En esta página, se describen las diversas opciones para conectarse a un Servicio administrado para el dominio de Microsoft Active Directory.
Conéctate a una VM de Windows unida a un dominio con RDP
Puedes conectarte a tu dominio con el protocolo de escritorio remoto (RDP). Por motivos de seguridad, no puedes usar RDP para conectarte directamente a un controlador de dominio. En su lugar, puedes usar RDP para conectarte a una instancia de Compute Engine y, luego, usar las herramientas de administración estándar de AD para trabajar de forma remota con tu dominio de AD.
Después de unir el dominio a la VM de Windows, puedes usar RDP en la consola de Google Cloud para conectarte a la VM de Windows unida al dominio y administrar los objetos de Active Directory.
Soluciona problemas de conexiones de RDP
Si tienes dificultades para conectarte a tu instancia de Windows con RDP, consulta Soluciona problemas de RDP a fin de obtener sugerencias y enfoques para solucionar problemas comunes de RDP.
Resuelve problemas de Kerberos
Si intentas usar Kerberos para tu conexión RDP, pero vuelve a NTLM, es posible que tu configuración no cumpla con los requisitos necesarios.
Para RDP a una VM unida a Managed Microsoft AD con Kerberos, el cliente RDP necesita un ticket emitido para el servidor de destino. Para obtener este ticket, el cliente debe poder realizar las siguientes tareas:
- Determina el nombre principal del servicio (SPN) del servidor. En RDP, el SPN se deriva del nombre de DNS del servidor.
- Contactar al controlador de dominio del dominio al que se une la estación de trabajo del cliente y solicitar un ticket para ese SPN.
Para asegurarte de que el cliente pueda determinar el SPN, agrega un SPN basado en IP al objeto de la computadora del servidor en AD.
Para asegurarte de que el cliente pueda encontrar el controlador de dominio correcto con el que comunicarse, debes realizar una de las siguientes tareas:
- Crea una relación de confianza con tu dominio de AD local. Obtenga más información sobre crear y administrar relaciones de confianza.
- Conéctate desde una estación de trabajo unida a un dominio mediante Cloud VPN o Cloud Interconnect.
Conéctate a una VM Linux unida al dominio
En esta sección, se enumeran algunas de las opciones de código abierto para administrar la interoperación de Active Directory con Linux. Obtén información sobre cómo unir una VM de Linux a un dominio de Microsoft AD administrado.
System Security Services Daemon (SSSD) se une directamente a Active Directory
Puedes usar System Security Services Daemon (SSSD) para administrar la interoperación de Active Directory. Ten en cuenta que SSSD no admite relaciones de confianza entre bosques. Obtén más información sobre SSSD.
Winbind
Puedes usar Winbind para administrar la interoperación de Active Directory. Usa llamadas de procedimiento remoto de Microsoft (MSRPC) para interactuar con Active Directory, que es similar a un cliente de Windows. Winbind admite relaciones de confianza entre bosques. Obtén más información sobre Winbind.
OpenLDAP
OpenLDAP es un conjunto de aplicaciones de LDAP. Algunos proveedores de terceros desarrollaron herramientas privadas de interoperación de Active Directory basadas en OpenLDAP. Obtén más información sobre OpenLDAP.
Conéctate a un dominio mediante confianza
Si crea una relación de confianza entre su dominio local y su dominio de Managed Microsoft AD, puede acceder a sus recursos de AD en Google Cloud como si estuvieran en su dominio local. Aprenda a crear y administrar relaciones de confianza en Managed Microsoft AD.
Conéctate a un dominio con productos de conectividad híbrida
Puedes conectarte a tu dominio de Microsoft AD administrado con productos de conectividad híbrida de Google Cloud, como Cloud VPN o Cloud Interconnect. Puedes configurar la conexión de tu red local o de otra red a una red autorizada del dominio de Microsoft AD administrado.
Antes de comenzar
Únase a su VM de Windows o su VM de Linux al dominio de Managed Microsoft AD.
Conéctate mediante el nombre de dominio
Recomendamos conectarte a un controlador de dominio mediante su nombre de dominio en lugar de su dirección IP, ya que Microsoft AD administrado no proporciona direcciones IP estáticas. Con el nombre de dominio, el proceso del localizador de DC de Active Directory puede encontrar el controlador de dominio por ti, incluso si cambió su dirección IP.
Usa la dirección IP para la resolución DNS
Si usas la dirección IP para conectarte a un dominio, puedes crear una política de DNS entrante en tu red de VPC para que pueda usar los mismos servicios de resolución de nombres que usa Microsoft AD administrado. Microsoft AD administrado usa Cloud DNS para proporcionar una resolución de nombres al dominio de Microsoft AD administrado mediante el intercambio de tráfico de Cloud DNS.
Si quieres usar la política de DNS entrante, debes configurar tus sistemas locales o servidores de nombres para reenviar consultas de DNS a la dirección IP del proxy ubicada en la misma región que el túnel de Cloud VPN o el adjunto de VLAN que conecta tu red local a tu red de VPC. Aprende a crear una política de servidor entrante.
Usa el intercambio de tráfico
Microsoft AD administrado no admite el intercambio de tráfico anidado, por lo que solo las redes que están autorizadas directamente para Active Directory pueden acceder al dominio. Los intercambios de tráfico de la red autorizada no pueden llegar al dominio de Managed Microsoft AD.