Se usó la API de Cloud Translation para traducir esta página.

Crea una relación de confianza con un dominio local

En esta página, se muestra cómo crear una relación de confianza entre los dominios locales y un dominio del servicio administrado para Microsoft Active Directory. Esta confianza puede ser unidireccional o bidireccional. También puede abarcar varios bosques. Si ya configuraste una relación de confianza, aprende cómo administrar relaciones de confianza.

Microsoft AD administrado admite el tipo de confianza de bosque y no admite tipos de confianza externos, de dominio ni de acceso directo.

Tipos de confianza

Una relación de confianza puede ser unidireccional o bidireccional. Una relación de confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. En este tema, el dominio local es el lado confiable o entrante de la relación de confianza unidireccional y el dominio de Microsoft AD administrado es el lado que confía o saliente de la relación. Una confianza bidireccional es una ruta de autenticación bidireccional creada entre dos dominios. Confianza y flujo de acceso en ambas direcciones.

Antes de comenzar

Antes de crear una relación de confianza, completa los siguientes pasos:

Verifica que el dominio local ejecute una versión compatible de Windows.
Recopila las direcciones IP de los servidores DNS que se aplican a tu dominio local.

Establece la conectividad de red

Establece la conectividad de red entre la red local y la nube privada virtual (VPC) de Google Cloud y, luego, verifica que las dos redes se puedan comunicar. Para obtener más información sobre cómo identificar y establecer conexiones de Cloud VPN, consulta Descripción general de Cloud VPN.

Abre puertos de firewall

Configura los puertos de entrada/salida en la red local y la VPC de Google Cloud para permitir la conectividad de confianza de Active Directory.

Las siguientes tablas enumeran el conjunto mínimo de puertos necesarios para establecer la relación de confianza. Es posible que deba configurar más puertos, según su situación. Para obtener más información, consulta los Requisitos de puerto de los servicios de dominio de Active Directory y Active Directory de Microsoft.

Abre puertos de firewall de red local

Abra los puertos enumerados en la siguiente tabla en su firewall local para el bloque de IP CIDR utilizado por su red VPC y la red de Managed Microsoft AD.

Protocolo	Port	Funcionalidad
TCP, UDP	53	DNS
TCP, UDP	88	Kerberos
TCP, UDP	464	Cambio de contraseña de Kerberos
TCP	135	RPC
TCP	49152-65535	RPC
TCP, UDP	389	LDAP
TCP, UDP	445	SMB

Abre los puertos de firewall de la red de VPC

Abre los puertos enumerados en la siguiente tabla en tu firewall de red de VPC para el bloque de IP de CIDR que usa tu red local.

Protocolo	Port	Funcionalidad
TCP, UDP	53	DNS

Configura servidores de reenvío condicionales de DNS

Después de abrir los puertos del firewall, configura los servidores de reenvío condicionales de DNS. Esta configuración te permite proporcionar sugerencias para reenviar solicitudes sin resolver a diferentes servidores DNS.

Verifica si hay una política de reenvío entrante

Antes de crear una política de reenvío entrante de Cloud DNS para su VPC, verifique si existe.

Abre la página Políticas del servidor de Cloud DNS en la consola de Google Cloud.
Abra la página de Cloud DNS
Busca una política en la lista en la que la columna Entrante esté configurada como Activada y la red de VPC que usa tu dominio aparece en el menú desplegable debajo de la columna En uso.

Si encuentras una política válida existente, puedes omitir la sección Obtén direcciones IP de DNS.

Crea una política de reenvío entrante

Para crear una política de reenvío entrante, completa los siguientes pasos:

Abre la página Políticas del servidor de Cloud DNS en la consola de Google Cloud.
Abra la página de Cloud DNS
Selecciona Crear política.
Ingresa un Nombre.
Establezca Reenvío de consultas entrantes a Activado.
Selecciona la red de VPC para tu dominio en el menú Redes.
Seleccione Crear.

Obtén direcciones IP de DNS

Después de crear una política de reenvío entrante, obtén las direcciones IP de DNS para tu dominio de Microsoft AD administrado. Si acabas de crear una política de Cloud DNS nueva, es posible que las direcciones IP aún no aparezcan. Si esto sucede, espera unos minutos y vuelve a intentarlo.

Abre la página Políticas del servidor de Cloud DNS en la consola de Google Cloud.
Abra la página de Cloud DNS
Selecciona tu política de la lista y, luego, haz clic en la pestaña En uso por.
Toma nota de las direcciones IP de DNS del dominio administrado de Microsoft AD que necesitas configurar en tu dominio local. Necesitas estas direcciones para establecer la confianza con el dominio administrado de Microsoft AD.

Asegúrate de que los bloques de CIDR que contengan estas direcciones IP estén configurados en tu firewall de red local.

Crear reenvío condicional de DNS

Para configurar los servidores de reenvío condicionales DNS en su dominio local, use las direcciones IP de DNS para su dominio de Managed Microsoft AD para completar los siguientes pasos.

Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.
Abre el administrador de DNS.
Expanda el servidor DNS del dominio para el que desea configurar la relación de confianza.
Haga clic con el botón derecho en servidores de reenvío condicionales y seleccione Nuevo servidor de reenvío condicional.
Para dominio DNS, ingrese el FQDN del dominio de Managed Microsoft AD (por ejemplo, ad.example.com).
En el campo Direcciones IP de los servidores principales, ingresa las direcciones IP de DNS de tu dominio de Microsoft AD administrado que anotaste antes en el paso Obtén direcciones IP de DNS.
Si el campo Servidor FQDN muestra un error, puedes ignorarlo.
Seleccione Almacenar este servidor de reenvío condicional en Active Directory y, luego, seleccione Todos los servidores DNS en este dominio del menú desplegable.
Selecciona Aceptar.

Verifica el reenvío condicional de DNS

Puede verificar que el servidor de reenvío esté configurado correctamente mediante nslookup o el cmdlet PowerShell Resolve-DnsName. Ejecuta el siguiente comando:

nslookup FQDN

Reemplaza FQDN por el nombre de dominio completamente calificado de tu dominio de Microsoft AD administrado.

Si el servidor de reenvío condicional de DNS está configurado correctamente, este comando muestra las direcciones IP de los controladores de dominio.

Verifica la política de seguridad local para tu dominio local

Crear una confianza requiere que la política de seguridad local para tu dominio local permita el acceso anónimo a las canalizaciones llamadas netlogon, samr y lsarpc. Para verificar que el acceso anónimo esté habilitado, completa los siguientes pasos:

Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.
Abra la consola de política de seguridad local.
En la consola, ve a Configuración de seguridad > Políticas locales > Opciones de seguridad > Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima.
Verifica que el acceso anónimo a netlogon, samr y lsarpc esté habilitado. Ten en cuenta que deben especificarse en líneas separadas y no separados por comas.

Establecer una relación de confianza

Después de configurar sus redes, puede crear una relación de confianza entre su dominio local y su dominio de Managed Microsoft AD.

Configura el dominio local

Para establecer la confianza en el dominio local, completa los siguientes pasos:

Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.
Abra Dominios y confianzas de Active Directory.
Haz clic con el botón derecho en el dominio y selecciona Propiedades.
En la pestaña Confiar, selecciona confianza Nueva.
Selecciona Siguiente en el Asistente para nueva relación de confianza.
Ingrese el FQDN del dominio de Managed Microsoft AD como Nombre de la relación de confianza.
Para el Tipo de relación de confianza, seleccione relación de confianza de bosque.
Configura la Dirección de la relación de confianza.
- Para crear una relación de confianza unidireccional, selecciona Entrada unidireccional.
- Para crear una relación de este sentido, selecciona Two-way.
Para Lados de la relación de confianza, seleccione Este dominio solamente.
Para Nivel de autenticación de la relación de confianza saliente, seleccione Autenticación en todo el bosque.
Ingresa la Contraseña de confianza.

Necesitas esta contraseña para configurar la confianza en el dominio administrado de Microsoft AD.
Confirma la configuración de la relación de confianza y, luego, haz clic en Siguiente.
Se muestra la ventana Creación de la relación de confianza completa.
Selecciona No, do not confirm the outgoing trust y, luego, selecciona Siguiente.
Selecciona No, do not confirm the incoming trust y, luego, selecciona Siguiente.
En el cuadro de diálogo Completing the New Trust Wizard, selecciona Finalizar.
Actualiza el enrutamiento del sufijo del nombre para la confianza.

Configura el dominio de Microsoft AD administrado

Para establecer la confianza en el dominio de Microsoft AD administrado, completa los siguientes pasos:

Console

Abre la página Microsoft AD administrado en la consola de Google Cloud.
Abra la página de Microsoft AD administrado
Selecciona el dominio para el que deseas crear una relación de confianza y, luego, selecciona Crear una relación de confianza.
Establezca Tipo de relación de confianza en Bosque.
En Nombre de dominio de destino, ingresa el FQDN del dominio local.
Establece la Dirección de confianza.
- Para crear una relación de confianza unidireccional, selecciona Saliente.
- Para crear una relación de confianza bidireccional, selecciona Bidireccional.
Ingrese la contraseña de la relación de confianza que creó al configurar la confianza en el dominio local.
En IP de reenvío condicional de DNS, ingresa las direcciones IP de DNS locales que recopilaste antes.
Selecciona Crear una relación de confianza.
Volverás a la página del dominio. Tu confianza nueva debe aparecer como Creando. Espera a que el estado cambie a Conectado. La configuración puede tardar hasta 10 minutos en completarse.

gcloud

Para crear una relación de confianza unidireccional, ejecuta el siguiente comando de gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Reemplaza lo siguiente:

DOMAIN: El FQDN del dominio de Microsoft AD administrado.
TARGET_DNS_IP_ADDRESSES: Son las direcciones IP de DNS locales que recopilaste antes.
TARGET_DOMAIN_NAME: El FQDN del dominio local.

Para crear una relación de confianza bidireccional, ejecuta el siguiente comando de gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Para obtener más información, consulta el comando create.

Valida la confianza bidireccional

Después de configurar el dominio de Microsoft AD administrado para una relación de confianza bidireccional, debes validar la confianza de salida desde el dominio local. Si estás creando una relación de confianza unidireccional, puedes omitir este paso.

Para verificar la confianza de salida, completa los siguientes pasos:

Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.
Abra Dominios y confianzas de Active Directory.
Haz clic con el botón derecho en tu dominio y, a continuación, selecciona Propiedades.
En la pestaña Trust, selecciona la relación de confianza saliente para el dominio de Microsoft AD administrado.
Selecciona Propiedades.
En la pestaña General, selecciona Validate.

Solución de problemas

Si tiene problemas al intentar crear una confianza, puede probar nuestros consejos para la solución de problemas.

¿Qué sigue?

Aprenda cómo administrar una relación de confianza.
Aprenda cómo solucionar problemas de acceso a una confianza.