Crie uma relação de confiança com um domínio no local

Esta página mostra como criar uma relação de confiança entre domínios no local e um domínio do Serviço gerido para Microsoft Active Directory. Esta confiança pode ser unidirecional ou bidirecional. Também pode abranger várias florestas. Se já configurou um fundo fiduciário, saiba como gerir fundos fiduciários.

O Microsoft AD gerido suporta o tipo de confiança da floresta e não suporta os tipos de confiança externos, de domínio e de atalho.

Tipos de trusts

Uma relação de confiança pode ser unidirecional ou bidirecional. Uma confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Neste tópico, o domínio no local é o lado fidedigno ou de entrada da confiança unidirecional e o domínio do Microsoft AD gerido é o lado de confiança ou de saída da relação. Uma confiança bidirecional é um caminho de autenticação bidirecional criado entre dois domínios. A confiança e o fluxo de acesso ocorrem em ambas as direções.

Antes de começar

Antes de criar uma relação de confiança, conclua os seguintes passos:

  1. Verifique se o domínio no local está a executar uma versão suportada do Windows.

  2. Recolha os endereços IP dos servidores DNS que se aplicam ao seu domínio no local.

Estabeleça conetividade de rede

Estabeleça a conetividade de rede entre a sua rede no local e a sua Google Cloud nuvem virtual privada (VPC) e, em seguida, verifique se as duas redes conseguem comunicar. Para mais informações sobre como identificar e estabelecer ligações do Cloud VPN, consulte a vista geral do Cloud VPN.

Abra portas da firewall

Configure as portas de entrada/saída na sua rede no local e na sua VPC para permitir a conetividade de confiança do Active Directory.Google Cloud

As tabelas seguintes listam o conjunto mínimo de portas necessárias para estabelecer confiança. Pode ter de configurar mais portas, consoante o seu cenário. Para mais informações, consulte os requisitos de portas do Active Directory e dos serviços de domínio do Active Directory da Microsoft.

Abra portas de firewall de rede no local

Abra as portas indicadas na tabela seguinte na sua firewall no local para o bloco de IP CIDR usado pela sua rede VPC e rede do Microsoft AD gerido.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Alteração da palavra-passe do Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Abra as portas de firewall da rede da VPC

Abra as portas indicadas na tabela seguinte na firewall da sua rede VPC para o bloco de IP CIDR usado pela sua rede no local.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS

Configure encaminhadores condicionais de DNS

Depois de abrir as portas da firewall, configure os encaminhadores condicionais de DNS. Estas definições permitem-lhe fornecer sugestões para o encaminhamento de pedidos não resolvidos para diferentes servidores DNS.

Verifique se existe uma política de encaminhamento de entrada

Antes de criar uma política de encaminhamento de entrada do Cloud DNS para a sua VPC, verifique se existe uma.

  1. Abra a página de políticas do servidor DNS na Google Cloud consola.
    Abra a página do Cloud DNS

  2. Procure uma política na lista em que a coluna Entrada esteja definida como Ativada e a rede VPC usada pelo seu domínio esteja listada no menu pendente na coluna Em utilização por.

Se encontrar uma política existente válida, pode avançar para a secção Obtenha endereços IP de DNS.

Crie uma política de encaminhamento de entrada

Para criar uma política de encaminhamento de entrada, conclua os seguintes passos:

  1. Abra a página de políticas do servidor DNS na Google Cloud consola.
    Abra a página do Cloud DNS

  2. Selecione Criar política.

  3. Introduza um Nome.

  4. Defina a opção Encaminhamento de consultas de entrada como Ativado.

  5. Selecione a rede de VPC para o seu domínio no menu Redes.

  6. Selecione Criar.

Obtenha endereços IP de DNS

Depois de criar uma política de encaminhamento de entrada, obtenha os endereços IP de DNS para o seu domínio do Microsoft AD gerido. Se acabou de criar uma nova política do Cloud DNS, os endereços IP podem ainda não aparecer. Se isto acontecer, aguarde alguns minutos e tente novamente.

  1. Abra a página de políticas do servidor DNS na Google Cloud consola.
    Abra a página do Cloud DNS

  2. Selecione a política na lista e, de seguida, selecione o separador Em utilização por.

  3. Tome nota de todos os endereços IP de DNS do domínio do Microsoft AD gerido que tem de configurar no seu domínio no local. Precisa destas moradas para estabelecer a confiança com o domínio do Microsoft AD gerido.

Certifique-se de que os blocos CIDR que contêm estes endereços IP estão configurados na firewall de rede no local.

Crie um encaminhador condicional de DNS

Para configurar os encaminhadores condicionais de DNS no seu domínio no local, use os endereços IP de DNS do seu domínio do Microsoft AD gerido para concluir os seguintes passos.

  1. Inicie sessão num controlador de domínio no local com uma conta de administrador de domínio ou empresarial para o domínio no local.

  2. Abra o Gestor de DNS.

  3. Expanda o servidor DNS do domínio para o qual quer configurar a confiança.

  4. Clique com o botão direito do rato em Conditional Forwarders e selecione New conditional forwarder.

  5. Para o domínio DNS, introduza o FQDN do domínio do Microsoft AD gerido (por exemplo, ad.example.com).

  6. No campo Endereços IP dos servidores principais, introduza os endereços IP do DNS do seu domínio do Microsoft AD gerido que anotou anteriormente no passo Obtenha os endereços IP do DNS.

  7. Se o campo FQDN do servidor apresentar um erro, pode ignorá-lo.

  8. Selecione Armazenar este encaminhador condicional no Active Directory e, de seguida, selecione Todos os servidores DNS neste domínio no menu pendente.

  9. Selecione OK.

Valide o encaminhador condicional de DNS

Pode verificar se o encaminhador está configurado corretamente através do comando nslookup ou do cmdlet Resolve-DnsName do PowerShell. Execute o seguinte comando:

nslookup FQDN

Substitua FQDN pelo nome do domínio totalmente qualificado do seu domínio do Microsoft AD gerido.

Se o encaminhador condicional de DNS estiver configurado corretamente, este comando devolve os endereços IP dos controladores de domínio.

Valide a política de segurança local do seu domínio no local

A criação de uma confiança requer que a Política de Segurança Local do seu domínio no local permita o acesso anónimo aos pipes com os nomes netlogon, samr e lsarpc. Para verificar se o acesso anónimo está ativado, conclua os seguintes passos:

  1. Inicie sessão num controlador de domínio no local com uma conta de administrador de domínio ou empresarial para o domínio no local.

  2. Abra a consola da Política de segurança local.

  3. Na consola, aceda a Definições de segurança > Políticas locais > Opções de segurança > Acesso à rede: Named Pipes que podem ser acedidos anonimamente.

  4. Verifique se o acesso anónimo a netlogon, samr e lsarpc está ativado. Tenha em atenção que estes têm de ser especificados em linhas separadas e não separados por vírgulas.

Configure a fidedignidade

Depois de configurar as suas redes, pode criar uma relação de confiança entre o seu domínio local e o seu domínio do Microsoft AD gerido.

Configure o domínio no local

Para estabelecer a confiança no domínio no local, conclua os seguintes passos:

  1. Inicie sessão num controlador de domínio no local com uma conta de administrador de domínio ou empresarial.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do rato no domínio e selecione Propriedades.

  4. No separador Confiança, selecione Nova confiança.

  5. Selecione Seguinte no assistente de nova confiança.

  6. Introduza o FQDN do domínio do Microsoft AD gerido como o Nome da confiança.

  7. Para o Tipo de fidedignidade, selecione Fidedignidade da floresta.

  8. Defina a Direção da fidedignidade.

    • Para criar uma relação de confiança unidirecional, selecione Unidirecional de entrada.
    • Para criar uma fidedignidade bidirecional, selecione Bidirecional.

  9. Em Lados de fidedignidade, selecione Apenas este domínio.

  10. Para o Nível de autenticação de confiança de saída, selecione Autenticação ao nível da floresta.

  11. Introduza a palavra-passe de confiança.

    Precisa desta palavra-passe para configurar a confiança no domínio do Microsoft AD gerido.

  12. Confirme as definições de confiança e, de seguida, selecione Seguinte.

  13. É apresentada a janela Criação de confiança concluída.

  14. Selecione Não, não confirmar a confiança de saída e, de seguida, selecione Seguinte.

  15. Selecione Não, não confirmar a confiança recebida e, de seguida, selecione Seguinte.

  16. Na caixa de diálogo Concluir o assistente de nova confiança, selecione Concluir.

  17. Atualize o encaminhamento do sufixo do nome para a confiança.

Configure o domínio do Microsoft AD gerido

Para estabelecer a confiança no domínio do Microsoft AD gerido, conclua os seguintes passos:

Consola

  1. Abra a página Managed Microsoft AD na Google Cloud consola.
    Abra a página do Microsoft AD gerido

  2. Selecione o domínio para o qual quer criar uma relação de confiança e, de seguida, selecione Criar relação de confiança.

  3. Defina o Tipo de confiança como Floresta.

  4. Para o Nome do domínio de destino, introduza o FQDN do domínio no local.

  5. Defina a direção de confiança.

    • Para criar uma relação de confiança unidirecional, selecione Saída.
    • Para criar uma relação de confiança bidirecional, selecione Bidirecional.

  6. Introduza a palavra-passe de confiança que criou quando configurou a confiança no domínio no local.

  7. Para IPs de encaminhador condicional de DNS, introduza os endereços IP de DNS no local que reuniu anteriormente.

  8. Selecione Criar relação de confiança.

  9. Regressa à página do domínio. A nova relação de confiança deve ser apresentada como A criar. Aguarde até que o estado mude para Ligado. A configuração pode demorar até 10 minutos a ser concluída.

gcloud

Para criar uma fidedignidade unidirecional, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Substitua o seguinte:

  • DOMAIN: o FQDN do domínio do Microsoft AD gerido.
  • TARGET_DNS_IP_ADDRESSES: os endereços IP de DNS no local que reuniu anteriormente.
  • TARGET_DOMAIN_NAME: o FQDN do domínio no local.

Para criar uma fidedignidade bidirecional, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Para mais informações, consulte o comando create.

Valide a confiança bidirecional

Depois de configurar o domínio do Microsoft AD gerido para uma confiança bidirecional, tem de validar a confiança de saída do domínio no local. Se estiver a criar uma relação de confiança unidirecional, pode ignorar este passo.

Para validar a confiança de saída, conclua os seguintes passos:

  1. Inicie sessão num controlador de domínio no local com uma conta de administrador de domínio ou empresarial.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do rato no seu domínio e, de seguida, selecione Propriedades.

  4. No separador Fidedignidade, selecione a fidedignidade de saída para o domínio do Microsoft AD gerido.

  5. Selecione Propriedades.

  6. No separador Geral, selecione Validar.

Resolver problemas

Se tiver problemas ao tentar criar uma relação de confiança, pode experimentar as nossas sugestões de resolução de problemas.

O que se segue?