Membuat kepercayaan dengan domain lokal

Halaman ini menunjukkan cara membuat hubungan kepercayaan antara domain lokal dan domain Layanan Terkelola untuk Microsoft Active Directory. Kepercayaan ini dapat bersifat satu arah atau dua arah. Ini juga dapat mencakup beberapa hutan. Jika Anda telah menyiapkan kepercayaan, pelajari cara mengelola kepercayaan.

Managed Microsoft AD mendukung jenis kepercayaan hutan dan tidak mendukung jenis kepercayaan eksternal, realm, dan pintasan.

Jenis kepercayaan

Hubungan kepercayaan dapat bersifat satu arah atau dua arah. Kepercayaan satu arah adalah jalur autentikasi searah yang dibuat di antara dua domain. Dalam topik ini, domain lokal adalah sisi terpercaya atau masuk dari kepercayaan satu arah dan domain Microsoft AD Terkelola adalah sisi percaya atau keluar dari hubungan tersebut. Kepercayaan dua arah adalah jalur autentikasi dua arah yang dibuat antara dua domain. Kepercayaan dan akses mengalir ke kedua arah.

Sebelum memulai

Sebelum membuat kepercayaan, selesaikan langkah-langkah berikut:

  1. Pastikan domain lokal menjalankan versi Windows yang didukung.

  2. Kumpulkan alamat IP server DNS yang berlaku untuk domain lokal Anda.

Membangun konektivitas jaringan

Buat konektivitas jaringan antara jaringan lokal dan Virtual Private Cloud (VPC) Google Cloud Anda, lalu pastikan kedua jaringan tersebut dapat berkomunikasi. Untuk mengetahui informasi selengkapnya tentang cara mengidentifikasi dan membuat koneksi Cloud VPN, lihat ringkasan Cloud VPN.

Membuka port firewall

Konfigurasikan port masuk/keluar di jaringan lokal dan VPC Google Cloud Anda untuk mengizinkan konektivitas kepercayaan Active Directory.

Tabel berikut mencantumkan kumpulan port minimum yang diperlukan untuk membangun kepercayaan. Anda mungkin perlu mengonfigurasi lebih banyak port, bergantung pada skenario Anda. Untuk informasi selengkapnya, lihat Persyaratan Port Active Directory dan Active Directory Domain Services Microsoft.

Membuka port firewall jaringan lokal

Buka port yang tercantum dalam tabel berikut di firewall lokal Anda ke blok IP CIDR yang digunakan oleh jaringan VPC dan jaringan Managed Microsoft AD Anda.

Protokol Port Fungsi
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Perubahan sandi Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Membuka port firewall jaringan VPC

Buka port yang tercantum dalam tabel berikut di firewall jaringan VPC Anda ke blok IP CIDR yang digunakan oleh jaringan lokal Anda.

Protokol Port Fungsi
TCP, UDP 53 DNS

Mengonfigurasi penerusan kondisional DNS

Setelah membuka port firewall, konfigurasikan penerusan bersyarat DNS. Setelan ini memungkinkan Anda memberikan petunjuk untuk meneruskan permintaan yang tidak dapat di-resolve ke server DNS yang berbeda.

Memeriksa kebijakan penerusan masuk

Sebelum membuat kebijakan penerusan masuk Cloud DNS untuk VPC, periksa apakah kebijakan tersebut ada.

  1. Buka halaman kebijakan server Cloud DNS di konsol Google Cloud.
    Buka halaman Cloud DNS

  2. Cari kebijakan dalam daftar dengan kolom Inbound disetel ke On, dan jaringan VPC yang digunakan oleh domain Anda tercantum di drop-down pada kolom In use by.

Jika menemukan kebijakan yang sudah ada dan valid, Anda dapat langsung ke bagian Mendapatkan alamat IP DNS.

Membuat kebijakan penerusan masuk

Untuk membuat kebijakan penerusan masuk, selesaikan langkah-langkah berikut:

  1. Buka halaman kebijakan server Cloud DNS di konsol Google Cloud.
    Buka halaman Cloud DNS

  2. Pilih Create Policy.

  3. Masukkan Nama.

  4. Tetapkan Inbound query forwarding ke On.

  5. Pilih jaringan VPC untuk domain Anda dari menu Jaringan.

  6. Pilih Create.

Mendapatkan alamat IP DNS

Setelah membuat kebijakan penerusan masuk, dapatkan alamat IP DNS untuk domain Microsoft AD Terkelola Anda. Jika Anda baru saja membuat kebijakan Cloud DNS baru, alamat IP mungkin belum muncul. Jika hal ini terjadi, tunggu beberapa menit lalu coba lagi.

  1. Buka halaman kebijakan server Cloud DNS di konsol Google Cloud.
    Buka halaman Cloud DNS

  2. Pilih kebijakan Anda dari daftar, lalu pilih tab Digunakan oleh.

  3. Catat alamat IP DNS domain Microsoft AD Terkelola yang perlu Anda konfigurasikan di domain lokal. Anda memerlukan alamat ini untuk membangun kepercayaan dengan domain Microsoft AD Terkelola.

Pastikan blok CIDR yang berisi alamat IP ini dikonfigurasi di firewall jaringan lokal Anda.

Membuat forwarder kondisional DNS

Untuk mengonfigurasi penerusan bersyarat DNS di domain lokal, gunakan alamat IP DNS untuk domain Managed Microsoft AD Anda guna menyelesaikan langkah-langkah berikut.

  1. Login ke pengontrol domain lokal dengan akun admin Domain atau Enterprise untuk domain lokal.

  2. Buka Pengelola DNS.

  3. Luaskan server DNS domain yang ingin Anda konfigurasikan kepercayaannya.

  4. Klik kanan Conditional Forwarders, lalu pilih New conditional forwarder.

  5. Untuk Domain DNS, masukkan FQDN domain Microsoft AD Terkelola (misalnya, ad.example.com).

  6. Di kolom Alamat IP server master, masukkan alamat IP DNS domain Managed Microsoft AD yang Anda catat sebelumnya di langkah Mendapatkan alamat IP DNS.

  7. Jika kolom FQDN Server menampilkan error, Anda dapat mengabaikannya.

  8. Pilih Simpan penerusan bersyarat ini di Active Directory, lalu pilih Semua server DNS di domain ini dari menu drop-down.

  9. Pilih Oke.

Memverifikasi forwarder kondisional DNS

Anda dapat memverifikasi bahwa forwarder dikonfigurasi dengan benar menggunakan nslookup atau cmdlet PowerShell Resolve-DnsName. Jalankan perintah berikut:

nslookup FQDN

Ganti FQDN dengan nama domain yang sepenuhnya memenuhi syarat dari domain Microsoft AD Terkelola Anda.

Jika forwarder kondisional DNS dikonfigurasi dengan benar, perintah ini akan menampilkan alamat IP pengontrol domain.

Memverifikasi Kebijakan Keamanan Lokal untuk domain lokal Anda

Untuk membuat kepercayaan, Kebijakan Keamanan Lokal untuk domain lokal Anda harus mengizinkan akses anonim ke pipe bernama netlogon, samr, dan lsarpc. Untuk memverifikasi bahwa akses anonim diaktifkan, selesaikan langkah-langkah berikut:

  1. Login ke pengontrol domain lokal dengan akun admin Domain atau Enterprise untuk domain lokal.

  2. Buka Local Security Policy console.

  3. Di konsol, buka Security Settings > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously.

  4. Pastikan akses anonim ke netlogon, samr, dan lsarpc diaktifkan. Perhatikan bahwa ini harus ditentukan di baris terpisah dan tidak dipisahkan koma.

Menyiapkan kepercayaan

Setelah mengonfigurasi jaringan, Anda dapat membuat kepercayaan antara domain lokal dan domain Microsoft AD Terkelola.

Mengonfigurasi domain lokal

Untuk membangun kepercayaan di domain lokal, selesaikan langkah-langkah berikut:

  1. Login ke pengontrol domain lokal menggunakan akun administrator Domain atau Enterprise.

  2. Buka Active Directory Domains and Trusts.

  3. Klik kanan domain, lalu pilih Properties.

  4. Di tab Trust, pilih kepercayaan New.

  5. Pilih Berikutnya di Wizard Kepercayaan Baru.

  6. Masukkan FQDN domain Microsoft AD Terkelola sebagai Nama Kepercayaan.

  7. Untuk Jenis kepercayaan, pilih Kepercayaan hutan.

  8. Tetapkan Arah Kepercayaan.

    • Untuk membuat kepercayaan satu arah, pilih Masuk satu arah.
    • Untuk membuat kepercayaan dua arah, pilih Dua arah.

  9. Untuk Pihak Tepercaya, pilih Khusus domain ini.

  10. Untuk Tingkat Autentikasi Kepercayaan Keluar, pilih Autentikasi seluruh forest.

  11. Masukkan Sandi Tepercaya.

    Anda memerlukan sandi ini untuk mengonfigurasi kepercayaan di domain Microsoft AD Terkelola.

  12. Konfirmasi setelan kepercayaan, lalu pilih Berikutnya.

  13. Jendela Trust Creation Complete akan ditampilkan.

  14. Pilih Tidak, jangan konfirmasi kepercayaan keluar, lalu pilih Berikutnya.

  15. Pilih Tidak, jangan konfirmasi kepercayaan yang masuk, lalu pilih Berikutnya.

  16. Di dialog Completing the New Trust Wizard, pilih Finish.

  17. Perbarui Perutean Akhiran Nama untuk kepercayaan.

Mengonfigurasi domain Microsoft AD Terkelola

Untuk membangun kepercayaan di domain Microsoft AD Terkelola, selesaikan langkah-langkah berikut:

Konsol

  1. Buka halaman Managed Microsoft AD di konsol Google Cloud.
    Buka halaman Microsoft AD Terkelola

  2. Pilih domain yang akan dibuat kepercayaannya, lalu pilih Create Trust.

  3. Tetapkan Jenis kepercayaan ke Forest.

  4. Untuk Nama domain target, masukkan FQDN domain lokal.

  5. Tetapkan Arah kepercayaan.

    • Untuk membuat kepercayaan satu arah, pilih Keluar.
    • Untuk membuat kepercayaan dua arah, pilih Bidirectional.

  6. Masukkan sandi kepercayaan yang Anda buat saat mengonfigurasi kepercayaan di domain lokal.

  7. Untuk IP Forwarder Kondisional DNS, masukkan alamat IP DNS lokal yang Anda kumpulkan sebelumnya.

  8. Pilih Buat Hubungan Kepercayaan.

  9. Anda akan kembali ke halaman domain. Kepercayaan baru Anda akan ditampilkan sebagai Pembuatan. Tunggu hingga status berubah menjadi Terhubung. Perlu waktu hingga 10 menit untuk menyelesaikan penyiapan.

gcloud

Untuk membuat kepercayaan satu arah, jalankan perintah gcloud CLI berikut:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Ganti kode berikut:

  • DOMAIN: FQDN domain Microsoft AD Terkelola.
  • TARGET_DNS_IP_ADDRESSES: Alamat IP DNS lokal yang Anda kumpulkan sebelumnya.
  • TARGET_DOMAIN_NAME: FQDN domain lokal.

Untuk membuat kepercayaan dua arah, jalankan perintah gcloud CLI berikut:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Untuk informasi selengkapnya, lihat perintah create.

Memvalidasi kepercayaan dua arah

Setelah mengonfigurasi domain Microsoft AD Terkelola untuk kepercayaan dua arah, Anda harus memvalidasi kepercayaan keluar dari domain lokal. Jika membuat kepercayaan satu arah, Anda dapat melewati langkah ini.

Untuk memverifikasi kepercayaan keluar, selesaikan langkah-langkah berikut:

  1. Login ke pengontrol domain lokal menggunakan akun administrator Domain atau Enterprise.

  2. Buka Active Directory Domains and Trusts.

  3. Klik kanan domain Anda, lalu pilih Properties.

  4. Di tab Trust, pilih kepercayaan keluar untuk domain Managed Microsoft AD.

  5. Pilih Properties.

  6. Di tab General, pilih Validate.

Memecahkan masalah

Jika mengalami masalah saat mencoba membuat kepercayaan, Anda dapat mencoba tips pemecahan masalah kami.

Langkah selanjutnya