Criar uma relação de confiança com um domínio local

Esta página mostra como criar um relacionamento de confiança entre domínios locais e um domínio do Serviço Gerenciado para Microsoft Active Directory. Essa confiança pode ser unidirecional ou bidirecional. Também pode abranger várias florestas. Se você já configurou uma confiança, veja como gerenciar confianças.

O Microsoft AD gerenciado oferece suporte ao tipo de confiança de floresta e não oferece suporte a tipos de confiança externos, de domínio e de atalho.

Tipos de confiança

Uma relação de confiança pode ser unidirecional ou bidirecional. Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Neste tópico, o domínio local é o lado confiável ou recebido da confiança unidirecional, e o domínio gerenciado do Microsoft AD é o trusting ou outbound do relacionamento. Uma confiança bidirecional é um caminho de autenticação bidirecional criado entre dois domínios. Fluxo de confiança e acesso nas duas direções.

Antes de começar

Antes de criar uma relação de confiança, siga estas etapas:

  1. Verifique se o domínio local está executando uma versão compatível do Windows.

  2. Reúna os endereços IP dos servidores DNS que se aplicam ao seu domínio local.

Estabelecer conectividade de rede

Estabelecer conectividade de rede entre a rede no local e a a nuvem privada virtual (VPC) do Google Cloud. Depois, verifique se os duas redes podem se comunicar. Para mais informações sobre como identificar e estabelecer conexões do Cloud VPN, consulte a visão geral do Cloud VPN.

Abrir portas de firewall

Configure as portas de entrada/saída na rede local e na VPC do Google Cloud para permitir a conectividade de confiança do Active Directory.

As tabelas a seguir listam o conjunto mínimo de portas necessárias para estabelecer a confiança. Talvez seja necessário configurar mais portas, dependendo do cenário. Para mais informações, consulte os requisitos de porta do Active Directory e do Active Directory Domain Services da Microsoft.

Abrir portas de firewall da rede no local

Abra as portas listadas na tabela a seguir no firewall local para o bloco IP CIDR usado pela rede VPC e pela rede do Managed Microsoft AD.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Alteração de senha do Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Portas abertas de firewall da rede VPC

Abra as portas listadas na tabela a seguir no firewall da rede VPC para o bloco de IP CIDR usado pela rede local.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS

Configurar encaminhadores condicionais de DNS

Depois de abrir as portas do firewall, configure os encaminhadores condicionais de DNS. Com essas configurações, é possível fornecer dicas para encaminhar solicitações não resolvidas para servidores DNS diferentes.

Verificar uma política de encaminhamento de entrada

Antes de criar uma política de encaminhamento de entrada do Cloud DNS para sua VPC, verifique se existe alguma.

  1. Abra a página de políticas do servidor do Cloud DNS no console do Google Cloud.
    Abra a página "Cloud DNS"

  2. Procure uma política na lista em que a coluna Entrada esteja definida como Ativado, e a rede VPC usada pelo seu domínio esteja listada no menu suspenso na coluna Em uso.

Se você encontrar uma política atual válida, pule para Como receber endereços IP de DNS.

Criar uma política de encaminhamento de entrada

Para criar uma política de encaminhamento de entrada, siga estas etapas:

  1. Abra a página de políticas de servidor do Cloud DNS no console do Google Cloud.
    Abra a página "Cloud DNS"

  2. Selecione Criar política.

  3. Digite um Nome.

  4. Defina o Encaminhamento de consulta de entrada como Ativado.

  5. Selecione a rede VPC do seu domínio no menu Redes.

  6. Selecione Criar.

Receber endereços IP do DNS

Depois de criar uma política de encaminhamento de entrada, colete os endereços IP DNS da sua Domínio do Microsoft AD gerenciado. Se você acabou de criar um novo Cloud DNS política, os endereços IP podem não aparecer ainda. Se isso acontecer, aguarde alguns minutos e tente novamente.

  1. Abra a página de políticas do servidor do Cloud DNS no console do Google Cloud.
    Abra a página "Cloud DNS"

  2. Selecione sua política na lista e selecione a guia Em uso por.

  3. Anote todos os endereços IP de DNS do domínio gerenciado do Microsoft AD que você precisa configurar no domínio local. Você precisa destes para estabelecer a confiança com o domínio do Microsoft AD gerenciado.

Verifique se os blocos CIDR que contêm esses endereços IP estão configurados no firewall de rede local.

Criar um encaminhador condicional de DNS

Para configurar os encaminhadores condicionais de DNS no seu domínio local, use os endereços IP de DNS do seu domínio Managed Microsoft AD para concluir as etapas a seguir.

  1. Faça logon em um controlador de domínio local com uma conta de administrador de Domínio ou de Empresa para o domínio local.

  2. Abra o Gerenciador de DNS.

  3. Expanda o servidor DNS do domínio para o qual você quer configurar a relação de confiança.

  4. Clique com o botão direito do mouse em Encaminhamentos condicionais e selecione Novo encaminhador condicional.

  5. Para Domínio DNS, digite o FQDN do domínio do Managed Microsoft AD (por exemplo, ad.example.com).

  6. No campo Endereços IP dos servidores mestres, digite o IP do DNS. endereços do domínio do Microsoft AD gerenciado que você anotou anteriormente em a seção Receber IP do DNS endereços.

  7. Se o campo FQDN do servidor mostrar um erro, você poderá ignorá-lo.

  8. Selecione Armazenar este encaminhador condicional no Active Directory e selecione Todos os servidores DNS neste domínio no menu suspenso.

  9. Selecione OK.

Verificar o encaminhador condicional do DNS

É possível verificar se o encaminhador está configurado corretamente usando o nslookup ou o cmdlet Resolve-DnsName PowerShell. Execute este comando:

nslookup FQDN

Substitua FQDN pelo nome de domínio totalmente qualificado do seu domínio do Microsoft AD gerenciado.

Se o encaminhador condicional do DNS estiver configurado corretamente, esse comando retornará os endereços IP dos controladores de domínio.

Verifique a política de segurança local para seu domínio no local

A criação de uma relação de confiança requer que a Política de Segurança Local do seu domínio local permita acesso anônimo aos pipes nomeados netlogon, samr e lsarpc. Para verificar se o acesso anônimo está ativado, execute as etapas a seguir:

  1. Faça logon em um controlador de domínio local com uma conta de administrador de Domínio ou de Empresa para o domínio local.

  2. Abra o console de Política de Segurança Local.

  3. No console, vá para Configurações de segurança > Políticas locais > Opções de segurança > Acesso à rede: pipes nomeados que podem ser acessados anonimamente.

  4. Verifique se o acesso anônimo a netlogon, samr e lsarpc está ativado. Eles precisam ser especificados em linhas separadas, e não separados por vírgula.

Configurar a confiança

Depois de configurar suas redes, crie uma relação de confiança entre o domínio local e o domínio do Managed Microsoft AD.

Configurar o domínio no local

Para estabelecer a relação de confiança no domínio local, siga estas etapas:

  1. Faça logon em um controlador de domínio local usando uma conta de administrador de Domínio ou de Empresa.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do mouse no domínio e selecione Propriedades.

  4. Na guia Confiável, selecione Nova.

  5. Selecione Próxima no assistente de nova confiança.

  6. Digite o FQDN do domínio do Managed Microsoft AD como Nome da relação de confiança.

  7. Para o Tipo de relação de confiança, selecione Relação de confiança na floresta.

  8. Defina a Direção da confiança.

    • Para criar uma confiança unidirecional, selecione Entrada unidirecional..
    • Para criar uma confiança em duas vias, selecione Mão dupla.
  9. Para Lados da relação de confiança, selecione Somente este domínio.

  10. Para Nível de autenticação da relação de confiança de saída, selecione Autenticação em toda a floresta.

  11. Digite a Senha confiável.

    Você precisa dessa senha para configurar a confiança no domínio do Microsoft AD gerenciado.

  12. Confirme as configurações de confiança e selecione Próxima.

  13. A janela Criação completa da relação de confiança é exibida.

  14. Selecione Não confirmar a confiança de saída e selecione Próxima.

  15. Selecione Não confirmar a confiança recebida e selecione Próxima.

  16. Na caixa de diálogo Como preencher o assistente para uma nova relação de confiança, selecione Concluir.

  17. Roteamento de sufixo de nome de atualização para a confiança.

Configurar o domínio do Microsoft AD gerenciado

Para estabelecer a confiança no domínio do Microsoft AD gerenciado, siga estas etapas:

Console

  1. Abra a página do Microsoft AD gerenciado no console do Google Cloud.
    Abrir a página Managed Microsoft AD

  2. Selecione o domínio em que você quer criar uma confiança e selecione Create Trust.

  3. Defina Tipo de relação de confiança como Floresta.

  4. Em Nome de domínio de destino, insira o FQDN do domínio local.

  5. Defina a Direção da confiança.

    • Para criar uma confiança unidirecional, selecione Saída.
    • Para criar uma confiança bidirecional, selecione Bidirecional.
  6. Digite a senha da relação de confiança que você criou ao configurar a relação de confiança no domínio local.

  7. Em IPs de encaminhamento condicional do DNS, insira o IP do DNS local. endereços coletados anteriormente.

  8. Selecione Criar relação de confiança.

  9. Você retornará à página do domínio. Sua nova confiança deve aparecer como Criando. Aguarde até que o estado mude para Conectado. A configuração pode levar até 10 minutos para ser concluída.

gcloud

Para criar uma confiança unidirecional, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Substitua:

  • DOMAIN: o FQDN do domínio do Managed Microsoft AD.
  • TARGET_DNS_IP_ADDRESSES: o IP do DNS local endereços que você coletou anteriormente.
  • TARGET_DOMAIN_NAME: o FQDN do domínio local.

Para criar uma confiança bidirecional, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Para mais informações, consulte Comando create.

Valide a confiança bidirecional

Depois de configurar o domínio gerenciado do Microsoft AD para uma confiança bidirecional, você precisa validar a confiança de saída do domínio local. Se você estiver criando uma confiança unidirecional, pule esta etapa.

Para verificar a confiança de saída, siga estas etapas:

  1. Faça login em um controlador de domínio local usando uma conta de administrador do domínio ou da empresa.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do mouse no seu domínio e selecione Propriedades.

  4. Na guia Confiança, selecione a confiança de saída para o domínio gerenciado do Microsoft AD.

  5. Selecione Propriedades.

  6. Na guia Geral, selecione Validar.

Resolver problemas

Se você encontrar problemas ao tentar criar uma confiança, teste nossas dicas de solução de problemas.

A seguir