一方向の信頼の作成

この記事では、オンプレミス ドメインとマネージド Microsoft AD ドメインの間に一方向の信頼関係を作成する方法について説明します。この信頼は複数のフォレストにまたがることができます。マネージド Microsoft AD では双方向の信頼もサポートされています。信頼をすでに設定している場合は、信頼を管理する方法をご覧ください。

一方向の信頼とは、2 つのドメイン間に作成される単方向の認証パスです。次の例では、オンプレミス ドメインは信頼されている側または受信側であり、マネージド Microsoft AD ドメインは信頼する側または送信側です。

始める前に

信頼を作成する前に、オンプレミス ドメインでサポートされているバージョンの Windows が実行されていることを確認してください。

ネットワーク接続を確立する

まず、オンプレミス ネットワークと Google Cloud Virtual Private Cloud(VPC)の間のネットワーク接続を確立してから、2 つのネットワークが通信できることを確認します。Cloud VPN 接続の識別と確立の詳細をご覧ください。

ファイアウォール ポートを開く

次に、オンプレミス ネットワークと Google Cloud VPC の入力 / 出力ポートを構成して、Active Directory 信頼接続を許可します。

次の表は、信頼を確立するために必要な最小限のポートのセットを示しています。シナリオによっては、さらに多くのポートを構成する必要がある場合があります。Microsoft の Active Directory および Active Directory ドメイン サービスのポート要件の詳細をご覧ください。

オンプレミス ネットワーク ファイアウォール ポートを開く

VPC ネットワークとマネージド Microsoft AD ネットワークで使用される CIDR IP ブロックに対して、オンプレミス ファイアウォールの次の表にリストされているポートを開きます。

プロトコル ポート 機能
TCP、UDP 53 DNS
TCP、UDP 88 Kerberos
TCP、UDP 464 Kerberos パスワードの変更
TCP 135 RPC
TCP 49152-65535 RPC
TCP、UDP 389 LDAP
TCP、UDP 445 SMB

VPC ネットワーク ファイアウォール ポートを開く

オンプレミス ネットワークで使用される CIDR IP ブロックに対して、VPC ネットワーク ファイアウォールの次の表にリストされているポートを開きます。

プロトコル ポート 機能
TCP、UDP 53 DNS

DNS 条件付きフォワーダーを構成する

次に、DNS 条件付きフォワーダーを構成します。これらの設定により、解決できない要求を別の DNS サーバーに転送するためのヒントを取得できます。

受信転送ポリシーを確認する

VPC の Cloud DNS 受信転送ポリシーを作成する前に、ポリシーが存在するかどうかを確認してください。

  1. Cloud Console で Cloud DNS サーバー ポリシーのページを開きます。
    [Cloud DNS] ページを開く

  2. [受信] 列が [オン] に設定されているリストでポリシーを探します。ドメインで使用されている VPC ネットワークは、[使用中] 列のプルダウンに一覧表示されています。

有効な既存のポリシーが見つかった場合は、DNS IP アドレスを取得するにスキップできます。

受信転送ポリシーを作成する

受信転送ポリシーを作成するには、次の手順を行います。

  1. Cloud Console で Cloud DNS サーバー ポリシーのページを開きます。
    [Cloud DNS] ページを開く

  2. [Create Policy] をクリックします。

  3. [名前] を入力します。

  4. [受信クエリ転送] を [オン] に設定します。

  5. [ネットワーク] メニューからドメインの VPC ネットワークを選択します。

  6. [作成] をクリック

DNS IP アドレスを取得する

次に、マネージド Microsoft AD ドメインの DNS IP アドレスを取得します。新しい Cloud DNS ポリシーを作成したばかりの場合、IP アドレスはまだ表示されていない可能性があります。この場合、数分待ってから再試行してください。

  1. Cloud Console で Cloud DNS サーバー ポリシーのページを開きます。
    [Cloud DNS] ページを開く

  2. リストからポリシーを選択し、[使用中] タブをクリックします。

  3. オンプレミス リージョンに適用される IP アドレスをメモします。これらのアドレスは、マネージド Microsoft AD ドメインで信頼を確立ために必要です。

これらの IP アドレスを含む CIDR ブロックがオンプレミス ネットワーク ファイアウォールで構成されていることを確認してください。

DNS 条件付きフォワーダーを作成する

オンプレミス ドメインで DNS 条件付きフォワーダーを構成するには、マネージド Microsoft AD ドメインの DNS IP アドレスを使用して、次の手順を行います。

  1. オンプレミス ドメインのドメインまたはエンタープライズ管理者アカウントで、オンプレミス ドメイン コントローラーにログインします。

  2. DNS Manager を開きます。

  3. 信頼を構成するドメインの DNS サーバーをデプロイします。

  4. [Conditional Forwarders] を右クリックして、[New conditional forwarder] を選択します。

  5. DNS ドメインの場合は、マネージド Microsoft AD ドメインの FQDN を入力します(たとえば、ad.example.com)。

  6. [IP addresses of the master servers] フィールドに、DNS IP アドレスを取得するで調べたマネージド Microsoft AD ドメインの IP アドレスを入力します。

  7. [Server FQDN] フィールドにエラーが表示された場合、無視します。

  8. [Store this conditional forwarder in Active Directory] を選択し、プルダウン メニューから [All DNS servers in this domain] を選択します。

  9. [OK] をクリックします。

DNS 条件付きフォワーダーを確認する

nslookup または Resolve-DnsName PowerShell コマンドレットを使用して、フォワーダーが正しく構成されていることを確認できます。次のコマンドを実行します。

nslookup fqdn-for-managed-ad-domain

DNS 条件付きフォワーダーが正しく構成されている場合、このコマンドはドメイン コントローラーの IP アドレスを返します。

オンプレミス ドメインのローカル セキュリティ ポリシーを確認する

信頼を作成するには、オンプレミス ドメインのローカル セキュリティ ポリシーで、netlogonsamrlsarpc の名前付きパイプへの匿名アクセスが許可されている必要があります。匿名アクセスが有効になっていることを確認するには、次の手順を行います。

  1. オンプレミス ドメインのドメインまたはエンタープライズ管理者アカウントで、オンプレミス ドメイン コントローラーにログインします。

  2. ローカル セキュリティ ポリシー コンソールを開きます。

  3. コンソールで、[Security Settings] > [Local Policies] > [Security Options] > [Network access: Named Pipes that can be accessed anonymously] の順に進みます。

  4. netlogonsamr、および lsarpc への匿名アクセスが有効になっていることを確認します。

信頼を設定する

ネットワークを構成した後、オンプレミス ドメインとマネージド Microsoft AD ドメインの間に信頼を作成できます。

オンプレミス ドメインを構成する

オンプレミス ドメインで信頼を確立するには、次の手順を行います。

  1. ドメインまたはエンタープライズの管理者アカウントを使用して、オンプレミスのドメイン コントローラーにログインします。

  2. [Active Directory Domains and Trusts] を開きます。

  3. ドメインを右クリックして、[プロパティ] を選択します。

  4. [信頼] タブで、新しい信頼をクリックします。

  5. 新しい信頼ウィザードで [次へ] をクリックします。

  6. マネージド Microsoft AD ドメインの FQDN を信頼名として入力します。

  7. [Finish] で、[Forest trust] を選択します。

  8. [Direction of Trust] で、[One-way incoming] を選択します。

  9. [Sides of Trust] で、[This domain only] を選択します。

  10. [Outgoing Trust Authentication Level] で、[Forest-wide authentication] を選択します。

  11. [Trust Password] に入力します(注: マネージド Microsoft AD ドメインで信頼を構成するには、このパスワードが必要です)。

  12. 信頼設定を確認して、[次へ] をクリックします。

  13. [Trust Creation Complete] ウィンドウが表示されます。

  14. [No, do not confirm the outgoing trust] を選択して、[次へ] をクリックします。

  15. [No, do not confirm the incoming trust] を選択して、[次へ] をクリックします。

  16. 新しい信頼ウィザードが完了したら、[Finish] をクリックします。

マネージド Microsoft AD ドメインを構成する

マネージド Microsoft AD ドメインで信頼を確立するには、次の手順を行います。

Console

  1. Cloud Console で [マネージド Microsoft AD] ページを開きます。
    [マネージド Microsoft AD] ページを開く

  2. 信頼を作成するドメインを選択し、[ 信頼を作成] をクリックします。

  3. [信頼の種類]を [フォレスト] に設定します。

  4. [ターゲットドメイン名] には、オンプレミス ドメインの FQDN を入力します。

  5. [Trust direction] を [Outbound] に設定します。

  6. オンプレミス ドメインで信頼を構成するときに作成した信頼パスワードを入力します。

  7. [DNS Conditional Forwarder IPs] には、設定中に取得したオンプレミス DNS IP アドレスを入力します。

  8. [Create Trust Relationship] をクリックします。

  9. ドメインページに戻ります。新しい信頼が [作成中] と表示されます。状態が [接続済み] になるまで待ちます。セットアップが完了するまでに最大 10 分かかることがあります。

gcloud

信頼を作成するには、次の gcloud ツールコマンドを実行します。

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name

create コマンドの詳細をご覧ください。

これで、オンプレミスとマネージド Microsoft AD ドメインの間に信頼関係が確立されました。

トラブルシューティング

信頼の作成中に問題が発生した場合は、トラブルシューティングのヒントを試すことができます。

次のステップ