Megbízhatósági kapcsolat létrehozása egy helyi tartományban

Ez a cikk bemutatja, hogyan hozhat létre megbízhatósági kapcsolatot a helyi tartományok és egy felügyelt Microsoft AD-tartomány között. Ez a bizalmi kapcsolat lehet egyirányú vagy kétirányú. Több erdőt is átfoghat. Ha már létrehozott egy bizalmi kapcsolatot,megtudhatja, hogyan kezelheti a bizalmi kapcsolatokat.

A bizalmi kapcsolatok típusai

A bizalmi kapcsolat lehet egyirányú vagy kétirányú. Az egyirányú bizalmi kapcsolat egy két tartomány között létrehozott egyirányú hitelesítési útvonal. Ebben a témakörben a helyi tartomány az egyirányú bizalmi kapcsolat megbízható vagy bejövő oldala, a kezelt Microsoft AD-tartomány pedig a kapcsolat megbízható vagy kimenő oldala. A kétirányú bizalom két tartomány között létrehozott kétirányú hitelesítési útvonal. A bizalom és a hozzáférés mindkét irányba áramlik.

Kezdés előtt

Mielőtt megpróbál bizalmi kapcsolatot létrehozni, ellenőrizze, hogy a helyi tartományon a Windows támogatott verziója fut-e.

Hálózati kapcsolat létrehozása

Először is hozzon létre hálózati kapcsolatot a helyi hálózat és a Google Cloud Virtual Private Cloud (VPC) között, majd ellenőrizze, hogy a két hálózat tud-e kommunikálni. További információ a Cloud VPN-kapcsolatok azonosításáról és létrehozásáról.

Tűzfalportok megnyitása

Ezután konfigurálja a be- és kimeneti portokat a helyi hálózaton és a Google Cloud VPC-n az Active Director bizalmi kapcsolat engedélyezéséhez.

A következő táblázatok a bizalmi kapcsolat létrehozásához szükséges portok minimális készletét tartalmazzák.A forgatókönyvtől függően több port konfigurálására is szükség lehet. Tudjon meg többet a MicrosoftActive Directory és Active Directory tartományi szolgáltatások portkövetelményeiről.

A helyi hálózati tűzfal portjainak megnyitása

A következő táblázatban felsorolt portokat nyissa meg a helyi tűzfalon a VPC-hálózat és a felügyelt Microsoft AD-hálózat által használtCIDR IP-blokkhoz.

Protokoll Port Funkció
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos jelszó módosítása
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

VPC hálózati tűzfal portok megnyitása

Nyissa meg a következő táblázatban felsorolt portokat a VPC hálózati tűzfalán a helyi hálózat által használtCIDR IP blokkhoz.

Protokoll Port Funkció
TCP, UDP 53 DNS

DNS feltételes továbbítók konfigurálása

A következő lépés a DNS feltételes továbbítók konfigurálása. Ezek a beállítások lehetővé teszik, hogy tippeket adjon a fel nem oldható kérések különböző DNS-kiszolgálókra történő továbbítására.

Bemenő továbbítási házirend keresése

A Cloud DNS bejövő továbbítási házirend létrehozása előtt aVPC számára ellenőrizze, hogy létezik-e ilyen.

  1. Nyissa meg a Cloud DNS-kiszolgálói házirendek oldalt a Cloud Console-ban.
    Nyissa meg a Cloud DNS oldalt

  2. Keres olyan házirendet a listában, ahol a Bejövő oszlop Be van kapcsolva, és a domainje által használt VPC-hálózat szerepel a legördülő listában a Használja oszlop alatt.

Ha talál egy érvényes meglévő házirendet, akkor a DNS IP-címek megadására léphet.

Bemenő továbbítási házirend létrehozása

Bemenő továbbítási házirend létrehozásához hajtsa végre a következő lépéseket.

  1. Nyissa meg a Cloud DNS-kiszolgáló házirendek oldalt a Cloud Console-ban.
    Nyissa meg a Cloud DNS oldalt

  2. Válassza a Házirend létrehozása lehetőséget.

  3. Adjon meg egy nevet.

  4. A bejövő lekérdezések továbbítását állítsa be.

  5. A Hálózatok menüből válassza ki a tartományához tartozó VPC hálózatot.

  6. Válassza a Létrehozás lehetőséget.

DNS IP-címek lekérése

Ezután kérje le a kezelt Microsoft AD tartomány DNS IP-címeit. Ha éppen most hozott létre egy új Cloud DNS-házirendet, az IP-címek még nem feltétlenül jelennek meg. Ha ez történik, várjon néhány percet, és próbálja meg újra.

  1. Nyissa meg a Cloud DNS-kiszolgálói házirendek oldalt a Cloud Console-ban.
    Open the Cloud DNS page

  2. Válassza ki a házirendet a listából, majd válassza az In use by lapot.

  3. Jegyezze fel a helyhez kötött régióra vonatkozó IP-címeket. Ezekre a címekre a bizalom létrehozásához van szükség a kezelt Microsoft AD-tartományon.

Győződjön meg róla, hogy az ezeket az IP-címeket tartalmazó CIDR-blokkok be vannak konfigurálva ahelyi hálózati tűzfalában.

A DNS feltételes továbbító létrehozása

Ahelyi tartomány DNS feltételes továbbítóinak konfigurálásához használja a kezelt Microsoft AD-tartomány DNS IP-címeit a következő lépések elvégzéséhez.

  1. Lépjen be egy telephelyi tartományvezérlőre a telephelyi tartomány tartományi vagy vállalati adminisztrátori fiókjával.

  2. Nyissa meg a DNS-kezelőt.

  3. Tágítsa ki annak a tartománynak a DNS-kiszolgálóját, amelyre a bizalmat kívánja beállítani.

  4. Jobb gombbal kattintson a Feltételes továbbítókra, és válassza az Új feltételes továbbító lehetőséget.

  5. A DNS-tartományhoz adja meg a kezelt Microsoft ADtartomány FQDN-jét (például ad.example.com).

  6. A főkiszolgálók IP-címei mezőbe adja meg a kezelt Microsoft ADtartomány IP-címeit, amelyeket a DNS-IP-címek lekérdezése során keresett meg.

  7. Ha a Szerver FQDN mező hibát mutat, azt figyelmen kívül hagyhatja.

  8. Válassza a Store this conditional forwarder in Active Directory,majd válassza ki a legördülő menüből az All DNS servers in this domain.

  9. Select OK.

Verifying the DNS conditional forwarder

A továbbító helyes beállítását a nslookup vagy a Resolve-DnsName PowerShell cmdlet segítségével ellenőrizheti. Futtassa a következő parancsot:

nslookup fqdn-for-managed-ad-domain

Ha a DNS feltételes továbbító helyesen van konfigurálva, ez a parancs visszaadja a tartományvezérlők IP-címeit.

A helyi biztonsági házirend ellenőrzése a helyi tartományhoz

A bizalom létrehozásához szükséges, hogy a helyi biztonsági házirend a helyi tartományhoz engedélyezze a névtelen hozzáférést a netlogon, samr és lsarpc névcsövekhez. A névtelen hozzáférés engedélyezésének ellenőrzéséhez hajtsa végre a következő lépéseket:

  1. Lépjen be egy helyi tartományvezérlőre a helyi tartomány tartomány tartományi vagy vállalati adminfiókjával.

  2. Nyissa meg a Helyi biztonsági házirend konzolt.

  3. A konzolon lépjen a Biztonsági beállítások > Helyi házirendek> Biztonsági beállítások> Hálózati hozzáférés menüpontba: Névtelenül elérhető névtelen csövek.

  4. Ellenőrizze, hogy a netlogon, samr és lsarpc névtelen hozzáférés engedélyezve van-e.

A bizalom beállítása

A hálózatok konfigurálása után létrehozhatja a bizalmat a helyben lévő tartomány és a felügyelt Microsoft AD tartomány között.

A helyi tartomány konfigurálása

A bizalom létrehozásához a helyi tartományban a következő lépéseket kell elvégezni.

  1. Lépjen be egy helyi tartományvezérlőre egy tartományi vagy vállalati rendszergazdai fiókkal.

  2. NYissa meg az Active Directory tartományok és bizalmi kapcsolatok eszköztárát.

  3. Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok lehetőséget.

  4. A Bizalom lapon válassza az Új bizalmi kapcsolat lehetőséget.

  5. Az Új megbízhatóság varázslóban válassza a Tovább gombot.

  6. A megbízhatóság neveként adja meg a kezelt Microsoft AD tartomány FQDN-jét.

  7. A megbízhatóság típusához válassza az Erdő megbízhatóságot.

  8. A bizalom irányának beállítása.

    • Egyirányú bizalom létrehozásához válassza az Egyirányú bejövő lehetőséget.
    • Kétirányú bizalom létrehozásához válassza a Kétirányú lehetőséget.
  9. A bizalom oldalaihoz válassza a Csak ez a tartomány lehetőséget.

  10. A kimenő bizalom hitelesítési szintjéhez válassza az Erdőszintű hitelesítés lehetőséget.

  11. Adja meg a bizalmi jelszót (Megjegyzés: Ez a jelszó szükséges a bizalom beállításához a kezelt Microsoft AD tartományon).

  12. Hitelesítse a bizalmi beállításokat, majd válassza a Tovább lehetőséget.

  13. A bizalom létrehozásának befejezése ablak jelenik meg.

  14. Válassza a Nem, ne erősítse meg a kimenő bizalmat, majd válassza a Tovább lehetőséget.

  15. Válassza a Nem, ne erősítse meg a bejövő bizalmat, majd válassza a Tovább lehetőséget.

  16. Az Új bizalom varázsló befejezése párbeszédpanelen válassza a Befejezés lehetőséget.

  17. Frissítse újra a névvégződés-útválasztást a bizalomhoz.

A kezelt Microsoft AD-tartomány konfigurálása

A bizalom létrehozásához a kezelt Microsoft AD-tartományban hajtsa végre az alábbi lépéseket.

Konzol

  1. Nyissa meg a Felhőkonzolban a Kezelt Microsoft AD oldalt.
    Nyissa meg a Kezelt Microsoft AD oldalt

  2. Válassza ki a tartományt, amelyhez bizalmat kíván létrehozni, majd válassza a Bizalom létrehozásának hozzáadása lehetőséget.

  3. A bizalom típusát erdőre állítsa.

  4. A Cél tartománynévhez adja meg a helyben lévő tartomány FQDN-jét.

  5. Bizalom irányának beállítása.

    • Az egyirányú bizalom létrehozásához válassza a Kimenő lehetőséget.
    • Kétirányú bizalom létrehozásához válassza a Kétirányú lehetőséget.
  6. Adja meg a bizalmi jelszót, amelyet a bizalom helyhez kötött tartományon belüli bizalom beállításakor hozott létre.

  7. A DNS feltételes továbbító IP-címek esetében adja meg a beállítás során kapott helyhez kötött DNS IP-címeket.

  8. Válassza a Bizalmi kapcsolat létrehozása lehetőséget.

  9. Visszatér a tartomány oldalra. Az új bizalmi kapcsolatnak a Creating (Létrehozás) feliratot kell megjelenítenie. Várja meg, amíg az állapota Kapcsolódóra változik. A beállítás befejezése akár 10 percet is igénybe vehet.

gcloud

Az egyirányú bizalom létrehozásához futtassa a következő gcloud eszközparancsot:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

A kétirányú bizalom létrehozásához futtassa a következő gcloud eszközparancsot:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Tudjon meg többet a create parancsról.

Kétirányú bizalom hitelesítése

Az irányított Microsoft AD-tartomány kétirányú bizalomra való konfigurálása után hitelesítenie kell a kimenő bizalmat a helyi tartományból. Ha egyirányú bizalmat hoz létre, ezt a lépést kihagyhatja.

A kimenő bizalom ellenőrzéséhez hajtsa végre a következő lépéseket.

  1. Lépjen be egy helyi tartományvezérlőre tartományi vagy vállalati rendszergazdai fiókkal.

  2. Nyissa meg az Active Directory tartományok és bizalmi kapcsolatok lehetőséget.

  3. Kattintson a jobb gombbal a tartományra, majd válassza a Tulajdonságok lehetőséget.

  4. A Bizalom lapon jelölje ki a kimenő bizalmat a kezelt Microsoft AD tartományhoz.

  5. Válassza a Tulajdonságok lehetőséget.

  6. Az Általános lapon válassza az Érvényesítés lehetőséget.

Hibaelhárítás

Ha a megbízhatóság létrehozásakor problémák merülnek fel, próbálja ki a hibaelhárítási tippjeinket.

  • Tanulja meg, hogyan kezeljen egy megbízhatóságot.
  • Tanulja meg, hogyan kell hibaelhárítani a megbízhatósághoz való hozzáférést.

Leave a Reply

Az e-mail-címet nem tesszük közzé.