Een trust maken met een on-premises-domein

In dit artikel wordt uitgelegd hoe u een trustrelatie kunt maken tussen on-premises-domeinen en een Managed Microsoft AD-domein. Deze trust kan een- of tweerichtingsverkeer zijn. Het kan ook meerdere bossen omvatten. Als u al een trust hebt ingesteld, leert u hoe u trusts beheert.

Typen trusts

Een trustrelatie kan eenrichtings- of tweerichtingsverkeer zijn. Een eenrichtings trust is een authenticatiepad zonder richting dat tussen twee domeinen wordt gemaakt. In dit onderwerp is het on-premises domein de vertrouwde of inkomende kant van de eenrichtings-trust en het Managed Microsoft AD domein is de vertrouwende of uitgaande kant van de relatie. Een bidirectionele vertrouwensrelatie is een authenticatiepad in twee richtingen tussen twee domeinen. Vertrouwen en toegang stromen in beide richtingen.

Voordat u begint

Voordat u probeert een trust op te zetten, controleert u of het on-premises domein een ondersteunde versie van Windows draait.

Opzetten van netwerkconnectiviteit

Zet eerst netwerkconnectiviteit op tussen uw on-premises netwerk en uw Virtual Private Cloud (VPC) van Google Cloud, en controleer vervolgens of de twee netwerken met elkaar kunnen communiceren. Meer informatie over het identificeren en tot stand brengen van Cloud VPN-verbindingen.

Het openen van firewallpoorten

Volgende, configureer de ingress/egress-poorten op uw on-premises netwerk en uw Google Cloud VPC om Active Directorytrust-connectiviteit mogelijk te maken.

De volgende tabellen bevatten een lijst met de minimale set poorten die vereist is om vertrouwen tot stand te brengen.U moet mogelijk meer poorten configureren, afhankelijk van uw scenario. Meer informatie over de poortvereisten voor Active Directory en Active Directory Domain Services van Microsoft.

Poorten van de on-premises netwerkfirewall openen

Open de poorten die in de volgende tabel worden vermeld, op uw on-premises firewall voor het CIDR IP-blok dat door uw VPC-netwerk en het beheerde Microsoft AD-netwerk wordt gebruikt.

Protocol Port Functionaliteit
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos wachtwoord wijziging
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Het openen van VPC netwerk firewall poorten

Open de poorten die in de volgende tabel staan vermeld op uw VPC netwerkfirewall voor hetCIDR IP blok dat door uw on-premises netwerk wordt gebruikt.

Protocol Port Functionaliteit
TCP, UDP 53 DNS

Configuratie van DNS conditionele forwarders

Naar aanleiding hiervan configureert u de DNS conditionele forwarders. Met deze instellingen kunt u hints geven voor het doorsturen van onoplosbare verzoeken naar verschillende DNS-servers.

Controleer op een inkomend doorstuurbeleid

Voordat u een Cloud DNS inkomend doorstuurbeleid voor uwVPC aanmaakt, controleert u of er een bestaat.

  1. Open de Cloud DNS-serverbeleidspagina in de Cloud Console.
    Open de Cloud DNS-pagina

  2. Zoek naar een beleid in de lijst waarbij de kolom Inkomend is ingesteld opAan, en het VPC-netwerk dat door uw domein wordt gebruikt wordt vermeld in de vervolgkeuzelijst onder de kolom In gebruik door.

Als u een geldig bestaand beleid hebt gevonden, kunt u verder gaan naarInstellen van DNS IP-adressen.

Een inkomend doorstuurbeleid maken

Om een inkomend doorstuurbeleid te maken, voert u de volgende stappen uit.

  1. Open de Cloud DNS-serverbeleidspagina in de Cloud Console.
    Open de Cloud DNS-pagina

  2. Selecteer Beleid maken.

  3. Voer een naam in.

  4. Stel Inbound query forwarding in op On.

  5. Selecteer het VPC-netwerk voor uw domein in het menuNetworks.

  6. Selecteer Create.

Instellen DNS IP-adressen

Naar aanleiding hiervan haalt u de DNS IP-adressen voor uw beheerde Microsoft AD-domein op. Als u net een nieuw Cloud DNS-beleid hebt gemaakt, worden de IP-adressen mogelijk nog niet weergegeven. Als dit gebeurt, wacht u enkele minuten en probeert u het opnieuw.

  1. Open de Cloud DNS-serverbeleidspagina in de Cloud Console.
    Open de Cloud DNS-pagina

  2. Selecteer uw beleid in de lijst en selecteer vervolgens het tabblad In gebruik door.

  3. Noteer eventuele IP-adressen die van toepassing zijn op uw on-premises regio. U hebt deze adressen nodig om de vertrouwensrelatie op het beheerde Microsoft AD-domein tot stand te brengen.

Zorg ervoor dat de CIDR-blokken die deze IP-adressen bevatten, zijn geconfigureerd in uw firewall op het lokale netwerk.

De voorwaardelijke DNS-forwarder maken

Om de voorwaardelijke DNS-forwarders op uw lokale domein te configureren, gebruikt u de DNS IP-adressen voor uw beheerde Microsoft AD-domein om de volgende stappen uit te voeren.

  1. Log in op een on-premises domeincontroller met een domein- of Enterprise-administratoraccount voor het on-premises domein.

  2. Open de DNS-manager.

  3. Vouw de DNS-server uit van het domein waarvoor u de trust wilt configureren.

  4. Klik met de rechtermuisknop op Conditional Forwarders en selecteerNew conditional forwarder (Nieuwe voorwaardelijke forwarder).

  5. Voor DNS-domein voert u de FQDN in van het beheerde Microsoft AD-domein (bijvoorbeeld ad.example.com).

  6. In het veld IP-adressen van de hoofdservers voert u de IP-adressen in van uw beheerde Microsoft AD-domein die u hebt opgezocht inInstellen van DNS IP-adressen.

  7. Als het veld Server FQDN een foutmelding bevat, kunt u deze negeren.

  8. Selecteer Deze voorwaardelijke forwarder opslaan in Active Directory en selecteer vervolgens Alle DNS-servers in dit domein in het vervolgkeuzemenu.

  9. Selecteer OK.

De voorwaardelijke DNS-forwarder

U kunt controleren of de forwarder correct is geconfigureerd met behulp van nslookup of het Resolve-DnsName PowerShell-cmdlet. Voer het volgende commando uit:

nslookup fqdn-for-managed-ad-domain

Als de DNS conditional forwarder correct is geconfigureerd, geeft dit commando de IP-adressen van de domeincontrollers.

Het lokale beveiligingsbeleid voor uw on-premises domein verifiëren

Het maken van een trust vereist dat het lokale beveiligingsbeleid voor uw on-premises domein anonieme toegang toestaat tot de netlogon, samr, en lsarpc namedpipes. Voer de volgende stappen uit om te controleren of anonieme toegang is ingeschakeld:

  1. Log in op een lokale domeincontroller met een domein- of Enterprise-administratoraccount voor het lokale domein.

  2. Open de console Local Security Policy.

  3. In de console gaat u naar Security Settings > Local Policies> Security Options> Network access: Named Pipes die anoniem toegankelijk zijn.

  4. Controleer of anonieme toegang tot netlogon, samr en lsarpc is ingeschakeld.

Trust instellen

Nadat u uw netwerken hebt geconfigureerd, kunt u een trust instellen tussen uw on-premises-domein en uw beheerde Microsoft AD-domein.

Configuratie van het lokale domein

Om de trust op het lokale domein in te stellen, voert u de volgende stappen uit.

  1. Logt u in op een lokale domeincontroller met een domein- of Enterprise-beheerdersaccount.

  2. Open Active Directory-domeinen en trusts.

  3. Klik met de rechtermuisknop op het domein en selecteer Eigenschappen.

  4. Op het tabblad Trust selecteert u Nieuwe trust.

  5. Selecteer Volgende in de wizard Nieuwe trust.

  6. Voer de FQDN van het beheerde Microsoft AD-domein in als de Trustnaam.

  7. Voor het type trust selecteert u Forest trust.

  8. Stel de vertrouwensrichting in.

    • Als u een eenrichtingsvertrouwensrelatie wilt maken, selecteert u Inkomend eenrichtingsverkeer.
    • Als u een tweerichtingsvertrouwensrelatie wilt maken, selecteert u Tweerichtingsverkeer.
  9. Voor Vertrouwensrelaties selecteert u Alleen dit domein.

  10. Voor Authenticatieniveau uitgaande vertrouwensrelaties selecteert u Forest-wide authentication.

  11. Voer het vertrouwenswachtwoord in (Opmerking: u hebt dit wachtwoord nodig om de vertrouwensrelatie op het beheerde Microsoft AD-domein te configureren).

  12. Bevestig de vertrouwensinstellingen en selecteer vervolgens Volgende.

  13. Het venster Vertrouwen aanmaken voltooid wordt weergegeven.

  14. Selecteer Nee, bevestig de uitgaande trust niet en selecteer vervolgens Volgende.

  15. Selecteer Nee, bevestig de inkomende trust niet en selecteer vervolgens Volgende.

  16. In het dialoogvenster Nieuwe wizard Vertrouwen voltooien selecteert u Voltooien.

  17. Vernieuw Name Suffix Routing voor de trust.

Het beheerde Microsoft AD-domein configureren

Om de trust op het beheerde Microsoft AD-domein in te stellen, voert u de volgende stappen uit.

Console

  1. Open de Managed Microsoft AD-pagina in de Cloud Console.
    Open de pagina Beheerde Microsoft AD

  2. Selecteer het domein waarvoor u een trust wilt maken en selecteer vervolgensTrust maken.

  3. Stel Trusttype in op Forest.

  4. Voer voor de domeinnaam van het doeldomein de FQDN van het domein op locatie in.

  5. Stel de trustrichting in.

    • Om een eenrichtings trust te maken, selecteert u Outbound.
    • Als u een bidirectionele trust wilt maken, selecteert u Bidirectional.
  6. Voer het trustwachtwoord in dat u hebt gemaakt bij het configureren van de trust op het domein op het terrein.

  7. Voor DNS Conditional Forwarder IP’s voert u de DNS IP-adressen in die u tijdens de installatie hebt verkregen.

  8. Selecteer Vertrouwensrelatie maken.

  9. U keert terug naar de domeinpagina. Uw nieuwe trust moet worden weergegeven als Aan het maken. Wacht tot de status verandert in Verbonden. Het kan maximaal 10 minuten duren voordat de installatie is voltooid.

gcloud

Om een eenrichtings-trust te maken, voert u de volgende gcloud-toolopdracht uit:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

Om een tweerichtings-trust te maken, voert u de volgende gcloud-toolopdracht uit:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Lees meer over de create-opdracht.

Valideren van bidirectionele trust

Nadat u het beheerde Microsoft AD-domein voor een bidirectionele trust hebt geconfigureerd, moet u de uitgaande trust van het on-premises domein valideren. Als u een eenrichtings-trust maakt, kunt u deze stap overslaan.

Om de uitgaande trust te verifiëren, voert u de volgende stappen uit.

  1. Logt u in op een lokale domeincontroller met een domein- of Enterprise-beheerdersaccount.

  2. Open Active Directory Domains and Trusts.

  3. Klik met de rechtermuisknop op uw domein en selecteer vervolgens Eigenschappen.

  4. Op het tabblad Vertrouwen selecteert u de uitgaande trust voor het beheerde Microsoft AD-domein.

  5. Selecteer Eigenschappen.

  6. Op het tabblad Algemeen selecteert u Valideren.

Troubleshooting

Als u problemen ondervindt bij het maken van een trust, kunt u onze tips voor het oplossen van problemen proberen.

  • Leer hoe u een trust kunt beheren.
  • Leer hoe u problemen bij het verkrijgen van toegang tot een trust kunt oplossen.

Leave a Reply

Het e-mailadres wordt niet gepubliceerd.