Créer une approbation avec un domaine sur site

Cet article explique comment créer une relation d'approbation entre des domaines sur site et un domaine Microsoft AD géré. Cette approbation peut être unidirectionnelle ou bidirectionnelle. Elle peut également couvrir plusieurs forêts. Si vous avez déjà configuré une approbation, découvrez comment gérer les approbations.

Types d'approbation

Une relation d'approbation peut être unidirectionnelle ou bidirectionnelle. Une approbation unidirectionnelle est un chemin d'authentification à sens unique créé entre deux domaines. Dans cette page, le domaine sur site est le côté approuvé ou entrant et le domaine Microsoft AD géré est le côté approbateur ou sortant de la relation. Une approbation bidirectionnelle est un chemin d'authentification à deux sens créé entre deux domaines. Le flux d'approbation et l'accès s'effectuent dans les deux sens.

Avant de commencer

Avant d'essayer de créer une approbation, vérifiez que le domaine sur site exécute une version compatible de Windows.

Établir la connectivité réseau

Pour commencer, établissez la connectivité réseau entre votre réseau sur site et votre cloud privé virtuel (VPC) Google Cloud, puis vérifiez que les deux réseaux peuvent communiquer. Découvrez comment identifier et établir des connexions Cloud VPN.

Ouvrir les ports de pare-feu

Ensuite, configurez les ports d'entrée/sortie sur votre réseau sur site et votre VPC Google Cloud afin de permettre la connectivité d'approbation Active Directory.

Les tableaux suivants répertorient l'ensemble minimal de ports requis pour établir l'approbation. Suivant votre scénario, vous devrez peut-être configurer davantage de ports. En savoir plus sur les exigences d'Active Directory et des services de domaine Active Directory concernant les ports fixées par Microsoft.

Ouvrir les ports sur le pare-feu du réseau sur site

Sur votre pare-feu local, ouvrez les ports répertoriés dans le tableau ci-dessous vers le bloc CIDR d'adresses IP utilisé par votre réseau VPC et le réseau Microsoft AD géré.

Protocole Port Fonctionnalité
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Changement de mot de passe Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Ouvrir les ports sur le pare-feu du réseau VPC

Sur le pare-feu de votre réseau VPC, ouvrez les ports répertoriés dans le tableau ci-dessous vers le bloc CIDR d'adresses IP utilisé par votre réseau sur site.

Protocole Port Fonctionnalité
TCP, UDP 53 DNS

Configurer des redirecteurs conditionnels du DNS

Ensuite, configurez les redirecteurs conditionnels du DNS. Ces paramètres vous permettent de fournir des indications pour le transfert de requêtes non résolubles vers des serveurs DNS différents.

Vérifier une règle de transfert entrant

Avant de créer une règle Cloud DNS de transfert entrant pour votre VPC, vérifiez s'il en existe déjà une.

  1. Ouvrez la page des règles de serveur Cloud DNS dans Cloud Console.
    Ouvrir la page Cloud DNS

  2. Recherchez dans la liste une règle pour laquelle la colonne Entrée est définie sur Activé, et le réseau VPC utilisé par votre domaine est répertorié dans la liste déroulante sous la colonne Utilisé par.

Si vous trouvez une règle existante valide, vous pouvez passer à la section Obtenir les adresses IP des DNS.

Créer une règle de transfert entrant

Pour créer une règle de transfert entrant, procédez comme suit.

  1. Ouvrez la page des règles de serveur Cloud DNS dans Cloud Console.
    Ouvrir la page Cloud DNS

  2. Cliquez sur Créer une règle.

  3. Saisissez un nom.

  4. Définissez Transfert de requêtes entrantes sur Activé.

  5. Dans le menu Réseaux, sélectionnez le réseau VPC pour votre domaine

  6. Sélectionnez Créer.

Obtenir les adresses IP des DNS

Ensuite, obtenez les adresses IP des DNS de votre domaine Microsoft AD géré. Si vous venez de créer une nouvelle règle Cloud DNS, il est possible que les adresses IP ne soient pas encore visibles. Si cela se produit, attendez quelques minutes, puis réessayez.

  1. Ouvrez la page des règles de serveur Cloud DNS dans Cloud Console.
    Ouvrir la page Cloud DNS

  2. Sélectionnez votre règle dans la liste, puis accédez à l'onglet Utilisé par.

  3. Prenez note de toutes les adresses IP qui s'appliquent à votre région locale. Vous aurez besoin de ces adresses pour établir l'approbation sur le domaine Microsoft AD géré.

Assurez-vous que les blocs CIDR contenant ces adresses IP sont configurés dans le pare-feu de votre réseau sur site.

Créer le redirecteur conditionnel du DNS

Pour configurer les redirecteurs conditionnels du DNS sur votre domaine sur site, utilisez les adresses IP des DNS de votre domaine Microsoft AD géré afin de réaliser les étapes suivantes.

  1. Connectez-vous à un contrôleur de domaine sur site avec un compte administrateur de domaine ou d'entreprise pour le domaine sur site.

  2. Ouvrez le gestionnaire DNS.

  3. Développez le serveur DNS correspondant au domaine pour lequel vous souhaitez configurer l'approbation.

  4. Effectuez un clic droit sur Redirecteurs conditionnels et sélectionnez Nouveau redirecteur conditionnel.

  5. Pour le Domaine DNS, saisissez le nom de domaine complet du domaine Microsoft AD géré (par exemple, ad.example.com).

  6. Dans le champ Adresses IP des serveurs maîtres, saisissez les adresses IP de votre domaine Microsoft AD géré, récupérées à la section Obtenir les adresses IP des DNS.

  7. Si le champ Nom de domaine complet du serveur affiche une erreur, vous pouvez l'ignorer.

  8. Sélectionnez Stocker ce redirecteur conditionnel dans Active Directory puis, dans le menu déroulant, sélectionnez Tous les serveurs DNS de ce domaine.

  9. Sélectionnez OK.

Vérifier le redirecteur conditionnel du DNS

Vous pouvez vérifier que le redirecteur est correctement configuré à l'aide de nslookup ou du cmdlet PowerShell Resolve-DnsName. Exécutez la commande suivante :

nslookup fqdn-for-managed-ad-domain

Si le redirecteur conditionnel du DNS est correctement configuré, cette commande renvoie les adresses IP des contrôleurs de domaine.

Vérifier la stratégie de sécurité locale pour votre domaine sur site

La création d'une approbation nécessite que la stratégie de sécurité locale de votre domaine sur site autorise l'accès anonyme aux canaux nommés netlogon, samr et lsarpc. Pour vérifier que l'accès anonyme est activé, procédez comme suit :

  1. Connectez-vous à un contrôleur de domaine sur site avec un compte administrateur de domaine ou d'entreprise pour le domaine sur site.

  2. Ouvrez la console de stratégie de sécurité locale.

  3. Dans la console, accédez à Paramètres de sécurité > Stratégies locales > Options de sécurité > Accès réseau : canaux nommés accessibles de manière anonyme.

  4. Vérifiez que l'accès anonyme à netlogon, samr et lsarpc est activé. Notez que ces valeurs doivent être spécifiées sur des lignes distinctes et non séparées par une virgule.

Configurer l'approbation

Après avoir configuré vos réseaux, vous pouvez créer une approbation entre votre domaine sur site et votre domaine Microsoft AD géré.

Configurer le domaine sur site

Pour établir l'approbation au niveau du domaine sur site, procédez comme suit.

  1. Connectez-vous à un contrôleur de domaine sur site à l'aide d'un compte administrateur de domaine ou d'entreprise.

  2. Ouvrez Domaines et approbations Active Directory.

  3. Effectuez un clic droit sur le domaine et sélectionnez Propriétés.

  4. Dans l'onglet Approbation, sélectionnez Nouvelle approbation.

  5. Sélectionnez Suivant dans l'assistant de nouvelle approbation.

  6. Saisissez le nom de domaine complet du domaine Microsoft AD géré en tant que nom de confiance.

  7. Comme Type d'approbation, sélectionnez Approbation de forêt.

  8. Définissez le Sens d'approbation.

    • Pour créer une approbation unidirectionnelle, sélectionnez One-way incoming (Approbation unidirectionnelle entrante).
    • Pour créer une relation de bidirectionnelle, sélectionnez Double sens.
  9. Pour Sens d'approbation, sélectionnez Ce domaine uniquement.

  10. Pour Niveau d'authentification d'approbations sortantes, sélectionnez Authentification pour toutes les ressources de la forêt.

  11. Saisissez le mot de passe d'approbation (Remarque : vous avez besoin de ce mot de passe pour configurer l'approbation sur le domaine Microsoft AD géré).

  12. Confirmez les paramètres de l'approbation, puis sélectionnez Suivant.

  13. La fenêtre Fin de la création des approbations s'affiche.

  14. Choisissez Non, ne pas confirmer l'approbation sortante, puis sélectionnez Suivant.

  15. Choisissez Non, ne pas confirmer l'approbation entrante, puis sélectionnez Suivant.

  16. Dans la boîte de dialogue Terminer la création de l'approbation de l'assistant, sélectionnez Terminer.

  17. Actualisez le routage des suffixes de nom pour l'approbation.

Configurer le domaine Microsoft AD géré

Pour établir l'approbation sur le domaine Microsoft AD géré, procédez comme suit.

Console

  1. Ouvrez la page Service Microsoft AD géré dans Cloud Console.
    Ouvrez la page Service Microsoft AD géré

  2. Sélectionnez le domaine pour lequel vous souhaitez créer une approbation, puis cliquez sur Créer une approbation.

  3. Définissez le Type d'approbation sur Forêt.

  4. Comme nom de domaine cible, saisissez le nom de domaine complet du domaine sur site.

  5. Définissez la Direction de la relation d'approbation.

    • Pour créer une approbation unidirectionnelle, sélectionnez Sortante.
    • Pour créer une approbation unidirectionnelle, sélectionnez Bidirectionnelle.
  6. Saisissez le mot de passe d'approbation que vous avez créé lors de la configuration de l'approbation sur le domaine sur site.

  7. Pour les Adresses IP du redirecteur conditionnel du DNS, saisissez les adresses IP de vos serveurs DNS sur site, que vous avez obtenues lors de la configuration.

  8. Sélectionnez Créer une relation d'approbation.

  9. Vous êtes redirigé vers la page du domaine. Votre nouvelle approbation doit apparaître comme Création en cours. Attendez que l'état passe à Connecté. La configuration peut prendre jusqu'à 10 minutes.

gcloud

Pour créer une approbation unidirectionnelle, exécutez la commande suivante de l'outil gcloud :

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=OUTBOUND

Pour créer une approbation bidirectionnelle, exécutez la commande suivante de l'outil gcloud :

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=BIDIRECTIONAL

En savoir plus sur la commande create.

Valider une approbation bidirectionnelle

Après avoir configuré le domaine Microsoft AD géré pour une approbation bidirectionnelle, vous devez valider l'approbation sortante à partir d'un domaine sur site. Si vous créez une approbation unidirectionnelle, vous pouvez ignorer cette étape.

Pour valider l'approbation sortante, procédez comme suit :

  1. Connectez-vous à un contrôleur de domaine sur site à l'aide d'un compte administrateur de domaine ou d'entreprise.

  2. Ouvrez Domaines et approbations Active Directory.

  3. Effectuez un clic droit sur votre domaine et sélectionnez Propriétés.

  4. Dans l'onglet Approbation, sélectionnez l'approbation sortante pour le domaine Microsoft AD géré.

  5. Sélectionnez Propriétés.

  6. Dans l'onglet Général, sélectionnez Valider.

Dépannage

Si vous rencontrez des problèmes lors de la création d'une approbation, vous pouvez essayer d'utiliser nos conseils de dépannage.

Étape suivante