En esta página se explica cómo crear una relación de confianza entre dominios locales y un dominio de servicio gestionado para Microsoft Active Directory. Esta relación de confianza puede ser unidireccional o bidireccional. También puede abarcar varios bosques. Si ya has configurado una relación de confianza, consulta cómo gestionar las relaciones de confianza.
Microsoft AD gestionado admite el tipo de confianza de bosque y no admite los tipos de confianza externa, de dominio y de acceso directo.
Tipos de relaciones de confianza
Una relación de confianza puede ser unidireccional o bidireccional. Una confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. En este tema, el dominio on-premise es el lado de confianza o entrante de la confianza unidireccional, y el dominio de Microsoft AD gestionado es el lado de confianza o saliente de la relación. Una relación de confianza bidireccional es una ruta de autenticación bidireccional creada entre dos dominios. La confianza y el acceso fluyen en ambas direcciones.
Antes de empezar
Antes de crear una confianza, sigue estos pasos:
Verifica que el dominio local ejecute una versión compatible de Windows.
Obtén las direcciones IP de los servidores DNS que se aplican a tu dominio local.
Establecer la conectividad de red
Establece la conectividad de red entre tu red on-premise y tuGoogle Cloud nube privada virtual (VPC) y, a continuación, verifica que las dos redes puedan comunicarse. Para obtener más información sobre cómo identificar y establecer conexiones de Cloud VPN, consulta la información general sobre Cloud VPN.
Abrir puertos de cortafuegos
Configura los puertos de entrada y salida de tu red local y de tuGoogle Cloud VPC para permitir la conectividad de confianza de Active Directory.
En las siguientes tablas se muestra el conjunto mínimo de puertos necesarios para establecer la confianza. Es posible que tengas que configurar más puertos, en función de tu situación. Para obtener más información, consulta los requisitos de puertos de Active Directory y de los servicios de dominio de Active Directory de Microsoft.
Abrir puertos de cortafuegos de red local
Abre los puertos que se indican en la siguiente tabla en tu cortafuegos local al bloque de IPs CIDR que usan tu red de VPC y tu red de Managed Microsoft AD.
| Protocolo | Puerto | Funcionalidad |
|---|---|---|
| TCP, UDP | 53 | DNS |
| TCP, UDP | 88 | Kerberos |
| TCP, UDP | 464 | Cambio de contraseña de Kerberos |
| TCP | 135 | RPC |
| TCP | 49152-65535 | RPC |
| TCP, UDP | 389 | LDAP |
| TCP, UDP | 445 | Pymes |
Abrir puertos de cortafuegos de red de VPC
Abre los puertos que se indican en la siguiente tabla en el firewall de tu red de VPC para el bloque de IPs CIDR que usa tu red local.
| Protocolo | Puerto | Funcionalidad |
|---|---|---|
| TCP, UDP | 53 | DNS |
Configurar reenviadores condicionales DNS
Después de abrir los puertos del cortafuegos, configura los reenviadores condicionales de DNS. Estos ajustes te permiten proporcionar sugerencias para reenviar solicitudes que no se pueden resolver a diferentes servidores DNS.
Comprobar si hay una política de reenvío de llamadas entrantes
Antes de crear una política de reenvío entrante de Cloud DNS para tu VPC, comprueba si ya existe una.
Abre la página de políticas de servidor de Cloud DNS en la Google Cloud consola.
Abre la página de Cloud DNSBusca en la lista una política en la que la columna Entrante esté definida como Activado y la red de VPC que usa tu dominio aparezca en el menú desplegable de la columna En uso por.
Si encuentras una política válida, puedes ir a la sección Obtener direcciones IP de DNS.
Crear una política de reenvío de entrada
Para crear una política de reenvío de llamadas entrantes, sigue estos pasos:
Abre la página de políticas de servidor de Cloud DNS en la Google Cloud consola.
Abre la página de Cloud DNSSelecciona Crear política.
Escribe un nombre.
Activa Reenvío de consultas entrantes.
Selecciona la red de VPC de tu dominio en el menú Redes.
Selecciona Crear.
Obtener direcciones IP de DNS
Después de crear una política de reenvío de entrada, obtén las direcciones IP de DNS de tu dominio de Microsoft AD gestionado. Si acabas de crear una política de Cloud DNS, es posible que las direcciones IP aún no aparezcan. Si esto sucede, espera unos minutos e inténtalo de nuevo.
Abre la página de políticas de servidor de Cloud DNS en la Google Cloud consola.
Abre la página de Cloud DNSSelecciona la política de la lista y, a continuación, la pestaña En uso por.
Anota las direcciones IP de DNS del dominio de Microsoft AD gestionado que tengas que configurar en tu dominio local. Necesitas estas direcciones para establecer la relación de confianza con el dominio de Microsoft AD gestionado.
Asegúrate de que los bloques CIDR que contienen estas direcciones IP estén configurados en el cortafuegos de tu red local.
Crear un reenviador condicional DNS
Para configurar los reenviadores condicionales de DNS en tu dominio local, usa las direcciones IP de DNS de tu dominio de Managed Microsoft AD para completar los siguientes pasos.
Inicia sesión en un controlador de dominio local con una cuenta de administrador de dominio o de empresa del dominio local.
Abre el Administrador de DNS.
Expande el servidor DNS del dominio para el que quieras configurar la confianza.
Haz clic con el botón derecho en Reenviadores condicionales y selecciona Nuevo reenviador condicional.
En Dominio DNS, introduce el nombre de dominio completo (FQDN) del dominio de Microsoft AD gestionado (por ejemplo,
ad.example.com).En el campo Direcciones IP de los servidores maestros, introduce las direcciones IP de DNS de tu dominio de Microsoft AD gestionado que has anotado anteriormente en el paso Obtener direcciones IP de DNS.
Si en el campo Nombre de dominio completo del servidor se muestra un error, puedes ignorarlo.
Selecciona Almacenar este reenviador condicional en Active Directory y, a continuación, Todos los servidores DNS de este dominio en el menú desplegable.
Selecciona Aceptar.
Verificar el reenviador condicional DNS
Para comprobar que el reenviador está configurado correctamente, puedes usar nslookup o el cmdlet Resolve-DnsName de PowerShell. Ejecuta el siguiente comando:
nslookup FQDN
Sustituye FQDN por el nombre de dominio completo de tu dominio de Microsoft AD gestionado.
Si el reenviador condicional de DNS está configurado correctamente, este comando devuelve las direcciones IP de los controladores de dominio.
Verificar la política de seguridad local de tu dominio local
Para crear una confianza, la política de seguridad local de tu dominio local debe permitir el acceso anónimo a las canalizaciones con nombre netlogon, samr y lsarpc. Para verificar que el acceso anónimo está habilitado, sigue estos pasos:
Inicia sesión en un controlador de dominio local con una cuenta de administrador de dominio o de empresa del dominio local.
En la consola, ve a Configuración de seguridad > Directivas locales > Opciones de seguridad > Acceso a la red: canales con nombre a los que se puede acceder de forma anónima.
Verifica que el acceso anónimo a
netlogon,samrylsarpcesté habilitado. Ten en cuenta que deben especificarse en líneas separadas y no separadas por comas.
Configurar una relación de confianza
Después de configurar tus redes, puedes crear una relación de confianza entre tu dominio local y tu dominio de Managed Microsoft AD.
Configurar el dominio local
Para establecer la confianza en el dominio local, sigue estos pasos:
Inicia sesión en un controlador de dominio local con una cuenta de administrador de dominio o de empresa.
Abre Dominios y confianzas de Active Directory.
Haz clic con el botón derecho en el dominio y selecciona Propiedades.
En la pestaña Confianza, selecciona Nueva confianza.
Selecciona Siguiente en el asistente para crear una nueva confianza.
Introduce el FQDN del dominio de Microsoft AD gestionado como Nombre de confianza.
En Tipo de confianza, selecciona Confianza entre bosques.
Define la dirección de la relación de confianza.
- Para crear una relación de confianza unidireccional, selecciona Unidireccional entrante.
- Para crear una confianza bidireccional, selecciona Bidireccional.
En Lados de confianza, selecciona Solo este dominio.
En Nivel de autenticación de confianza saliente, selecciona Autenticación en todo el bosque.
Introduce la contraseña de confianza.
Necesitas esta contraseña para configurar la confianza en el dominio de Microsoft AD gestionado.
Confirma los ajustes de confianza y selecciona Siguiente.
Se muestra la ventana Trust Creation Complete (Creación de confianza completada).
Selecciona No, no confirmar la confianza saliente y, a continuación, Siguiente.
Selecciona No, no confirmar la confianza entrante y, a continuación, Siguiente.
En el cuadro de diálogo Completando el Asistente para Nuevo Certificado de Confianza, selecciona Finalizar.
Actualizar el enrutamiento de sufijo de nombre de la confianza.
Configurar el dominio de Microsoft AD gestionado
Para establecer la confianza en el dominio de Microsoft AD gestionado, sigue estos pasos:
Consola
Abre la página Managed Microsoft AD en la Google Cloud consola.
Abre la página de Microsoft AD gestionado.Seleccione el dominio para el que quiera crear una relación de confianza y, a continuación, seleccione Crear relación de confianza.
En Tipo de relación de confianza, seleccione Bosque.
En Nombre de dominio de destino, introduce el FQDN del dominio local.
Define la dirección de la relación de confianza.
- Para crear una relación de confianza unidireccional, selecciona Saliente.
- Para crear una confianza bidireccional, selecciona Bidireccional.
Introduce la contraseña de confianza que creaste al configurar la confianza en el dominio local.
En IPs del reenviador condicional DNS, introduce las direcciones IP DNS locales que has recogido anteriormente.
Selecciona Crear relación de confianza.
Se te redirige a la página del dominio. La nueva confianza debería mostrarse como Creando. Espera hasta que el estado cambie a Conectado. La configuración puede tardar hasta 10 minutos en completarse.
gcloud
Para crear una relación de confianza unidireccional, ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=OUTBOUND
Haz los cambios siguientes:
DOMAIN: el nombre de dominio completo del dominio de Microsoft AD gestionado.TARGET_DNS_IP_ADDRESSES: Las direcciones IP de DNS on-premise que has recogido antes.TARGET_DOMAIN_NAME: nombre de dominio completo del dominio local.
Para crear una confianza bidireccional, ejecuta el siguiente comando de la CLI de gcloud:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=BIDIRECTIONAL
Para obtener más información, consulta el comando create.
Validar la confianza bidireccional
Después de configurar el dominio de Microsoft AD gestionado para una confianza bidireccional, debes validar la confianza saliente del dominio local. Si vas a crear una relación de confianza unidireccional, puedes saltarte este paso.
Para verificar la confianza saliente, sigue estos pasos:
Inicia sesión en un controlador de dominio local con una cuenta de administrador de dominio o de empresa.
Abre Dominios y confianzas de Active Directory.
Haz clic con el botón derecho en tu dominio y, a continuación, selecciona Propiedades.
En la pestaña Confianza, selecciona la confianza saliente del dominio de Microsoft AD gestionado.
Selecciona Propiedades.
En la pestaña General, selecciona Validar.
Solucionar problemas
Si tienes problemas al intentar crear una confianza, puedes probar nuestros consejos para solucionar problemas.
Siguientes pasos
- Consulta cómo gestionar una confianza.
- Consulta cómo solucionar problemas para acceder a una confianza.