Oprettelse af en tillid med et domæne på stedet

Denne artikel viser, hvordan du opretter et tillidsforhold mellem domæner på stedet og et administreret Microsoft AD-domæne. Denne tillid kan være envejs eller tovejs. Den kan også dække flere skove. Hvis du allerede har oprettet en tillid, kan du lære, hvordan du administrerer tillid.

Typer af tillid

En tillidsrelation kan være envejs eller tovejs. En envejstillid er en unidirektionel godkendelsessti, der oprettes mellem to domæner. I dette emne er det lokale domæne den tillidsskabende eller indgående side af envejstilliden, mens det administrerede Microsoft AD-domæne er den tillidsskabende eller udgående side af forholdet. En tovejstillid er en tovejsgodkendelsessti, der er oprettet mellem to domæner. Tillid og adgang flyder i begge retninger.

Hvor du begynder

Hvor du forsøger at oprette en tillid, skal du kontrollere, at det lokale domæne kører en understøttet version af Windows.

Oprettelse af netværksforbindelse

Opret først netværksforbindelse mellem dit lokale netværk og din Google Cloud Virtual Private Cloud (VPC), og kontrollér derefter, at de to netværk kan kommunikere. Få mere at vide om identifikation og etablering af Cloud VPN-forbindelser.

Åbning af firewallporte

Næst skal du konfigurere indgangs-/udgangsportene på dit lokale netværk og din Google Cloud VPC for at tillade Active Director-trustforbindelse.

De følgende tabeller viser det minimale sæt porte, der kræves for at etablere trust.Du skal muligvis konfigurere flere porte, afhængigt af dit scenario. Få mere at vide om Microsofts krav til porte til Active Directory og Active Directory Domain Services.

Åbning af firewallporte på det lokale netværk

Åbn de porte, der er anført i følgende tabel, på din lokale firewall til denCIDR-IP-blok, der anvendes af dit VPC-netværk og Administreret Microsoft AD-netværk.

Protokol Port Funktionalitet
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos password change
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Åbning af VPC-netværksfirewallporte

Åbn de porte, der er anført i følgende tabel på din VPC-netværksfirewall, til denCIDR-IP-blok, der anvendes af dit lokale netværk.

Protokol Port Funktionalitet
TCP, UDP 53 DNS

Konfigurering af DNS-betingede videresendelser

Næst skal du konfigurere de betingede DNS-videresendelser. Disse indstillinger giver dig mulighed for at give tips til videresendelse af uopløselige anmodninger til forskellige DNS-servere.

Tjek om der findes en politik for indgående videresendelse

Før du opretter en Cloud DNS-politik for indgående videresendelse for dinVPC, skal du tjekke, om der findes en.

  1. Åbn siden Cloud DNS-serverpolitikker i Cloud Console.
    Åbn siden Cloud DNS

  2. Læs efter en politik på listen, hvor kolonnen Indgående er indstillet tilAt, og det VPC-netværk, der bruges af dit domæne, er angivet i rullemenuen under kolonnen I brug af.

Hvis du finder en gyldig eksisterende politik, kan du springe tilOprettelse af DNS-IP-adresser.

Opret en politik for indgående viderestilling

Fuldfør følgende trin for at oprette en politik for indgående viderestilling.

  1. Åbn siden Cloud DNS-serverpolitikker i Cloud Console.
    Åbn siden Cloud DNS.

  2. Vælg Opret politik.

  3. Indtast et navn.

  4. Sæt Inbound query forwarding til On.

  5. Vælg VPC-netværket for dit domæne i menuenNetworks.

  6. Vælg Create.

Hentning af DNS-IP-adresser

Næst skal du hente DNS-IP-adresserne for dit Administrerede Microsoft AD-domæne. Hvis du lige har oprettet en ny Cloud DNS-politik, vises IP-adresserne måske ikke endnu. Hvis det sker, skal du vente et par minutter og prøve igen.

  1. Åbn siden Cloud DNS-serverpolitikker i Cloud Console.
    Åbn siden Cloud DNS

  2. Vælg din politik på listen, og vælg derefter fanen I brug af.

  3. Notér eventuelle IP-adresser, der gælder for dit område på stedet. Du har brug for disse adresser for at etablere tillid på det administrerede Microsoft AD-domæne.

Sørg for, at de CIDR-blokke, der indeholder disse IP-adresser, er konfigureret i din netværksfirewall på stedet.

Opretning af den betingede viderestiller til DNS

For at konfigurere de betingede viderestillere til DNS på dit domæne på stedet skal du bruge DNS IP-adresserne for dit administrerede Microsoft AD-domæne til at udføre følgende trin.

  1. Log ind på en domænecontroller på stedet med en domæne- eller virksomhedsadministratorkonto for domænet på stedet.

  2. Åbn DNS Manager.

  3. Udvælg DNS-serveren for det domæne, du vil konfigurere tillid for.

  4. Højreklik på Conditional Forwarders, og vælgNy conditional forwarder.

  5. I feltet DNS-domæne skal du indtaste FQDN for det administrerede Microsoft AD-domæne (f.eks. ad.example.com).

  6. I feltet IP-adresser for master-servere skal du indtaste IP-adresserne for dit administrerede Microsoft AD-domæne, som du har slået op iFå DNS-IP-adresser.

  7. Hvis feltet Server FQDN viser en fejl, kan du ignorere det.

  8. Vælg Gem denne betingede viderestiller i Active Directory, og vælg derefter Alle DNS-servere i dette domæne i rullemenuen.

  9. Vælg OK.

Verificering af den betingede DNS-viderestiller

Du kan verificere, at viderestilleren er konfigureret korrekt ved hjælp af nslookup eller Resolve-DnsName PowerShell-cmdletten. Kør følgende kommando:

nslookup fqdn-for-managed-ad-domain

Hvis DNS Conditional Forwarder er konfigureret korrekt, returnerer denne kommando IP-adresserne på domænecontrollerne.

Verificering af den lokale sikkerhedspolitik for dit lokale domæne

Skabelse af en tillid kræver, at den lokale sikkerhedspolitik for dit lokale domæne tillader anonym adgang til netlogon, samr og lsarpc namedpipes. Hvis du vil kontrollere, at anonym adgang er aktiveret, skal du udføre følgende trin:

  1. Log ind på en domænecontroller på stedet med en domæne- eller virksomhedsadministratorkonto for domænet på stedet.

  2. Åbn konsollen Lokal sikkerhedspolitik.

  3. I konsollen skal du gå til Sikkerhedsindstillinger > Lokale politikker> Sikkerhedsindstillinger> Sikkerhedsindstillinger> Netværksadgang: Navngivne rør, der kan tilgås anonymt.

  4. Kontroller, at anonym adgang til netlogon, samr og lsarpc er aktiveret.

Opretning af tillid

Når du har konfigureret dine netværk, kan du oprette en tillid mellem dit lokale domæne og dit administrerede Microsoft AD-domæne.

Konfigurering af domænet på stedet

For at oprette tilliden på domænet på stedet skal du udføre følgende trin:

  1. Log ind på en domænecontroller på stedet med en domæne- eller virksomhedsadministratorkonto.

  2. Åbn Active Directory Domains and Trusts.

  3. Højreklik på domænet, og vælg Egenskaber.

  4. Vælg Ny tillid på fanen Tillid under fanen Tillid.

  5. Vælg Næste i guiden Ny tillid.

  6. Indtast FQDN for det administrerede Microsoft AD-domæne som Tillidsnavn.

  7. Vælg Skovtillid som Tillidstype.

  8. Angiv Retning af tillid.

    • For at oprette en envejs tillid skal du vælge Envejs indgående.
    • For at oprette en tovejs tillid skal du vælge Tovejs.
  9. For Tillidssider skal du vælge Kun dette domæne.

  10. For Udgående tillidsgodkendelsesniveau skal du vælge Godkendelse i hele skoven.

  11. Indtast tillidsadgangskoden (Bemærk: Du skal bruge denne adgangskode for at konfigurere tilliden på det administrerede Microsoft AD-domæne).

  12. Bevis tillidsindstillingerne, og vælg derefter Næste.

  13. Vinduet Oprettelse af tillid fuldført vises.

  14. Vælg Nej, bekræft ikke den udgående tillid, og vælg derefter Næste.

  15. Vælg Nej, bekræft ikke den indgående tillid, og vælg derefter Næste.

  16. I dialogboksen Færdiggørelse af guiden Ny tillid skal du vælge Afslut.

  17. Fraser Name Suffix Routing for tilliden.

Konfigurering af det administrerede Microsoft AD-domæne

For at etablere tilliden på det administrerede Microsoft AD-domæne skal du udføre følgende trin.

Konsol

  1. Åbn siden Administreret Microsoft AD i Cloud Console.
    Åbn siden Administreret Microsoft AD

  2. Vælg det domæne, der skal oprettes en tillid for, og vælg dereftertilføjSkab tillid.

  3. Sæt tillidstype til Skov.

  4. Indtast FQDN for det lokale domæne som måldomæne.

  5. Sæt Tillidsretning.

    • Vælg Udgående for at oprette en envejstillid.
    • For at oprette en tovejstillid skal du vælge Bidirektionel.
  6. Indtast den tillidskode, du oprettede, da du konfigurerede tilliden på det lokale domæne.

  7. For DNS Conditional Forwarder IP’er skal du indtaste de lokale DNS-IPadresser, du fik under konfigurationen.

  8. Vælg Opret tillidsrelation.

  9. Du vender tilbage til domænesiden. Din nye tillid bør vises som Creating (Oprettelse). Vent, indtil tilstanden bliver til Connected (Tilsluttet). Det kan tage op til 10 minutter, før konfigurationen er færdig.

gcloud

For at oprette en envejstillid skal du køre følgende gcloud værktøjskommando:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

For at oprette en tovejstillid skal du køre følgende gcloud værktøjskommando:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Få mere at vide om create-kommandoen.

Validering af tovejstillid

Når du har konfigureret det administrerede Microsoft AD-domæne til en tovejstillid, skal du validere den udgående tillid fra domænet i lokalerne. Hvis du opretter en envejstillid, kan du springe dette trin over.

Fuldfør følgende trin for at bekræfte den udgående tillid.

  1. Log ind på en lokal domænecontroller med en domæne- eller virksomhedsadministratorkonto.

  2. Åbn Active Directory Domains and Trusts.

  3. Højreklik på dit domæne, og vælg derefter Egenskaber.

  4. Vælg den udgående tillid for det administrerede Microsoft AD-domæne under fanen Tillid.

  5. Vælg Egenskaber.

  6. Vælg på Validér under fanen Generelt.

Fejlfinding

Hvis du støder på problemer, mens du forsøger at oprette en tillid, kan du prøve vores tips til fejlfinding.

  • Lær at administrere en tillid.
  • Lær at fejlfinding af adgang til en tillid.

Leave a Reply

Din e-mailadresse vil ikke blive publiceret.