Créer une approbation avec un domaine sur site

Cette page explique comment créer une relation d'approbation entre des domaines sur site et un domaine de service géré pour Microsoft Active Directory. Cette confiance peut être unidirectionnelle ou bidirectionnelle. Elle peut également couvrir plusieurs forêts. Si vous avez déjà configuré une approbation, découvrez comment gérer les approbations.

Le service Microsoft AD géré est compatible avec le type d'approbation de la forêt, et n'est pas compatible avec les types d'approbation externe, domaine et raccourci.

Types d'approbation

Une relation de confiance peut être à sens unique ou bidirectionnelle. Une approbation unidirectionnelle est un chemin d'authentification à sens unique créé entre deux domaines. Dans cette page, le domaine sur site est le côté approuvé ou entrant et le domaine Microsoft AD géré est le côté approbateur ou sortant de la relation. Une approbation bidirectionnelle est un chemin d'authentification à deux sens créé entre deux domaines. Le flux d'approbation et l'accès s'effectuent dans les deux sens.

Avant de commencer

Avant de créer une approbation, procédez comme suit:

  1. Vérifiez que le domaine sur site exécute une version compatible de Windows.

  2. Rassemblez les adresses IP des serveurs DNS qui s'appliquent à votre domaine sur site.

Établir la connectivité réseau

Établissez une connectivité réseau entre votre réseau sur site et votre cloud privé virtuel (VPC) Google Cloud, puis vérifiez que les deux réseaux peuvent communiquer. Pour en savoir plus sur l'identification et l'établissement de connexions Cloud VPN, consultez la section Présentation de Cloud VPN.

Ouvrir les ports de pare-feu

Configurez les ports d'entrée/de sortie sur votre réseau sur site et sur votre VPC Google Cloud pour autoriser la connectivité de confiance Active Directory.

Les tableaux suivants répertorient l'ensemble minimal de ports requis pour établir l'approbation. Suivant votre scénario, vous devrez peut-être configurer davantage de ports. Pour en savoir plus, consultez les exigences concernant les ports pour les services de domaine Active Directory et Active Directory de Microsoft.

Ouvrir les ports de pare-feu réseau sur site

Sur votre pare-feu local, ouvrez les ports répertoriés dans le tableau ci-dessous vers le bloc CIDR d'adresses IP utilisé par votre réseau VPC et le réseau Microsoft AD géré.

Protocole Port Fonctionnalité
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Changement de mot de passe Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 PME

Ouvrir les ports de pare-feu réseau VPC

Sur le pare-feu de votre réseau VPC, ouvrez les ports répertoriés dans le tableau ci-dessous vers le bloc CIDR d'adresses IP utilisé par votre réseau sur site.

Protocole Port Fonctionnalité
TCP, UDP 53 DNS

Configurer les redirecteurs conditionnels DNS

Après avoir ouvert les ports du pare-feu, configurez les redirecteurs conditionnels DNS. Ces paramètres vous permettent de fournir des indications pour transférer les requêtes impossibles à résoudre vers différents serveurs DNS.

Vérifier la présence d'une règle de transfert entrant

Avant de créer une règle Cloud DNS de transfert entrant pour votre VPC, vérifiez s'il en existe déjà une.

  1. Ouvrez la page des règles de serveur Cloud DNS dans la console Google Cloud.
    Ouvrir la page Cloud DNS

  2. Recherchez dans la liste une règle pour laquelle la colonne Entrée est définie sur Activé, et le réseau VPC utilisé par votre domaine est répertorié dans la liste déroulante sous la colonne Utilisé par.

Si vous trouvez une règle existante valide, vous pouvez passer à la section Obtenir des adresses IP DNS.

Créer une règle de transfert entrant

Pour créer une règle de transfert entrant, procédez comme suit:

  1. Ouvrez la page des règles de serveur Cloud DNS dans la console Google Cloud.
    Ouvrir la page Cloud DNS

  2. Cliquez sur Créer une règle.

  3. Saisissez un nom.

  4. Définissez Transfert de requêtes entrantes sur Activé.

  5. Dans le menu Réseaux, sélectionnez le réseau VPC pour votre domaine

  6. Sélectionnez Créer.

Obtenir les adresses IP DNS

Après avoir créé une règle de transfert entrant, obtenez les adresses IP DNS de votre domaine Microsoft AD géré. Si vous venez de créer une règle Cloud DNS, il est possible que les adresses IP ne s'affichent pas encore. Dans ce cas, attendez quelques minutes, puis réessayez.

  1. Ouvrez la page des règles de serveur Cloud DNS dans la console Google Cloud.
    Ouvrir la page Cloud DNS

  2. Sélectionnez votre règle dans la liste, puis accédez à l'onglet Utilisé par.

  3. Notez toutes les adresses IP DNS du domaine Microsoft AD géré que vous devez configurer dans votre domaine sur site. Vous avez besoin de ces adresses pour établir l'approbation avec le domaine Microsoft AD géré.

Assurez-vous que les blocs CIDR contenant ces adresses IP sont configurés dans le pare-feu de votre réseau sur site.

Créer un redirecteur conditionnel DNS

Pour configurer les redirecteurs conditionnels du DNS sur votre domaine sur site, utilisez les adresses IP des DNS de votre domaine Microsoft AD géré afin de réaliser les étapes suivantes.

  1. Connectez-vous à un contrôleur de domaine sur site avec un compte administrateur de domaine ou d'entreprise pour le domaine sur site.

  2. Ouvrez le gestionnaire DNS.

  3. Développez le serveur DNS correspondant au domaine pour lequel vous souhaitez configurer l'approbation.

  4. Effectuez un clic droit sur Redirecteurs conditionnels et sélectionnez Nouveau redirecteur conditionnel.

  5. Pour le Domaine DNS, saisissez le nom de domaine complet du domaine Microsoft AD géré (par exemple, ad.example.com).

  6. Dans le champ Adresses IP des serveurs maîtres, saisissez les adresses IP DNS de votre domaine Microsoft AD géré que vous avez notées précédemment à l'étape Obtenir des adresses IP DNS.

  7. Si le champ Nom de domaine complet du serveur affiche une erreur, vous pouvez l'ignorer.

  8. Sélectionnez Stocker ce redirecteur conditionnel dans Active Directory puis, dans le menu déroulant, sélectionnez Tous les serveurs DNS de ce domaine.

  9. Sélectionnez OK.

Vérifier le redirecteur conditionnel DNS

Vous pouvez vérifier que le redirecteur est correctement configuré à l'aide de nslookup ou du cmdlet PowerShell Resolve-DnsName. Exécutez la commande ci-dessous.

nslookup FQDN

Remplacez FQDN par le nom de domaine complet de votre domaine Microsoft AD géré.

Si le redirecteur conditionnel du DNS est correctement configuré, cette commande renvoie les adresses IP des contrôleurs de domaine.

Valider la stratégie de sécurité locale pour votre domaine sur site

La création d'une approbation nécessite que la stratégie de sécurité locale de votre domaine sur site autorise l'accès anonyme aux canaux nommés netlogon, samr et lsarpc. Pour vérifier que l'accès anonyme est activé, procédez comme suit :

  1. Connectez-vous à un contrôleur de domaine sur site avec un compte administrateur de domaine ou d'entreprise pour le domaine sur site.

  2. Ouvrez la console de stratégie de sécurité locale.

  3. Dans la console, accédez à Paramètres de sécurité > Stratégies locales > Options de sécurité > Accès réseau : canaux nommés accessibles de manière anonyme.

  4. Vérifiez que l'accès anonyme à netlogon, samr et lsarpc est activé. Notez que ceux-ci doivent être spécifiés sur des lignes distinctes et non en les séparant par des virgules.

Configurer l'approbation

Après avoir configuré vos réseaux, vous pouvez créer une approbation entre votre domaine sur site et votre domaine Microsoft AD géré.

Configurer le domaine sur site

Pour établir l'approbation sur le domaine sur site, procédez comme suit:

  1. Connectez-vous à un contrôleur de domaine sur site à l'aide d'un compte administrateur de domaine ou d'entreprise.

  2. Ouvrez Domaines et approbations Active Directory.

  3. Effectuez un clic droit sur le domaine et sélectionnez Propriétés.

  4. Dans l'onglet Approbation, sélectionnez Nouvelle approbation.

  5. Sélectionnez Suivant dans l'assistant de nouvelle approbation.

  6. Saisissez le nom de domaine complet du domaine Microsoft AD géré en tant que nom de confiance.

  7. Comme Type d'approbation, sélectionnez Approbation de forêt.

  8. Définissez le Sens d'approbation.

    • Pour créer une approbation unidirectionnelle, sélectionnez One-way incoming (Approbation unidirectionnelle entrante).
    • Pour créer une relation de bidirectionnelle, sélectionnez Double sens.

  9. Pour Sens d'approbation, sélectionnez Ce domaine uniquement.

  10. Pour Niveau d'authentification d'approbations sortantes, sélectionnez Authentification pour toutes les ressources de la forêt.

  11. Saisissez le mot de passe de l'approbation.

    Vous avez besoin de ce mot de passe pour configurer l'approbation sur le domaine Microsoft AD géré.

  12. Confirmez les paramètres de l'approbation, puis sélectionnez Suivant.

  13. La fenêtre Fin de la création des approbations s'affiche.

  14. Choisissez Non, ne pas confirmer l'approbation sortante, puis sélectionnez Suivant.

  15. Choisissez Non, ne pas confirmer l'approbation entrante, puis sélectionnez Suivant.

  16. Dans la boîte de dialogue Terminer la création de l'approbation de l'assistant, sélectionnez Terminer.

  17. Actualisez le routage des suffixes de nom pour l'approbation.

Configurer le domaine Microsoft AD géré

Pour établir l'approbation sur le domaine Microsoft AD géré, procédez comme suit:

Console

  1. Ouvrez la page Microsoft AD géré dans la console Google Cloud.
    Ouvrez la page Service Microsoft AD géré

  2. Sélectionnez le domaine pour lequel vous souhaitez créer une approbation, puis cliquez sur Créer une approbation.

  3. Définissez le Type d'approbation sur Forêt.

  4. Comme nom de domaine cible, saisissez le nom de domaine complet du domaine sur site.

  5. Définissez la Direction de la relation d'approbation.

    • Pour créer une approbation unidirectionnelle, sélectionnez Sortante.
    • Pour créer une approbation unidirectionnelle, sélectionnez Bidirectionnelle.

  6. Saisissez le mot de passe d'approbation que vous avez créé lors de la configuration de l'approbation sur le domaine sur site.

  7. Sous Adresses IP de redirecteur conditionnel DNS, saisissez les adresses IP DNS sur site que vous avez recueillies précédemment.

  8. Sélectionnez Créer une relation d'approbation.

  9. Vous êtes redirigé vers la page du domaine. Votre nouvelle approbation doit apparaître comme Création en cours. Attendez que l'état passe à Connecté. La configuration peut prendre jusqu'à 10 minutes.

gcloud

Pour créer une approbation unidirectionnelle, exécutez la commande gcloud CLI suivante:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Remplacez les éléments suivants :

  • DOMAIN: nom de domaine complet du domaine Microsoft AD géré.
  • TARGET_DNS_IP_ADDRESSES: adresses IP DNS sur site que vous avez recueillies précédemment.
  • TARGET_DOMAIN_NAME: nom de domaine complet du domaine sur site

Pour créer une approbation bidirectionnelle, exécutez la commande gcloud CLI suivante:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Pour en savoir plus, consultez la section Commande create.

Valider la confiance bidirectionnelle

Après avoir configuré le domaine Microsoft AD géré pour une approbation bidirectionnelle, vous devez valider l'approbation sortante à partir d'un domaine sur site. Si vous créez une approbation unidirectionnelle, vous pouvez ignorer cette étape.

Pour vérifier l'approbation sortante, procédez comme suit:

  1. Connectez-vous à un contrôleur de domaine sur site à l'aide d'un compte administrateur de domaine ou d'entreprise.

  2. Ouvrez Domaines et approbations Active Directory.

  3. Effectuez un clic droit sur votre domaine et sélectionnez Propriétés.

  4. Dans l'onglet Approbation, sélectionnez l'approbation sortante pour le domaine Microsoft AD géré.

  5. Sélectionnez Propriétés.

  6. Dans l'onglet Général, sélectionnez Valider.

Résoudre les problèmes

Si vous rencontrez des problèmes lors de la création d'une approbation, vous pouvez essayer d'utiliser nos conseils de dépannage.

Étapes suivantes