Questa pagina mostra come creare una relazione di attendibilità tra on-premise e un dominio Managed Service for Microsoft Active Directory. Questo trust può essere unidirezionale bidirezionale. Può anche abbracciare diverse foreste. Se hai già configurato un trust, scopri come gestire i trust.
Microsoft Active Directory gestito supporta la trust delle foreste tipo e non supporta i tipi di attendibilità esterni, di area di autenticazione e scorciatoia.
Tipi di trust
Una relazione di fiducia può essere unidirezionale o bidirezionale. Un trust unidirezionale è un di autenticazione unidirezionale creato tra due domini. In questo argomento, Il dominio on-premise è il lato attendibile o in entrata dell'attendibilità unidirezionale e che il dominio Microsoft Active Directory gestito sia il lato attendibile o in uscita la relazione. Un trust a due vie è un percorso di autenticazione bidirezionale tra due domini. Flusso di accesso affidabile e di accesso in entrambe le direzioni.
Prima di iniziare
Prima di creare un trust, completa i seguenti passaggi:
Verifica che nel dominio on-premise sia in esecuzione una versione supportata di Windows.
Raccogli gli indirizzi IP dei server DNS applicabili al tuo dominio on-premise.
Stabilisci connettività di rete
Stabilisci la connettività di rete tra la tua rete on-premise e la tua Virtual Private Cloud (VPC) di Google Cloud, quindi verifica che tra due reti possono comunicare. Per ulteriori informazioni per identificare e stabilire le connessioni Cloud VPN, consulta la panoramica di Cloud VPN.
Apri porte firewall
Configura le porte in entrata/in uscita sulla tua rete on-premise VPC Google Cloud per consentire l'attendibilità di Active Directory e la connettività privata.
Le seguenti tabelle elencano l'insieme minimo di porte necessarie per stabilire l'attendibilità. A seconda del tuo scenario, potrebbe essere necessario configurare più porte. Per ulteriori informazioni vedi le informazioni sulla Requisiti per le porte dei servizi di dominio di Active Directory e Active Directory.
Apri porte firewall di rete on-premise
Apri le porte elencate nella tabella seguente sul firewall on-premise Blocco IP CIDR utilizzato dalla tua rete VPC e dalla rete Microsoft Active Directory gestita.
Protocollo | Porta | Funzionalità |
---|---|---|
TCP, UDP | 53 | DNS |
TCP, UDP | 88 | Kerberos |
TCP, UDP | 464 | Modifica password Kerberos |
TCP | 135 | RPC |
TCP | 49152-65535 | RPC |
TCP, UDP | 389 | LDAP |
TCP, UDP | 445 | PMI |
Porte firewall di rete VPC aperte
Apri le porte sulla tua rete VPC elencate nella tabella seguente il firewall al Blocco IP CIDR utilizzato dalla rete on-premise.
Protocollo | Porta | Funzionalità |
---|---|---|
TCP, UDP | 53 | DNS |
Configura forwarding condizionali DNS
Dopo aver aperto le porte del firewall, configura i forwarding condizionali DNS. Queste impostazioni ti consentono di fornire suggerimenti per inoltrare le richieste non risolvibili a diversi server DNS.
Verificare la presenza di un criterio di forwarding in entrata
Prima di creare un criterio di forwarding in entrata di Cloud DNS per il tuo VPC, verifica se ne esiste uno.
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina di Cloud DNSCerca un criterio nell'elenco in cui è impostata la colonna In entrata On, la rete VPC utilizzata dal tuo dominio è elencata nel menu a discesa nella colonna Utilizzato da.
Se trovi delle norme valide, puoi passare direttamente a Ottieni indirizzi IP DNS.
Crea un criterio di forwarding in entrata
Per creare un criterio di forwarding in entrata, segui questi passaggi:
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina di Cloud DNSSeleziona Crea criterio.
Inserisci un Nome.
Imposta Inoltro query in entrata su On.
Seleziona la rete VPC per il tuo dominio dal Menu Reti.
Seleziona Crea.
Ottieni indirizzi IP DNS
Dopo aver creato un criterio di forwarding in entrata, ottieni gli indirizzi IP DNS per Dominio Microsoft AD gestito. Se hai appena creato un nuovo Cloud DNS gli indirizzi IP potrebbero non essere ancora visualizzati. In questo caso, attendi qualche minuto e riprova.
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina di Cloud DNSSeleziona il criterio dall'elenco, quindi la scheda Utilizzato da.
Prendi nota di eventuali indirizzi IP DNS del dominio Microsoft Active Directory gestito che devi configurare nel tuo dominio on-premise. Ti servono questi per stabilire l'attendibilità con il dominio Microsoft Active Directory gestito.
Assicurati che i blocchi CIDR contenenti questi indirizzi IP siano configurati in del firewall di rete on-premise.
Crea forwarding condizionale DNS
Per configurare gli forwarding condizionali DNS sul tuo dominio on-premise, utilizza Indirizzi IP DNS del tuo dominio Microsoft AD gestito per completare la i seguenti passaggi.
Accedi a un controller di dominio on-premise con un amministratore di dominio o aziendale per il dominio on-premise.
Apri il Gestore DNS.
Espandi il server DNS del dominio per cui vuoi configurare l'attendibilità.
Fai clic con il tasto destro del mouse su Forwarder condizionali e seleziona Nuovo inoltro condizionale.
In Dominio DNS, inserisci il nome di dominio completo di Managed Microsoft AD dominio (ad esempio,
ad.example.com
).Nel campo Indirizzi IP dei server master, inserisci l'indirizzo IP DNS del dominio Microsoft Active Directory gestito che hai annotato in precedenza l'opzione Ottieni IP DNS indirizzi IP.
Se il campo FQDN server restituisce un errore, puoi ignorarlo.
Seleziona Archivia questo inoltro condizionale in Active Directory e seleziona Tutti i server DNS in questo dominio dal menu a discesa.
Seleziona OK.
Verifica il forwarding condizionale DNS
Puoi verificare che l'utente che esegue l'inoltro sia configurato correttamente utilizzando nslookup
o
il cmdlet di PowerShell Resolve-DnsName
. Esegui questo comando:
nslookup FQDN
Sostituisci FQDN
con il nome di dominio completo del dominio Microsoft Active Directory gestito.
Se il forwarding condizionale DNS è configurato correttamente, questo comando restituisce gli indirizzi IP dei controller di dominio.
Verifica il criterio di sicurezza locale per il dominio on-premise
La creazione di un trust richiede che il criterio di sicurezza locale per i tuoi ambienti on-premise
dominio consente l'accesso anonimo ai netlogon
, samr
e lsarpc
denominati
tubature. Per verificare che l'accesso anonimo sia abilitato, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise con un amministratore di dominio o aziendale per il dominio on-premise.
Apri la console Criteri di sicurezza locale.
Nella console, vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza > Accesso alla rete: pipeline denominate che possono in forma anonima.
Verifica che l'accesso anonimo a
netlogon
,samr
elsarpc
sia attivato. Tieni presente che questi dati devono essere specificati su righe separate e non devono essere separati da virgole.
Configura trust
Dopo aver configurato le reti, puoi creare un trust tra i tuoi ambienti on-premise e il dominio Microsoft Active Directory gestito.
Configura il dominio on-premise
Per stabilire l'attendibilità sul dominio on-premise, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise utilizzando un o un account amministratore aziendale.
Apri Domini e attendibilità di Active Directory.
Fai clic con il tasto destro del mouse sul dominio e seleziona Proprietà.
Nella scheda Attendibile, seleziona Nuovo trust.
Seleziona Avanti in Nuova procedura guidata di attendibilità.
Inserisci il nome di dominio completo del dominio Microsoft Active Directory gestito come Nome attendibilità.
Per Tipo di attendibilità, seleziona Forest trust.
Imposta la Direction of Trust (Direzione di attendibilità).
- Per creare un trust unidirezionale, seleziona In arrivo unidirezionale.
- Per creare un trust a due vie, seleziona Due vie.
In lati di attendibilità, seleziona Solo questo dominio.
Per Livello di autenticazione trust in uscita, seleziona A livello di foresta autenticazione.
Inserisci la Password attendibile.
Questa password è necessaria per la configurazione il trust sul dominio Microsoft Active Directory gestito.
Conferma le impostazioni di attendibilità, quindi seleziona Avanti.
Viene visualizzata la finestra Creazione di attendibilità completata.
Seleziona No, non confermare il trust in uscita, quindi seleziona Avanti.
Seleziona No, non confermare l'attendibilità in arrivo, quindi seleziona Avanti.
Nella finestra di dialogo Completare la nuova procedura guidata di attendibilità, seleziona Fine.
Aggiorna il routing del suffisso del nome per l'attendibilità.
Configura il dominio Microsoft Active Directory gestito
Per stabilire la fiducia sul dominio Microsoft Active Directory gestito, completa il seguenti passaggi:
Console
Apri la pagina Microsoft Active Directory gestito nella console Google Cloud.
Apri la pagina Managed Microsoft ADSeleziona il dominio per il quale creare un trust, quindi
Crea fiducia.Imposta Tipo di attendibilità su Forest.
In Nome di dominio di destinazione, inserisci il nome di dominio completo del dominio on-premise.
Imposta l'direzione di attendibilità.
- Per creare un trust unidirezionale, seleziona In uscita.
- Per creare un trust a due vie, seleziona Bidirectional.
Inserisci la password di attendibilità che hai creato durante la configurazione dell'attendibilità nel un dominio on-premise.
In IP DNS Conditional Forwarder (IP del forwarding condizionale DNS), inserisci l'IP DNS on-premise indirizzi raccolti in precedenza.
Seleziona Crea relazione di attendibilità.
Tornerai alla pagina del dominio. Il nuovo trust dovrebbe mostrare come Creazione. Attendi fino a quando lo stato passa a Connesso. Possono essere necessari fino a 10 minuti per il completamento della configurazione.
gcloud
Per creare un trust unidirezionale, esegui il comando gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=OUTBOUND
Sostituisci quanto segue:
DOMAIN
: il nome di dominio completo del dominio Microsoft Active Directory gestito.TARGET_DNS_IP_ADDRESSES
: l'IP DNS on-premise indirizzi raccolti in precedenza.TARGET_DOMAIN_NAME
: il nome di dominio completo del dominio on-premise.
Per creare un trust a due vie, esegui il comando gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=BIDIRECTIONAL
Per maggiori informazioni, vedi Comando create
.
Convalida l'attendibilità bidirezionale
Dopo aver configurato il dominio Microsoft Active Directory gestito per un trust bidirezionale, deve convalidare l'attendibilità in uscita dal dominio on-premise. Se crei un unidirezionale, puoi saltare questo passaggio.
Per verificare l'attendibilità in uscita, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise utilizzando un account Google Domains o Enterprise con un account amministratore di livello inferiore.
Apri Domini e attendibilità di Active Directory.
Fai clic con il tasto destro del mouse sul dominio e seleziona Proprietà.
Nella scheda Attendibile, seleziona il trust in uscita per il Dominio Microsoft AD gestito.
Seleziona Proprietà.
Nella scheda General (Generale), seleziona Convalida.
Risoluzione dei problemi
Se riscontri problemi durante il tentativo di creare un trust, puoi provare la nostra suggerimenti per la risoluzione dei problemi.
Passaggi successivi
- Scopri come gestire un trust.
- Scopri come risolvere i problemi di accesso a un trust.