Halaman ini menjelaskan berbagai opsi untuk menghubungkan ke Layanan Terkelola untuk domain Microsoft Active Directory.
Menghubungkan ke VM Windows yang bergabung dengan domain dan RDP
Anda dapat terhubung ke domain dengan Remote Desktop Protocol (RDP). Untuk alasan keamanan, Anda tidak dapat menggunakan RDP untuk terhubung langsung ke pengontrol domain. Sebagai gantinya, Anda dapat menggunakan RDP untuk terhubung ke instance Compute Engine, lalu menggunakan alat pengelolaan AD standar untuk bekerja secara jarak jauh dengan domain AD Anda.
Setelah bergabung dengan domain VM Windows, Anda dapat menggunakan RDP di Konsol Google Cloud untuk terhubung ke VM Windows yang bergabung dengan domain dan mengelola objek Active Directory Anda.
Memecahkan masalah koneksi RDP
Jika mengalami kesulitan saat menghubungkan instance Windows dengan RDP, lihat Memecahkan Masalah RDP untuk mengetahui tips dan pendekatan memecahkan serta mengatasi masalah umum RDP.
Menyelesaikan masalah Kerberos
Jika Anda mencoba menggunakan Kerberos untuk koneksi RDP, tetapi kembali ke NTLM, konfigurasi Anda mungkin tidak memenuhi persyaratan yang diperlukan.
Untuk mengaktifkan RDP ke VM terkelola yang bergabung dengan Microsoft AD menggunakan Kerberos, klien RDP memerlukan tiket yang diterbitkan untuk server target. Untuk mendapatkan tiket ini, klien harus dapat melakukan tugas berikut:
- Tentukan nama utama layanan (SPN) server. Untuk RDP, SPN berasal dari nama DNS server.
- Hubungi pengontrol domain domain tempat workstation klien bergabung dan minta tiket untuk SPN tersebut.
Untuk memastikan bahwa klien dapat menentukan SPN, tambahkan SPN berbasis IP ke objek komputer server di AD.
Untuk memastikan bahwa klien dapat menemukan pengontrol domain yang tepat untuk dihubungi, Anda harus melakukan salah satu tugas berikut:
- Buat hubungan kepercayaan dengan domain AD lokal Anda. Pelajari lebih lanjut cara membuat dan mengelola kepercayaan.
- Hubungkan dari workstation yang bergabung dengan domain menggunakan Cloud VPN atau Cloud Interconnect.
Menghubungkan ke VM Linux yang bergabung dengan domain
Bagian ini mencantumkan beberapa opsi open source untuk mengelola interoperasi Active Directory dengan Linux. Pelajari cara menggabungkan VM Linux ke domain Microsoft AD Terkelola.
{i>System Security Services Daemon<i} (SSSD) bergabung langsung ke {i>Active Directory<i}
Anda dapat menggunakan System Security Services Daemon (SSSD) untuk mengelola interoperasi Active Directory. Perhatikan bahwa SSSD tidak mendukung trust lintas hutan. Pelajari SSSD.
Jendela Kaca
Anda dapat menggunakan Winbind untuk mengelola interoperasi {i>Active Directory<i}. Layanan ini menggunakan Microsoft Remote Procedure Calls (MSRPC) untuk berinteraksi dengan Active Directory, yang mirip dengan klien Windows. Winbind mendukung kepercayaan lintas hutan. Pelajari Winbind.
OpenLDAP
OpenLDAP adalah rangkaian aplikasi LDAP. Beberapa penyedia pihak ketiga telah mengembangkan alat interoperasi {i>Active Directory<i} eksklusif berdasarkan OpenLDAP. Pelajari OpenLDAP.
Menghubungkan ke domain menggunakan kepercayaan
Jika Anda membuat kepercayaan antara domain lokal dan domain Microsoft AD Terkelola, Anda dapat mengakses resource AD di Google Cloud seolah-olah resource tersebut berada di domain lokal Anda. Pelajari cara membuat dan mengelola kepercayaan di Microsoft AD Terkelola.
Menghubungkan ke domain dengan produk Konektivitas Hybrid
Anda dapat terhubung ke domain Microsoft AD Terkelola dengan produk Konektivitas Hybrid Google Cloud, seperti Cloud VPN atau Cloud Interconnect. Anda dapat mengonfigurasi koneksi dari jaringan lokal atau jaringan lainnya ke jaringan resmi domain Microsoft AD Terkelola.
Sebelum memulai
Gabungkan VM Windows atau VM Linux Anda ke domain Microsoft AD Terkelola.
Menghubungkan menggunakan nama domain
Sebaiknya hubungkan ke pengontrol domain menggunakan nama domainnya, bukan alamat IP-nya karena Microsoft AD Terkelola tidak memberikan alamat IP statis. Dengan menggunakan nama domain, proses pencari lokasi DC Active Directory dapat menemukan pengontrol domain untuk Anda, meskipun alamat IP-nya telah berubah.
Menggunakan alamat IP untuk resolusi DNS
Jika menggunakan alamat IP untuk terhubung ke domain, Anda dapat membuat kebijakan DNS masuk di jaringan VPC agar dapat menggunakan layanan resolusi nama yang sama dengan yang digunakan Microsoft AD Terkelola. Microsoft AD terkelola menggunakan Cloud DNS untuk memberikan resolusi nama bagi domain Microsoft AD Terkelola menggunakan peering Cloud DNS.
Untuk menggunakan kebijakan DNS masuk, Anda harus mengonfigurasi sistem lokal atau server nama untuk meneruskan kueri DNS ke alamat IP proxy yang terletak di region yang sama dengan tunnel Cloud VPN atau lampiran VLAN yang menghubungkan jaringan lokal Anda ke jaringan VPC. Pelajari cara membuat kebijakan server masuk.
Menggunakan peering
Microsoft AD terkelola tidak mendukung peering bertingkat, sehingga hanya jaringan yang secara langsung diizinkan untuk Active Directory yang dapat mengakses domain. Pembanding jaringan yang diberi otorisasi tidak dapat menjangkau domain Microsoft AD Terkelola.