Managed Microsoft AD ドメインへの接続

このページでは、Microsoft Active Directory ドメインのマネージド サービスに接続するためのさまざまなオプションについて説明します。

RDP を使用してドメインに参加している Windows VM に接続する

リモート デスクトップ プロトコル(RDP)を使用してドメインに接続できます。セキュリティ上の理由から、RDP を使用してドメイン コントローラに直接接続することはできません。代わりに、RDP を使用して Compute Engine インスタンスに接続し、標準の AD 管理機能ツールで AD ドメインをリモートで操作できます。

Windows VM にドメイン参加すると、Cloud Console で RDP を使用して、ドメイン参加している Windows VM に接続し、Active Directory オブジェクトを管理できます。

RDP 接続のトラブルシューティング

RDP を使用して Windows インスタンスに接続できない場合は、RDP のトラブルシューティングを参照し、RDP に関する一般的な問題をトラブルシューティングして解決するヒントと方法を確認してください。

Kerberos の問題を解決する

RDP 接続に Kerberos を使用しようとして NTLM にフォールバックした場合、構成が必要な要件を満たしていない可能性があります。

Kerberos を使用して Managed Microsoft AD に参加している VM に RDP するには、RDP クライアントはターゲット サーバーに対して発行されたチケットが必要になります。このチケットを取得するために、クライアントは以下を行う必要があります。

  • サーバーのサービス プリンシパル名(SPN)を特定します。RDP の場合、SPN はサーバーの DNS 名から取得されます。
  • クライアントのワークステーションが参加しているドメインのドメイン コントローラに接続し、その SPN のチケットをリクエストします。

クライアントが SPN を決定できるようにするには、IP ベースの SPN を AD のサーバーのコンピュータ オブジェクトに追加します。

クライアントが接続用の適切なドメイン コントローラを見つけられるようにするには、次のいずれかを行う必要があります。

  • オンプレミスの AD ドメインに対する信頼を作成します。詳しくは、信頼の作成と管理をご覧ください。
  • ドメインに参加しているワークステーションから、Cloud VPN または Cloud Interconnect を介して接続します。

ドメインに参加している Linux VM に接続する

このセクションでは、Linux と Active Directory の相互運用を管理するためのオープンソース オプションの一覧を示します。Linux VM を Managed Microsoft AD ドメインに参加させる方法を学びます。

システム セキュリティ サービス デーモン(SSSD)を Active Directory に直接参加させる

システム セキュリティ サービス デーモン(SSSD)を使用して Active Directory の相互運用を管理できます。SSSD はフォレスト間の信頼をサポートしていないことに注意してください。詳しくは、SSSD をご覧ください。

Winbind

Winbind を使用して Active Directory の相互運用を管理できます。Microsoft リモート プロシージャ コール(MSRPC)を使用して、Windows クライアントと同様に Active Directory を操作します。Winbind はフォレスト間の信頼関係をサポートしています。詳しくは、Winbind をご覧ください。

OpenLDAP

OpenLDAP は、一連の LDAP アプリケーションです。一部のサードパーティ プロバイダは、OpenLDAP ベースの独自の Active Directory 相互運用ツールを開発しています。OpenLDAP について学習する。

信頼されたドメインに接続する

オンプレミス ドメインとManaged Microsoft AD ドメインの間に信頼関係を作成すると、オンプレミス ドメインにあるかのように、Google Cloud の AD リソースにアクセスできます。Managed Microsoft AD で信頼を作成および管理する方法を学ぶ。

ハイブリッド接続プロダクトを使用したドメインへの接続

マネージド Microsoft AD ドメインには、Cloud VPN や Cloud Interconnect などの Google Cloud ハイブリッド接続プロダクトを使用して接続できます。オンプレミスまたは他のネットワークから、マネージド Microsoft AD ドメインの承認済みネットワークへの接続を構成できます。

始める前に

ドメイン名を使用して接続する

Managed Microsoft AD は静的 IP アドレスを提供しないため、アドレスの代わりにドメイン名を使用してドメイン コントローラに接続することをおすすめします。名前を使用すると、IP アドレスが変更されていても、Active Directory DC ロケータ プロセスはドメイン コントローラを検出できます。

DNS の解決に IP アドレスを使用する

接続に IP アドレスを使用する必要がある場合は、VPC ネットワークに受信 DNS ポリシーを作成します。そうすることで、Managed Microsoft AD が使用している名前解決サービスを使用できるようになります。Managed Microsoft AD は Cloud DNS を使用し、Cloud DNS ピアリングを使用して Managed Microsoft AD ドメインに名前解決を提供します。

受信 DNS ポリシーを使用するには、オンプレミス システムまたはネームサーバーを構成して、Cloud VPN トンネルまたは、オンプレミス ネットワークを VPC ネットワークに接続する VLAN アタッチメントと同じリージョンにあるプロキシ IP アドレスに、DNS クエリを転送する必要があります。受信サーバー ポリシーの作成について学習する。

ピアリングを使用する

Managed Microsoft AD はネストされたピアリングをサポートしていないため、Active Directory に対して直接承認されているネットワークのみがドメインにアクセスできます。承認済みネットワークのピアは、Managed Microsoft AD ドメインに接続できません。