Esta página foi traduzida pela API Cloud Translation.

Conectar-se a um domínio do Microsoft AD gerenciado

Nesta página, descrevemos as várias opções para se conectar a um domínio do Serviço Gerenciado para Microsoft Active Directory.

Como conectar-se a uma VM do Windows ingressada no domínio com o RDP

Conecte-se ao seu domínio com o RDP (Remote Desktop Protocol). Por questões de segurança, não é possível usar o RDP para se conectar diretamente a um controlador de domínio. Em vez disso, é possível usar o RDP para se conectar a uma instância do Compute Engine e, em seguida, usar as ferramentas padrão de Gerenciamento do AD para trabalhar remotamente com seu domínio do AD.

Depois de ingressar no domínio da sua VM do Windows, você pode usar o RDP no console do Google Cloud para se conectar à VM do Windows ingressada no domínio e gerenciar seus objetos do Active Directory.

Solução de problemas de conexões RDP

Se você tiver dificuldade para se conectar à sua instância do Windows com o RDP, consulte Solução de problemas do RDP para conferir dicas e abordagens para resolver problemas comuns do RDP.

Como solucionar problemas do Kerberos

Se você tentar usar o Kerberos na conexão RDP, mas ele retornar ao NTLM, sua configuração poderá não atender aos requisitos necessários.

Para executar RDP em uma VM ingressada no Managed Microsoft AD usando o Kerberos, o cliente RDP precisa de um ticket emitido para o servidor de destino. Para conseguir esse ticket, o cliente precisa ser capaz de fazer o seguinte:

determinar o nome do principal do serviço (SPN, na sigla em inglês) do servidor; Para o RDP, o SPN é derivado do nome DNS do servidor.
Entrar em contato com o controlador do domínio ao qual a estação de trabalho do cliente está associada e solicitar um ticket para esse SPN.

Para garantir que o cliente possa determinar o SPN, adicione um SPN baseado em IP ao objeto de computador do servidor no AD.

Para garantir que o cliente encontre o controlador de domínio correto para entrar em contato, siga um destes procedimentos:

Crie uma relação de confiança com seu domínio do AD local. Saiba mais sobre como criar e gerenciar relações de confiança.
Conecte-se de uma estação de trabalho ingressada no domínio usando o Cloud VPN ou o Cloud Interconnect.

Como conectar-se a uma VM Linux ingressada no domínio

Nesta seção, listamos algumas das opções de código aberto para gerenciar a interoperação do Active Directory com o Linux. Saiba como ingressar uma VM do Linux em um domínio do Managed Microsoft AD.

O SSSD (System Security Services Daemon) ingressou diretamente no Active Directory

Use o SSSD para gerenciar a interoperação do Active Directory. Observe que o SSSD não é compatível com relações de confiança entre florestas. Conheça o SSSD.

Winbind

Você pode usar o Winbind para gerenciar a interoperação do Active Directory. Ele usa chamadas de procedimento remoto da Microsoft (MSRPCs, na sigla em inglês) para interagir com o Active Directory, que é semelhante a um cliente do Windows. O Winbind é compatível com confianças entre florestas. Saiba mais sobre o Winbind.

OpenLDAP

O OpenLDAP é um conjunto de aplicativos LDAP. Alguns provedores de terceiros desenvolveram ferramentas próprias de interoperação do Active Directory baseadas no OpenLDAP. Saiba mais sobre o OpenLDAP.

Como se conectar a um domínio usando confiança

Se você criar uma relação de confiança entre seu domínio local e o domínio do Managed Microsoft AD, poderá acessar seus recursos do AD no Google Cloud como se eles estivessem no seu domínio local. Saiba como criar e gerenciar relações de confiança no Managed Microsoft AD.

Como conectar-se a um domínio com produtos do Hybrid Connectivity

Conecte-se ao seu domínio do Managed Microsoft AD com os produtos do Google Cloud Hybrid Connectivity, como Cloud VPN ou Cloud Interconnect. É possível configurar a conexão de sua rede local ou de outra rede com uma rede autorizada do domínio do Managed Microsoft AD.

Antes de começar

Crie um domínio do Managed Microsoft AD.
Associe sua VM do Windows ou sua VM do Linux ao domínio do Managed Microsoft AD.

Como conectar-se usando o nome de domínio

Recomendamos que você se conecte a um controlador de domínio usando o nome de domínio em vez do endereço IP, porque o Microsoft AD gerenciado não fornece endereços IP estáticos. Usando o nome de domínio, o processo do localizador de DC do Active Directory pode encontrar o controlador de domínio para você, mesmo que o endereço IP tenha sido alterado.

Como usar endereço IP para resolução de DNS

Se você usar o endereço IP para se conectar a um domínio, crie uma política DNS de entrada na rede VPC para que ela possa usar os mesmos serviços de resolução de nomes usados pelo Microsoft AD gerenciado. O Managed Microsoft AD usa o Cloud DNS para fornecer resolução de nomes ao domínio do Managed Microsoft AD usando o peering do Cloud DNS.

Para usar a política de DNS de entrada, configure seus sistemas locais ou servidores de nomes para encaminhar consultas DNS ao endereço IP do proxy localizado na mesma região que o túnel do Cloud VPN ou o anexo da VLAN que conecta sua rede local à rede VPC. Saiba como criar uma política de servidor de entrada.

Como usar peerings

O Managed Microsoft AD não é compatível com o peering aninhado, portanto, apenas redes diretamente autorizadas para o Active Directory podem acessar o domínio. Os peers da rede autorizada não podem alcançar o domínio do Managed Microsoft AD.