使用本地网域创建信任

本页介绍了如何在本地网域和 Managed Service for Microsoft Active Directory 网域之间创建信任关系。这种信任可以是单向的,也可以是双向的。它也可以跨越多个森林。如果您已经设置了信任,请了解如何管理信任

代管式 Microsoft AD 支持林信任类型,但不支持外部、领域和快捷方式信任类型。

信任类型

信任关系可以是单向的,也可以是双向的。单向信任是在两个网域之间创建的单向身份验证路径。在本主题中,本地网域是单向信任的被信任端入站端,而托管式 Microsoft AD 网域是该关系的信任端或出站端。双向信任是指在两个网域之间创建的双向身份验证路径。双向信任和访问流。

准备工作

在创建信任之前,请完成以下步骤:

  1. 验证本地网域是否正在运行受支持的 Windows 版本

  2. 收集适用于您的本地网域的 DNS 服务器的 IP 地址。

建立网络连接

在本地网络和Google Cloud Virtual Private Cloud (VPC) 之间建立网络连接,然后验证两个网络能够通信。如需详细了解如何确定和建立 Cloud VPN 连接,请参阅 Cloud VPN 概览

打开防火墙端口

配置本地网络和Google Cloud VPC 上的入站/出站端口,以允许 Active Directory 信任连接。

下表列出了建立信任所需的最小端口集。根据使用场景,您可能需要配置更多端口。如需了解详情,请参阅 Microsoft 的 Active Directory 和 Active Directory 网域服务端口要求

打开本地网络防火墙端口

在本地防火墙上打开下表中列出的端口,以允许您的 VPC 网络和托管式 Microsoft AD 网络使用的 CIDR IP 块。

协议 端口 功能
TCP、UDP 53 DNS
TCP、UDP 88 Kerberos
TCP、UDP 464 Kerberos 密码更改
TCP 135 RPC
TCP 49152-65535 RPC
TCP、UDP 389 LDAP
TCP、UDP 445 SMB

打开 VPC 网络防火墙端口

在您的 VPC 网络防火墙上,打开下表中列出的端口,以允许本地网络使用的 CIDR IP 块。

协议 端口 功能
TCP、UDP 53 DNS

配置 DNS 条件转发器

打开防火墙端口后,配置 DNS 条件转发器。这些设置使您可以提供提示,以将无法解析的请求转发到不同的 DNS 服务器。

检查入站转发政策

在为您的 VPC 创建 Cloud DNS 入站转发政策之前,请检查是否已经存在该政策。

  1. 在 Google Cloud 控制台中打开 Cloud DNS 服务器政策页面。
    打开 Cloud DNS 页面

  2. 入站列设置为开启的列表中查找政策,您的网域使用的 VPC 网络在使用者列下的下拉列表中列出。

如果找到有效的现有政策,则可以跳至获取 DNS IP 地址

创建入站转发政策

如需创建入站转发政策,请完成以下步骤:

  1. 在 Google Cloud 控制台中打开 Cloud DNS 服务器政策页面。
    打开 Cloud DNS 页面

  2. 选择创建政策

  3. 输入名称

  4. 入站查询转发设置为开启

  5. 网络菜单中为您的网域选择 VPC 网络。

  6. 选择创建

获取 DNS IP 地址

创建入站转发政策后,获取您的托管式 Microsoft AD 网域的 DNS IP 地址。如果您刚刚创建了新的 Cloud DNS 政策,则 IP 地址可能尚未出现。如果出现这种情况,请等待几分钟,然后重试。

  1. 在 Google Cloud 控制台中打开 Cloud DNS 服务器政策页面。
    打开 Cloud DNS 页面

  2. 从列表中选择您的政策,然后选择使用者标签页。

  3. 记下您需要在本地网域中配置的托管式 Microsoft AD 网域的所有 DNS IP 地址。您需要这些地址才能与托管式 Microsoft AD 网域建立信任。

确保您的本地网络防火墙中配置了包含这些 IP 地址的 CIDR 块。

创建 DNS 条件转发器

要在本地网域上配置 DNS 条件转发器,请使用托管式 Microsoft AD 网域的 DNS IP 地址来完成以下步骤。

  1. 使用本地网域的网域管理员或企业管理员账号登录到本地网域控制器。

  2. 打开 DNS 管理器。

  3. 展开要为其配置信任的网域的 DNS 服务器。

  4. 右键点击 Conditional Forwarders 然后选择 New conditional forwarder

  5. 对于 DNS domain,输入托管式 Microsoft AD 网域的 FQDN(例如,ad.example.com)。

  6. IP addresses of the master servers 字段中,输入您之前在获取 DNS IP 地址步骤中记下的托管式 Microsoft AD 网域的 DNS IP 地址。

  7. 如果 Server FQDN 字段显示错误,可以忽略它。

  8. 选择 Store this conditional forwarder in Active Directory,然后从下拉菜单中选择 All DNS servers in this domain

  9. 选择 OK

验证 DNS 条件转发器

您可以使用 nslookupResolve-DnsName PowerShell cmdlet 验证转发器是否配置正确。运行以下命令:

nslookup FQDN

FQDN 替换为托管式 Microsoft AD 网域的完全限定域名。

如果 DNS 条件转发器配置正确,此命令将返回网域控制器的 IP 地址。

验证本地网域的本地安全政策

创建信任要求本地网域的本地安全政策允许匿名访问 netlogonsamrlsarpc 命名管道。要验证是否启用了匿名访问,请完成以下步骤:

  1. 使用本地网域的网域管理员或企业管理员账号登录到本地网域控制器。

  2. 打开本地安全政策控制台

  3. 在控制台中,转到 Security Settings > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously

  4. 验证是否已启用对 netlogonsamrlsarpc 的匿名访问。 请注意,您需要在每一行中单独指定,而不是以逗号分隔。

设置信任

配置网络后,您可以在本地网域和托管式 Microsoft AD 网域之间建立信任关系。

配置本地网域

如需在本地网域上建立信任,请完成以下步骤:

  1. 使用网域管理员或企业管理员账号登录到本地网域控制器。

  2. 打开 Active Directory Domains and Trusts

  3. 右键点击网域,然后选择 Properties

  4. Trust 标签页上,选择 New 信任。

  5. 选择 New Trust 向导上的 Next

  6. 输入托管式 Microsoft AD 网域的 FQDN 作为 Trust Name

  7. 对于 Trust type,选择 Forest trust

  8. 设置 Direction of Trust

    • 如需创建单向信任,请选择 One-way incoming
    • 如需创建双向信任,请选择 Two-way

  9. 对于 Sides of Trust,选择 This domain only

  10. 对于 Outgoing Trust Authentication Level,选择 Forest-wide authentication

  11. 输入信任密码

    您需要此密码才能在托管式 Microsoft AD 网域上配置信任。

  12. 确认信任设置,然后选择 Next

  13. 此时会显示 Trust Creation Complete 窗口。

  14. 选择 No, do not confirm the outgoing trust,然后选择 Next

  15. 选择 No, do not confirm the incoming trust,然后选择 Next

  16. Completing the New Trust Wizard 对话框上,选择 Finish

  17. 针对信任刷新名称后缀路由

配置托管式 Microsoft AD 网域

如需在托管式 Microsoft AD 网域上建立信任,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中打开“托管式 Microsoft AD”页面。
    打开“托管式 Microsoft AD”页面

  2. 选择要为其创建信任的网域,然后选择创建信任关系

  3. 信任类型设置为森林

  4. 对于目标域名,输入本地网域的 FQDN。

  5. 设置信任方向

    • 如需创建单向信任,请选择出站
    • 如需创建双向信任,请选择双向

  6. 输入您在本地网域上配置信任时创建的信任密码。

  7. 对于 DNS 条件转发器 IP,输入您之前收集的本地 DNS IP 地址。

  8. 选择创建信任关系

  9. 您将返回到网域页面。您的新信任应该显示为正在创建。等待状态变为已连接。设置最多可能需要 10 分钟才能完成。

gcloud

如需创建单向信任,请运行以下 gcloud CLI 命令:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

替换以下内容:

  • DOMAIN:托管式 Microsoft AD 网域的 FQDN。
  • TARGET_DNS_IP_ADDRESSES:您之前收集的本地 DNS IP 地址。
  • TARGET_DOMAIN_NAME:本地网域的 FQDN。

如需创建双向信任,请运行以下 gcloud CLI 命令:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

如需了解详情,请参阅 create 命令

验证双向信任

为双向信任配置托管式 Microsoft AD 网域后,您必须验证来自本地网域的出站信任。如果要创建单向信任,则可以跳过此步骤。

如需验证出站信任,请完成以下步骤:

  1. 使用网域管理员或企业管理员账号登录到本地网域控制器。

  2. 打开 Active Directory Domains and Trusts

  3. 右键点击您的网域,然后选择 Properties

  4. 信任标签页上,选择托管式 Microsoft AD 网域的出站信任。

  5. 选择属性

  6. 常规标签页中,选择验证

问题排查

如果您在尝试建立信任时遇到问题,可以试试我们的问题排查提示

后续步骤