连接到托管式 Microsoft AD 网域

本页面介绍连接到 Managed Service for Microsoft Active Directory 网域的各种选项。

使用 RDP 连接到加入网域的 Windows 虚拟机

您可以使用远程桌面协议 (RDP) 连接到网域。出于安全原因,您无法使用 RDP 直接连接到网域控制器。不过,您可以使用 RDP 连接到 Compute Engine 实例,然后使用标准的 AD 管理工具与 AD 网域远程协作。

将 Windows 虚拟机加入网域后,您可以在 Google Cloud 控制台中使用 RDP 连接到加入网域的 Windows 虚拟机管理 Active Directory 对象

RDP 连接问题排查

如果您在使用 RDP 连接 Windows 实例时遇到问题,请参阅 RDP 问题排查,以获取排查和解决常见 RDP 问题的提示和方法。

解决 Kerberos 问题

如果您尝试将 Kerberos 用于 RDP 连接,但是它回退到 NTLM,则您的配置可能未满足必要的要求。

要使用 Kerberos 通过 RDP 连接到加入了托管式 Microsoft AD 的虚拟机,RDP 客户端需要为目标服务器颁发的票据。要获得此票据,客户端必须能够执行以下任务:

  • 确定服务器的服务主体名称 (SPN)。对于 RDP,SPN 来自服务器的 DNS 名称。
  • 与客户端工作站加入的网域的网域控制器联系,并请求该 SPN 的票据。

为了确保客户端可以确定 SPN,请在 AD 中将基于 IP 的 SPN 添加到服务器的计算机对象中。

为确保客户端可以找到正确的网域控制器进行联系,您必须执行以下任务之一:

连接到加入网域的 Linux 虚拟机

本部分列出了一些管理 Active Directory 与 Linux 之间的交互操作的开源选项。了解如何将 Linux 虚拟机加入托管式 Microsoft AD 网域

直接加入 Active Directory 的系统安全服务守护进程 (SSSD)

您可以使用系统安全服务守护进程 (SSSD) 来管理 Active Directory 互操作。请注意,SSSD 不支持跨林信任。了解 SSSD

Winbind

您可以使用 Winbind 来管理 Active Directory 互操作。它使用 Microsoft 远程过程调用 (MSRPC) 与 Active Directory 进行交互,类似于 Windows 客户端。Winbind 支持跨林信任。了解 Winbind

OpenLDAP

OpenLDAP 是一套 LDAP 应用。一些第三方提供商已开发了专有的基于 OpenLDAP 的 Active Directory 互操作工具。了解 OpenLDAP

使用信任连接到网域

如果您在本地网域和托管式 Microsoft AD 网域之间创建了信任,您可以访问 Google Cloud中的 AD 资源,就像它们在本地网域中一样。了解如何在托管式 Microsoft AD 中创建和管理信任关系

使用混合连接产品连接到网域

您可以使用 Google Cloud 混合连接产品(例如 Cloud VPN 或 Cloud Interconnect)来连接到托管式 Microsoft AD 网域。您可以配置从本地或其他网络到 Managed Microsoft AD 网域的授权网络的连接。

准备工作

使用域名连接

我们建议使用域名而不是 IP 地址连接到网域控制器,因为托管式 Microsoft AD 不提供静态 IP 地址。如果使用域名,即使网域控制器的 IP 地址发生变化,Active Directory DC 定位器进程也可以找到它。

使用 IP 地址进行 DNS 解析

如果您使用 IP 地址连接到网域,则可以在 VPC 网络上创建入站 DNS 政策,以便它可以使用与托管式 Microsoft AD 相同的名称解析服务。托管式 Microsoft AD 使用 Cloud DNS 为使用 Cloud DNS 对等互连的托管式 Microsoft AD 网域提供名称解析。

如需使用入站 DNS 政策,您必须配置本地系统或域名服务器,将 DNS 查询转发到与 Cloud VPN 隧道或 VLAN 连接位于同一区域的代理 IP 地址将您的本地网络连接到您的 VPC 网络。了解如何创建入站服务器政策

使用对等互连

托管式 Microsoft AD 不支持嵌套对等互连,因此只有直接获得 Active Directory 授权的网络才能访问网域。已获授权的网络的对等互连网络无法访问托管式 Microsoft AD 网域。