Membuat kepercayaan dengan domain lokal

Halaman ini menunjukkan cara membuat hubungan kepercayaan antara domain lokal dan domain Google Cloud Managed Service untuk Microsoft Active Directory. Kepercayaan ini bisa bersifat satu arah atau dua arah. Area ini juga dapat mencakup beberapa hutan. Jika Anda telah menyiapkan kepercayaan, pelajari cara mengelola kepercayaan.

Microsoft AD terkelola mendukung jenis kepercayaan forest dan tidak mendukung jenis kepercayaan eksternal, realm, dan pintasan.

Jenis kepercayaan

Hubungan kepercayaan bisa bersifat satu arah atau dua arah. {i>One-way trust<i} adalah jalur autentikasi searah yang dibuat antara dua domain. Dalam topik ini, domain lokal adalah sisi tepercaya atau masuk dari kepercayaan satu arah, dan domain Microsoft AD Terkelola adalah sisi mempercayai atau keluar dari hubungan. Kepercayaan dua arah adalah jalur autentikasi dua arah yang dibuat di antara dua domain. Kepercayaan dan akses mengalir dalam dua arah.

Sebelum memulai

Sebelum Anda membuat kepercayaan, selesaikan langkah-langkah berikut:

  1. Pastikan domain lokal menjalankan versi Windows yang didukung.

  2. Kumpulkan alamat IP server DNS yang berlaku untuk domain lokal Anda.

Membangun konektivitas jaringan

Bangun konektivitas jaringan antara jaringan lokal Anda dan Virtual Private Cloud (VPC) Google Cloud Anda, lalu verifikasi bahwa kedua jaringan tersebut dapat berkomunikasi. Untuk mengetahui informasi selengkapnya tentang cara mengidentifikasi dan membuat koneksi Cloud VPN, lihat Ringkasan Cloud VPN.

Buka port firewall

Konfigurasikan port masuk/keluar di jaringan lokal dan VPC Google Cloud untuk mengizinkan konektivitas kepercayaan Active Directory.

Tabel berikut mencantumkan kumpulan port minimal yang diperlukan untuk membangun kepercayaan. Anda mungkin perlu mengonfigurasi port lainnya, tergantung skenario Anda. Untuk informasi selengkapnya, lihat Persyaratan Port Layanan Domain Active Directory dan Active Directory Microsoft.

Membuka port firewall jaringan lokal

Buka port yang tercantum dalam tabel berikut di firewall lokal ke blok IP CIDR yang digunakan oleh jaringan VPC dan jaringan Microsoft AD Terkelola Anda.

Protocol Port Fungsi
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Perubahan sandi Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 UKM

Buka port firewall jaringan VPC

Buka port yang tercantum dalam tabel berikut di firewall jaringan VPC Anda ke blok IP CIDR yang digunakan oleh jaringan lokal Anda.

Protocol Port Fungsi
TCP, UDP 53 DNS

Mengonfigurasi forwarder kondisional DNS

Setelah membuka port firewall, konfigurasikan forwarder kondisional DNS. Setelan ini memungkinkan Anda memberikan petunjuk untuk meneruskan permintaan yang tidak dapat diselesaikan ke berbagai server DNS.

Periksa kebijakan penerusan masuk

Sebelum membuat kebijakan penerusan masuk Cloud DNS untuk VPC Anda, periksa apakah ada.

  1. Buka halaman Cloud DNS server policies di Konsol Google Cloud.
    Buka halaman Cloud DNS

  2. Cari kebijakan dalam daftar dengan kolom Inbound disetel ke On, dan jaringan VPC yang digunakan oleh domain Anda dicantumkan di drop-down di kolom In use by.

Jika menemukan kebijakan yang ada dan valid, Anda dapat langsung membuka bagian Mendapatkan alamat IP DNS.

Membuat kebijakan penerusan masuk

Untuk membuat kebijakan penerusan masuk, selesaikan langkah-langkah berikut:

  1. Buka halaman Cloud DNS server policies di Konsol Google Cloud.
    Buka halaman Cloud DNS

  2. Pilih Create Policy.

  3. Masukkan Nama.

  4. Setel Penerusan kueri masuk ke Aktif.

  5. Pilih jaringan VPC untuk domain Anda dari menu Jaringan.

  6. Pilih Create.

Mendapatkan alamat IP DNS

Setelah membuat kebijakan penerusan masuk, dapatkan alamat IP DNS untuk domain Microsoft AD Terkelola Anda. Jika Anda baru saja membuat kebijakan Cloud DNS yang baru, alamat IP mungkin belum muncul. Jika hal ini terjadi, tunggu beberapa menit dan coba lagi.

  1. Buka halaman Cloud DNS server policies di Konsol Google Cloud.
    Buka halaman Cloud DNS

  2. Pilih kebijakan Anda dari daftar, lalu pilih tab Sedang digunakan oleh.

  3. Catat semua alamat IP DNS domain Microsoft AD Terkelola yang perlu Anda konfigurasi di domain lokal. Anda memerlukan alamat ini untuk membangun kepercayaan dengan domain Microsoft AD Terkelola.

Pastikan blok CIDR yang berisi alamat IP ini dikonfigurasi di firewall jaringan lokal.

Membuat Forwarder kondisional DNS

Untuk mengonfigurasi penerusan bersyarat DNS di domain lokal Anda, gunakan alamat IP DNS untuk domain Microsoft AD Terkelola Anda guna menyelesaikan langkah-langkah berikut.

  1. Login ke pengontrol domain lokal dengan akun admin Domain atau Perusahaan untuk domain lokal.

  2. Buka DNS Manager.

  3. Luaskan server DNS dari domain yang kepercayaannya ingin Anda konfigurasi.

  4. Klik kanan Conditional Forwarders lalu pilih New kondisional forwarder.

  5. Untuk domain DNS, masukkan FQDN domain Microsoft AD Terkelola (misalnya, ad.example.com).

  6. Di kolom Alamat IP server master, masukkan alamat IP DNS dari domain Microsoft AD Terkelola yang Anda catat sebelumnya pada langkah Dapatkan alamat IP DNS.

  7. Jika kolom FQDN Server menampilkan error, Anda dapat mengabaikannya.

  8. Pilih Store thisconditional forwarder in Active Directory, lalu pilih All DNS servers in this domain dari menu drop-down.

  9. Pilih Oke.

Memverifikasi forwarder kondisional DNS

Anda dapat memverifikasi bahwa penerus dikonfigurasi dengan benar menggunakan nslookup atau cmdlet PowerShell Resolve-DnsName. Jalankan perintah berikut:

nslookup FQDN

Ganti FQDN dengan nama domain yang sepenuhnya memenuhi syarat dari domain Microsoft AD Terkelola Anda.

Jika forwarder kondisional DNS dikonfigurasi dengan benar, perintah ini akan menampilkan alamat IP pengontrol domain.

Memverifikasi Local Security Policy untuk domain lokal Anda

Untuk membuat kepercayaan, Kebijakan Keamanan Lokal untuk domain lokal Anda harus mengizinkan akses anonim ke pipeline bernama netlogon, samr, dan lsarpc. Untuk memverifikasi bahwa akses anonim diaktifkan, selesaikan langkah-langkah berikut:

  1. Login ke pengontrol domain lokal dengan akun admin Domain atau Perusahaan untuk domain lokal.

  2. Buka konsol Local Security Policy.

  3. Di konsol, buka Setelan Keamanan > Kebijakan Lokal > Opsi Keamanan > Akses jaringan: Pipa Bernama yang dapat diakses secara anonim.

  4. Pastikan akses anonim ke netlogon, samr, dan lsarpc diaktifkan. Perhatikan bahwa nilai-nilai ini perlu ditetapkan pada baris terpisah dan tidak dipisahkan koma.

Menyiapkan kepercayaan

Setelah mengonfigurasi jaringan, Anda dapat membuat kepercayaan antara domain lokal dan domain Microsoft AD Terkelola Anda.

Mengonfigurasi domain lokal

Untuk membangun kepercayaan di domain lokal, selesaikan langkah-langkah berikut:

  1. Login ke pengontrol domain lokal menggunakan akun administrator Domain atau Enterprise.

  2. Buka Active Directory Domains and Trusts.

  3. Klik kanan domain dan pilih Properties.

  4. Pada tab Trust, pilih New trust.

  5. Pilih Next di New Trust Wizard.

  6. Masukkan FQDN domain Microsoft AD Terkelola sebagai Trust Name.

  7. Untuk Jenis kepercayaan, pilih Kepercayaan hutan.

  8. Tetapkan Direction of Trust.

    • Untuk membuat kepercayaan satu arah, pilih Masuk satu arah.
    • Untuk membuat kepercayaan dua arah, pilih Dua arah.

  9. Untuk Sides of Trust, pilih This domain only.

  10. Untuk Outgoing Trust Authentication Level, pilih Forest-wide authentication.

  11. Masukkan Trust Password.

    Anda memerlukan sandi ini untuk mengonfigurasi kepercayaan di domain Microsoft AD Terkelola.

  12. Konfirmasi setelan kepercayaan, lalu pilih Berikutnya.

  13. Jendela Trust Creation Selesai akan ditampilkan.

  14. Pilih Tidak, jangan konfirmasi kepercayaan keluar, lalu pilih Berikutnya.

  15. Pilih Tidak, jangan konfirmasi kepercayaan yang masuk, lalu pilih Berikutnya.

  16. Pada dialog Completing the New Trust Wizard, pilih Finish.

  17. Perbarui Pemilihan Rute Akhiran Nama untuk kepercayaan.

Mengonfigurasi domain Microsoft AD Terkelola

Untuk membangun kepercayaan di domain Microsoft AD Terkelola, selesaikan langkah-langkah berikut:

Konsol

  1. Buka halaman Microsoft AD Terkelola di Konsol Google Cloud.
    Buka halaman Microsoft AD Terkelola

  2. Pilih domain yang akan dibuatkan kepercayaan, lalu pilih Create Trust.

  3. Tetapkan Trust type ke Forest.

  4. Untuk Target domain name, masukkan FQDN domain lokal.

  5. Tetapkan Arah kepercayaan.

    • Untuk membuat kepercayaan satu arah, pilih Keluar.
    • Untuk membuat kepercayaan dua arah, pilih Dua arah.

  6. Masukkan sandi kepercayaan yang Anda buat saat mengonfigurasi kepercayaan di domain lokal.

  7. Untuk IP Penerusan Bersyarat DNS, masukkan alamat IP DNS lokal yang telah Anda kumpulkan sebelumnya.

  8. Pilih Create Trust Relationship.

  9. Anda kembali ke halaman domain. Kepercayaan baru Anda akan ditampilkan sebagai Membuat. Tunggu hingga status berubah menjadi Terhubung. Diperlukan waktu hingga 10 menit untuk menyelesaikan penyiapan.

gcloud

Untuk membuat kepercayaan satu arah, jalankan perintah gcloud CLI berikut:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Ganti kode berikut:

  • DOMAIN: FQDN domain Microsoft AD Terkelola.
  • TARGET_DNS_IP_ADDRESSES: Alamat IP DNS lokal yang telah Anda kumpulkan sebelumnya.
  • TARGET_DOMAIN_NAME: FQDN domain lokal.

Untuk membuat kepercayaan dua arah, jalankan perintah gcloud CLI berikut:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Untuk mengetahui informasi selengkapnya, lihat perintah create.

Memvalidasi kepercayaan dua arah

Setelah mengonfigurasi domain Microsoft AD Terkelola untuk kepercayaan dua arah, Anda harus memvalidasi kepercayaan keluar dari domain lokal. Jika Anda membuat kepercayaan satu arah, Anda dapat melewati langkah ini.

Untuk memverifikasi kepercayaan keluar, selesaikan langkah-langkah berikut:

  1. Login ke pengontrol domain lokal menggunakan akun administrator Domain atau Enterprise.

  2. Buka Active Directory Domains and Trusts.

  3. Klik kanan domain Anda, lalu pilih Properties.

  4. Pada tab Trust, pilih kepercayaan keluar untuk domain Microsoft AD Terkelola.

  5. Pilih Properti.

  6. Di tab General, pilih Validate.

Memecahkan masalah

Jika mengalami masalah saat mencoba membuat kepercayaan, Anda dapat mencoba tips pemecahan masalah kami.

Langkah selanjutnya