Auf dieser Seite werden die verschiedenen Optionen zum Herstellen einer Verbindung zu einem Managed Service for Microsoft Active Directory-Domain beschrieben.
Verbindung zu einer Domain mit Windows-VM über RDP herstellen
Sie können mit Remote Desktop Protocol (RDP) eine Verbindung zu Ihrer Domain herstellen. Aus Sicherheitsgründen können Sie RDP nicht direkt für die Verbindung mit einem Domaincontroller verwenden. Stattdessen können Sie über RDP eine Verbindung zu einer Compute Engine-Instanz herstellen und dann die Standardtools für die AD-Verwaltung verwenden, um remote mit Ihrer AD-Domain zu arbeiten.
Nach dem Domainbeitritt zu Ihrer Windows-VM können Sie RDP in der Google Cloud Console verwenden, um eine Verbindung zu Ihrer in die Domain eingebundenen Windows-VM herzustellen und Active Directory-Objekte zu verwalten.
Fehlerbehebung bei RDP-Verbindungen
Wenn Sie Probleme beim Herstellen einer Verbindung zur Windows-Instanz mit RDP haben, finden Sie unter Fehlerbehebung bei RDP Tipps und Ansätze zur Behebung häufiger RDP-Probleme.
Kerberos-Probleme beheben
Wenn Sie versuchen, Kerberos für Ihre RDP-Verbindung zu verwenden, diese aber auf NTLM zurückfällt, erfüllt Ihre Konfiguration möglicherweise nicht die erforderlichen Anforderungen.
Für den RDP-Status einer Managed Microsoft AD-VM mit Kerberos benötigt der RDP-Client ein Ticket für den Zielserver. Um dieses Ticket zu erhalten, muss der Client in der Lage sein, die folgenden Aufgaben auszuführen:
- Den Service-Principal-Name (SPN) des Servers zu bestimmen. Bei RDP wird der SPN aus dem DNS-Namen des Servers abgeleitet.
- Den Domaincontroller der Domain zu kontaktieren, mit der die Workstation des Clients verbunden ist, und ein Ticket für diesen SPN anzufordern.
Damit der Client den SPN ermitteln kann, fügen Sie dem Computerobjekt des Servers in AD einen IP-basierten SPN hinzu.
Führen Sie eine der folgenden Aufgaben aus, damit der Client den richtigen Domaincontroller finden kann:
- Erstellen Sie eine Vertrauensstellung mit Ihrer lokalen AD-Domain. Weitere Informationen zum Erstellen und Verwalten von Vertrauensstellungen
- Stellen Sie eine Verbindung von einer mit der Domain verbundenen Workstation über Cloud VPN oder Cloud Interconnect her.
Verbindung zu einer Domain mit Linux-VM herstellen
In diesem Abschnitt werden einige der Open-Source-Optionen zum Verwalten der Active Directory-Interaktion mit Linux aufgeführt. Linux-VM mit einer Managed Microsoft AD-Domain verbinden
System Security Services Daemon (SSSD), die direkt mit Active Directory verbunden sind
Sie können System Security Services Daemon (SSSD) verwenden, um die Active Directory-Interaktion zu verwalten. Beachten Sie, dass SSSD keine gesamtstrukturübergreifenden Vertrauensstellungen unterstützt. Mehr über SSSD erfahren
Winbind
Sie können Winbind verwenden, um die Active Directory-Interaktion zu verwalten. Zur Interaktion mit Active Directory wird Microsoft Remote Procedure Calls (MSRPCs) verwendet, was einem Windows-Client ähnelt. Winbind unterstützt gesamtstrukturübergreifende Vertrauensstellungen. Winbind kennenlernen
OpenLDAP
OpenLDAP ist eine Suite von LDAP-Anwendungen. Einige Drittanbieter haben proprietäre Active Directory-Interaktionstools entwickelt, die auf OpenLDAP basieren. Mehr über OpenLDAP erfahren
Verbindung zu einer Domain über Vertrauensstellung herstellen
Wenn Sie eine Vertrauensstellung zwischen Ihrer lokalen Domain und Ihrer verwalteten Microsoft AD-Domain erstellen, können Sie auf Ihre AD-Ressourcen in Google Cloud zugreifen, als ob sie sich in Ihrer lokalen Domain befinden. Erfahren Sie, wie Sie Vertrauensstellungen in verwaltetem Microsoft AD erstellen und verwalten.
Verbindung zu einer Domain mit Hybridkonnektivität herstellen
Sie können mit Google Cloud Hybrid Connectivity-Produkten wie Cloud VPN oder Cloud Interconnect eine Verbindung zu Ihrer Managed Microsoft AD-Domain herstellen. Sie können die Verbindung von Ihrem lokalen oder einem anderen Netzwerk zu einem autorisierten Netzwerk von Managed Microsoft AD-Domains konfigurieren.
Hinweise
Verbinden Sie Ihre Windows-VM oder Ihre Linux-VM mit der Managed Microsoft AD-Domain.
Verbindung über den Domainnamen herstellen
Wir empfehlen, eine Verbindung zu einem Domaincontroller über seinen Domainnamen statt über seine IP-Adresse herzustellen, da Managed Microsoft AD keine statischen IP-Adressen bereitstellt. Mithilfe des Domainnamens kann der Active Directory-DC-Suche-Prozess den Domaincontroller für Sie finden, auch wenn sich seine IP-Adresse geändert hat.
IP-Adresse für die DNS-Auflösung verwenden
Wenn Sie die IP-Adresse verwenden, um eine Verbindung zu einer Domain herzustellen, können Sie in Ihrem VPC-Netzwerk eine DNS-Richtlinie für eingehenden Traffic erstellen, damit es dieselben Namensauflösungsdienste verwenden kann, die Managed Microsoft AD verwendet. Managed Microsoft AD verwendet Cloud DNS, um der Managed Microsoft AD-Domain mithilfe von Cloud DNS-Peering die Namensauflösung bereitzustellen.
Um die eingehende DNS-Richtlinie zu verwenden, müssen Sie Ihre lokalen Systeme oder Nameserver so konfigurieren, dass DNS-Abfragen an die Proxy-IP-Adresse weitergeleitet werden, die sich in derselben Region befinden wie der Cloud VPN-Tunnel oder VLAN-Anhang, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden. Weitere Informationen zum Erstellen einer Richtlinie für eingehende Server
Peerings verwenden
Managed Microsoft AD unterstützt kein verschachteltes Peering, sodass nur Netzwerke, die direkt für Active Directory autorisiert sind, auf die Domain zugreifen können. Peers des autorisierten Netzwerks können die Managed Microsoft AD-Domain nicht erreichen.