Crea una relación de confianza unidireccional

En este artículo, se muestra cómo crear una relación de confianza unidireccional entre dominios locales y un dominio de Microsoft AD administrado. Esta confianza puede abarcar varios bosques. Ten en cuenta que Microsoft AD administrado también admite confianza bidireccional. Si ya has configurado una relación de confianza, aprende cómo administrar relaciones de confianza.

Una relación de confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. En el siguiente ejemplo, el dominio local es de confianza o entrante y el dominio de Microsoft AD administrado es el que confía o lado saliente de la relación.

Antes de comenzar

Antes de intentar crear la relación de confianza, verifique que el dominio local esté ejecutando una versión compatible de Windows.

Establece una conectividad de red

Primero, establezca la conectividad de red entre su red local y su nube privada virtual (VPC) de Google Cloud y, luego, verifique que las dos redes puedan comunicarse. Obtenga más información acerca de identificar y establecer conexiones de Cloud VPN.

Abre los puertos de firewall

A continuación, configura los puertos de entrada/salida en tu red local y en la VPC de Google Cloud para permitir la conectividad de confianza de Active Directory.

Las siguientes tablas enumeran el conjunto mínimo de puertos necesarios para establecer la relación de confianza. Es posible que deba configurar más puertos, según su situación. Obtenga más información acerca de los requisitos de puerto servicios de dominio de Active Directory y de Active Directory de Microsoft.

Abre los puertos de firewall de red locales

Abra los puertos enumerados en la siguiente tabla en su firewall local para el bloque de IP CIDR utilizado por su red VPC y la red de Managed Microsoft AD.

Protocolo Port Funcionalidad
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Cambio de contraseña de Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 Pyme

Abre puertos de firewall de red de VPC

Abre los puertos que aparecen en la siguiente tabla en tu firewall de red de VPC al bloque de IP CIDR que usa tu red local.

Protocolo Port Funcionalidad
TCP, UDP 53 DNS

Configura servidores de reenvío condicionales de DNS

A continuación, configura los servidores de reenvío condicionales de DNS. Esta configuración te permite proporcionar sugerencias para reenviar solicitudes no resueltas a diferentes servidores DNS.

Comprueba una política de reenvío entrante

Antes de crear una política de reenvío entrante de Cloud DNS para su VPC, verifique si existe.

  1. Abra la página de políticas del servidor de Cloud DNS en Cloud Console.
    Abra la página de Cloud DNS

  2. Busca una política en la lista en la que la columna Entrante esté configurada como Activada y la red de VPC que usa tu dominio aparece en el menú desplegable debajo de la columna En uso.

Si encuentras una política existente válida, puedes pasar a la sección Obtén direcciones IP de DNS.

Crea una política de reenvío entrante

Para crear una política de reenvío entrante, completa los siguientes pasos.

  1. Abra la página de políticas del servidor de Cloud DNS en Cloud Console.
    Abra la página de Cloud DNS

  2. Haz clic en Crear política.

  3. Ingresa un Nombre.

  4. Establezca Reenvío de consultas entrantes a Activado.

  5. Selecciona la red de VPC de tu dominio en el menú Redes.

  6. Haga clic en Crear.

Obtén direcciones IP de DNS

A continuación, obtén las direcciones IP de DNS para tu dominio de Microsoft AD administrado. Si acabas de crear una política de Cloud DNS nueva, es posible que las direcciones IP aún no aparezcan. Si esto sucede, espera unos minutos y vuelve a intentarlo.

  1. Abra la página de políticas del servidor de Cloud DNS en Cloud Console.
    Abra la página de Cloud DNS

  2. Seleccione su política de la lista y , luego, haga clic en la pestaña En uso por.

  3. Toma nota de cualquier dirección IP que se aplique a tu región local. Necesitas estas direcciones para establecer la relación de confianza en el dominio de Microsoft AD administrado.

Asegúrate de que los bloques CIDR que contengan estas direcciones IP estén configurados en tu firewall de red local.

Crea el servidor de reenvío condicional de DNS

Para configurar los servidores de reenvío condicionales DNS en su dominio local, use las direcciones IP de DNS para su dominio de Managed Microsoft AD para completar los siguientes pasos.

  1. Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.

  2. Abre el Administrador de DNS.

  3. Expanda el servidor DNS del dominio para el que desea configurar la relación de confianza.

  4. Haga clic con el botón derecho en servidores de reenvío condicionales y seleccione Nuevo servidor de reenvío condicional.

  5. Para dominio DNS, ingrese el FQDN del dominio de Managed Microsoft AD (por ejemplo, ad.example.com).

  6. En el campo direcciones IP de los servidores principales, ingrese las direcciones IP de su dominio de Managed Microsoft AD que buscó en Obtener direcciones IP de DNS.

  7. Si el campo Servidor FQDN muestra un error, puedes ignorarlo.

  8. Seleccione Almacenar este servidor de reenvío condicional en Active Directory y, luego, seleccione Todos los servidores DNS en este dominio del menú desplegable.

  9. Haga clic en Aceptar.

Verifica el servidor de reenvío condicional DNS

Puede verificar que el servidor de reenvío esté configurado correctamente mediante nslookup o el cmdlet PowerShell Resolve-DnsName. Ejecuta el siguiente comando:

nslookup fqdn-for-managed-ad-domain

Si el servidor de reenvío condicional de DNS está configurado correctamente, este comando muestra las direcciones IP de los controladores de dominio.

Verifica la política de seguridad local para su dominio local

Crear una relación de confianza requiere que la política de seguridad local para tu dominio local permita el acceso anónimo a las canalizaciones con nombre netlogon, samr y lsarpc. Para verificar que el acceso anónimo esté habilitado, completa los siguientes pasos:

  1. Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.

  2. Abra la consola de política de seguridad local.

  3. En la consola, ve a Configuración de seguridad > Políticas locales > Opciones de seguridad > Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima.

  4. Verifica que el acceso anónimo a netlogon, samr y lsarpc esté habilitado.

Establece la relación confianza

Después de configurar sus redes, puede crear una relación de confianza entre su dominio local y su dominio de Managed Microsoft AD.

Configura el dominio local

Para establecer la relación de confianza en el dominio local, complete los siguientes pasos.

  1. Accede a un controlador de dominio local con una cuenta de administrador de dominio o empresarial.

  2. Abra Dominios y relaciones de confianza de Active Directory.

  3. Haz clic con el botón derecho en tu dominio y selecciona Propiedades.

  4. En la pestaña Relación de confianza, haga clic en Nueva relación de confianza.

  5. Haga clic en Siguiente en el Asistente para nueva relación de confianza.

  6. Ingrese el FQDN del dominio de Managed Microsoft AD como Nombre de la relación de confianza.

  7. Para el Tipo de relación de confianza, seleccione relación de confianza de bosque.

  8. Para la Dirección de la relación de confianza, seleccione Entrada unidireccional.

  9. Para Lados de la relación de confianza, seleccione Este dominio solamente.

  10. Para Nivel de autenticación de la relación de confianza saliente, seleccione Autenticación en todo el bosque.

  11. Ingrese la contraseña de la relación de confianza (Nota: necesita esta contraseña para configurar la relación de confianza en el dominio de Managed Microsoft AD).

  12. Confirme la configuración de la relación de confianza y, luego, haga clic en Siguiente.

  13. Se muestra la ventana Creación de la relación de confianza completa.

  14. Seleccione No, no confirme la relación de confianza saliente, luego, haga clic en Siguiente.

  15. Seleccione No, no confirme la relación de confianza entrante, luego, haga clic en Siguiente.

  16. Al completar el nuevo asistente de relación de confianza, haga clic en Finalizar.

Configura el dominio de Microsoft AD administrado

Para establecer la relación de confianza en el dominio de Microsoft AD administrado, complete los siguientes pasos.

Console

  1. Abra la página de Microsoft AD administrado en Cloud Console.
    Abra la página de Managed Microsoft AD

  2. Seleccione el dominio para crear una relación de confianza y, luego, haga clic en Crear confianza.

  3. Establezca Tipo de relación de confianza en Bosque.

  4. En Nombre de dominio de destino, ingresa el FQDN del dominio local.

  5. Establezca la Dirección de relación de confianza como Saliente.

  6. Ingrese la contraseña de la relación de confianza que creó al configurar la confianza en el dominio local.

  7. Para IP de servidor de reenvío condicional DNS, ingrese las direcciones IP de DNS locales que obtuvo durante la configuración.

  8. Haz clic en Crear relación de confianza.

  9. Volverás a la página del dominio. Tu relación de confianza nueva debe aparecer como Creando. Espera hasta que el estado cambie a Conectado. La configuración puede tomar hasta 10 minutos en completarse.

gcloud

Para crear la relación de confianza, ejecute el siguiente comando de herramienta gcloud:

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name

Obtenga más información sobre el comando create.

Felicitaciones Ha establecido una relación de confianza entre sus dominios locales y de Managed Microsoft AD.

Soluciona problemas

Si tiene problemas al intentar crear una confianza, puede probar nuestros consejos para la solución de problemas.

Qué sigue