Criar uma relação de confiança com um domínio no local

Este artigo mostra-lhe como criar uma relação de confiança entre os domínios no local e um domínio AD gerido pela Microsoft. Esta confiança pode ser unidireccional ou bidireccional. Ela também pode abranger várias florestas. Se já configurou uma relação de confiança, aprenda como gerir trusts.

Tipos de trusts

Uma relação de confiança pode ser unidireccional ou bidireccional. Uma relação de confiança unidireccional é um caminho de autenticação unidireccional criado entre dois domínios. Neste tópico, o domínio on-premises é o lado de confiança ou de entrada do trust unidireccional e o domínio Managed Microsoft AD é o lado de confiança ou de saída da relação. Uma confiança bidireccional é um caminho de autenticação bidireccional criado entre dois domínios. Confiança e fluxo de acesso em ambas as direcções.

Antes de começar

Antes de tentar criar uma confiança, verifique se o domínio no local está a correr uma versão suportada do Windows.

Estabelecer conectividade de rede

Primeiro, estabeleça a conectividade de rede entre a sua rede no local e a sua Nuvem Privada Virtual do Google (VPC), e depois verifique se as duas redes podem comunicar. Saiba mais sobre como identificar e estabelecer conexões Cloud VPN.

Abrir portas firewall

Próximo, configure as portas ingress/egress em sua rede local e seu Google Cloud VPC para permitir a conectividade Active Directorytrust.

As tabelas a seguir listam o conjunto mínimo de portas necessárias para estabelecer a confiança. Saiba mais sobre o Microsoft’sActive Directory e Active Directory Domain Services Port Requirements.

Abertura de portas de firewall de rede no local

Abra as portas listadas na tabela a seguir em seu firewall no local para o bloco IPCIDR usado por sua rede VPC e rede AD gerenciada pela Microsoft.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos mudança de senha
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Abrir portas de firewall de rede VPC

Abrir as portas listadas na tabela seguinte na sua rede VPCfirewall para o bloco IPCIDR utilizado pela sua rede local.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS

Configurando os encaminhadores condicionais DNS

Próximo, configure os encaminhadores condicionais DNS. Essas configurações permitem que você forneça dicas para encaminhar pedidos não resolvidos para diferentes servidores DNS.

Verificando a política de encaminhamento de entrada

Antes de criar uma política de encaminhamento de entrada DNS para o seuVPC, verifique se ela existe.

  1. Abra a página de políticas do servidor DNS da Nuvem na Consola da Nuvem.
    Abrir a página de DNS da Nuvem

  2. Localize uma política na lista onde a coluna Inbound está definida comoOn, e a rede VPC utilizada pelo seu domínio está listada no drop-down sob a coluna In use by column.

Se você encontrar uma política válida existente, você pode pular paraGetting DNS IP addresses.

Criar uma política de encaminhamento de entrada

Para criar uma política de encaminhamento de entrada, complete os seguintes passos.

  1. Abra a página de políticas do servidor DNS da Nuvem no Cloud Console.
    Abra a página DNS da Nuvem

  2. >

    Selecione Criar Política.

  3. Entrar um Nome.

  4. Definir encaminhamento de consulta de entrada para On.

  5. Selecione a rede VPC para o seu domínio a partir do menuNetworks.

  6. Selecione Create.

Endereços IP DNS

>

Próximo, obtenha os endereços IP DNS para o seu domínio AD da Microsoft Gerenciado. Se você acabou de criar uma nova política de Cloud DNS, os endereços IP podem ainda não aparecer. Se isso acontecer, espere alguns minutos e tente novamente.

  1. Abrir a página de políticas do servidor DNS na Cloud Console.
    Abrir a página DNS na Cloud Console.

  2. Selecione sua política da lista e selecione a opção Em uso por tab.

  3. Anote quaisquer endereços IP que se apliquem à sua região no local. Você precisa desses endereços para estabelecer a confiança no ADdomain Gerenciado Microsoft.

Certifique-se de que os blocos CIDR contendo esses endereços IP estejam configurados em seu firewall de rede local.

Criando o encaminhador condicional DNS

Para configurar os encaminhadores condicionais DNS em seu domínio local, use os endereços IPDNS para seu domínio AD Gerenciado Microsoft para completar os seguintes passos.

  1. Entrar em um controlador de domínio no local com uma conta de administração de domínio ou empresa para o domínio no local.

  2. Abra o DNS Manager.

  3. Expandir o servidor DNS do domínio para o qual você deseja configurar a confiança.

  4. Clique com o botão direito do mouse em Encaminhadores Condicionais e selecioneNovo Encaminhador Condicional.

  5. Para domínio DNS, digite o FQDN do ADdomínio Microsoft Gerenciado (por exemplo, ad.example.com).

  6. No campo Endereços IP dos servidores mestre, digite os endereços IP do seu domínio AD Microsoft Gerenciado que você procurou emGetting DNS IP addresses.

  7. Se o campo FQDN do Servidor mostrar um erro, você pode ignorá-lo.

  8. Select Store this conditional forwarder in Active Directory,e depois seleccione All DNS servers in this domain no menu pendente.

  9. Select OK.

Verifying the DNS conditional forwarder

You can verify that the forwarder is configured correctly by using nslookup orthe Resolve-DnsName PowerShell cmdlet. Execute o seguinte comando:

nslookup fqdn-for-managed-ad-domain

Se o encaminhador condicional DNS estiver configurado corretamente, este comando retorna os endereços IP dos controladores de domínio.

Verificando a Política Local de Segurança para o seu domínio local

Criar uma confiança requer que a Política Local de Segurança para o seu domínio local permita o acesso anônimo ao domínio netlogon, , e lsarpc namedpipes. Para verificar se o acesso anónimo está activado, complete os seguintes passos:

  1. Aceda a um controlador de domínio local com uma conta de administrador de Domínio ou Empresa para o domínio local.

  2. Abra o console da Política Local de Segurança.

  3. No console, vá para Configurações de Segurança > Políticas Locais> Opções de Segurança> Acesso à Rede: Pipes nomeados que podem ser acessados anonimamente.

  4. Verifiquem que o acesso anônimo a netlogon, , e lsarpc está habilitado.

Confirmando a confiança

Depois de configurar suas redes, você pode criar uma confiança entre o seu domínio on-premisesdomain e o seu domínio AD Gerenciado Microsoft.

Configurando o domínio no local

Para estabelecer a confiança no domínio no local, complete os seguintes passos.

  1. Entrar em um controlador de domínio no local usando uma conta de Administrador de Domínio ou Empresa.

  2. Abrir Active Directory Domains and Trusts.

  3. Clique direito no domínio e selecione Properties.

  4. Na aba Trust, selecione New trust.

  5. Selecione Próximo no New Trust Wizard.

  6. Introduza o FQDN do domínio Managed Microsoft AD como o Nome de Confiança.

  7. Para o tipo de Confiança, selecione Forest trust.

  8. Definir a Direcção de Confiança.

    • Para criar uma confiança unidireccional, seleccione One-way incoming.
    • Para criar uma confiança bidireccional, seleccione Two-way.
  9. Para Lados de Confiança, seleccione Apenas Este domínio.

  10. Para Nível de Autenticação de Confiança de Saída, seleccione Autenticação de Floresta.

  11. Insira a Senha de Confiança (Nota: Você precisa desta senha para configurar a confiança no domínio Managed Microsoft AD).

  12. Confirme as configurações de confiança e, em seguida, seleccione Próximo.

  13. A janela de criação de confiança completa é exibida.

  14. Selecione Não, não confirme a confiança de saída, então selecione Next.

  15. Selecione Não, não confirme a confiança de entrada, então selecione Next.

  16. Na caixa de diálogo Completando o novo assistente de confiança, selecione Finish.

  17. Refresh Name Suffix Routing for the trust.

Configurar o domínio AD Gerido Microsoft

Para estabelecer a confiança no domínio AD Gerido Microsoft, complete os seguintes passos.

Consola

  1. Abrir a página AD Gerido Microsoft na Consola de Nuvem.
    Abrir a página AD da Microsoft Gerenciada

  2. Selecionar o domínio para criar uma confiança, e então selecioneadddCreate Trust.

  3. Definir o tipo de confiança para Forest.

  4. Para o nome do domínio de destino, digite o FQDN do domínio no local.

  5. Definir a direção do Trust.

    • Para criar um trust unidirecional, selecione Outbound.
    • Para criar uma confiança bidireccional, seleccione Bidirectional.
  6. Introduza a password de confiança que criou quando configurou a confiança no domínio on-premises.

  7. Para IPs DNS Conditional Forwarder, digite os endereços IPs DNS que você obteve durante a configuração.

  8. Selecione Create Trust Relationship.

  9. Você é retornado à página do domínio. Sua nova confiança deve mostrar como Criando. Espere até o estado se transformar em Conectado. Pode levar até 10 minutos para que a configuração seja concluída.

gcloud

Para criar uma confiança unidirecional, execute o seguinte comando gcloud tool command:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

Para criar uma confiança bidirecional, execute o seguinte comando gcloud tool command:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Aprenda mais sobre o comando create.

Validar confiança bidireccional

Depois de configurar o domínio AD da Microsoft Gerido para uma confiança bidireccional, deve validar a confiança de saída do domínio no local. Se você estiver criando uma confiança de saída, você pode pular este passo.

Para verificar a confiança de saída, complete os seguintes passos.

  1. Log in to an on-premises domain controller using a Domain or Enterprise administrator account.

  2. Open Active Directory Domains and Trusts.

  3. Clique direito no seu domínio, e então selecione Properties.

  4. Na aba Trust, selecione o outbound trust para o domínio AD gerenciado pela Microsoft.

  5. Select Properties.

  6. Na aba General, selecione em Validate.

Solução de problemas

Se você encontrar problemas ao tentar criar uma confiança, você pode tentar nossas dicas de solução de problemas.

  • Aprenda a gerenciar uma confiança.
  • Aprenda a gerenciar uma confiança.
  • Aprenda a solucionar problemas ao acessar uma confiança.

Leave a Reply

O seu endereço de email não será publicado.