Crear confianza con un dominio local

En este artículo, se muestra cómo crear una relación de confianza entre los dominios locales y un dominio de Microsoft AD administrado. Esta confianza puede ser unidireccional o bidireccional. También puede abarcar varios bosques. Si ya configuraste una relación de confianza, aprende cómo administrar relaciones de confianza.

Tipos de confianza

Una relación de confianza puede ser unidireccional o bidireccional. Una relación de confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. En este tema, el dominio local es el lado confiable o entrante de la relación de confianza unidireccional y el dominio de Microsoft AD administrado es el lado que confía o saliente de la relación. Una confianza bidireccional es una ruta de autenticación bidireccional creada entre dos dominios. Confianza y flujo de acceso en ambas direcciones.

Antes de comenzar

Antes de que intentes crear una relación de confianza, verifica que el dominio local ejecute una versión compatible de Windows.

Establece una conectividad de red

Primero, establezca la conectividad de red entre su red local y su nube privada virtual (VPC) de Google Cloud y, luego, verifique que las dos redes puedan comunicarse. Obtenga más información acerca de identificar y establecer conexiones de Cloud VPN.

Abre los puertos de firewall

A continuación, configura los puertos de entrada/salida en tu red local y tu VPC de Google Cloud para permitir la conectividad de confianza de Active Directory.

Las siguientes tablas enumeran el conjunto mínimo de puertos necesarios para establecer la relación de confianza. Es posible que deba configurar más puertos, según su situación. Obtenga más información acerca de los requisitos de puerto servicios de dominio de Active Directory y de Active Directory de Microsoft.

Abre los puertos de firewall de red locales

Abra los puertos enumerados en la siguiente tabla en su firewall local para el bloque de IP CIDR utilizado por su red VPC y la red de Managed Microsoft AD.

Protocolo Port Funcionalidad
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Cambio de contraseña de Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 Pyme

Abre puertos de firewall de red de VPC

Abre los puertos enumerados en la siguiente tabla en tu firewall de red de VPC para el bloque de IP de CIDR que usa tu red local.

Protocolo Port Funcionalidad
TCP, UDP 53 DNS

Configura servidores de reenvío condicionales de DNS

A continuación, configura los servidores de reenvío condicionales de DNS. Esta configuración te permite proporcionar sugerencias para reenviar solicitudes no resueltas a diferentes servidores DNS.

Comprueba una política de reenvío entrante

Antes de crear una política de reenvío entrante de Cloud DNS para su VPC, verifique si existe.

  1. Abra la página de políticas del servidor de Cloud DNS en Cloud Console.
    Abra la página de Cloud DNS

  2. Busca una política en la lista en la que la columna Entrante esté configurada como Activada y la red de VPC que usa tu dominio aparece en el menú desplegable debajo de la columna En uso.

Si encuentras una política existente válida, puedes pasar a la sección Obtén direcciones IP de DNS.

Crea una política de reenvío entrante

Para crear una política de reenvío entrante, completa los siguientes pasos.

  1. Abra la página de políticas del servidor de Cloud DNS en Cloud Console.
    Abra la página de Cloud DNS

  2. Selecciona Crear política.

  3. Ingresa un Nombre.

  4. Establezca Reenvío de consultas entrantes a Activado.

  5. Selecciona la red de VPC para tu dominio en el menú Redes.

  6. Selecciona Create.

Obtén direcciones IP de DNS

A continuación, obtén las direcciones IP de DNS para tu dominio de Microsoft AD administrado. Si acabas de crear una política de Cloud DNS nueva, es posible que las direcciones IP aún no aparezcan. Si esto sucede, espera unos minutos y vuelve a intentarlo.

  1. Abra la página de políticas del servidor de Cloud DNS en Cloud Console.
    Abra la página de Cloud DNS

  2. Selecciona tu política de la lista y, luego, haz clic en la pestaña En uso por.

  3. Toma nota de cualquier dirección IP que se aplique a tu región local. Necesitas estas direcciones para establecer la confianza en el dominio de Microsoft AD administrado.

Asegúrate de que los bloques de CIDR que contengan estas direcciones IP estén configurados en tu firewall de red local.

Crea el servidor de reenvío condicional de DNS

Para configurar los servidores de reenvío condicionales DNS en su dominio local, use las direcciones IP de DNS para su dominio de Managed Microsoft AD para completar los siguientes pasos.

  1. Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.

  2. Abre el administrador de DNS.

  3. Expanda el servidor DNS del dominio para el que desea configurar la relación de confianza.

  4. Haga clic con el botón derecho en servidores de reenvío condicionales y seleccione Nuevo servidor de reenvío condicional.

  5. Para dominio DNS, ingrese el FQDN del dominio de Managed Microsoft AD (por ejemplo, ad.example.com).

  6. En el campo direcciones IP de los servidores principales, ingrese las direcciones IP de su dominio de Managed Microsoft AD que buscó en Obtener direcciones IP de DNS.

  7. Si el campo Servidor FQDN muestra un error, puedes ignorarlo.

  8. Seleccione Almacenar este servidor de reenvío condicional en Active Directory y, luego, seleccione Todos los servidores DNS en este dominio del menú desplegable.

  9. Selecciona Aceptar.

Verifica el servidor de reenvío condicional DNS

Puede verificar que el servidor de reenvío esté configurado correctamente mediante nslookup o el cmdlet PowerShell Resolve-DnsName. Ejecuta el siguiente comando:

nslookup fqdn-for-managed-ad-domain

Si el servidor de reenvío condicional de DNS está configurado correctamente, este comando muestra las direcciones IP de los controladores de dominio.

Verifica la política de seguridad local para su dominio local

Crear una confianza requiere que la política de seguridad local para tu dominio local permita el acceso anónimo a las canalizaciones llamadas netlogon, samr y lsarpc. Para verificar que el acceso anónimo esté habilitado, completa los siguientes pasos:

  1. Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.

  2. Abra la consola de política de seguridad local.

  3. En la consola, ve a Configuración de seguridad > Políticas locales > Opciones de seguridad > Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima.

  4. Verifica que el acceso anónimo a netlogon, samr y lsarpc esté habilitado. Ten en cuenta que deben especificarse en líneas separadas y no separadas por comas.

Establece la relación confianza

Después de configurar sus redes, puede crear una relación de confianza entre su dominio local y su dominio de Managed Microsoft AD.

Configura el dominio local

Para establecer la relación de confianza en el dominio local, complete los siguientes pasos.

  1. Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.

  2. Abra Dominios y confianzas de Active Directory.

  3. Haz clic con el botón derecho en el dominio y selecciona Propiedades.

  4. En la pestaña Confiar, selecciona confianza Nueva.

  5. Selecciona Siguiente en el Asistente para nueva relación de confianza.

  6. Ingrese el FQDN del dominio de Managed Microsoft AD como Nombre de la relación de confianza.

  7. Para el Tipo de relación de confianza, seleccione relación de confianza de bosque.

  8. Configura la Dirección de la relación de confianza.

    • Para crear una relación de confianza unidireccional, selecciona Entrada unidireccional.
    • Para crear una relación de este sentido, selecciona Two-way.
  9. Para Lados de la relación de confianza, seleccione Este dominio solamente.

  10. Para Nivel de autenticación de la relación de confianza saliente, seleccione Autenticación en todo el bosque.

  11. Ingrese la contraseña de la relación de confianza (Nota: necesita esta contraseña para configurar la relación de confianza en el dominio de Managed Microsoft AD).

  12. Confirma la configuración de la relación de confianza y, luego, haz clic en Siguiente.

  13. Se muestra la ventana Creación de la relación de confianza completa.

  14. Selecciona No, do not confirm the outgoing trust y, luego, selecciona Siguiente.

  15. Selecciona No, do not confirm the incoming trust y, luego, selecciona Siguiente.

  16. En el cuadro de diálogo Completing the New Trust Wizard, selecciona Finalizar.

  17. Actualiza el enrutamiento del sufijo del nombre para la confianza.

Configura el dominio de Microsoft AD administrado

Para establecer la relación de confianza en el dominio de Microsoft AD administrado, complete los siguientes pasos.

Console

  1. Abra la página de Microsoft AD administrado en Cloud Console.
    Abra la página de Managed Microsoft AD

  2. Selecciona el dominio para el que deseas crear una relación de confianza y, luego, selecciona Crear una relación de confianza.

  3. Establezca Tipo de relación de confianza en Bosque.

  4. En Nombre de dominio de destino, ingresa el FQDN del dominio local.

  5. Establece la Dirección de confianza.

    • Para crear una relación de confianza unidireccional, selecciona Saliente.
    • Para crear una relación de confianza bidireccional, selecciona Bidireccional.
  6. Ingrese la contraseña de la relación de confianza que creó al configurar la confianza en el dominio local.

  7. Para IP de servidor de reenvío condicional DNS, ingrese las direcciones IP de DNS locales que obtuvo durante la configuración.

  8. Selecciona Crear una relación de confianza.

  9. Volverás a la página del dominio. Tu confianza nueva debe aparecer como Creando. Espera a que el estado cambie a Conectado. La configuración puede tardar hasta 10 minutos en completarse.

gcloud

Para crear una relación de confianza unidireccional, ejecuta el siguiente comando de la herramienta de gcloud:

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=OUTBOUND

Para crear una relación de confianza bidireccional, ejecuta el siguiente comando de la herramienta gcloud:

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=BIDIRECTIONAL

Obtenga más información sobre el comando create.

Valida la confianza bidireccional

Después de configurar el dominio de Microsoft AD administrado para una relación de confianza bidireccional, debes validar la confianza de salida desde el dominio local. Si estás creando una relación de confianza unidireccional, puedes omitir este paso.

Para verificar la relación de confianza saliente, completa los siguientes pasos.

  1. Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.

  2. Abra Dominios y confianzas de Active Directory.

  3. Haz clic con el botón derecho en tu dominio y, a continuación, selecciona Propiedades.

  4. En la pestaña Trust, selecciona la relación de confianza saliente para el dominio de Microsoft AD administrado.

  5. Selecciona Propiedades.

  6. En la pestaña General, selecciona Validate.

Soluciona problemas

Si tiene problemas al intentar crear una confianza, puede probar nuestros consejos para la solución de problemas.

¿Qué sigue?