Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Verbindung zu einer verwalteten Microsoft AD-Domain herstellen

Auf dieser Seite werden die verschiedenen Optionen zum Herstellen einer Verbindung zu einem Managed Service for Microsoft Active Directory-Domain beschrieben.

Verbindung zu einer Domain mit Windows-VM über RDP herstellen

Sie können mit Remote Desktop Protocol (RDP) eine Verbindung zu Ihrer Domain herstellen. Aus Sicherheitsgründen können Sie RDP nicht direkt für die Verbindung mit einem Domaincontroller verwenden. Sie können stattdessen mit RDP eine Verbindung zu einer Compute Engine-Instanz herstellen und dann die standardmäßigen AD-Verwaltungstools nutzen, um mit Ihrer AD-Domain zu arbeiten.

Nach dem Domänenbeitritt zu Ihrer Windows-VM können Sie RDP in der Cloud Console verwenden, um eine Verbindung zu Ihrer domänenverbundenen Windows-VM herzustellen und Ihre Active Directory-Objekte zu verwalten.

Fehlerbehebung bei RDP-Verbindungen

Wenn Sie Probleme beim Herstellen einer Verbindung zu Ihrer Windows-Instanz mit RDP haben, finden Sie unter Fehlerbehebung bei RDP Tipps und Ansätze zur Fehlerbehebung und Behebung häufiger RDP-Probleme.

Kerberos-Probleme beheben

Wenn Sie versuchen, Kerberos für Ihre RDP-Verbindung zu verwenden, diese aber auf NTLM zurückfällt, erfüllt Ihre Konfiguration möglicherweise nicht die erforderlichen Anforderungen.

Für den RDP-Status einer Managed Microsoft AD-VM mit Kerberos benötigt der RDP-Client ein Ticket für den Zielserver. Um dieses Ticket zu erhalten, muss der Kunde in der Lage sein:

  • Den Service-Principal-Name (SPN) des Servers zu bestimmen. Bei RDP wird der SPN aus dem DNS-Namen des Servers abgeleitet.
  • Den Domaincontroller der Domain zu kontaktieren, mit der die Workstation des Clients verbunden ist, und ein Ticket für diesen SPN anzufordern.

Damit der Client den SPN ermitteln kann, fügen Sie dem Computerobjekt des Servers in AD einen IP-basierten SPN hinzu.

Damit der Client den richtigen Domaincontroller finden kann, müssen Sie einen der folgenden Schritte ausführen:

Verbindung zu einer Domain mit Linux-VM herstellen

In diesem Abschnitt werden einige der Open-Source-Optionen zum Verwalten der Active Directory-Interaktion mit Linux aufgeführt. Linux-VM mit einer Managed Microsoft AD-Domain verbinden

System Security Services Daemon (SSSD), die direkt mit Active Directory verbunden sind

Sie können System Security Services Daemon (SSSD) verwenden, um die Active Directory-Interaktion zu verwalten. Beachten Sie, dass SSSD keine gesamtstrukturübergreifenden Vertrauensstellungen unterstützt. Mehr über SSSD erfahren

Winbind

Sie können Winbind verwenden, um die Active Directory-Interaktion zu verwalten. Zur Interaktion mit Active Directory wird Microsoft Remote Procedure Calls (MSRPCs) verwendet, was einem Windows-Client ähnelt. Winbind unterstützt gesamtstrukturübergreifende Vertrauensstellungen. Winbind kennenlernen

OpenLDAP

OpenLDAP ist eine Suite von LDAP-Anwendungen. Einige Drittanbieter haben proprietäre Active Directory-Interaktionstools entwickelt, die auf OpenLDAP basieren. Mehr über OpenLDAP erfahren

Verbindung zu einer Domain über Vertrauensstellung herstellen

Wenn Sie eine Vertrauensstellung zwischen Ihrer lokalen Domain und Ihrer verwalteten Microsoft AD-Domain erstellen, können Sie auf Ihre AD-Ressourcen in Google Cloud zugreifen, als ob sie sich in Ihrer lokalen Domain befinden. Erfahren Sie, wie Sie Vertrauensstellungen in verwaltetem Microsoft AD erstellen und verwalten.

Verbindung zu einer Domain mit Hybridkonnektivität herstellen

Sie können mit Google Cloud Hybrid Connectivity-Produkten wie Cloud VPN oder Cloud Interconnect eine Verbindung zu Ihrer Managed Microsoft AD-Domain herstellen. Sie können die Verbindung von Ihrem lokalen oder einem anderen Netzwerk zu einem autorisierten Netzwerk von Managed Microsoft AD-Domains konfigurieren.

Hinweis

Verbindung über den Domainnamen herstellen

Wir empfehlen, die Verbindung zu einem Domaincontroller mit ihrem Domainnamen statt mit ihrer Adresse herzustellen, da Managed Microsoft AD keine statischen IP-Adressen bereitstellt. Anhand des Namens kann der Active Directory-DC-Locator-Prozess den Domaincontroller für Sie ermitteln, selbst wenn sich die IP-Adresse geändert hat.

IP-Adresse für die DNS-Auflösung verwenden

Wenn Sie die Verbindung über die IP-Adresse herstellen müssen, können Sie eine eingehende DNS-Richtlinie in Ihrem VPC-Netzwerk erstellen, damit diese die gleichen Namensauflösungsdienste verwenden kann, die Managed Microsoft AD verwendet. Managed Microsoft AD verwendet Cloud DNS, um die Namensauflösung für Managed Microsoft AD-Domains mithilfe von Cloud DNS-Peering bereitzustellen.

Um die eingehende DNS-Richtlinie zu verwenden, müssen Sie Ihre lokalen Systeme oder Nameserver so konfigurieren, dass DNS-Abfragen an die Proxy-IP-Adresse weitergeleitet werden, die sich in derselben Region befinden wie der Cloud VPN-Tunnel oder VLAN-Anhang, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden. Weitere Informationen zum Erstellen einer Richtlinie für eingehende Server

Peerings verwenden

Managed Microsoft AD unterstützt kein verschachteltes Peering, sodass nur Netzwerke, die direkt für Active Directory autorisiert sind, auf die Domain zugreifen können. Peers des autorisierten Netzwerks können die Managed Microsoft AD-Domain nicht erreichen.