Jednosměrný vztah důvěryhodnosti je jednosměrná cesta ověřování vytvořená mezi dvěma doménami. V tomto tématu je lokální doména důvěryhodnou nebo příchozí stranou jednosměrného vztahu důvěryhodnosti a spravovaná doména Microsoft AD je důvěryhodnou nebo odchozí stranou vztahu. Obousměrný vztah důvěryhodnosti je obousměrná cesta ověřování vytvořená mezi dvěma doménami. Důvěra a přístup proudí oběma směry.

Předtím, než začnete

Před pokusem o vytvoření vztahu důvěryhodnosti ověřte, zda lokální doména používá podporovanou verzi systému Windows.

Zřízení síťového připojení

Nejprve vytvořte síťové připojení mezi lokální sítí a virtuálním privátním cloudem (VPC) Google Cloud a poté ověřte, zda obě sítě mohou komunikovat. Další informace o identifikaci a navázání připojení ke cloudové síti VPN.

Otevření portů brány firewall

Poté nakonfigurujte vstupní/výstupní porty v místní síti a ve virtuálním privátním prostoru Google Cloud, abyste umožnili připojení Active Directorytrust.

V následujících tabulkách je uvedena minimální sada portů potřebných k navázání důvěryhodnosti.

V závislosti na vašem scénáři může být nutné nakonfigurovat více portů. Další informace o požadavcích společnosti Microsoft na porty služby Active Directory a služby Active Directory Domain Services.

Otevření portů brány firewall v místní síti

Otevřete porty uvedené v následující tabulce na bráně firewall v místní síti pro blok IP adresCIDR, který používá vaše síť VPC a spravovaná síť Microsoft AD.

Protokol Port Funkce
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos změna hesla
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Otevření portů síťového firewallu VPC

Otevřete porty uvedené v následující tabulce na síťovém firewallu VPC pro IP blokCIDR používaný vaší lokální sítí.

Protokol Port Funkce
TCP, UDP 53 DNS

Konfigurace podmíněných předávačů DNS

Následuje konfigurace podmíněných předávačů DNS. Tato nastavení umožňují poskytnout nápovědy pro předávání nevyřešitelných požadavků na různé servery DNS.

Kontrola zásad příchozího předávání

Před vytvořením zásad příchozího předávání Cloud DNS pro vašeVPC zkontrolujte, zda nějaké existují.

  1. Otevřete stránku Zásady serveru Cloud DNS v konzole Cloud.
    Otevřete stránku Cloud DNS

  2. V seznamu vyhledejte zásadu, u které je ve sloupci Příchozí nastavena hodnota Zapnuto a síť VPC používaná vaší doménou je uvedena v rozevíracím seznamu ve sloupci Používáno doménou.

Pokud najdete platnou existující zásadu, můžete přejít k částiZískání IP adres DNS.

Vytvoření zásad příchozího přesměrování

Chcete-li vytvořit zásady příchozího přesměrování, proveďte následující kroky:

  1. Otevřete stránku Zásady serveru Cloud DNS v konzole Cloud Console.
    Otevřete stránku Cloud DNS

  2. Zvolte Vytvořit zásady.

  3. Zadejte název.

  4. Nastavte předávání příchozích dotazů na Zapnuto.

  5. V nabídceSítě vyberte síť VPC pro vaši doménu.

  6. Zvolte Vytvořit.

Získání IP adres DNS

Následujte získání IP adres DNS pro spravovanou doménu Microsoft AD. Pokud jste právě vytvořili novou zásadu Cloud DNS, IP adresy se ještě nemusí zobrazit. Pokud se tak stane, počkejte několik minut a zkuste to znovu.

  1. Otevřete stránku zásad serveru Cloud DNS v konzole Cloud Console.
    Otevřete stránku Cloud DNS

  2. Vyberte ze seznamu zásady a poté vyberte kartu In use by.

  3. Poznamenejte si všechny IP adresy, které se vztahují k vaší lokální oblasti. Tyto adresy potřebujete k vytvoření důvěryhodnosti na spravované doméně Microsoft AD.

Ujistěte se, že bloky CIDR obsahující tyto IP adresy jsou nakonfigurovány v bráně firewall vaší lokální sítě.

Vytvoření podmíněného předávání DNS

Chcete-li nakonfigurovat podmíněné předávání DNS v lokální doméně, použijte IP adresy DNS pro spravovanou doménu Microsoft AD a dokončete následující kroky.

  1. Přihlaste se k místnímu řadiči domény pomocí účtu správce domény nebo účtu správce Enterprise pro místní doménu.

  2. Otevřete Správce DNS.

  3. Rozbalte server DNS domény, pro kterou chcete konfigurovat důvěryhodnost.

  4. Klikněte pravým tlačítkem myši na položku Podmíněné předávače a vyberte možnostNový podmíněný předávač.

  5. Pro doménu DNS zadejte FQDN spravované domény Microsoft AD (například ad.example.com).

  6. Do pole IP adresy hlavních serverů zadejte IP adresy spravované domény Microsoft AD, které jste vyhledali v částiZískání IP adres DNS.

  7. Pokud pole Server FQDN zobrazuje chybu, můžete ji ignorovat.

  8. Zvolte možnost Uložit tento podmíněný forwarder ve službě Active Directory a poté z rozevírací nabídky vyberte možnost Všechny servery DNS v této doméně.

  9. Zvolte možnost OK.

Ověření podmíněného forwarderu DNS

Pomocí rutiny nslookup nebo rutiny Resolve-DnsName PowerShell můžete ověřit, zda je forwarder nakonfigurován správně. Spusťte následující příkaz:

nslookup fqdn-for-managed-ad-domain

Je-li podmíněný předávač DNS nakonfigurován správně, vrátí tento příkaz IP adresy řadičů domény.

Ověření místních zásad zabezpečení pro vaši lokální doménu

Vytvoření důvěryhodnosti vyžaduje, aby místní zásady zabezpečení pro vaši lokální doménu umožňovaly anonymní přístup ke jmenným kanálům netlogon, samr a lsarpc. Chcete-li ověřit, zda je anonymní přístup povolen, proveďte následující kroky:

  1. Přihlaste se k řadiči lokální domény pomocí účtu správce domény nebo Enterprise pro lokální doménu.

  2. Otevřete konzolu Místní zásady zabezpečení.

  3. V konzole přejděte na Nastavení zabezpečení > Místní zásady> Možnosti zabezpečení> Síťový přístup:

  4. Zkontrolujte, zda je povolen anonymní přístup k adresám netlogon, samr a lsarpc.

Nastavení důvěryhodnosti

Po konfiguraci sítí můžete vytvořit důvěryhodnost mezi místní doménou a spravovanou doménou Microsoft AD.

Konfigurace lokální domény

Pro vytvoření důvěryhodnosti v lokální doméně proveďte následující kroky:

  1. Přihlaste se k lokálnímu řadiči domény pomocí účtu správce domény nebo Enterprise.

  2. Otevřete Domény a vztahy důvěryhodnosti služby Active Directory.

  3. Klikněte pravým tlačítkem myši na doménu a vyberte možnost Vlastnosti.

  4. Na kartě Důvěryhodnost vyberte možnost Nový vztah důvěryhodnosti.

  5. V Průvodci vytvořením nového vztahu důvěryhodnosti vyberte možnost Další.

  6. Jako název vztahu důvěryhodnosti zadejte FQDN spravované domény Microsoft AD.

  7. Pro typ vztahu důvěryhodnosti vyberte možnost Vztah k doménové struktuře.

  8. Zadejte Směr důvěryhodnosti.

    • Chcete-li vytvořit jednosměrný vztah důvěryhodnosti, vyberte možnost Jednosměrný příchozí.
    • Chcete-li vytvořit obousměrný vztah důvěryhodnosti, vyberte možnost Obousměrný.

  9. Pro stranu důvěryhodnosti vyberte možnost Pouze tato doména.

  10. Pro úroveň ověřování odchozí důvěryhodnosti vyberte možnost Ověřování v rámci celé doménové struktury.

  11. Zadejte heslo důvěryhodnosti (Poznámka: Toto heslo potřebujete pro konfiguraci důvěryhodnosti ve spravované doméně Microsoft AD).

  12. Potvrdíte nastavení důvěryhodnosti a vyberete možnost Další.

  13. Zobrazí se okno Dokončení vytvoření vztahu důvěryhodnosti.

  14. Zvolte Ne, nepotvrzujte odchozí vztah důvěryhodnosti a vyberte Další.

  15. Zvolte Ne, nepotvrzujte příchozí vztah důvěryhodnosti a vyberte Další.

  16. V dialogovém okně Dokončení průvodce vytvořením nového vztahu důvěryhodnosti vyberte Dokončit.

  17. Obnovte směrování přípon názvů pro důvěryhodnost.

Konfigurace spravované domény Microsoft AD

Chcete-li vytvořit důvěryhodnost v spravované doméně Microsoft AD, proveďte následující kroky.

Konzola

  1. Otevřete stránku Spravovaná doména Microsoft AD v Konzole Cloud.
    Otevřete stránku Spravovaná služba Microsoft AD

  2. Vyberte doménu, pro kterou chcete vytvořit vztah důvěryhodnosti, a poté vyberte možnostaddCreate Trust.

  3. Nastavte typ vztahu důvěryhodnosti na Forest.

  4. Pro název cílové domény zadejte FQDN lokální domény.

  5. Nastavte směr důvěryhodnosti.

    • Chcete-li vytvořit jednosměrný vztah důvěryhodnosti, vyberte možnost Odchozí.
    • Chcete-li vytvořit obousměrný vztah důvěryhodnosti, vyberte možnost Obousměrný.

  6. Zadejte heslo důvěryhodnosti, které jste vytvořili při konfiguraci vztahu důvěryhodnosti v místní doméně.

  7. Pro IP adresy DNS Conditional Forwarder zadejte IP adresy DNS on-premises, které jste získali při nastavení.

  8. Zvolte Vytvořit vztah důvěryhodnosti.

  9. Vrátíte se na stránku domény. Váš nový vztah důvěryhodnosti by se měl zobrazitjako Vytvoření. Počkejte, až se stav změní na Připojeno. Dokončení nastavení může trvat až 10 minut.

gcloud

Chcete-li vytvořit jednosměrný vztah důvěryhodnosti, spusťte následující příkaz nástroje gcloud:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

Chcete-li vytvořit obousměrný vztah důvěryhodnosti, spusťte následující příkaz nástroje gcloud:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Další informace o příkazu create.

Ověření obousměrného vztahu důvěryhodnosti

Po konfiguraci spravované domény Microsoft AD pro obousměrný vztah důvěryhodnosti je nutné ověřit odchozí vztah důvěryhodnosti z místní domény. Pokud vytváříte jednosměrný vztah důvěryhodnosti, můžete tento krok přeskočit.

Pro ověření odchozího vztahu důvěryhodnosti proveďte následující kroky.

  1. Přihlaste se k místnímu řadiči domény pomocí účtu správce domény nebo Enterprise.

  2. Otevřete Active Directory Domains and Trusts.

  3. Klikněte pravým tlačítkem myši na doménu a vyberte Vlastnosti.

  4. Na kartě Důvěryhodnost vyberte odchozí důvěryhodnost pro spravovanou doménu Microsoft AD.

  5. Zvolte Vlastnosti.

  6. Na kartě Obecné vyberte možnost Ověřit.

Řešení problémů

Pokud při pokusu o vytvoření vztahu důvěryhodnosti narazíte na problémy, můžete vyzkoušet naše tipy pro řešení problémů.

  • Přečtěte si, jak spravovat vztah důvěryhodnosti.
  • Přečtěte si, jak řešit problémy s přístupem k vztahu důvěryhodnosti.

.

Leave a Reply

Vaše e-mailová adresa nebude zveřejněna.