Vertrauensstellung mit einer lokalen Domain erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Vertrauensstellung zwischen lokalen Domains und einer Domain von Managed Service for Microsoft Active Directory erstellen. Diese Vertrauensstellung kann entweder in eine Richtung oder in beide Richtungen erfolgen. Sie kann sich auch über mehrere Gesamtstrukturen erstrecken. Wenn Sie bereits eine Vertrauensstellung eingerichtet haben, lesen Sie, wie Sie Vertrauensstellungen verwalten.

Managed Microsoft AD unterstützt den Vertrauenstyp der Gesamtstruktur und unterstützt keine Vertrauenstypen für externe, Bereiche und Verknüpfungen.

Arten von Vertrauensstellungen

Eine Vertrauensstellung kann entweder einseitig oder bidirektional sein. Eine Einweg-Vertrauensstellung ist ein unidirektionaler Authentifizierungspfad, der zwischen zwei Domains erstellt wird. In diesem Thema ist die lokale Domain die vertrauenswürdige oder eingehende Seite der einseitigen Vertrauensstellung und die Managed Microsoft AD-Domain die vertrauende oder ausgehende Seite der Beziehung. Eine Zwei-Wege-Vertrauensstellung ist ein bidirektionaler Authentifizierungspfad, der zwischen zwei Domains erstellt wird. Vertrauen und Zugriff fließt in beide Richtungen.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie eine Vertrauensstellung erstellen:

  1. Prüfen Sie, ob auf der lokalen Domain eine unterstützte Windows-Version ausgeführt wird.

  2. Ermitteln Sie die IP-Adressen der DNS-Server, die für Ihre lokale Domain gelten.

Netzwerkverbindung herstellen

Stellen Sie eine Netzwerkverbindung zwischen Ihrem lokalen Netzwerk und der Virtual Private Cloud (VPC) von Google Cloud her. Prüfen Sie dann, ob die beiden Netzwerke miteinander kommunizieren können. Weitere Informationen zum Identifizieren und Herstellen von Cloud VPN-Verbindungen finden Sie unter Cloud VPN – Übersicht.

Firewallports öffnen

Konfigurieren Sie die Ports für eingehenden und ausgehenden Traffic in Ihrem lokalen Netzwerk und Ihrer Google Cloud-VPC, um vertrauenswürdige Active Directory-Verbindungen zuzulassen.

In den folgenden Tabellen werden die erforderlichen Ports aufgeführt, um die Vertrauensstellung zu schaffen. Je nach Szenario müssen Sie möglicherweise weitere Ports konfigurieren. Weitere Informationen finden Sie in den Anforderungen an den Port für Active Directory und Active Directory Domain Services von Microsoft.

Lokale Firewallports des Netzwerks öffnen

Öffnen Sie die in der folgenden Tabelle aufgeführten Ports auf Ihrer lokalen Firewall für den CIDR-IP-Block, der von Ihrem VPC-Netzwerk und Ihrem Managed Microsoft AD-Netzwerk verwendet wird.

Protokoll Port Funktionsweise
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Kerberos-Passwort ändern
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 KMU

Firewallports des VPC-Netzwerk öffnen

Öffnen Sie die in der folgenden Tabelle aufgeführten Ports auf der Firewall Ihres VPC-Netzwerks für den CIDR-IP-Block, der von Ihrem firmeninternen Netzwerk verwendet wird.

Protokoll Port Funktionsweise
TCP, UDP 53 DNS

Bedingte DNS-Forwarder konfigurieren

Konfigurieren Sie nach dem Öffnen der Firewallports die bedingten DNS-Weiterleitungen. Mit diesen Einstellungen können Sie Hinweise für die Weiterleitung nicht auflösbarer Anfragen an verschiedene DNS-Server angeben.

Nach einer Richtlinie für die eingehende Weiterleitung suchen

Prüfen Sie vor dem Erstellen einer Cloud DNS-Weiterleitungsrichtlinie für Ihre VPC, ob eine vorhanden ist.

  1. Öffnen Sie in der Google Cloud Console die Seite mit den Cloud DNS-Serverrichtlinien.
    Öffnen Sie die Cloud-DNS-Seite

  2. Suchen Sie in der Liste nach einer Richtlinie, in der die Spalte Inbound auf On festgelegt ist und das von Ihrer Domain verwendete VPC-Netzwerk in der Dropdown-Liste unter der Spalte In use by aufgeführt ist.

Wenn Sie eine gültige vorhandene Richtlinie finden, können Sie mit DNS-IP-Adressen abrufen fortfahren.

Richtlinie für die eingehende Weiterleitung erstellen

Führen Sie die folgenden Schritte aus, um eine Richtlinie für die eingehende Weiterleitung zu erstellen:

  1. Öffnen Sie in der Google Cloud Console die Seite mit den Cloud DNS-Serverrichtlinien.
    Öffnen Sie die Cloud-DNS-Seite

  2. Wählen Sie Richtlinie erstellen aus.

  3. Geben Sie einen Namen ein.

  4. Setzen Sie Weiterleitung der eingehenden Abfragen auf Ein.

  5. Wählen Sie im Menü Netzwerke das VPC-Netzwerk für Ihre Domain aus.

  6. Wählen Sie Erstellen aus.

DNS-IP-Adressen abrufen

Nachdem Sie eine Richtlinie für die eingehende Weiterleitung erstellt haben, rufen Sie die DNS-IP-Adressen für Ihre verwaltete Microsoft AD-Domain ab. Wenn Sie gerade eine neue Cloud DNS-Richtlinie erstellt haben, werden die IP-Adressen möglicherweise noch nicht angezeigt. Warten Sie in diesem Fall einige Minuten und versuchen Sie es noch einmal.

  1. Öffnen Sie in der Google Cloud Console die Seite mit den Cloud DNS-Serverrichtlinien.
    Öffnen Sie die Cloud-DNS-Seite

  2. Wählen Sie Ihre Richtlinie aus der Liste und dann den Tab Verwendet von.

  3. Notieren Sie sich alle DNS-IP-Adressen der verwalteten Microsoft AD-Domain, die Sie in Ihrer lokalen Domain konfigurieren müssen. Sie benötigen diese Adressen, um die Vertrauensstellung mit der Managed Microsoft AD-Domain einzurichten.

Achten Sie darauf, dass die CIDR-Blöcke mit diesen IP-Adressen in Ihrer lokalen Netzwerk-Firewall konfiguriert sind.

Bedingte DNS-Weiterleitung erstellen

Zum Konfigurieren der bedingten DNS-Forwarder auf Ihrer lokalen Domain verwenden Sie die DNS-IP-Adressen für die Managed Microsoft AD-Domain, um die folgenden Schritte auszuführen.

  1. Melden Sie sich bei einem lokalen Domaincontroller mit einem Domain- oder Enterprise-Administratorkonto für die lokale Domain an.

  2. Öffnen Sie den DNS-Manager.

  3. Maximieren Sie den DNS-Server der Domain, für die Sie die Vertrauensstellung konfigurieren möchten.

  4. Klicken Sie mit der rechten Maustaste auf Bedingte Weiterleitungen und wählen Sie Neuer bedingter Forwarder aus.

  5. Geben Sie unter DNS-Domain den FQDN der Managed Microsoft AD-Domain ein (z. B. ad.example.com).

  6. Geben Sie im Feld IP-Adressen der Masterserver die DNS-IP-Adressen Ihrer verwalteten Microsoft AD-Domain ein, die Sie zuvor im Schritt DNS-IP-Adressen abrufen notiert haben.

  7. Wenn im Feld Server FQDN ein Fehler angezeigt wird, können Sie ihn ignorieren.

  8. Wählen Sie Diesen bedingten Forwarder in Active Directory speichern und dann aus dem Drop-down-Menü die Option Alle DNS-Server in dieser Domain aus.

  9. Wählen Sie OK aus.

Bedingte DNS-Weiterleitung prüfen

Sie können mit nslookup oder dem PowerShell-Cmdlet Resolve-DnsName prüfen, ob der Forwarder richtig konfiguriert ist. Führen Sie dazu diesen Befehl aus:

nslookup FQDN

Ersetzen Sie FQDN durch den voll qualifizierten Domainnamen Ihrer Managed Microsoft AD-Domain.

Wenn der bedingte DNS-Forwarder korrekt konfiguriert ist, gibt dieser Befehl die IP-Adressen der Domaincontroller zurück.

Lokale Sicherheitsrichtlinie für Ihre lokale Domain prüfen

Zum Erstellen einer Vertrauensstellung ist es erforderlich, dass die lokale Sicherheitsrichtlinie für Ihre lokale Domain den anonymen Zugriff auf die Pipes netlogon, samr und lsarpc erlaubt. So prüfen Sie, ob der anonyme Zugriff aktiviert ist:

  1. Melden Sie sich bei einem lokalen Domaincontroller mit einem Domain- oder Enterprise-Administratorkonto für die lokale Domain an.

  2. Öffnen Sie die Konsole der lokalen Sicherheitsrichtlinie.

  3. Gehen Sie in der Konsole zu Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann.

  4. Prüfen Sie, ob der anonyme Zugriff auf netlogon, samr und lsarpc aktiviert ist. Diese müssen in separaten Zeilen angegeben werden und nicht durch Kommas getrennt.

Vertrauensstellung einrichten

Nach der Konfiguration Ihrer Netzwerke können Sie eine Vertrauensstellung zwischen Ihrer lokalen Domain und der Managed Microsoft AD-Domain erstellen.

Lokale Domain konfigurieren

Führen Sie die folgenden Schritte aus, um die Vertrauensstellung in der lokalen Domain einzurichten:

  1. Melden Sie sich mit einem Domänen- oder Unternehmensadministratorkonto bei einem lokalen Domänencontroller an.

  2. Öffnen Sie Active Directory-Domains und Vertrauensstellungen

  3. Klicken Sie mit der rechten Maustaste auf Ihre Domain und wählen Sie Eigenschaften aus.

  4. Wählen Sie auf dem Tab Vertrauensstellung die Option Neue aus.

  5. Klicken Sie im Assistent für neue Vertrauensstellung auf Weiter.

  6. Geben Sie den FQDN der Managed Microsoft AD-Domain als Vertrauensstellungsname ein.

  7. Wählen Sie als Vertrauensstellungstyp die Option Forest trust aus.

  8. Legen Sie die Richtung der Vertrauensstellung fest.

    • Wählen Sie zum Erstellen der Ein-weg-Vertrauensstellung Einweg eingehend aus.
    • Wählen Sie zum Erstellen einer bidirektionalen Vertrauensstellung Bidirektional.

  9. Wählen Sie unter Vertrauensstellungsseiten die Option Nur diese Domain aus.

  10. Wählen Sie für Authentifizierungsebene des ausgehenden Vertrauens die Option Authentifizierung über die gesamte Authentifizierung aus.

  11. Geben Sie das Passwort für Vertrauensstellung ein.

    Sie benötigen dieses Passwort, um die Vertrauensstellung für die Managed Microsoft AD-Domain zu konfigurieren.

  12. Bestätigen Sie die Vertrauensstellungseinstellungen und wählen Sie dann Weiter aus.

  13. Das Fenster Vertrauenserstellung abgeschlossen wird angezeigt.

  14. Wählen Sie Nein, ausgehende Vertrauensstellung nicht bestätigen und klicken Sie dann auf Weiter.

  15. Wählen Sie Nein, eingehende Vertrauensstellung nicht bestätigen und klicken Sie dann auf Weiter.

  16. Klicken Sie im Dialogfeld Assistent für die neue Vertrauensstellung abschließen auf Fertigstellen.

  17. Namenssuffix-Routing für die Vertrauensstellung aktualisieren.

Verwaltete Microsoft AD-Domain konfigurieren

Führen Sie die folgenden Schritte aus, um die Vertrauensstellung für die Managed Microsoft AD-Domain einzurichten:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „Managed Microsoft AD“.
    Öffnen Sie die Seite Managed Microsoft AD

  2. Wählen Sie die Domain aus, für die Sie eine Vertrauensstellung erstellen möchten, und wählen Sie dann Vertrauensstellung erstellen aus.

  3. Legen Sie Vertrauensstellungstyp auf Forest fest.

  4. Geben Sie unter Zieldomainname den FQDN der lokalen Domain ein.

  5. Legen Sie die Vertrauensstellungsrichtung fest.

    • Wenn Sie eine Einweg-Vertrauensstellung erstellen wollen, wählen Sie Ausgehend.
    • Wählen Sie zum Erstellen einer bidirektionalen Vertrauensstellung Bidirektional aus.

  6. Geben Sie das Vertrauensstellungspasswort ein, das Sie bei der Konfiguration der Vertrauensstellung in der lokalen Domain erstellt haben.

  7. Geben Sie unter IP-Adressen für bedingte DNS-Weiterleitung die lokalen DNS-IP-Adressen ein, die Sie zuvor erfasst haben.

  8. Wählen Sie Vertrauensstellungsbeziehung erstellen aus.

  9. Sie werden zur Domainseite zurückgeleitet. Ihre neue Vertrauensstellung sollte als Wird erstellt angezeigt werden. Warten Sie, bis sich der Status auf Verbunden ändert. Die Einrichtung kann bis zu zehn Minuten dauern.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus, um eine unidirektionale Vertrauensstellung zu erstellen:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Ersetzen Sie Folgendes:

  • DOMAIN: Der FQDN der verwalteten Microsoft AD-Domain.
  • TARGET_DNS_IP_ADDRESSES: Die lokalen DNS-IP-Adressen, die Sie zuvor erfasst haben.
  • TARGET_DOMAIN_NAME: FQDN der lokalen Domain.

Führen Sie den folgenden gcloud CLI-Befehl aus, um eine bidirektionale Vertrauensstellung zu erstellen:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Weitere Informationen finden Sie unter Befehl create.

Bidirektionale Vertrauensstellung validieren

Nach der Konfiguration der Managed Microsoft AD-Domain für eine zweiseitige Vertrauensstellung müssen Sie die ausgehende Vertrauensstellung der lokalen Domain validieren. Wenn Sie eine Einweg-Vertrauensstellung erstellen, können Sie diesen Schritt überspringen.

Führen Sie die folgenden Schritte aus, um die Vertrauensstellung für ausgehende Verbindungen zu prüfen:

  1. Melden Sie sich mit einem Domain- oder Unternehmensadministratorkonto bei einem lokalen Domaincontroller an.

  2. Öffnen Sie Active Directory-Domains und Vertrauensstellungen

  3. Klicken Sie mit der rechten Maustaste auf Ihre Domain und wählen Sie Eigenschaften aus.

  4. Wählen Sie auf dem Tab Vertrauensstellung die ausgehende Vertrauensstellung für die Managed Microsoft AD-Domain aus.

  5. Wählen Sie die Option Eigenschaften aus.

  6. Wählen Sie auf dem Tab Allgemein die Option Validieren.

Fehlerbehebung

Wenn beim Erstellen einer Vertrauensstellung Probleme auftreten, lesen Sie unsere Tipps zur Fehlerbehebung.

Nächste Schritte