Skapa ett förtroende med en lokal domän

Den här artikeln visar hur du skapar en förtroenderelation mellan lokala domäner och en hanterad Microsoft AD-domän. Förtroendet kan vara enkelriktat eller dubbelriktat. Det kan också sträcka sig över flera skogar. Om du redan har konfigurerat ett förtroende får du veta hur du hanterar förtroenden.

Typer av förtroenden

En förtroenderelation kan vara enkelriktad eller dubbelriktad. Ett envägsförtroende är en enkelriktad autentiseringsväg som skapas mellan två domäner. I det här ämnet är den lokala domänen den betrodda eller inkommande sidan av envägsförtroendet och den hanterade Microsoft AD-domänen är den betrodda eller utgående sidan av relationen. Ett tvåvägsförtroende är en dubbelriktad autentiseringsväg som skapas mellan två domäner. Förtroende och åtkomst flödar i båda riktningarna.

För att börja

För att försöka skapa ett förtroende ska du kontrollera att den lokala domänen kör en version av Windows som stöds.

Etablering av nätverksanslutningar

Skapa först nätverksanslutningar mellan det lokala nätverket och ditt virtuella privata moln (VPC) iGoogle Cloud, och kontrollera sedan att de två nätverken kan kommunicera. Läs mer om att identifiera och upprätta Cloud VPN-anslutningar.

Öppna brandväggsportar

Nästa steg är att konfigurera ingress/egress-portarna på ditt lokala nätverk och din Google Cloud VPC för att tillåta Active Director-trust-anslutning.

I följande tabeller listas den minimala uppsättning portar som krävs för att etablera trust.Du kan behöva konfigurera fler portar, beroende på ditt scenario. Läs mer om Microsofts krav på portar för Active Directory och Active Directory Domain Services.

Öppning av portar för brandväggar i lokala nätverk

Öppna de portar som listas i följande tabell i din lokala brandvägg till det CIDR-IP-block som används av ditt VPC-nätverk och det hanterade Microsoft AD-nätverket.

Protokoll Port Funktionalitet
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos lösenordsändring
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Öppna portar för VPC-nätverksbrandväggen

Öppna portarna som listas i följande tabell på VPC-nätverksbrandväggen till detCIDR-IP-block som används av ditt lokala nätverk.

Protokoll Port Funktionalitet
TCP, UDP 53 DNS

Konfigurera DNS-villkorliga vidarebefordrare

Nästan ska du konfigurera DNS-villkorliga vidarebefordrare. Med dessa inställningar kan du ge tips för att vidarebefordra olösliga begäranden till olika DNS-servrar.

Kontrollera om det finns en policy för inkommande vidarebefordran

För att skapa en policy för inkommande vidarebefordran för Cloud DNS för dinVPC ska du kontrollera om det finns en sådan.

  1. Öppna sidan Cloud DNS-serverpolicyer i Cloud Console.
    Öppna sidan Cloud DNS

  2. Leta efter en policy i listan där kolumnen Inbound är inställd påOn och det VPC-nätverk som används av din domän listas i rullgardinsmenyn under kolumnen In use by.

Om du hittar en giltig befintlig policy kan du hoppa över tillGeting DNS IP addresses.

Skapa en policy för inkommande vidarebefordran

För att skapa en policy för inkommande vidarebefordran utför du följande steg:

  1. Öppna sidan med policyer för Cloud DNS-servrar i Cloud Console.
    Öppna sidan Cloud DNS

  2. Välj Skapa policy.

  3. Intyg ett namn.

  4. Sätt Inbound query forwarding till On.

  5. Välj VPC-nätverket för din domän från menynNetworks.

  6. Välj Create.

Hämtning av DNS-IP-adresser

Nästan ska du hämta DNS-IP-adresserna för din hanterade Microsoft AD-domän. Om du precis har skapat en ny Cloud DNS-policy kanske IP-adresserna inte visas ännu. Vänta i så fall några minuter och försök igen.

  1. Öppna sidan Cloud DNS-serverpolicyer i Cloud Console.
    Öppna sidan Cloud DNS

  2. Välj din policy i listan och välj sedan fliken I användning av.

  3. Notera eventuella IP-adresser som gäller för din region på plats. Du behöver dessa adresser för att upprätta förtroendet för den hanterade Microsoft AD-domänen.

Se till att CIDR-blocken som innehåller dessa IP-adresser är konfigurerade i din nätverksbrandvägg på plats.

Skapande av den villkorliga vidarebefordraren för DNS

För att konfigurera den villkorliga vidarebefordraren för DNS på din domän på plats använder du IP-adresserna för DNS för din hanterade Microsoft AD-domän för att genomföra följande steg.

  1. Logga in på en domänkontrollant på plats med ett domän- eller företagsadministratörskonto för domänen på plats.

  2. Öppna DNS-hanteraren.

  3. Expandera DNS-servern för den domän som du vill konfigurera förtroendet för.

  4. Högerklicka på Conditional Forwarders och väljNew conditional forwarder.

  5. För DNS-domän anger du FQDN för den hanterade Microsoft AD-domänen (till exempel ad.example.com).

  6. I fältet IP-adresser för huvudservrarna anger du IP-adresserna för den hanterade Microsoft AD-domänen som du sökte upp iHämtning av DNS-IP-adresser.

  7. Om fältet Server FQDN visar ett fel kan du ignorera det.

  8. Välj Spara den här villkorliga vidarebefordraren i Active Directory och välj sedan Alla DNS-servrar i den här domänen i rullgardinsmenyn.

  9. Välj OK.

Verifiera den villkorliga DNS-vidarebefordraren

Du kan verifiera att vidarebefordraren har konfigurerats på rätt sätt med hjälp av nslookup eller Resolve-DnsName PowerShell cmdlet. Kör följande kommando:

nslookup fqdn-for-managed-ad-domain

Om den villkorliga vidarebefordraren för DNS är korrekt konfigurerad returnerar det här kommandot IP-adresserna till domänkontrollanterna.

Verifiera den lokala säkerhetspolicyn för din lokala domän

Att skapa ett förtroende kräver att den lokala säkerhetspolicyn för din lokala domän tillåter anonym åtkomst till namedpipes netlogon, samr och lsarpc. Om du vill kontrollera att anonym åtkomst är aktiverad utför du följande steg:

  1. Logga in på en domänkontrollant på plats med ett domän- eller företagsadministratörskonto för domänen på plats.

  2. Öppna konsolen för lokal säkerhetsprincip.

  3. I konsolen går du till Säkerhetsinställningar > Lokala principer> Säkerhetsalternativ> Nätverksåtkomst: Named Pipes som kan nås anonymt.

  4. Kontrollera att anonym åtkomst till netlogon, samr och lsarpc är aktiverad.

Inrättande av förtroendet

När du har konfigurerat nätverken kan du skapa ett förtroende mellan din domän på plats och din hanterade Microsoft AD-domän.

Konfigurera den lokala domänen

För att upprätta förtroendet på den lokala domänen utför du följande steg:

  1. Logga in på en lokal domänkontrollant med ett administratörskonto för domän eller företag.

  2. Öppna Active Directory Domains and Trusts.

  3. Högerklicka på domänen och välj Properties.

  4. Välj New trust på fliken Trust.

  5. Välj Nästa i guiden Nytt förtroende.

  6. Inför FQDN för den hanterade Microsoft AD-domänen som namn för förtroendet.

  7. För förtroendetyp väljer du Skogsförtroende.

  8. Sätt riktning för förtroendet.

    • Om du vill skapa ett envägsförtroende väljer du Inkommande envägsförtroende.
    • Om du vill skapa ett tvåvägsförtroende väljer du Tvåvägsförtroende.
  9. För Förtroendesidor väljer du Endast den här domänen.

  10. För Autentiseringsnivå för utgående förtroende väljer du Autentisering för hela skogen.

  11. Anteckna förtroendelösenordet (Observera: Du behöver det här lösenordet för att konfigurera förtroendet för den hanterade Microsoft AD-domänen).

  12. Bekräfta förtroendes inställningar och välj sedan Nästa.

  13. Fönstret Förtroende skapande klart visas.

  14. Välj Nej, bekräfta inte det utgående förtroendet och välj sedan Nästa.

  15. Välj Nej, bekräfta inte det inkommande förtroendet och välj sedan Nästa.

  16. I dialogrutan Slutföra guiden för nya förtroenden väljer du Slutför.

  17. Förnya Name Suffix Routing för förtroendet.

Konfigurera den hanterade Microsoft AD-domänen

För att etablera förtroendet på den hanterade Microsoft AD-domänen utför du följande steg.

Konsol

  1. Öppna sidan Managed Microsoft AD i Cloud Console.
    Öppna sidan Managed Microsoft AD

  2. Välj domänen som du vill skapa ett förtroende för och välj sedantaddCreate Trust.

  3. Sätt förtroendetyp till Forest.

  4. För Target domain name anger du FQDN för den lokala domänen.

  5. Inställ förtroenderiktning.

    • Om du vill skapa ett enkelriktat förtroende väljer du Outbound.
    • Om du vill skapa ett tvåvägsförtroende väljer du Dubbelriktad.
  6. Inställ det lösenord för förtroendet som du skapade när du konfigurerade förtroendet i den lokala domänen.

  7. För DNS Conditional Forwarder IPs anger du de DNS IPadresser på plats som du fick under installationen.

  8. Välj Create Trust Relationship.

  9. Du återgår till sidan för domänen. Ditt nya förtroende bör visas som Creating (Skapa). Vänta tills statusen ändras till Connected (ansluten). Det kan ta upp till 10 minuter innan installationen är klar.

gcloud

För att skapa ett envägsförtroende kör du följande gcloud verktygskommando:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=OUTBOUND

För att skapa ett tvåvägsförtroende kör du följande gcloud verktygskommando:

gcloud active-directory domains trusts create domain \ --target-dns-ip-addresses=target-dns-ip-addresses \ --target-domain-name=target-domain-name \ --direction=BIDIRECTIONAL

Lär dig mer om create kommandot.

Validera tvåvägsförtroende

När du har konfigurerat den hanterade Microsoft AD-domänen för ett tvåvägsförtroende måste du validera det utgående förtroendet från den lokala domänen. Om du skapar ett envägsförtroende kan du hoppa över det här steget.

För att verifiera det utgående förtroendet utför du följande steg.

  1. Logga in på en lokal domänkontrollant med ett administratörskonto för domäner eller företag.

  2. Öppna Active Directory Domains and Trusts.

  3. Högreklicka på din domän och välj sedan Egenskaper.

  4. På fliken Förtroende väljer du det utgående förtroendet för den hanterade Microsoft AD-domänen.

  5. Välj Egenskaper.

  6. På fliken Allmänt väljer du på Validera.

Felsökning

Om du stöter på problem när du försöker skapa ett förtroende kan du prova våra tips för felsökning.

  • Lär dig att hantera ett förtroende.
  • Lär dig att felsöka åtkomst till ett förtroende.

Leave a Reply

Din e-postadress kommer inte publiceras.