In questa pagina vengono descritte le varie opzioni per la connessione a un dominio Managed Service for Microsoft Active Directory.
Connessione a una VM Windows aggiunta a un dominio con RDP
Puoi connetterti al tuo dominio con il protocollo Remote Desktop Protocol (RDP). Per motivi di sicurezza, non puoi utilizzare RDP per connetterti direttamente a un controller di dominio. Puoi utilizzare l'RDP per connetterti a un'istanza Compute Engine, quindi utilizzare gli strumenti di gestibilità standard di AD per lavorare da remoto con il tuo dominio AD.
Dopo aver aggiunto il dominio alla tua VM Windows, puoi utilizzare l'RDP nella console Google Cloud per connetterti alla VM Windows aggiunta al dominio e gestire gli oggetti Active Directory.
Risoluzione dei problemi relativi alle connessioni RDP
Se hai difficoltà a connetterti alla tua istanza Windows con RDP, consulta la sezione Risoluzione dei problemi relativi a RDP per suggerimenti e approcci per la risoluzione dei problemi più comuni relativi a RDP.
Risoluzione dei problemi relativi a Kerberos
Se provi a utilizzare Kerberos per la tua connessione RDP, ma viene eseguito il ripristino di Hadoop, la configurazione potrebbe non soddisfare i requisiti necessari.
Per eseguire l'RDP su una VM gestita che fa parte di Microsoft AD utilizzando Kerberos, il client RDP deve emettere un ticket per il server di destinazione. Per ricevere questo ticket, il client deve essere in grado di eseguire le seguenti operazioni:
- Determina il nome dell'entità di servizio (SPN) del server. Per l'RDP, l'SPN deriva dal nome DNS del server.
- Contatta il controller di dominio del dominio a cui è aggiunta la workstation del client e richiedi un ticket per quel SPN.
Per garantire che il client possa determinare il SPN, aggiungi un SPN basato su IP all'oggetto computer del server in AD.
Per assicurarti che il client sia in grado di trovare il controller di dominio giusto da contattare, devi eseguire una delle seguenti attività:
- Crea una relazione di attendibilità con il tuo dominio AD on-premise. Scopri di più sulla creazione e gestione dei trust.
- Connettiti da una workstation aggiunta a un dominio utilizzando Cloud VPN o Cloud Interconnect.
Connessione a una VM Linux aggiunta a un dominio
Questa sezione elenca alcune delle opzioni open source per la gestione dell'interoperabilità di Active Directory con Linux. Scopri come aggiungere una VM Linux a un dominio Microsoft AD gestito.
Il daemon dei servizi di sicurezza del sistema (SSSD) è stato aggiunto direttamente ad Active Directory
Puoi utilizzare System Security Services Daemon (SSSD) per gestire l'interoperabilità di Active Directory. Tieni presente che SSSD non supporta i trust tra foreste. Scopri di più sull'SSSD.
Legame del vento
Puoi utilizzare Winbind per gestire l'interoperabilità di Active Directory. Utilizza le chiamate di procedura remota di Microsoft (MSRPC) per interagire con Active Directory, una funzionalità simile a un client Windows. Winbind supporta i trust tra foreste. Scopri di più su Winbind.
OpenLDAP
OpenLDAP è una suite di applicazioni LDAP. Alcuni provider di terze parti hanno sviluppato strumenti proprietari di interoperabilità di Active Directory basati su OpenLDAP. Scopri di più su OpenLDAP.
Connessione a un dominio tramite trust
Se crei un trust tra il tuo dominio on-premise e il dominio Microsoft AD gestito, puoi accedere alle risorse AD in Google Cloud come se fossero nel tuo dominio on-premise. Scopri come creare e gestire i trust in Microsoft AD gestito.
Connessione a un dominio con prodotti per la connettività ibrida
Puoi connetterti al tuo dominio Microsoft AD gestito con i prodotti per la connettività ibrida di Google Cloud, come Cloud VPN o Cloud Interconnect. Puoi configurare la connessione dalla tua rete on-premise o da un'altra rete a una rete autorizzata di dominio Microsoft AD gestito.
Prima di iniziare
Aggiungi la tua VM Windows o la tua VM Linux al dominio Microsoft AD gestito.
Connessione tramite nome di dominio
Ti consigliamo di connetterti a un controller di dominio utilizzando il nome di dominio anziché l'indirizzo IP perché Microsoft Active Directory gestito non fornisce indirizzi IP statici. Utilizzando il nome di dominio, il processo di localizzazione di Active Directory DC può trovare il controller di dominio per te, anche se il suo indirizzo IP è cambiato.
Utilizzo dell'indirizzo IP per la risoluzione DNS
Se utilizzi l'indirizzo IP per connetterti a un dominio, puoi creare un criterio DNS in entrata sulla tua rete VPC in modo che possa utilizzare gli stessi servizi di risoluzione dei nomi utilizzati da Microsoft AD gestito. Microsoft AD gestito utilizza Cloud DNS per fornire risoluzione dei nomi al dominio Microsoft AD gestito utilizzando il peering Cloud DNS.
Per utilizzare il criterio DNS in entrata, devi configurare i sistemi on-premise o i server dei nomi per inoltrare le query DNS all'indirizzo IP proxy che si trova nella stessa regione del tunnel Cloud VPN o del collegamento VLAN che connette la rete on-premise alla rete VPC. Scopri di più sulla creazione di un criterio del server in entrata.
Utilizzo dei peering
Microsoft AD gestito non supporta il peering nidificato, pertanto solo le reti che sono direttamente autorizzate per Active Directory possono accedere al dominio. I concorrenti della rete autorizzata non possono raggiungere il dominio Microsoft AD gestito.