Conéctate a un dominio de Microsoft AD administrado

En esta página, se describen las diversas opciones para conectarse a un Servicio administrado para el dominio de Microsoft Active Directory.

Conéctate a una VM de Windows unida a un dominio con RDP

Puedes conectarte a tu dominio con el protocolo de escritorio remoto (RDP). Por motivos de seguridad, no puedes usar RDP para conectarte directamente a un controlador de dominio. En su lugar, puedes usar RDP para conectarte a una instancia de Compute Engine y, luego, usar las herramientas de administración de AD estándar para trabajar de forma remota con tu dominio de AD.

Después de unirse al dominio de tu VM de Windows, puedes usar RDP en la consola de Google Cloud para conectarte a tu VM de Windows unida al dominio y administrar tus objetos de Active Directory.

Soluciona problemas de conexiones de RDP

Si tienes dificultades para conectarte a tu instancia de Windows con RDP, consulta Solución de problemas de RDP para obtener sugerencias y enfoques que te permitan solucionar problemas comunes de RDP.

Resuelve problemas de Kerberos

Si intentas usar Kerberos para tu conexión RDP, pero vuelve a NTLM, es posible que tu configuración no cumpla con los requisitos necesarios.

Para RDP a una VM unida a Managed Microsoft AD con Kerberos, el cliente RDP necesita un ticket emitido para el servidor de destino. Para obtener este boleto, el cliente debe poder realizar las siguientes tareas:

  • Determina el nombre principal del servicio (SPN) del servidor. En RDP, el SPN se deriva del nombre de DNS del servidor.
  • Contactar al controlador de dominio del dominio al que se une la estación de trabajo del cliente y solicitar un ticket para ese SPN.

Para garantizar que el cliente pueda determinar la SPN, agrega un SPN basado en IP al objeto de computadora del servidor en AD.

Para garantizar que el cliente pueda encontrar el controlador de dominio correcto para comunicarse, debes realizar una de las siguientes tareas:

Conéctate a una VM Linux unida al dominio

En esta sección, se enumeran algunas de las opciones de código abierto para administrar la interoperación de Active Directory con Linux. Obtén información sobre cómo unir una VM de Linux a un dominio de Microsoft AD administrado.

System Security Services Daemon (SSSD) se une directamente a Active Directory

Puedes usar System Security Services Daemon (SSSD) para administrar la interoperación de Active Directory. Ten en cuenta que SSSD no admite relaciones de confianza entre bosques. Obtén más información sobre SSSD.

Winbind

Puedes usar Winbind para administrar la interoperación de Active Directory. Usa llamadas de procedimiento remoto de Microsoft (MSRPC) para interactuar con Active Directory, que es similar a un cliente de Windows. Winbind admite relaciones de confianza entre bosques. Obtén más información sobre Winbind.

OpenLDAP

OpenLDAP es un conjunto de aplicaciones de LDAP. Algunos proveedores de terceros desarrollaron herramientas privadas de interoperación de Active Directory basadas en OpenLDAP. Obtén más información sobre OpenLDAP.

Conéctate a un dominio con una relación de confianza

Si crea una relación de confianza entre su dominio local y su dominio de Managed Microsoft AD, puede acceder a sus recursos de AD en Google Cloud como si estuvieran en su dominio local. Aprenda a crear y administrar relaciones de confianza en Managed Microsoft AD.

Conéctate a un dominio con productos de conectividad híbrida

Puedes conectarte a tu dominio de Microsoft AD administrado con productos de conectividad híbrida de Google Cloud, como Cloud VPN o Cloud Interconnect. Puedes configurar la conexión de tu red local o de otra red a una red autorizada del dominio de Microsoft AD administrado.

Antes de comenzar

Conéctate mediante el nombre de dominio

Recomendamos que te conectes a un controlador de dominio mediante su nombre de dominio en lugar de su dirección IP, ya que Microsoft AD administrado no proporciona direcciones IP estáticas. Con el nombre de dominio, el proceso del localizador de DC de Active Directory puede encontrar el controlador de dominio por ti, incluso si cambió la dirección IP.

Usa la dirección IP para la resolución DNS

Si usas la dirección IP para conectarte a un dominio, puedes crear una política de DNS entrante en tu red de VPC para que pueda usar los mismos servicios de resolución de nombres que usa Managed Microsoft AD. Microsoft AD administrado usa Cloud DNS para proporcionar resolución de nombres al dominio de Microsoft AD administrado con intercambio de tráfico de Cloud DNS.

Si quieres usar la política de DNS entrante, debes configurar tus sistemas locales o servidores de nombres para reenviar consultas de DNS a la dirección IP del proxy ubicada en la misma región que el túnel de Cloud VPN o el adjunto de VLAN que conecta tu red local a tu red de VPC. Aprende a crear una política de servidor entrante.

Usa el intercambio de tráfico

Microsoft AD administrado no admite el intercambio de tráfico anidado, por lo que solo las redes que están autorizadas directamente para Active Directory pueden acceder al dominio. Los intercambios de tráfico de la red autorizada no pueden llegar al dominio de Managed Microsoft AD.