Créer une confiance avec un domaine sur site

Cet article vous montre comment créer une relation de confiance entre des domaines sur site et un domaine Microsoft AD géré. Cette confiance peut être à sens unique ou à double sens. Elle peut également couvrir plusieurs forêts. Si vous avez déjà configuré une confiance, découvrez comment gérer les fiducies.

Types de fiducies

Une relation de confiance peut être à sens unique ou à double sens. Une confiance à sens unique est un chemin d’authentification unidirectionnel créé entre deux domaines. Dans cette rubrique,le domaine sur site est le côté de confiance ou entrant de la confiance à sens unique et le domaine Microsoft AD géré est le côté de confiance ou sortant de la relation. Une confiance bidirectionnelle est un chemin d’authentification bidirectionnel créé entre deux domaines. La confiance et l’accès circulent dans les deux sens.

Avant de commencer

Avant d’essayer de créer une confiance, vérifiez que le domaine sur site exécute une version prise en charge de Windows.

Établissement de la connectivité réseau

D’abord, établissez la connectivité réseau entre votre réseau sur site et votre cloud privé virtuel (VPC) Google Cloud, puis vérifiez que les deux réseaux peuvent communiquer. En savoir plus sur l’identification et l’établissement de connexions Cloud VPN.

Ouvrir des ports de pare-feu

Puis, configurez les ports d’entrée/sortie sur votre réseau sur site etvotre Google Cloud VPC pour permettre la connectivité Active Directorytrust.

Les tableaux suivants répertorient l’ensemble minimal de ports requis pour établir la confiance.Vous devrez peut-être configurer davantage de ports, en fonction de votre scénario. En savoir plus sur les exigences de port de MicrosoftActive Directory et Active Directory Domain Services.

Ouvrir les ports du pare-feu du réseau sur site

Ouvrir les ports répertoriés dans le tableau suivant sur votre pare-feu sur site au bloc IPCIDR utilisépar votre réseau VPC et le réseau Microsoft AD géré.

Protocole Port Fonctionnalité
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Changement de mot de passe Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Ouvrir les ports du pare-feu du réseau VPC

Ouvrir les ports répertoriés dans le tableau suivant sur votre pare-feu du réseau VPC au bloc IPCIDR utilisé par votre réseau sur site.

Protocole Port Fonctionnalité
TCP, UDP 53 DNS

Configuration des transitaires conditionnels DNS

Puis, configurez les transitaires conditionnels DNS. Ces paramètres vous permettent de fournir des conseils pour le transfert des demandes non résolues vers différents serveurs DNS.

Vérification d’une politique de transfert entrant

Avant de créer une politique de transfert entrant Cloud DNS pour votreVPC, vérifiez s’il en existe une.

  1. Ouvrez la page des politiques de serveur DNS Cloud dans la console Cloud.
    Ouvrir la page Cloud DNS

  2. Recherchez une politique dans la liste où la colonne Inbound est définie surOn, et le réseau VPC utilisé par votre domaine est répertorié dans la liste déroulante sous la colonne In use by.

Si vous trouvez une politique existante valide, vous pouvez passer àGetting DNS IP addresses.

Créer une politique de transfert entrant

Pour créer une politique de transfert entrant, effectuez les étapes suivantes.

  1. Ouvrir la page des politiques de serveur DNS en nuage dans la console Cloud.
    Ouvrir la page DNS en nuage

  2. Sélectionner Créer une politique.

  3. Saisir un nom.

  4. Définissez le transfert de requête entrante sur On.

  5. Sélectionnez le réseau VPC pour votre domaine dans le menuNetworks.

  6. Sélectionnez Create.

Getting DNS IP addresses

Puis, obtenez les adresses IP DNS pour votre domaine Microsoft AD géré. Si vous venez de créer une nouvelle politique Cloud DNS, il se peut que les adresses IP n’apparaissent pas encore. Si cela se produit, attendez quelques minutes et réessayez.

  1. Ouvrez la page des politiques de serveur DNS en nuage dans la console Cloud.
    Ouvrez la page DNS en nuage

  2. Sélectionnez votre politique dans la liste, puis sélectionnez l’onglet En usage par.

  3. Prenez note de toutes les adresses IP qui s’appliquent à votre région sur site. Vous avez besoin de ces adresses pour établir la confiance sur le domaine Microsoft AD géré.

Veuillez vous assurer que les blocs CIDR contenant ces adresses IP sont configurés dansvotre pare-feu de réseau sur site.

Création du transitaire conditionnel DNS

Pour configurer les transitaires conditionnels DNS sur votre domaine sur site, utilisez les adresses IPDNS de votre domaine Microsoft AD géré pour effectuer les étapes suivantes.

  1. Connectez-vous à un contrôleur de domaine sur site avec un compte d’administration de domaine ou d’entreprise pour le domaine sur site.

  2. Ouvrez le gestionnaire DNS.

  3. Élargissez le serveur DNS du domaine pour lequel vous souhaitez configurer la confiance.

  4. Cliquez avec le bouton droit de la souris sur Transporteurs conditionnels et sélectionnezNouveau transporteur conditionnel.

  5. Pour le domaine DNS, saisissez le FQDN du domaine Microsoft AD géré (par exemple, ad.example.com).

  6. Dans le champ Adresses IP des serveurs maîtres, saisissez les adresses IP de votre domaine Microsoft AD géré que vous avez recherchées dansAcquisition d’adresses IP DNS.

  7. Si le champ FQDN du serveur affiche une erreur, vous pouvez l’ignorer.

  8. Sélectionnez Stocker ce transitaire conditionnel dans Active Directory,puis sélectionnez Tous les serveurs DNS de ce domaine dans le menu déroulant.

  9. Sélectionnez OK.

Vérification du transitaire conditionnel DNS

Vous pouvez vérifier que le transitaire est configuré correctement en utilisant nslookup ou la cmdlet PowerShell Resolve-DnsName. Exécutez la commande suivante :

nslookup fqdn-for-managed-ad-domain

Si le transitaire conditionnel DNS est configuré correctement, cette commande renvoie les adresses IP des contrôleurs de domaine.

Vérification de la stratégie de sécurité locale de votre domaine sur site

La création d’une confiance nécessite que la stratégie de sécurité locale de votre domaine sur site autorise l’accès anonyme aux tubes nommés netlogon, samr et lsarpc. Pour vérifier que l’accès anonyme est activé, effectuez les étapes suivantes :

  1. Connectez-vous à un contrôleur de domaine sur site avec un compte d’administration de domaine ou d’entreprise pour le domaine sur site.

  2. Ouvrez la console de stratégie de sécurité locale.

  3. Dans la console, accédez à Paramètres de sécurité > Stratégies locales> Options de sécurité> Accès réseau : Tuyaux nommés auxquels on peut accéder de manière anonyme.

  4. Vérifiez que l’accès anonyme à netlogon, samr et lsarpc est activé.

Configuration de la confiance

Après avoir configuré vos réseaux, vous pouvez créer une confiance entre votre domaine sur site et votre domaine Microsoft AD géré.

Configuration du domaine sur site

Pour établir la confiance sur le domaine sur site, effectuez les étapes suivantes.

  1. Connectez-vous à un contrôleur de domaine sur site en utilisant un compte d’administrateur de domaine ou d’entreprise.

  2. Ouvrez les domaines et les trusts Active Directory.

  3. Cliquez avec le bouton droit sur le domaine et sélectionnez Propriétés.

  4. Sur l’onglet Trust, sélectionnez Nouveau trust.

  5. Sélectionnez Suivant sur l’assistant de nouveau trust.

  6. Entrez le FQDN du domaine Microsoft AD géré comme nom de trust.

  7. Pour le type de trust, sélectionnez Trust de la forêt.

  8. Définissez la direction de la confiance.

    • Pour créer une confiance unidirectionnelle, sélectionnez unidirectionnelle entrante.
    • Pour créer une confiance bidirectionnelle, sélectionnez bidirectionnelle.
  9. Pour les côtés de la confiance, sélectionnez Ce domaine uniquement.

  10. Pour le niveau d’authentification de la confiance sortante, sélectionnez l’authentification à l’échelle de la forêt.

  11. Entrez le mot de passe de la confiance (Remarque : vous avez besoin de ce mot de passe pour configurer la confiance sur le domaine Microsoft AD géré).

  12. Confirmez les paramètres de confiance, puis sélectionnez Suivant.

  13. La fenêtre Création de trust terminée s’affiche.

  14. Sélectionnez Non, ne confirmez pas le trust sortant, puis sélectionnez Suivant.

  15. Sélectionnez Non, ne confirmez pas le trust entrant, puis sélectionnez Suivant.

  16. Dans la boîte de dialogue Terminer l’assistant de nouveau trust, sélectionnez Terminer.

  17. Rafraîchir le routage du suffixe de nom pour le trust.

Configurer le domaine Microsoft AD géré

Pour établir le trust sur le domaine Microsoft AD géré, effectuez les étapes suivantes.

Console

  1. Ouvrir la page Microsoft AD géré dans la console Cloud.
    Ouvrir la page Microsoft AD géré

  2. Sélectionner le domaine pour lequel créer un trust, puis sélectionneraddCreate Trust.

  3. Définir le type de trust sur Forest.

  4. Pour le nom de domaine cible, saisissez le FQDN du domaine sur site.

  5. Définissez la direction du trust.

    • Pour créer un trust unidirectionnel, sélectionnez Outbound.
    • Pour créer une confiance bidirectionnelle, sélectionnez Bidirectionnel.
  6. Entrez le mot de passe de confiance que vous avez créé lors de la configuration de la confiance sur le domaineon-premises.

  7. Pour les IP de transfert conditionnel DNS, entrez les adresses IP DNS sur site que vous avez obtenues pendant la configuration.

  8. Sélectionnez Créer une relation de confiance.

  9. Vous êtes renvoyé à la page du domaine. Votre nouvelle relation de confiance devrait s’afficher en tant que Creating. Attendez que l’état se transforme en Connecté. La configuration peut prendre jusqu’à 10 minutes pour se terminer.

gcloud

Pour créer une confiance unidirectionnelle, exécutez la commande d’outil gcloud suivante :

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

Pour créer une confiance bidirectionnelle, exécutez la commande d’outil gcloud suivante :

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

En savoir plus sur la commande create.

Validation de la confiance bidirectionnelle

Après avoir configuré le domaine Microsoft AD géré pour une confiance bidirectionnelle, vous devez valider la confiance sortante du domaine sur site. Si vous créez une confiance unidirectionnelle, vous pouvez sauter cette étape.

Pour vérifier la confiance sortante, effectuez les étapes suivantes.

  1. Connectez-vous à un contrôleur de domaine sur site à l’aide d’un compte d’administrateur de domaine ou d’entreprise.

  2. Ouvrez Active Directory Domains and Trusts.

  3. Cliquez avec le bouton droit de la souris sur votre domaine, puis sélectionnez Propriétés.

  4. Sur l’onglet Confiance, sélectionnez la confiance sortante pour le domaine Microsoft AD géré.

  5. Sélectionnez Propriétés.

  6. Sur l’onglet Général, sélectionnez sur Valider.

Dépannage

Si vous rencontrez des problèmes en essayant de créer un trust, vous pouvez essayer nos conseils de dépannage.

  • Apprenez comment gérer un trust.
  • Apprenez comment dépanner l’accès à un trust.

.

Leave a Reply

Votre adresse e-mail ne sera pas publiée.