Halaman ini diterjemahkan oleh Cloud Translation API.

Menghubungkan ke domain Microsoft AD Terkelola

Halaman ini menjelaskan berbagai opsi untuk terhubung ke domain Layanan Terkelola untuk Microsoft Active Directory.

Menghubungkan ke VM Windows yang tergabung ke domain dengan RDP

Anda dapat terhubung ke domain dengan Remote Desktop Protocol (RDP). Karena alasan keamanan, Anda tidak dapat menggunakan RDP untuk terhubung langsung ke pengontrol domain. Sebagai gantinya, Anda dapat menggunakan RDP untuk terhubung ke instance Compute Engine, lalu menggunakan alat pengelolaan AD standar untuk bekerja dari jarak jauh dengan domain AD Anda.

Setelah bergabung ke domain di VM Windows, Anda dapat menggunakan RDP di konsol Google Cloud untuk terhubung ke VM Windows yang tergabung ke domain dan mengelola objek Active Directory.

Memecahkan masalah koneksi RDP

Jika Anda mengalami kesulitan untuk terhubung ke instance Windows dengan RDP, lihat Memecahkan masalah RDP untuk mengetahui tips dan pendekatan guna memecahkan masalah dan menyelesaikan masalah RDP umum.

Menyelesaikan masalah Kerberos

Jika Anda mencoba menggunakan Kerberos untuk koneksi RDP, tetapi kembali ke NTLM, konfigurasi Anda mungkin tidak memenuhi persyaratan yang diperlukan.

Untuk melakukan RDP ke VM yang bergabung dengan Microsoft AD Terkelola menggunakan Kerberos, klien RDP memerlukan tiket yang dikeluarkan untuk server target. Untuk mendapatkan tiket ini, klien harus dapat melakukan tugas berikut:

Tentukan nama utama layanan (SPN) server. Untuk RDP, SPN berasal dari nama DNS server.
Hubungi pengontrol domain dari domain tempat workstation klien tergabung dan minta tiket untuk SPN tersebut.

Untuk memastikan klien dapat menentukan SPN, tambahkan SPN berbasis IP ke objek komputer server di AD.

Untuk memastikan klien dapat menemukan pengontrol domain yang tepat untuk dihubungi, Anda harus melakukan salah satu tugas berikut:

Buat hubungan kepercayaan dengan domain AD lokal Anda. Pelajari lebih lanjut cara membuat dan mengelola kepercayaan.
Menghubungkan dari workstation yang tergabung dalam domain menggunakan Cloud VPN atau Cloud Interconnect.

Menghubungkan ke VM Linux yang tergabung ke domain

Bagian ini mencantumkan beberapa opsi open source untuk mengelola interoperabilitas Active Directory dengan Linux. Pelajari cara bergabung ke VM Linux ke domain Microsoft AD Terkelola.

System Security Services Daemon (SSSD) bergabung langsung ke Active Directory

Anda dapat menggunakan System Security Services Daemon (SSSD) untuk mengelola interoperabilitas Active Directory. Perhatikan bahwa SSSD tidak mendukung kepercayaan lintas-hutan. Pelajari SSSD.

Winbind

Anda dapat menggunakan Winbind untuk mengelola interoperabilitas Active Directory. Layanan ini menggunakan Panggilan Prosedur Jarak Jauh Microsoft (MSRPC) untuk berinteraksi dengan Active Directory, yang mirip dengan klien Windows. Winbind mendukung kepercayaan lintas-forest. Pelajari Winbind.

OpenLDAP

OpenLDAP adalah rangkaian aplikasi LDAP. Beberapa penyedia pihak ketiga telah mengembangkan alat interoperabilitas Active Directory eksklusif berdasarkan OpenLDAP. Pelajari OpenLDAP.

Menghubungkan ke domain menggunakan kepercayaan

Jika membuat kepercayaan antara domain lokal dan domain Microsoft AD Terkelola, Anda dapat mengakses resource AD di Google Cloud seolah-olah berada di domain lokal. Pelajari cara membuat dan mengelola kepercayaan di Microsoft AD Terkelola.

Menghubungkan ke domain dengan produk Konektivitas Hybrid

Anda dapat terhubung ke Managed Microsoft AD domain dengan produk Konektivitas Hybrid Google Cloud, seperti Cloud VPN atau Cloud Interconnect. Anda dapat mengonfigurasi koneksi dari jaringan lokal atau jaringan lainnya ke jaringan domain Microsoft AD Terkelola yang diotorisasi.

Sebelum memulai

Buat domain Microsoft AD Terkelola.
Gabungkan VM Windows atau VM Linux ke domain Microsoft AD Terkelola.

Menghubungkan menggunakan nama domain

Sebaiknya hubungkan ke pengontrol domain menggunakan nama domainnya, bukan alamat IP-nya karena Managed Microsoft AD tidak menyediakan alamat IP statis. Dengan menggunakan nama domain, proses pencari DC Active Directory dapat menemukan pengontrol domain untuk Anda, meskipun alamat IP-nya telah berubah.

Menggunakan alamat IP untuk resolusi DNS

Jika menggunakan alamat IP untuk terhubung ke domain, Anda dapat membuat kebijakan DNS masuk di jaringan VPC agar dapat menggunakan layanan resolusi nama yang sama dengan yang digunakan Managed Microsoft AD. Microsoft AD Terkelola menggunakan Cloud DNS untuk menyediakan resolusi nama ke domain Microsoft AD Terkelola menggunakan peering Cloud DNS.

Untuk menggunakan kebijakan DNS masuk, Anda harus mengonfigurasi sistem atau server nama lokal untuk meneruskan kueri DNS ke alamat IP proxy yang berada di region yang sama dengan tunnel Cloud VPN atau lampiran VLAN yang menghubungkan jaringan lokal ke jaringan VPC. Pelajari cara membuat kebijakan server masuk.

Menggunakan peering

Managed Microsoft AD tidak mendukung peering bertingkat, sehingga hanya jaringan yang diberi otorisasi langsung untuk Active Directory yang dapat mengakses domain. Peer jaringan resmi tidak dapat menjangkau domain Microsoft AD Terkelola.