Cette page décrit les différentes options disponibles pour se connecter à un domaine du service géré pour Microsoft Active Directory.
Se connecter à une VM Windows jointe à un domaine avec RDP
Vous pouvez vous connecter à votre domaine à l'aide du protocole RDP (Remote Desktop Protocol). Pour des raisons de sécurité, vous ne pouvez pas utiliser RDP pour vous connecter directement à un contrôleur de domaine. À la place, vous pouvez utiliser RDP pour vous connecter à une instance Compute Engine, puis utiliser les outils de gestion AD standards pour travailler à distance avec votre domaine AD.
Une fois que vous avez joint votre domaine à votre VM Windows, vous pouvez utiliser RDP dans la console Google Cloud pour vous connecter à la VM Windows jointe à un domaine et gérer vos objets Active Directory.
Résoudre les problèmes liés aux connexions RDP
Si vous rencontrez des difficultés pour vous connecter à votre instance Windows avec RDP, consultez la section Dépannage de RDP pour obtenir des conseils et découvrir des approches pour dépanner et résoudre les problèmes RDP courants.
Résoudre les problèmes Kerberos
Si vous essayez d'utiliser Kerberos pour votre connexion RDP, mais qu'il rebascule vers NTLM, il est possible que votre configuration ne réponde pas aux exigences nécessaires.
Pour se connecter en RDP à l'aide de Kerberos à une VM jointe à un domaine Microsoft AD géré, le client RDP a besoin d'un ticket émis pour le serveur cible. Pour obtenir ce ticket, le client doit pouvoir effectuer les tâches suivantes:
- Déterminer le nom principal du service (SPN) du serveur : pour RDP, le SPN est dérivé du nom DNS du serveur.
- Contacter le contrôleur du domaine auquel le poste de travail du client est joint et demander un ticket pour ce SPN.
Pour vous assurer que le client peut déterminer le SPN, ajoutez un SPN basé sur l'adresse IP à l'objet informatique du serveur dans AD.
Pour vous assurer que le client peut trouver le bon contrôleur de domaine à contacter, vous devez effectuer l'une des tâches suivantes:
- Créez une relation d'approbation avec votre domaine AD sur site. En savoir plus sur la création et la gestion des approbations
- Connectez-vous depuis un poste de travail associé à un domaine à l'aide de Cloud VPN ou de Cloud Interconnect.
Se connecter à une VM Linux jointe à un domaine
Cette section répertorie certaines des options Open Source permettant de gérer l'interopérabilité d'Active Directory avec Linux. Découvrez comment joindre une VM Linux à un domaine Microsoft AD géré.
Daemon SSSD (System Security Services Daemon) directement joint à Active Directory
Vous pouvez utiliser le daemon System Security Services (SSSD) pour gérer l'interopérabilité avec Active Directory. Notez que SSSD ne gère pas les approbations inter-forêts. En savoir plus sur SSSD.
Winbind
Vous pouvez utiliser Winbind pour gérer l'interopérabilité avec Active Directory. Winbind utilise les appels de procédure à distance Microsoft (MSRPC) pour interagir avec Active Directory, ce qui est similaire au fonctionnement d'un client Windows. Winbind est compatible avec les approbations interforêts. En savoir plus sur Winbind.
OpenLDAP
OpenLDAP est une suite d'applications LDAP. Certains fournisseurs tiers ont développé des outils propriétaires d'interopérabilité avec Active Directory basés sur OpenLDAP. En savoir plus sur OpenLDAP.
Se connecter à un domaine à l'aide de l'approbation
Si vous créez une approbation entre votre domaine local et votre domaine Microsoft AD géré, vous pouvez accéder à vos ressources AD hébergées dans Google Cloud comme si elles se trouvaient dans votre domaine local. Découvrez comment créer et gérer des approbations dans le service Microsoft AD géré.
Se connecter à un domaine avec des produits de connectivité hybride
Vous pouvez vous connecter à votre domaine Microsoft AD géré à l'aide de produits de connectivité hybride Google Cloud, tels que Cloud VPN ou Cloud Interconnect. Vous pouvez configurer la connexion depuis votre réseau local ou autre vers un réseau autorisé du domaine Microsoft AD géré.
Avant de commencer
Joignez votre VM Windows ou votre VM Linux au domaine Microsoft AD géré.
Se connecter à l'aide d'un nom de domaine
Nous vous recommandons de vous connecter à un contrôleur de domaine à l'aide de son nom de domaine plutôt que de son adresse IP, car le service Microsoft AD géré ne fournit pas d'adresses IP statiques. Grâce au nom de domaine, le processus de localisation de contrôleurs de domaine Active Directory peut trouver le contrôleur de domaine à votre place, même si son adresse IP a changé.
Utiliser l'adresse IP pour la résolution DNS
Si vous utilisez l'adresse IP pour vous connecter à un domaine, vous pouvez créer une règle DNS entrante sur votre réseau VPC afin qu'elle puisse utiliser les mêmes services de résolution de noms que ceux utilisés par le service Microsoft AD géré. Le service Microsoft AD géré utilise Cloud DNS pour fournir une résolution de nom au domaine Microsoft AD géré à l'aide de l'appairage Cloud DNS.
Pour utiliser la règle DNS entrante, vous devez configurer vos systèmes sur site ou vos serveurs de noms afin de transférer les requêtes DNS à l'adresse IP du proxy située dans la même région que le tunnel Cloud VPN ou le rattachement de VLAN qui connecte votre réseau sur site à votre réseau VPC. En savoir plus sur la création d'une règle de serveur entrant.
Utiliser des appairages
Le service Microsoft AD géré n'est pas compatible avec l'appairage imbriqué, de sorte que seuls les réseaux directement autorisés pour Active Directory peuvent accéder au domaine. Les réseaux appairés au réseau autorisé ne peuvent pas accéder au domaine Microsoft AD géré.