Connettiti a un dominio Microsoft AD gestito

Questa pagina descrive le varie opzioni per connettersi a un dominio Managed Service for Microsoft Active Directory.

Connessione a una VM Windows con dominio unito tramite RDP

Puoi connetterti al tuo dominio con il protocollo Remote Desktop Protocol (RDP). Per motivi di sicurezza, non puoi utilizzare RDP per connetterti direttamente a un controller di dominio. Invece, puoi utilizzare RDP per connetterti a un'istanza Compute Engine e poi utilizzare gli strumenti di gestione AD standard per lavorare da remoto con il tuo dominio AD.

Dopo aver aggiunto la VM Windows al dominio, puoi utilizzare RDP nella console Google Cloud per collegarti alla VM Windows aggiunto al dominio e gestire gli oggetti Active Directory.

Risoluzione dei problemi di connessione RDP

Se hai difficoltà a connetterti all'istanza Windows con RDP, consulta la sezione Risoluzione dei problemi RDP per suggerimenti e approcci per la risoluzione dei problemi RDP comuni.

Risolvere i problemi di Kerberos

Se provi a utilizzare Kerberos per la connessione RDP, ma viene eseguito il fallback a NTLM, la tua configurazione potrebbe non soddisfare i requisiti necessari.

Per eseguire RDP su una VM associata a Microsoft AD gestito utilizzando Kerberos, il client RDP necessita di un ticket emesso per il server di destinazione. Per ottenere questo ticket, il cliente deve essere in grado di svolgere le seguenti attività:

  • Determina il nome entità servizio (SPN) del server. Per RDP, l'SPN è ricavato dal nome DNS del server.
  • Contatta il controller di dominio del dominio a cui è associata la stazione di lavoro del cliente e richiedi un ticket per l'SPN.

Per assicurarti che il client possa determinare l'SPN, aggiungi un SPN basato su IP all'oggetto computer del server in AD.

Per assicurarti che il cliente possa trovare il controller di dominio giusto da contattare, devi eseguire una delle seguenti attività:

Connessione a una VM Linux unita al dominio

Questa sezione elenca alcune delle opzioni open source per la gestione dell'interoperabilità di Active Directory con Linux. Scopri come connettere una VM Linux a un dominio Microsoft AD gestito.

Il daemon System Security Services (SSSD) è stato unito direttamente ad Active Directory

Puoi utilizzare SSSD (System Security Services Daemon) per gestire l'interoperabilità di Active Directory. Tieni presente che SSSD non supporta le relazioni di attendibilità tra foreste. Scopri di più su SSSD.

Winbind

Puoi utilizzare Winbind per gestire l'interoperabilità di Active Directory. Utilizza le chiamate di procedura remota (MSRPC) di Microsoft per interagire con Active Directory, che è simile a un client Windows. Winbind supporta le relazioni di attendibilità tra foreste. Scopri di più su Winbind.

OpenLDAP

OpenLDAP è una suite di applicazioni LDAP. Alcuni provider di terze parti hanno sviluppato strumenti proprietari di interoperabilità di Active Directory basati su OpenLDAP. Scopri di più su OpenLDAP.

Connessione a un dominio tramite la relazione di trust

Se crei una relazione di attendibilità tra il tuo dominio on-premise e il tuo dominio AD Microsoft gestito, puoi accedere alle risorse AD in Google Cloud come se si trovassero nel tuo dominio on-premise. Scopri come creare e gestire le attendibilità in AD Microsoft gestito.

Connessione a un dominio con i prodotti di connettività ibrida

Puoi connetterti al tuo dominio Microsoft AD gestito con i prodotti di connettività ibrida di Google Cloud, come Cloud VPN o Cloud Interconnect. Puoi configurare la connessione dalla tua rete on-premise o da un'altra rete a una rete autorizzata del dominio Microsoft AD gestito.

Prima di iniziare

Connessione utilizzando il nome di dominio

Ti consigliamo di connetterti a un controller di dominio utilizzando il relativo nome di dominio anziché il suo indirizzo IP, perché AD di Microsoft gestito non fornisce indirizzi IP statici. Utilizzando il nome di dominio, il processo di ricerca del controller di dominio di Active Directory può trovare il controller di dominio per te, anche se il relativo indirizzo IP è cambiato.

Utilizzo dell'indirizzo IP per la risoluzione DNS

Se utilizzi l'indirizzo IP per connetterti a un dominio, puoi creare un criterio DNS in entrata sulla tua rete VPC in modo che possa utilizzare gli stessi servizi di risoluzione dei nomi utilizzati da Microsoft Active Directory gestito. Microsoft Active Directory gestito utilizza Cloud DNS per fornire la risoluzione dei nomi al dominio Microsoft Active Directory gestito utilizzando il peering Cloud DNS.

Per utilizzare il criterio DNS in entrata, devi configurare i sistemi on-premise o i server dei nomi in modo da inoltrare le query DNS all'indirizzo IP del proxy situato nella stessa regione del tunnel Cloud VPN o del collegamento VLAN che connette la tua rete on-premise alla rete VPC. Scopri di più sulla creazione di un criterio del server in entrata.

Utilizzo dei peering

Microsoft AD gestito non supporta il peering nidificato, pertanto solo le reti autorizzate direttamente per Active Directory possono accedere al dominio. I peer della rete autorizzata non riescono a raggiungere il dominio Microsoft AD gestito.