Crearea unei relații de încredere cu un domeniu on-premise

Acest articol vă arată cum să creați o relație de încredere între domeniile on-premise și un domeniu Microsoft AD administrat. Această încredere poate fi unidirecțională sau bidirecțională. De asemenea, poate acoperi mai multe păduri. Dacă ați configurat deja o relație de încredere,aflați cum să gestionați relațiile de încredere.

Tipuri de încredere

O relație de încredere poate fi unidirecțională sau bidirecțională. Un trust unidirecțional este o cale de autentificare unidirecțională creată între două domenii. În acest subiect, domeniul on-premises este partea de încredere sau de intrare a relației de încredere unidirecționale, iar domeniul Managed Microsoft AD este partea de încredere sau de ieșire a relației. O încredere bidirecțională este o cale de autentificare bidirecțională creatăîntre două domenii. Încrederea și accesul circulă în ambele direcții.

Înainte de a începe

Înainte de a încerca să creați un trust, verificați dacă domeniul local rulează o versiune de Windows acceptată.

Stabilirea conectivității rețelei

În primul rând, stabiliți conectivitatea de rețea între rețeaua locală și Virtual Private Cloud (VPC) Google Cloud, apoi verificați dacă cele două rețele pot comunica. Aflați mai multe despreidentificarea și stabilirea conexiunilor Cloud VPN.

Deschiderea porturilor de firewall

În continuare, configurați porturile de intrare/ieșire pe rețeaua dvs. locală și pe VPC-ul Google Cloud pentru a permite conectivitatea Active Directorytrust.

Tabelele următoare enumeră setul minim de porturi necesare pentru a stabili încrederea.Este posibil să fie nevoie să configurați mai multe porturi, în funcție de scenariul dvs. Aflați mai multe despre Microsoft’sActive Directory and Active Directory Domain Services Port Requirements.

Deschiderea porturilor de firewall ale rețelei locale

Deschideți porturile enumerate în tabelul următor pe firewall-ul dvs. local la blocul IPCIDR utilizatde rețeaua dvs. VPC și rețeaua Microsoft AD gestionată.

Protocol Port Funcționalitate
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos password change
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Deschiderea porturilor firewall-ului de rețea VPC

Deschideți porturile enumerate în tabelul următor pe firewall-ul de rețea VPC la blocul IPCIDR utilizat de rețeaua dvs. locală.

Protocol Port Funcționalitate
TCP, UDP 53 DNS

Configurarea redirecționărilor condiționate DNS

În continuare, configurați redirecționările condiționate DNS. Aceste setări vă permit săfurnizați indicii pentru redirecționarea cererilor nerezolvabile către diferite servere DNS.

Verificarea unei politici de redirecționare de intrare

Înainte de a crea o politică de redirecționare de intrare Cloud DNS pentruVPC-ul dumneavoastră, verificați dacă există una.

  1. Deschideți pagina Cloud DNS server policies (Politici de server Cloud DNS) în Cloud Console.
    Deschideți pagina Cloud DNS

  2. Căutați în listă o politică în care coloana Inbound este setată laOn, iar rețeaua VPC utilizată de domeniul dvs. este listatăîn lista derulantă de sub coloana In use by.

Dacă găsiți o politică validă existentă, puteți trece laGetting DNS IP addresses.

Crearea unei politici de redirecționare de intrare

Pentru a crea o politică de redirecționare de intrare, parcurgeți următorii pași.

  1. Deschideți pagina Cloud DNS server policies (Politici de server Cloud DNS) în Cloud Console.
    Deschideți pagina Cloud DNS

  2. Select Create Policy (Creare politică).

  3. Introduceți un Name (Nume).

  4. Setați Inbound query forwarding to On.

  5. Selectați rețeaua VPC pentru domeniul dvs. din meniulNetworks.

  6. Selectați Create.

Obținerea adreselor IP DNS

În continuare, obțineți adresele IP DNS pentru domeniul dvs. Managed Microsoft AD. Dacă tocmai ați creat o nouă politică Cloud DNS, este posibil ca adresele IP să nu apară încă. Dacă se întâmplă acest lucru, așteptați câteva minute și încercați din nou.

  1. Deschideți pagina Cloud DNS server policies (Politici de server Cloud DNS) în Cloud Console (Consola Cloud).
    Deschideți pagina Cloud DNS

  2. Selectați politica dvs. din listă, apoi selectați fila In use by (În utilizare de către).

  3. Rețineți toate adresele IP care se aplică regiunii dvs. on-premise. Aveți nevoie de aceste adrese pentru a stabili încrederea pe domeniul Managed Microsoft AD.

Asigurați-vă că blocurile CIDR care conțin aceste adrese IP sunt configurate în firewall-ul rețelei dvs. on-premise.

Crearea redirecționării condiționate DNS

Pentru a configura redirecționările condiționate DNS pe domeniul dvs. on-premise, folosiți adresele IP DNS pentru domeniul dvs. Managed Microsoft AD pentru a finaliza următorii pași.

  1. Intrați pe un controler de domeniu on-premise cu un cont de administrator Domain sau Enterprise pentru domeniul on-premise.

  2. Deschideți DNS Manager.

  3. Extindeți serverul DNS al domeniului pentru care doriți să configurați încrederea.

  4. Dați clic dreapta pe Conditional Forwarders și selectațiNew conditional forwarder.

  5. Pentru domeniul DNS, introduceți FQDN-ul domeniului Microsoft AD administrat (de exemplu, ad.example.com).

  6. În câmpul Adrese IP ale serverelor principale, introduceți adresele IP ale domeniului Microsoft AD administrat pe care le-ați căutat în Obținerea adreselor IP DNS.

  7. Dacă câmpul FQDN al serverului afișează o eroare, o puteți ignora.

  8. Select Store this conditional forwarder in Active Directory,și apoi selectați All DNS servers in this domain (Toate serverele DNS din acest domeniu) din meniul derulant.

  9. Select OK.

Verificarea redirecționerului condiționat DNS

Puteți verifica dacă redirecționerul este configurat corect folosind nslookup sau cmdlet-ul PowerShell Resolve-DnsName. Rulați următoarea comandă:

nslookup fqdn-for-managed-ad-domain

Dacă forwarderul condiționat DNS este configurat corect, această comandă returnează adresele IP ale controlorilor de domeniu.

Verificarea Politicii locale de securitate pentru domeniul dvs. local

Crearea unui trust necesită ca Politica locală de securitate pentru domeniul dvs. local să permită accesul anonim la netlogon, samr și lsarpc namedpipes. Pentru a verifica dacă accesul anonim este activat, efectuați următorii pași:

  1. Intrați pe un controler de domeniu on-premises cu un cont de administrator Domain sau Enterprise pentru domeniul on-premises.

  2. Deschideți consola Local Security Policy.

  3. În consolă, mergeți la Security Settings > Local Policies> Security Options> Network access: Named Pipes that canbe accessed anonymously.

  4. Verificați că accesul anonim la netlogon, samr și lsarpc este activat.

Stabilirea încrederii

După ce ați configurat rețelele, puteți crea o încredere între domeniul dvs. local și domeniul Microsoft AD administrat.

Configurarea domeniului on-premises

Pentru a stabili încrederea pe domeniul on-premises, efectuați următorii pași.

  1. Intrați pe un controler de domeniu on-premises folosind un cont de administrator Domain sau Enterprise.

  2. Deschideți Active Directory Domains and Trusts.

  3. Click dreapta pe domeniu și selectați Properties.

  4. În fila Trust, selectați New trust.

  5. Selectați Next (Următorul) pe New Trust Wizard (Expertul pentru încredere nouă).

  6. Introduceți FQDN-ul domeniului Microsoft AD administrat ca Trust Name (Nume de încredere).

  7. Pentru Trust type (Tipul de încredere), selectați Forest trust (Încredere în pădure).

  8. Setați Direcția de încredere.

    • Pentru a crea o încredere unidirecțională, selectați One-way incoming.
    • Pentru a crea o încredere bidirecțională, selectați Two-way.
  9. Pentru Sides of Trust, selectați This domain only.

  10. Pentru Outgoing Trust Authentication Level, selectați Forest-wide authentication.

  11. Introduceți parola de încredere (Notă: Aveți nevoie de această parolă pentru a configura încrederea pe domeniul Microsoft AD gestionat).

  12. Confirmați setările de încredere, apoi selectați Next.

  13. Se afișează fereastra Trust Creation Complete.

  14. Selectați No, don’t confirm the outgoing trust, apoi selectați Next.

  15. Selectați No, don’t confirm the incoming trust, apoi selectați Next.

  16. În fereastra de dialog Completing the New Trust Wizard, selectați Finish.

  17. Reîmprospătați Name Suffix Routing pentru trust.

Configurarea domeniului Managed Microsoft AD

Pentru a stabili trustul pe domeniul Managed Microsoft AD, efectuați următorii pași.

Console

  1. Deschideți pagina Managed Microsoft AD în Cloud Console.
    Deschideți pagina Managed Microsoft AD

  2. Selectați domeniul pentru care doriți să creați un trust, apoi selectațiaddCreate Trust.

  3. Setați Trust type to Forest.

  4. Pentru numele domeniului țintă, introduceți FQDN al domeniului local.

  5. Setați direcția trustului.

    • Pentru a crea un trust unidirecțional, selectați Outbound.
    • Pentru a crea o încredere bidirecțională, selectați Bidirecțională.
  6. Introduceți parola de încredere pe care ați creat-o atunci când ați configurat încrederea pe domeniul din sediu.

  7. Pentru IP-urile DNS Conditional Forwarder, introduceți adresele IP DNS on-premises pe care le-ați obținut în timpul configurării.

  8. Selectați Create Trust Relationship.

  9. Selectați Create Trust Relationship.

  10. Vă întoarceți la pagina domeniului. Noul dvs. trust ar trebui să apară ca Creating (Creare). Așteptați până când starea se transformă în Connected. Poate dura până la 10 minute pentru finalizarea configurării.

gcloud

Pentru a crea un trust unidirecțional, rulați următoarea comandă a instrumentului gcloud:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

Pentru a crea un trust bidirecțional, rulați următoarea comandă a instrumentului gcloud:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Învățați mai multe despre comanda create.

Validarea trustului bidirecțional

După ce ați configurat domeniul Managed Microsoft AD pentru un trust bidirecțional, trebuie să validați trustul de ieșire din domeniul on-premise. Dacă creați un trust unidirecțional, puteți sări peste acest pas.

Pentru a verifica trustul de ieșire, efectuați următorii pași.

  1. Intrați pe un controler de domeniu on-premise folosind un cont de administrator de domeniu sau Enterprise.

  2. Deschideți Active Directory Domains and Trusts.

  3. Dați clic dreapta pe domeniul dvs. și apoi selectați Properties.

  4. În fila Trust, selectați trustul de ieșire pentru domeniul Microsoft AD administrat.

  5. Selectați Properties.

  6. În fila General, selectați pe Validate.

Soluționarea problemelor

Dacă întâmpinați probleme în timp ce încercați să creați un trust, puteți încerca sfaturile noastre de soluționare a problemelor.

  • Învățați cum să gestionați un trust.
  • Învățați cum să soluționați problemele de accesare a unui trust.

.

Leave a Reply

Adresa ta de email nu va fi publicată.