Questa pagina mostra come creare una relazione di attendibilità tra domini on-premise e un dominio Managed Service for Microsoft Active Directory. Questa fiducia può essere unidirezionale o bidirezionale. Può estendersi anche in diverse foreste. Se hai già impostato un trust, scopri come gestire i trust.
Microsoft AD gestito supporta il tipo di attendibilità delle foreste e non supporta i tipi di attendibilità esterni, di autenticazione e di scorciatoie.
Tipi di trust
Una relazione di fiducia può essere unidirezionale o bidirezionale. Un trust unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. In questo argomento, il dominio on-premise è il lato attendibile o in entrata del trust unidirezionale, mentre il dominio Microsoft AD gestito è il lato trust o in uscita della relazione. Un trust bidirezionale è un percorso di autenticazione bidirezionale creato tra due domini. Flusso di attendibilità e accesso in entrambe le direzioni.
Prima di iniziare
Prima di creare un trust, completa i seguenti passaggi:
Verifica che il dominio on-premise stia eseguendo una versione supportata di Windows.
Raccogli gli indirizzi IP dei server DNS che si applicano al tuo dominio on-premise.
Stabilisci la connettività di rete
Stabilisci la connettività di rete tra la tua rete on-premise e il tuo Virtual Private Cloud (VPC) di Google Cloud, quindi verifica che le due reti possano comunicare. Per ulteriori informazioni su come identificare e stabilire connessioni Cloud VPN, consulta Panoramica di Cloud VPN.
Porte firewall aperte
Configura le porte in entrata/in uscita sulla rete on-premise e sul VPC di Google Cloud per consentire la connettività di attendibilità di Active Directory.
Nelle tabelle seguenti è elencato l'insieme minimo di porte richieste per stabilire l'attendibilità. A seconda del tuo scenario, potrebbe essere necessario configurare più porte. Per ulteriori informazioni, vedi i requisiti delle porte dei servizi di dominio di Active Directory e Active Directory di Microsoft.
Apri porte firewall di rete on-premise
Apri le porte elencate nella tabella seguente nel firewall on-premise del blocco IP CIDR utilizzato dalla tua rete VPC e dalla rete Microsoft AD gestita.
Protocollo | Porta | Funzionalità |
---|---|---|
TCP, UDP | 53 | DNS |
TCP, UDP | 88 | Kerberos |
TCP, UDP | 464 | Modifica password Kerberos |
TCP | 135 | RPC |
TCP | 49152-65535 | RPC |
TCP, UDP | 389 | LDAP |
TCP, UDP | 445 | PMI |
Porte firewall di rete VPC aperte
Apri le porte elencate nella tabella seguente nel firewall di rete VPC nel blocco IP CIDR utilizzato dalla rete on-premise.
Protocollo | Porta | Funzionalità |
---|---|---|
TCP, UDP | 53 | DNS |
Configura i forwarding condizionali DNS
Dopo aver aperto le porte del firewall, configura i forwarding condizionali DNS. Queste impostazioni ti consentono di fornire suggerimenti per l'inoltro di richieste non risolvibili a server DNS diversi.
Verifica la presenza di un criterio di forwarding in entrata
Prima di creare un criterio di forwarding in entrata di Cloud DNS per il tuo VPC, verifica se ne esiste uno.
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina di Cloud DNSCerca un criterio nell'elenco in cui la colonna In entrata è impostata su On e la rete VPC utilizzata dal tuo dominio è elencata nel menu a discesa sotto la colonna Utilizzato da.
Se trovi un criterio esistente valido, puoi passare direttamente a Ottenere indirizzi IP DNS.
Crea un criterio di forwarding in entrata
Per creare un criterio di forwarding in entrata, completa i seguenti passaggi:
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina di Cloud DNSSeleziona Crea criterio.
Inserisci un Nome.
Imposta Inoltro query in entrata su On.
Seleziona la rete VPC per il tuo dominio dal menu Reti.
Seleziona Crea.
Ottieni indirizzi IP DNS
Dopo aver creato un criterio di forwarding in entrata, recupera gli indirizzi IP DNS per il tuo dominio Microsoft AD gestito. Se hai appena creato un nuovo criterio Cloud DNS, gli indirizzi IP potrebbero non essere ancora visualizzati. In tal caso, attendi qualche minuto e riprova.
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina di Cloud DNSSeleziona il criterio dall'elenco, quindi seleziona la scheda Utilizzato da.
Prendi nota degli indirizzi IP DNS del dominio Microsoft AD gestito che devi configurare nel dominio on-premise. Questi indirizzi sono necessari per stabilire l'attendibilità con il dominio Microsoft AD gestito.
Assicurati che i blocchi CIDR contenenti questi indirizzi IP siano configurati nel firewall di rete on-premise.
Crea forwarding condizionale DNS
Per configurare i server di forwarding condizionali DNS nel tuo dominio on-premise, utilizza gli indirizzi IP DNS per il dominio Microsoft AD gestito per completare i passaggi seguenti.
Accedi a un controller di dominio on-premise con un account amministratore di dominio o aziendale per il dominio on-premise.
Apri DNS Manager.
Espandi il server DNS del dominio per cui vuoi configurare il trust.
Fai clic con il pulsante destro del mouse su Forwarder condizionali e seleziona Nuovo forwarding condizionale.
In Dominio DNS, inserisci il nome di dominio completo del dominio Microsoft AD gestito (ad esempio
ad.example.com
).Nel campo Indirizzi IP dei server master, inserisci gli indirizzi IP DNS del dominio Microsoft AD gestito che hai annotato in precedenza nel passaggio Ottieni indirizzi IP DNS.
Se nel campo FQDN del server viene visualizzato un errore, puoi ignorarlo.
Seleziona Archivia questo forwarding condizionale in Active Directory, quindi seleziona Tutti i server DNS in questo dominio dal menu a discesa.
Seleziona OK.
Verifica il forwarding condizionale DNS
Puoi verificare che il forwarding sia configurato correttamente utilizzando nslookup
o il Cmdlet di PowerShell Resolve-DnsName
. Esegui questo comando:
nslookup FQDN
Sostituisci FQDN
con il nome di dominio completo del tuo dominio Microsoft AD gestito.
Se il forwardinger condizionale DNS è configurato correttamente, questo comando restituisce gli indirizzi IP dei controller di dominio.
Verifica il criterio di sicurezza locale per il tuo dominio on-premise
La creazione di un trust richiede che il criterio di sicurezza locale per il tuo dominio on-premise consenta l'accesso anonimo alle pipe denominate netlogon
, samr
e lsarpc
. Per verificare che l'accesso anonimo sia abilitato, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise con un account amministratore di dominio o aziendale per il dominio on-premise.
Nella console, vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza > Accesso alla rete: pipe denominate a cui è possibile accedere in modo anonimo.
Verifica che l'accesso anonimo a
netlogon
,samr
elsarpc
sia abilitato. Tieni presente che questi valori devono essere specificati su righe separate e non separate da virgole.
Configura trust
Dopo aver configurato le reti, puoi creare un trust tra il tuo dominio on-premise e il dominio Microsoft AD gestito.
Configura il dominio on-premise
Per instaurare l'attendibilità del dominio on-premise, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o aziendale.
Apri Domini e trust di Active Directory.
Fai clic con il pulsante destro del mouse sul dominio e seleziona Proprietà.
Nella scheda Affidabilità, seleziona Nuovo trust.
Seleziona Avanti nella nuova procedura guidata di attendibilità.
Inserisci il nome di dominio completo del dominio Microsoft AD gestito come Nome attendibilità.
Come Tipo di attendibilità, seleziona Fiducia forestale.
Imposta la direzione di attendibilità.
- Per creare un trust unidirezionale, seleziona In entrata unidirezionale.
- Per creare un trust bidirezionale, seleziona Due vie.
In Sides of Trust, seleziona Solo questo dominio.
In Livello di autenticazione di attendibilità in uscita, seleziona Autenticazione a livello di forestale.
Inserisci la Password attendibile.
Questa password è necessaria per configurare il trust sul dominio Microsoft AD gestito.
Conferma le impostazioni di attendibilità e seleziona Avanti.
Viene visualizzata la finestra Creazione di attendibilità completata.
Seleziona No, non confermare il trust in uscita, quindi seleziona Avanti.
Seleziona No, non confermare l'attendibilità in entrata, quindi seleziona Avanti.
Nella finestra di dialogo Completamento della nuova attendibilità guidata, seleziona Fine.
Aggiorna il routing dei suffissi dei nomi per l'attendibilità.
Configura il dominio Microsoft AD gestito
Per instaurare l'attendibilità del dominio Microsoft AD gestito, completa i seguenti passaggi:
Console
Apri la pagina Microsoft Active Directory gestito nella console Google Cloud.
Apri la pagina Microsoft Active Directory gestitoSeleziona il dominio per il quale creare un trust, quindi seleziona
Crea attendibilità.Imposta Tipo di attendibilità su Foresta.
In Nome di dominio di destinazione, inserisci il nome di dominio completo del dominio on-premise.
Imposta la Direzione di attendibilità.
- Per creare un trust unidirezionale, seleziona In uscita.
- Per creare un trust bidirezionale, seleziona Bidirezionale.
Inserisci la password di attendibilità creata durante la configurazione del trust sul dominio on-premise.
In IP del forwarding condizionale DNS, inserisci gli indirizzi IP del DNS on-premise raccolti in precedenza.
Seleziona Crea relazione di attendibilità.
Tornerai alla pagina del dominio. Il nuovo trust dovrebbe essere visualizzato come Creazione in corso. Attendi finché lo stato passa a Connesso. Il completamento della configurazione può richiedere fino a 10 minuti.
gcloud
Per creare un trust unidirezionale, esegui il seguente comando gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=OUTBOUND
Sostituisci quanto segue:
DOMAIN
: il nome di dominio completo del dominio Microsoft AD gestito.TARGET_DNS_IP_ADDRESSES
: gli indirizzi IP DNS on-premise raccolti in precedenza.TARGET_DOMAIN_NAME
: il nome di dominio completo del dominio on-premise.
Per creare un trust bidirezionale, esegui il seguente comando gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=BIDIRECTIONAL
Per maggiori informazioni, consulta la sezione sul comando create
.
Convalida il trust a due vie
Dopo aver configurato il dominio Microsoft AD gestito per un trust a due vie, devi convalidare l'attendibilità in uscita dal dominio on-premise. Se stai creando un trust unidirezionale, puoi saltare questo passaggio.
Per verificare l'attendibilità in uscita, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o aziendale.
Apri Domini e trust di Active Directory.
Fai clic con il pulsante destro del mouse sul dominio e seleziona Proprietà.
Nella scheda Attendibile, seleziona il trust in uscita per il dominio Microsoft AD gestito.
Seleziona Proprietà.
Nella scheda Generale, seleziona Convalida.
Risolvere i problemi
Se riscontri problemi durante il tentativo di creare un trust, puoi provare i nostri suggerimenti per la risoluzione dei problemi.
Passaggi successivi
- Scopri come gestire un trust.
- Scopri come risolvere i problemi di accesso a un trust.