Questa pagina mostra come creare una relazione di attendibilità tra on-premise e un dominio Managed Service for Microsoft Active Directory. Questa relazione di trust può essere unidirezionale o bidirezionale. Può anche abbracciare diverse foreste. Se hai già configurato un trust, scopri come gestire i trust.
Microsoft Active Directory gestito supporta la trust delle foreste tipo e non supporta i tipi di attendibilità esterni, di area di autenticazione e scorciatoia.
Tipi di trust
Una relazione di fiducia può essere unidirezionale o bidirezionale. Una relazione di attendibilità unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. In questo argomento, il dominio on-premise è il lato attendibile o in entrata della relazione di attendibilità unidirezionale e il dominio Microsoft AD gestito è il lato attendibile o in uscita della relazione. Un trust a due vie è un percorso di autenticazione bidirezionale tra due domini. Flusso di accesso affidabile e di accesso in entrambe le direzioni.
Prima di iniziare
Prima di creare un'azienda consociata, completa i seguenti passaggi:
Verifica che nel dominio on-premise sia in esecuzione una versione supportata di Windows.
Raccogli gli indirizzi IP dei server DNS applicabili al tuo dominio on-premise.
Stabilisci connettività di rete
Stabilisci la connettività di rete tra la tua rete on-premise e la tua Virtual Private Cloud (VPC) di Google Cloud, quindi verifica che due reti possono comunicare. Per ulteriori informazioni per identificare e stabilire le connessioni Cloud VPN, consulta la panoramica di Cloud VPN.
Aprire le porte del firewall
Configura le porte in entrata/in uscita sulla tua rete on-premise VPC Google Cloud per consentire l'attendibilità di Active Directory e la connettività privata.
Le tabelle seguenti elencano l'insieme minimo di porte necessarie per stabilire l'attendibilità. Potresti dover configurare altre porte, a seconda dello scenario. Per maggiori informazioni, consulta i Requisiti delle porte di Active Directory e Active Directory Domain Services di Microsoft.
Apri porte firewall di rete on-premise
Apri le porte elencate nella tabella seguente sul firewall on-premise al Blocco IP CIDR utilizzato dalla tua rete VPC e dalla rete Microsoft Active Directory gestita.
| Protocollo | Porta | Funzionalità |
|---|---|---|
| TCP, UDP | 53 | DNS |
| TCP, UDP | 88 | Kerberos |
| TCP, UDP | 464 | Modifica password Kerberos |
| TCP | 135 | RPC |
| TCP | 49152-65535 | RPC |
| TCP, UDP | 389 | LDAP |
| TCP, UDP | 445 | PMI |
Porte firewall di rete VPC aperte
Apri le porte elencate nella tabella seguente nel firewall della rete VPC al blocco IP CIDR utilizzato dalla rete on-premise.
| Protocollo | Porta | Funzionalità |
|---|---|---|
| TCP, UDP | 53 | DNS |
Configura forwarding condizionali DNS
Dopo aver aperto le porte del firewall, configura i forwarding condizionali DNS. Queste impostazioni ti consentono di fornire suggerimenti per l'inoltro delle richieste non risolvibili a diversi server DNS.
Verificare la presenza di un criterio di forwarding in entrata
Prima di creare un criterio di forwarding in entrata di Cloud DNS per il tuo VPC, verifica se ne esiste uno.
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina Cloud DNSCerca un criterio nell'elenco in cui la colonna In entrata sia impostata su On e la rete VPC utilizzata dal tuo dominio sia elencata nel menu a discesa sotto la colonna Utilizzato da.
Se trovi delle norme valide, puoi passare direttamente a Ottieni indirizzi IP DNS.
Crea un criterio di forwarding in entrata
Per creare un criterio di inoltro in entrata:
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina di Cloud DNSSeleziona Crea criterio.
Inserisci un Nome.
Imposta Inoltro query in entrata su On.
Seleziona la rete VPC per il tuo dominio dal Menu Reti.
Seleziona Crea.
Ottieni indirizzi IP DNS
Dopo aver creato un criterio di forwarding in entrata, ottieni gli indirizzi IP DNS per Dominio Microsoft AD gestito. Se hai appena creato un nuovo Cloud DNS gli indirizzi IP potrebbero non essere ancora visualizzati. In questo caso, attendi qualche minuto e riprova.
Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
Apri la pagina Cloud DNSSeleziona il criterio dall'elenco, quindi la scheda In uso da.
Prendi nota di eventuali indirizzi IP DNS del dominio Microsoft Active Directory gestito che devi configurare nel tuo dominio on-premise. Questi indirizzi sono necessari per stabilire il trust con il dominio Microsoft AD gestito.
Assicurati che i blocchi CIDR contenenti questi indirizzi IP siano configurati nel firewall di rete on-premise.
Crea forwarding condizionale DNS
Per configurare gli forwarding condizionali DNS sul tuo dominio on-premise, utilizza Indirizzi IP DNS del tuo dominio Microsoft AD gestito per completare la i seguenti passaggi.
Accedi a un controller di dominio on-premise con un amministratore di dominio o aziendale per il dominio on-premise.
Apri il Gestore DNS.
Espandi il server DNS del dominio per cui vuoi configurare l'attendibilità.
Fai clic con il tasto destro del mouse su Inoltro condizionale e seleziona Nuovo inoltro condizionale.
In Dominio DNS, inserisci il nome di dominio completo di Managed Microsoft AD dominio (ad esempio,
ad.example.com).Nel campo Indirizzi IP dei server master, inserisci l'indirizzo IP DNS del dominio Microsoft Active Directory gestito che hai annotato in precedenza l'opzione Ottieni IP DNS indirizzi IP.
Se il campo FQDN server restituisce un errore, puoi ignorarlo.
Seleziona Archivia questo inoltro condizionale in Active Directory e seleziona Tutti i server DNS in questo dominio dal menu a discesa.
Seleziona OK.
Verifica il forwarding condizionale DNS
Puoi verificare che l'utente che esegue l'inoltro sia configurato correttamente utilizzando nslookup o
il cmdlet di PowerShell Resolve-DnsName. Esegui questo comando:
nslookup FQDN
Sostituisci FQDN con il nome di dominio completo del tuo dominio Microsoft AD gestito.
Se il forwarding condizionale DNS è configurato correttamente, questo comando restituisce gli indirizzi IP dei controller di dominio.
Verifica il criterio di sicurezza locale per il dominio on-premise
La creazione di un trust richiede che il criterio di sicurezza locale per i tuoi ambienti on-premise
dominio consente l'accesso anonimo ai netlogon, samr e lsarpc denominati
tubature. Per verificare che l'accesso anonimo sia abilitato, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise con un account amministrativo di Domain o Enterprise per il dominio on-premise.
Apri la console Criteri di sicurezza locale.
Nella console, vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza > Accesso alla rete: pipeline denominate che possono in forma anonima.
Verifica che l'accesso anonimo a
netlogon,samrelsarpcsia attivato. Tieni presente che questi dati devono essere specificati su righe separate e non devono essere separati da virgole.
Configurare la fiducia
Dopo aver configurato le reti, puoi creare un trust tra i tuoi ambienti on-premise e il dominio Microsoft Active Directory gestito.
Configura il dominio on-premise
Per stabilire l'attendibilità sul dominio on-premise, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise utilizzando un o un account amministratore aziendale.
Apri Domini e attendibilità di Active Directory.
Fai clic con il tasto destro del mouse sul dominio e seleziona Proprietà.
Nella scheda Attendibile, seleziona Nuovo trust.
Seleziona Avanti in Nuova procedura guidata di attendibilità.
Inserisci il nome di dominio completo del dominio Microsoft Active Directory gestito come Nome trust.
Per Tipo di attendibilità, seleziona Forest trust.
Imposta la Direction of Trust (Direzione di attendibilità).
- Per creare un trust unidirezionale, seleziona In arrivo unidirezionale.
- Per creare un trust a due vie, seleziona Due vie.
Per Lati attendibili, seleziona Solo questo dominio.
Per Livello di autenticazione trust in uscita, seleziona A livello di foresta autenticazione.
Inserisci la Password attendibile.
Questa password è necessaria per configurare la relazione di attendibilità sul dominio Microsoft Active Directory gestito.
Conferma le impostazioni di attendibilità, quindi seleziona Avanti.
Viene visualizzata la finestra Creazione di attendibilità completata.
Seleziona No, non confermare il trust in uscita, quindi seleziona Avanti.
Seleziona No, non confermare l'attendibilità in arrivo, quindi seleziona Avanti.
Nella finestra di dialogo Completare la nuova procedura guidata di attendibilità, seleziona Fine.
Aggiorna il routing del suffisso del nome per l'attendibilità.
Configura il dominio Microsoft Active Directory gestito
Per stabilire la relazione di attendibilità nel dominio Microsoft AD gestito, completa i seguenti passaggi:
Console
Apri la pagina Microsoft Active Directory gestito nella console Google Cloud.
Apri la pagina Managed Microsoft ADSeleziona il dominio per cui creare una relazione di attendibilità, quindi seleziona Crea relazione di attendibilità.
Imposta Tipo di attendibilità su Forest.
In Nome di dominio di destinazione, inserisci il FQDN del dominio on-premise.
Imposta l'direzione di attendibilità.
- Per creare un trust unidirezionale, seleziona In uscita.
- Per creare una relazione di attendibilità bidirezionale, seleziona Bidirezionale.
Inserisci la password di attendibilità che hai creato durante la configurazione della attendibilità sul dominio on-premise.
In IP DNS Conditional Forwarder (IP del forwarding condizionale DNS), inserisci l'IP DNS on-premise indirizzi raccolti in precedenza.
Seleziona Crea relazione di trust.
Tornerai alla pagina del dominio. Il nuovo trust dovrebbe mostrare come Creazione. Attendi fino a quando lo stato passa a Connesso. Possono essere necessari fino a 10 minuti per il completamento della configurazione.
gcloud
Per creare un trust unidirezionale, esegui il comando gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=OUTBOUND
Sostituisci quanto segue:
DOMAIN: il FQDN del dominio Microsoft AD gestito.TARGET_DNS_IP_ADDRESSES: l'IP DNS on-premise indirizzi raccolti in precedenza.TARGET_DOMAIN_NAME: il nome di dominio completo del dominio on-premise.
Per creare un trust a due vie, esegui il comando gcloud CLI:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=BIDIRECTIONAL
Per maggiori informazioni, vedi Comando create.
Convalida l'attendibilità bidirezionale
Dopo aver configurato il dominio Microsoft AD gestito per un rapporto di attendibilità bidirezionale, devi convalidare il trust in uscita dal dominio on-premise. Se crei un unidirezionale, puoi saltare questo passaggio.
Per verificare l'attendibilità in uscita, completa i seguenti passaggi:
Accedi a un controller di dominio on-premise utilizzando un account Google Domains o Enterprise con un account amministratore di livello inferiore.
Apri Domini e attendibilità di Active Directory.
Fai clic con il pulsante destro del mouse sul dominio e seleziona Proprietà.
Nella scheda Attendibile, seleziona il trust in uscita per il Dominio Microsoft AD gestito.
Seleziona Proprietà.
Nella scheda General (Generale), seleziona Convalida.
Risoluzione dei problemi
Se riscontri problemi durante il tentativo di creare un trust, puoi provare la nostra suggerimenti per la risoluzione dei problemi.
Passaggi successivi
- Scopri come gestire un trust.
- Scopri come risolvere i problemi di accesso a un trust.