Se connecter à un domaine Microsoft AD géré

Cette page décrit les différentes options disponibles pour se connecter à un domaine du service géré pour Microsoft Active Directory.

Se connecter à une VM Windows jointe à un domaine avec RDP

Vous pouvez vous connecter à votre domaine à l'aide du protocole RDP (Remote Desktop Protocol). Pour des raisons de sécurité, vous ne pouvez pas utiliser RDP pour vous connecter directement à un contrôleur de domaine. Au lieu de cela, vous pouvez utiliser RDP pour vous connecter à une instance Compute Engine, puis utiliser les outils de gestion AD standard afin de travailler à distance avec votre domaine AD.

Une fois que vous avez joint votre VM Windows à un domaine, vous pouvez utiliser RDP dans la console Google Cloud pour vous connecter à votre VM Windows jointe au domaine et gérer vos objets Active Directory.

Résoudre les problèmes liés aux connexions RDP

Si vous rencontrez des difficultés pour vous connecter à votre instance Windows avec RDP, consultez la section Dépannage de RDP pour obtenir des conseils et des approches permettant de dépanner et résoudre les problèmes courants avec RDP.

Résoudre les problèmes Kerberos

Si vous essayez d'utiliser Kerberos pour votre connexion RDP, mais qu'il rebascule vers NTLM, il est possible que votre configuration ne réponde pas aux exigences nécessaires.

Pour se connecter en RDP à l'aide de Kerberos à une VM jointe à un domaine Microsoft AD géré, le client RDP a besoin d'un ticket émis pour le serveur cible. Pour obtenir ce ticket, le client doit pouvoir effectuer les tâches suivantes:

  • Déterminer le nom principal du service (SPN) du serveur : pour RDP, le SPN est dérivé du nom DNS du serveur.
  • Contacter le contrôleur du domaine auquel le poste de travail du client est joint et demander un ticket pour ce SPN.

Pour vous assurer que le client peut correctement déterminer le SPN, ajoutez un SPN basé sur IP à l'objet ordinateur du serveur dans AD.

Pour vous assurer que le client peut trouver le bon contrôleur de domaine à contacter, vous devez effectuer l'une des tâches suivantes:

Se connecter à une VM Linux jointe à un domaine

Cette section répertorie certaines des options Open Source permettant de gérer l'interopérabilité d'Active Directory avec Linux. Découvrez comment joindre une VM Linux à un domaine Microsoft AD géré.

Daemon SSSD (System Security Services Daemon) directement joint à Active Directory

Vous pouvez utiliser le daemon System Security Services (SSSD) pour gérer l'interopérabilité avec Active Directory. Notez que SSSD ne gère pas les approbations inter-forêts. En savoir plus sur SSSD.

Winbind

Vous pouvez utiliser Winbind pour gérer l'interopérabilité avec Active Directory. Winbind utilise les appels de procédure à distance Microsoft (MSRPC) pour interagir avec Active Directory, ce qui est similaire au fonctionnement d'un client Windows. Winbind est compatible avec les approbations interforêts. En savoir plus sur Winbind.

OpenLDAP

OpenLDAP est une suite d'applications LDAP. Certains fournisseurs tiers ont développé des outils propriétaires d'interopérabilité avec Active Directory basés sur OpenLDAP. En savoir plus sur OpenLDAP.

Se connecter à un domaine à l'aide de l'approbation

Si vous créez une approbation entre votre domaine local et votre domaine Microsoft AD géré, vous pouvez accéder à vos ressources AD hébergées dans Google Cloud comme si elles se trouvaient dans votre domaine local. Découvrez comment créer et gérer des approbations dans le service Microsoft AD géré.

Se connecter à un domaine avec des produits de connectivité hybride

Vous pouvez vous connecter à votre domaine Microsoft AD géré à l'aide de produits de connectivité hybride Google Cloud, tels que Cloud VPN ou Cloud Interconnect. Vous pouvez configurer la connexion depuis votre réseau local ou autre vers un réseau autorisé du domaine Microsoft AD géré.

Avant de commencer

Se connecter à l'aide d'un nom de domaine

Nous vous recommandons de vous connecter à un contrôleur de domaine en utilisant son nom de domaine plutôt que son adresse IP, car le service Microsoft AD géré ne fournit pas d'adresses IP statiques. Si vous utilisez le nom de domaine, le processus de localisation de contrôleurs de domaine Active Directory peut trouver le contrôleur de domaine pour vous, même si son adresse IP a changé.

Utiliser l'adresse IP pour la résolution DNS

Si vous utilisez l'adresse IP pour vous connecter à un domaine, vous pouvez créer une règle DNS entrante sur votre réseau VPC afin qu'il puisse utiliser les mêmes services de résolution de noms que ceux exploités par le service Microsoft AD géré. Le service Microsoft AD géré utilise Cloud DNS pour assurer la résolution de noms pour le domaine Microsoft AD géré à l'aide de l'appairage Cloud DNS.

Pour utiliser la règle DNS entrante, vous devez configurer vos systèmes sur site ou vos serveurs de noms afin de transférer les requêtes DNS à l'adresse IP du proxy située dans la même région que le tunnel Cloud VPN ou le rattachement de VLAN qui connecte votre réseau sur site à votre réseau VPC. En savoir plus sur la création d'une règle de serveur entrant.

Utiliser des appairages

Le service Microsoft AD géré n'est pas compatible avec l'appairage imbriqué, de sorte que seuls les réseaux directement autorisés pour Active Directory peuvent accéder au domaine. Les réseaux appairés au réseau autorisé ne peuvent pas accéder au domaine Microsoft AD géré.