Tworzenie relacji zaufania z domeną on-premises

W tym artykule przedstawiono sposób tworzenia relacji zaufania między domenami on-premises a zarządzaną domeną Microsoft AD. Ta relacja zaufania może być jedno- lub dwukierunkowa. Może również obejmować wiele lasów. Jeśli już skonfigurowano relację zaufania, dowiedz się, jak zarządzać relacjami zaufania.

Typy relacji zaufania

Relacja zaufania może być jednokierunkowa lub dwukierunkowa. Zaufanie jednokierunkowe to jednokierunkowa ścieżka uwierzytelniania utworzona między dwiema domenami. W tym temacie domena on-premises jest zaufaną lub przychodzącą stroną relacji jednokierunkowego zaufania, a domena Managed Microsoft AD jest zaufaną lub wychodzącą stroną relacji. Zaufanie dwukierunkowe to dwukierunkowa ścieżka uwierzytelniania utworzona między dwiema domenami. Zaufanie i dostęp przepływają w obu kierunkach.

Zanim zaczniesz

Przed próbą utworzenia zaufania sprawdź, czy domena lokalna działa w obsługiwanej wersji systemu Windows.

Ustanawianie łączności sieciowej

Najpierw należy ustanowić łączność sieciową między siecią lokalną a wirtualną chmurą prywatną Google Cloud (VPC), a następnie sprawdzić, czy te dwie sieci mogą się komunikować. Dowiedz się więcej o identyfikowaniu i nawiązywaniu połączeń Cloud VPN.

Otwarcie portów zapory

Następnie skonfiguruj porty wejściowe/wyjściowe w sieci lokalnej i Google Cloud VPC, aby umożliwić połączenie Active Directorytrust.

W poniższych tabelach wymieniono minimalny zestaw portów wymaganych do ustanowienia zaufania.W zależności od scenariusza może być konieczne skonfigurowanie większej liczby portów. Learn more about Microsoft’sActive Directory and Active Directory Domain Services Port Requirements.

Opening on-premises network firewall ports

Open the ports listed in the following table on your on-premises firewall to theCIDR IP block usedby your VPC network and Managed Microsoft AD network.

Protokół Port Funkcjonalność
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos zmiana hasła
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Otwarcie portów zapory sieciowej VPC

Otwórz porty wymienione w poniższej tabeli na zaporze sieciowej VPC do bloku IPCIDR używanego w sieci lokalnej.

Protokół Port Funkcjonalność
TCP, UDP 53 DNS

Konfigurowanie warunkowych forwarderów DNS

Następnie należy skonfigurować warunkowe forwardery DNS. Te ustawienia pozwalają zapewnić podpowiedzi dotyczące przekazywania nierozwiązywalnych żądań do różnych serwerów DNS.

Sprawdzanie, czy istnieje polityka przekazywania przychodzącego

Przed utworzeniem polityki przekazywania przychodzącego Cloud DNS dla twojego VPC sprawdź, czy taka polityka istnieje.

  1. Otwórz stronę Cloud DNS server policies w konsoli Cloud Console.
    Otwórz stronę Cloud DNS

  2. Poszukaj polityki na liście, w której kolumna Inbound jest ustawiona naOn, a sieć VPC używana przez Twoją domenę jest wymieniona w rozwijanej kolumnie In use by.

Jeśli znajdziesz prawidłową, istniejącą politykę, możesz przejść do częściGetting DNS IP addresses.

Tworzenie polityki przekierowania przychodzącego

Aby utworzyć politykę przekierowania przychodzącego, wykonaj następujące czynności.

  1. Otwórz stronę polityk serwera Cloud DNS w konsoli Cloud Console.
    Otwórz stronę Cloud DNS

  2. Wybierz opcję Utwórz politykę.

  3. Wprowadź nazwę.

  4. Set Inbound query forwarding to On.

  5. Select the VPC network for your domain from theNetworks menu.

  6. Select Create.

Getting DNS IP addresses

Następnie, zdobądź adresy IP DNS dla twojej zarządzanej domeny Microsoft AD. Jeśli właśnie utworzyłeś nową politykę Cloud DNS, adresy IP mogą się jeszcze nie pojawić. Jeśli tak się stanie, odczekaj kilka minut i spróbuj ponownie.

  1. Otwórz stronę Cloud DNS server policies w konsoli Cloud Console.
    Otwórz stronę Cloud DNS

  2. Wybierz swoją politykę z listy, a następnie wybierz kartę In use by.

  3. Zanotuj wszystkie adresy IP, które dotyczą regionu on-premises. Adresy te są potrzebne do ustanowienia zaufania w zarządzanej domenie Microsoft AD.

Upewnij się, że bloki CIDR zawierające te adresy IP są skonfigurowane w lokalnej zaporze sieciowej.

Tworzenie warunkowego przekierowania DNS

Aby skonfigurować warunkowe przekierowania DNS w domenie lokalnej, należy użyć adresów IP DNS dla zarządzanej domeny Microsoft AD w celu wykonania następujących czynności.

  1. Zaloguj się do kontrolera domeny on-premises z kontem Domain lub Enterprise adminaccount dla domeny on-premises.

  2. Otwórz menedżera DNS.

  3. Wyświetl serwer DNS domeny, dla której chcesz skonfigurować zaufanie.

  4. Kliknij prawym przyciskiem myszy Przekaźniki warunkowe i wybierzNowy przekaźnik warunkowy.

  5. W polu Domena DNS wpisz numer FQDN zarządzanej domeny Microsoft AD (na przykład ad.example.com).

  6. W polu Adresy IP serwerów głównych wpisz adresy IP zarządzanej domeny Microsoft AD, które zostały wyszukane w części Uzyskiwanie adresów IP DNS.

  7. Jeśli w polu Numer FQDN serwera pojawi się błąd, można go zignorować.

  8. Wybierz opcję Store this conditional forwarder in Active Directory, a następnie wybierz z menu rozwijanego opcję All DNS servers in this domain.

  9. Wybierz OK.

Weryfikacja warunkowego przekierowania DNS

Możesz sprawdzić, czy przekierowanie jest skonfigurowane poprawnie, używając nslookup lub Resolve-DnsName cmdleta PowerShell. Uruchom następujące polecenie:

nslookup fqdn-for-managed-ad-domain

Jeśli przekierowanie warunkowe DNS jest skonfigurowane prawidłowo, to polecenie zwraca adresy IP kontrolerów domeny.

Weryfikacja lokalnych zasad zabezpieczeń dla domeny lokalnej

Utworzenie zaufania wymaga, aby lokalne zasady zabezpieczeń dla domeny lokalnej zezwalały na anonimowy dostęp do rur nazwanych netlogon, samr i lsarpc. Aby sprawdzić, czy dostęp anonimowy jest włączony, wykonaj następujące czynności:

  1. Zaloguj się do kontrolera domeny on-premises z kontem Domain lub Enterprise adminaccount dla domeny on-premises.

  2. Otwórz konsolę Local Security Policy.

  3. W konsoli przejdź do Security Settings > Local Policies> Security Options> Network access: Named Pipes that canbe accessed anonymously.

  4. Verify that anonymous access to netlogon, samr, and lsarpc is enabled.

Setting up the trust

Po skonfigurowaniu sieci można utworzyć zaufanie między domeną on-premisesdomain a domeną Managed Microsoft AD.

Konfigurowanie domeny on-premises

Aby ustanowić zaufanie w domenie on-premises, wykonaj następujące czynności.

  1. Zaloguj się do kontrolera domeny on-premises za pomocą konta Domain lub Enterprise Administrator.

  2. Otwórz Active Directory Domains and Trusts.

  3. Kliknij prawym przyciskiem myszy domenę i wybierz Properties.

  4. Na karcie Trust wybierz New trust.

  5. Wybierz Dalej w Kreatorze nowego zaufania.

  6. Wprowadź FQDN zarządzanej domeny Microsoft AD jako Nazwę zaufania.

  7. W przypadku typu zaufania wybierz Zaufanie leśne.

  8. Ustaw kierunek zaufania.

    • Aby utworzyć zaufanie jednokierunkowe, wybierz opcję Jednokierunkowe przychodzące.
    • Aby utworzyć zaufanie dwukierunkowe, wybierz opcję Dwukierunkowe.
  9. Dla opcji Strony zaufania wybierz opcję Tylko ta domena.

  10. Dla opcji Poziom uwierzytelniania zaufania wychodzącego wybierz opcję Uwierzytelnianie obejmujące cały las.

  11. Wprowadź hasło zaufania (Uwaga: Hasło to jest potrzebne do skonfigurowania zaufania w zarządzanej domenie Microsoft AD).

  12. Potwierdź ustawienia zaufania, a następnie wybierz opcję Dalej.

  13. Wyświetlone zostanie okno Trust Creation Complete.

  14. Wybierz Nie, nie potwierdzaj zaufania wychodzącego, a następnie wybierz Dalej.

  15. Wybierz Nie, nie potwierdzaj zaufania przychodzącego, a następnie wybierz Dalej.

  16. W oknie dialogowym Completing the New Trust Wizard wybierz Zakończ.

  17. Refresh Name Suffix Routing for the trust.

Configuring the Managed Microsoft AD domain

Aby ustanowić zaufanie w domenie Managed Microsoft AD, wykonaj następujące czynności.

Konsola

  1. Otwórz stronę Managed Microsoft AD w konsoli Cloud Console.
    Otwórz stronę Managed Microsoft AD

  2. Wybierz domenę, dla której chcesz utworzyć zaufanie, a następnie wybierz opcjęaddCreate Trust.

  3. Ustaw typ zaufania na Forest.

  4. Dla nazwy domeny docelowej wprowadź FQDN domeny on-premises.

  5. Ustaw kierunek zaufania.

    • Aby utworzyć zaufanie jednokierunkowe, wybierz Outbound.
    • Aby utworzyć zaufanie dwukierunkowe, wybierz opcję Bidirectional.
  6. Wprowadź hasło zaufania utworzone podczas konfigurowania zaufania w domenieon-premises.

  7. W przypadku adresów IP warunkowego przekierowania DNS wprowadź adresy IP lokalnych serwerów DNS uzyskane podczas konfiguracji.

  8. Wybierz opcję Utwórz relację zaufania.

  9. Powrócisz do strony domeny. Twój nowy trust powinien pokazać się jako Creating. Poczekaj, aż stan zmieni się na Connected. Ukończenie konfiguracji może potrwać do 10 minut.

gcloud

Aby utworzyć zaufanie jednokierunkowe, wykonaj następujące polecenie narzędzia gcloud:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

Aby utworzyć zaufanie dwukierunkowe, wykonaj następujące polecenie narzędzia gcloud:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Dowiedz się więcej o poleceniu create.

Weryfikacja zaufania dwukierunkowego

Po skonfigurowaniu zarządzanej domeny Microsoft AD dla zaufania dwukierunkowego należy zweryfikować zaufanie wychodzące z domeny on-premises. Jeśli tworzysz zaufanie jednokierunkowe, możesz pominąć ten krok.

Aby zweryfikować zaufanie wychodzące, wykonaj następujące czynności.

  1. Zaloguj się do kontrolera domeny on-premises przy użyciu konta administratora Domain lub Enterprise.

  2. Otwórz Active Directory Domains and Trusts.

  3. Kliknij prawym przyciskiem myszy domenę, a następnie wybierz Properties.

  4. Na karcie Zaufanie wybierz zaufanie wychodzące dla zarządzanej domeny Microsoft AD.

  5. Wybierz opcję Właściwości.

  6. Na karcie Ogólne wybierz opcję Sprawdzaj poprawność.

Troubleshooting

Jeśli napotkasz problemy podczas próby utworzenia trustu, możesz wypróbować nasze wskazówki dotyczące rozwiązywania problemów.

  • Dowiedz się, jak zarządzać trustem.
  • Dowiedz się, jak uzyskać dostęp do trustu.

.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.