En esta página, se muestra cómo crear una relación de confianza entre los datos locales y un dominio de Servicio administrado para Microsoft Active Directory. Esta confianza puede ser unidireccional o bidireccional. También puede abarcar varios bosques. Si ya configuraste una relación de confianza, aprende cómo administrar relaciones de confianza.
Microsoft AD administrado admite el tipo de confianza del bosque, pero no los tipos de confianza externos, de reino ni de atajo.
Tipos de confianza
Una relación de confianza puede ser unidireccional o bidireccional. Una relación de confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. En este tema, el dominio local es el lado confiable o entrante de la relación de confianza unidireccional y el dominio de Microsoft AD administrado es el lado que confía o saliente de la relación. Una confianza bidireccional es una ruta de autenticación bidireccional creada entre dos dominios. Confianza y flujo de acceso en ambas direcciones.
Antes de comenzar
Antes de crear una confianza, completa los siguientes pasos:
Verifica que el dominio local ejecute una versión compatible de Windows.
Recopila las direcciones IP de los servidores DNS que se aplican a tu dominio local.
Establece la conectividad de red
Establece la conectividad de red entre tu red local y tu nube privada virtual (VPC) de Google Cloud y, luego, verifica que las dos redes puedan comunicarse. Para obtener más información sobre identificar y establecer conexiones de Cloud VPN, consulta la descripción general de Cloud VPN.
Abre puertos de firewall
Configura los puertos de entrada/salida en tu red local y tu VPC de Google Cloud para permitir la conectividad de confianza de Active Directory.
Las siguientes tablas enumeran el conjunto mínimo de puertos necesarios para establecer la relación de confianza. Es posible que deba configurar más puertos, según su situación. Para obtener más información, consulta los Requisitos de puertos de Active Directory y de los servicios de dominio de Active Directory de Microsoft.
Abre los puertos de firewall de red locales
Abra los puertos enumerados en la siguiente tabla en su firewall local para el bloque de IP CIDR utilizado por su red VPC y la red de Managed Microsoft AD.
Protocolo | Port | Funcionalidad |
---|---|---|
TCP, UDP | 53 | DNS |
TCP, UDP | 88 | Kerberos |
TCP, UDP | 464 | Cambio de contraseña de Kerberos |
TCP | 135 | RPC |
TCP | 49152-65535 | RPC |
TCP, UDP | 389 | LDAP |
TCP, UDP | 445 | SMB |
Abre los puertos de firewall de red de VPC
Abre los puertos enumerados en la siguiente tabla en tu firewall de red de VPC para el bloque de IP de CIDR que usa tu red local.
Protocolo | Port | Funcionalidad |
---|---|---|
TCP, UDP | 53 | DNS |
Configura servidores de reenvío condicionales de DNS
Después de abrir los puertos del firewall, configura los servidores de reenvío condicionales de DNS. Esta configuración te permite proporcionar sugerencias para reenviar solicitudes no resueltas a diferentes servidores DNS.
Busca una política de reenvío entrante
Antes de crear una política de reenvío entrante de Cloud DNS para su VPC, verifique si existe.
Abre la página de políticas del servidor de Cloud DNS en la consola de Google Cloud.
Abra la página de Cloud DNSBusca una política en la lista en la que la columna Entrante esté configurada como Activada y la red de VPC que usa tu dominio aparece en el menú desplegable debajo de la columna En uso.
Si encuentras una política existente válida, puedes pasar a la sección Obtén direcciones IP de DNS.
Crea una política de reenvío entrante
Para crear una política de reenvío entrante, completa los siguientes pasos:
Abre la página de políticas del servidor de Cloud DNS en la consola de Google Cloud.
Abra la página de Cloud DNSSelecciona Crear política.
Ingresa un Nombre.
Establezca Reenvío de consultas entrantes a Activado.
Selecciona la red de VPC para tu dominio en el menú Redes.
Seleccione Crear.
Obtén direcciones IP de DNS
Después de crear una política de reenvío entrante, obtén las direcciones IP de DNS de tu Dominio de Microsoft AD administrado. Si acabas de crear un nuevo Cloud DNS , es posible que las direcciones IP aún no aparezcan. Si esto sucede, espera unos minutos y vuelve a intentarlo.
Abre la página de políticas del servidor de Cloud DNS en la consola de Google Cloud.
Abra la página de Cloud DNSSelecciona tu política de la lista y, luego, haz clic en la pestaña En uso por.
Toma nota de las direcciones IP de DNS del dominio de Microsoft AD administrado que debes configurar en tu dominio local. Necesitas estas direcciones para establecer la confianza con el dominio de Microsoft AD administrado.
Asegúrate de que los bloques de CIDR que contengan estas direcciones IP estén configurados en tu firewall de red local.
Crear reenvíos condicionales de DNS
Para configurar los servidores de reenvío condicionales DNS en su dominio local, use las direcciones IP de DNS para su dominio de Managed Microsoft AD para completar los siguientes pasos.
Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.
Abre el administrador de DNS.
Expanda el servidor DNS del dominio para el que desea configurar la relación de confianza.
Haga clic con el botón derecho en servidores de reenvío condicionales y seleccione Nuevo servidor de reenvío condicional.
Para dominio DNS, ingrese el FQDN del dominio de Managed Microsoft AD (por ejemplo,
ad.example.com
).En el campo Direcciones IP de los servidores principales, ingresa la IP de DNS. direcciones IP del dominio de Microsoft AD administrado que anotaste antes el botón Obtener IP de DNS de direcciones.
Si el campo Servidor FQDN muestra un error, puedes ignorarlo.
Seleccione Almacenar este servidor de reenvío condicional en Active Directory y, luego, seleccione Todos los servidores DNS en este dominio del menú desplegable.
Selecciona Aceptar.
Verifica el reenvío condicional de DNS
Puede verificar que el servidor de reenvío esté configurado correctamente mediante nslookup
o el cmdlet PowerShell Resolve-DnsName
. Ejecuta el siguiente comando:
nslookup FQDN
Reemplaza FQDN
por el nombre de dominio completamente calificado de tu dominio de Microsoft AD administrado.
Si el servidor de reenvío condicional de DNS está configurado correctamente, este comando muestra las direcciones IP de los controladores de dominio.
Verifica la política de seguridad local para tu dominio local
Crear una confianza requiere que la política de seguridad local para tu dominio local permita el acceso anónimo a las canalizaciones llamadas netlogon
, samr
y lsarpc
. Para verificar que el acceso anónimo esté habilitado, completa los siguientes pasos:
Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.
En la consola, ve a Configuración de seguridad > Políticas locales > Opciones de seguridad > Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima.
Verifica que el acceso anónimo a
netlogon
,samr
ylsarpc
esté habilitado. Ten en cuenta que deben especificarse en líneas separadas y no separados por comas.
Configura la confianza
Después de configurar sus redes, puede crear una relación de confianza entre su dominio local y su dominio de Managed Microsoft AD.
Configura el dominio local
Para establecer la confianza en el dominio local, completa los siguientes pasos:
Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.
Abra Dominios y confianzas de Active Directory.
Haz clic con el botón derecho en el dominio y selecciona Propiedades.
En la pestaña Confiar, selecciona confianza Nueva.
Selecciona Siguiente en el Asistente para nueva relación de confianza.
Ingrese el FQDN del dominio de Managed Microsoft AD como Nombre de la relación de confianza.
Para el Tipo de relación de confianza, seleccione relación de confianza de bosque.
Configura la Dirección de la relación de confianza.
- Para crear una relación de confianza unidireccional, selecciona Entrada unidireccional.
- Para crear una relación de este sentido, selecciona Two-way.
Para Lados de la relación de confianza, seleccione Este dominio solamente.
Para Nivel de autenticación de la relación de confianza saliente, seleccione Autenticación en todo el bosque.
Ingresa la Contraseña de confianza.
Necesitas esta contraseña para configurar la confianza en el dominio administrado de Microsoft AD.
Confirma la configuración de la relación de confianza y, luego, haz clic en Siguiente.
Se muestra la ventana Creación de la relación de confianza completa.
Selecciona No, do not confirm the outgoing trust y, luego, selecciona Siguiente.
Selecciona No, do not confirm the incoming trust y, luego, selecciona Siguiente.
En el cuadro de diálogo Completing the New Trust Wizard, selecciona Finalizar.
Actualiza el enrutamiento del sufijo del nombre para la confianza.
Configura el dominio de Microsoft AD administrado
Para establecer la confianza en el dominio de Microsoft AD administrado, completa la los siguientes pasos:
Console
Abre la página de Microsoft AD administrado en la consola de Google Cloud.
Abra la página de Microsoft AD administradoSelecciona el dominio para el que deseas crear una relación de confianza y, luego, selecciona
Crear una relación de confianza.Establezca Tipo de relación de confianza en Bosque.
En Nombre de dominio de destino, ingresa el FQDN del dominio local.
Establece la Dirección de confianza.
- Para crear una relación de confianza unidireccional, selecciona Saliente.
- Para crear una relación de confianza bidireccional, selecciona Bidireccional.
Ingrese la contraseña de la relación de confianza que creó al configurar la confianza en el dominio local.
Para IP de servidor de reenvío condicional de DNS, ingresa las direcciones IP de DNS locales que obtuviste antes.
Selecciona Crear una relación de confianza.
Volverás a la página del dominio. Tu confianza nueva debe aparecer como Creando. Espera a que el estado cambie a Conectado. La configuración puede tardar hasta 10 minutos en completarse.
gcloud
Para crear una relación de confianza unidireccional, ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=OUTBOUND
Reemplaza lo siguiente:
DOMAIN
: Es el FQDN del dominio de Microsoft AD administrado.TARGET_DNS_IP_ADDRESSES
: Las direcciones IP de DNS locales que recopilaste antesTARGET_DOMAIN_NAME
: Es el FQDN del dominio local.
Para crear una relación de confianza bidireccional, ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=BIDIRECTIONAL
Para obtener más información, consulta el comando create
.
Valida la confianza bidireccional
Después de configurar el dominio de Microsoft AD administrado para una relación de confianza bidireccional, debes validar la confianza de salida desde el dominio local. Si estás creando una relación de confianza unidireccional, puedes omitir este paso.
Para verificar la confianza de salida, completa los siguientes pasos:
Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.
Abra Dominios y confianzas de Active Directory.
Haz clic con el botón derecho en tu dominio y, a continuación, selecciona Propiedades.
En la pestaña Trust, selecciona la relación de confianza saliente para el dominio de Microsoft AD administrado.
Selecciona Propiedades.
En la pestaña General, selecciona Validate.
Solucionar problemas
Si tiene problemas al intentar crear una confianza, puede probar nuestros consejos para la solución de problemas.
¿Qué sigue?
- Aprenda cómo administrar una relación de confianza.
- Aprenda cómo solucionar problemas de acceso a una confianza.