Cette page explique comment créer une relation d'approbation entre des domaines sur site et un domaine Managed Service for Microsoft Active Directory. Cette approbation peut être unidirectionnelle ou bidirectionnelle. Elle peut également couvrir plusieurs forêts. Si vous avez déjà configuré une approbation, découvrez comment gérer les approbations.
Microsoft AD géré est compatible avec le type d'approbation de forêt, mais pas avec les types d'approbation externe, de domaine et de raccourci.
Types d'approbation
Une relation d'approbation peut être unidirectionnelle ou bidirectionnelle. Une approbation unidirectionnelle est un chemin d'authentification à sens unique créé entre deux domaines. Dans cette page, le domaine sur site est le côté approuvé ou entrant et le domaine Microsoft AD géré est le côté approbateur ou sortant de la relation. Une approbation bidirectionnelle est un chemin d'authentification à deux sens créé entre deux domaines. Le flux d'approbation et l'accès s'effectuent dans les deux sens.
Avant de commencer
Avant de créer une approbation, procédez comme suit:
Vérifiez que le domaine sur site exécute une version compatible de Windows.
Rassemblez les adresses IP des serveurs DNS qui s'appliquent à votre domaine sur site.
Établir la connectivité réseau
Établissez la connectivité réseau entre votre réseau sur site et votre cloud privé virtuel (VPC) Google Cloud, puis vérifiez que les deux réseaux peuvent communiquer. Pour en savoir plus sur l'identification et l'établissement de connexions Cloud VPN, consultez la présentation de Cloud VPN.
Ouvrir les ports de pare-feu
Configurez les ports d'entrée/sortie sur votre réseau sur site et votre VPC Google Cloud afin de permettre la connectivité d'approbation Active Directory.
Les tableaux suivants répertorient l'ensemble minimal de ports requis pour établir l'approbation. Suivant votre scénario, vous devrez peut-être configurer davantage de ports. Pour en savoir plus, consultez les exigences d'Active Directory et des services de domaine Active Directory concernant les ports fixées par Microsoft.
Ouvrir les ports sur le pare-feu du réseau sur site
Sur votre pare-feu local, ouvrez les ports répertoriés dans le tableau ci-dessous vers le bloc CIDR d'adresses IP utilisé par votre réseau VPC et le réseau Microsoft AD géré.
Protocole | Port | Fonctionnalité |
---|---|---|
TCP, UDP | 53 | DNS |
TCP, UDP | 88 | Kerberos |
TCP, UDP | 464 | Changement de mot de passe Kerberos |
TCP | 135 | RPC |
TCP | 49152-65535 | RPC |
TCP, UDP | 389 | LDAP |
TCP, UDP | 445 | PME |
Ouvrir les ports de pare-feu du réseau VPC
Sur le pare-feu de votre réseau VPC, ouvrez les ports répertoriés dans le tableau ci-dessous vers le bloc CIDR d'adresses IP utilisé par votre réseau sur site.
Protocole | Port | Fonctionnalité |
---|---|---|
TCP, UDP | 53 | DNS |
Configurer des redirecteurs conditionnels du DNS
Après avoir ouvert les ports du pare-feu, configurez les redirecteurs conditionnels du DNS. Ces paramètres vous permettent de fournir des indications pour le transfert de requêtes non résolubles vers des serveurs DNS différents.
Vérifier une règle de transfert entrant
Avant de créer une règle Cloud DNS de transfert entrant pour votre VPC, vérifiez s'il en existe déjà une.
Ouvrez la page des règles de serveur Cloud DNS dans la console Google Cloud.
Ouvrir la page Cloud DNSRecherchez dans la liste une règle pour laquelle la colonne Entrée est définie sur Activé, et le réseau VPC utilisé par votre domaine est répertorié dans la liste déroulante sous la colonne Utilisé par.
Si vous trouvez une règle existante valide, vous pouvez passer à la section Obtenir les adresses IP des DNS.
Créer une règle de transfert entrant
Pour créer une règle de transfert entrant, procédez comme suit:
Ouvrez la page des règles de serveur Cloud DNS dans la console Google Cloud.
Ouvrir la page Cloud DNSCliquez sur Créer une règle.
Saisissez un nom.
Définissez Transfert de requêtes entrantes sur Activé.
Dans le menu Réseaux, sélectionnez le réseau VPC pour votre domaine
Sélectionnez Créer.
Obtenir les adresses IP des DNS
Après avoir créé une règle de transfert entrant, obtenez les adresses IP des DNS de votre domaine Microsoft AD géré. Si vous venez de créer une règle Cloud DNS, il est possible que les adresses IP ne soient pas encore visibles. Si cela se produit, attendez quelques minutes, puis réessayez.
Ouvrez la page des règles de serveur Cloud DNS dans la console Google Cloud.
Ouvrir la page Cloud DNSSélectionnez votre règle dans la liste, puis accédez à l'onglet Utilisé par.
Notez toutes les adresses IP DNS du domaine Microsoft AD géré que vous devez configurer dans votre domaine sur site. Vous aurez besoin de ces adresses pour établir l'approbation avec le domaine Microsoft AD géré.
Assurez-vous que les blocs CIDR contenant ces adresses IP sont configurés dans le pare-feu de votre réseau sur site.
Créer un redirecteur conditionnel du DNS
Pour configurer les redirecteurs conditionnels du DNS sur votre domaine sur site, utilisez les adresses IP des DNS de votre domaine Microsoft AD géré afin de réaliser les étapes suivantes.
Connectez-vous à un contrôleur de domaine sur site avec un compte administrateur de domaine ou d'entreprise pour le domaine sur site.
Ouvrez le gestionnaire DNS.
Développez le serveur DNS correspondant au domaine pour lequel vous souhaitez configurer l'approbation.
Effectuez un clic droit sur Redirecteurs conditionnels et sélectionnez Nouveau redirecteur conditionnel.
Pour le Domaine DNS, saisissez le nom de domaine complet du domaine Microsoft AD géré (par exemple,
ad.example.com
).Dans le champ Adresses IP des serveurs maîtres, saisissez les adresses IP des DNS de votre domaine Microsoft AD géré que vous avez notées précédemment à l'étape Obtenir les adresses IP des DNS.
Si le champ Nom de domaine complet du serveur affiche une erreur, vous pouvez l'ignorer.
Sélectionnez Stocker ce redirecteur conditionnel dans Active Directory puis, dans le menu déroulant, sélectionnez Tous les serveurs DNS de ce domaine.
Sélectionnez OK.
Vérifier le redirecteur conditionnel du DNS
Vous pouvez vérifier que le redirecteur est correctement configuré à l'aide de nslookup
ou du cmdlet PowerShell Resolve-DnsName
. Exécutez la commande suivante :
nslookup FQDN
Remplacez FQDN
par le nom de domaine complet de votre domaine Microsoft AD géré.
Si le redirecteur conditionnel du DNS est correctement configuré, cette commande renvoie les adresses IP des contrôleurs de domaine.
Vérifier la stratégie de sécurité locale pour votre domaine sur site
La création d'une approbation nécessite que la stratégie de sécurité locale de votre domaine sur site autorise l'accès anonyme aux canaux nommés netlogon
, samr
et lsarpc
. Pour vérifier que l'accès anonyme est activé, procédez comme suit :
Connectez-vous à un contrôleur de domaine sur site avec un compte administrateur de domaine ou d'entreprise pour le domaine sur site.
Ouvrez la console de stratégie de sécurité locale.
Dans la console, accédez à Paramètres de sécurité > Stratégies locales > Options de sécurité > Accès réseau : canaux nommés accessibles de manière anonyme.
Vérifiez que l'accès anonyme à
netlogon
,samr
etlsarpc
est activé. Notez que ceux-ci doivent être spécifiés sur des lignes distinctes et non en les séparant par des virgules.
Configurer l'approbation
Après avoir configuré vos réseaux, vous pouvez créer une approbation entre votre domaine sur site et votre domaine Microsoft AD géré.
Configurer le domaine sur site
Pour établir l'approbation au niveau du domaine sur site, procédez comme suit:
Connectez-vous à un contrôleur de domaine sur site à l'aide d'un compte administrateur de domaine ou d'entreprise.
Ouvrez Domaines et approbations Active Directory.
Effectuez un clic droit sur le domaine et sélectionnez Propriétés.
Dans l'onglet Approbation, sélectionnez Nouvelle approbation.
Sélectionnez Suivant dans l'assistant de nouvelle approbation.
Saisissez le nom de domaine complet du domaine Microsoft AD géré en tant que nom de confiance.
Comme Type d'approbation, sélectionnez Approbation de forêt.
Définissez le Sens d'approbation.
- Pour créer une approbation unidirectionnelle, sélectionnez One-way incoming (Approbation unidirectionnelle entrante).
- Pour créer une relation de bidirectionnelle, sélectionnez Double sens.
Pour Sens d'approbation, sélectionnez Ce domaine uniquement.
Pour Niveau d'authentification d'approbations sortantes, sélectionnez Authentification pour toutes les ressources de la forêt.
Saisissez le mot de passe de confiance.
Vous avez besoin de ce mot de passe pour configurer l'approbation sur le domaine Microsoft AD géré.
Confirmez les paramètres de l'approbation, puis sélectionnez Suivant.
La fenêtre Fin de la création des approbations s'affiche.
Choisissez Non, ne pas confirmer l'approbation sortante, puis sélectionnez Suivant.
Choisissez Non, ne pas confirmer l'approbation entrante, puis sélectionnez Suivant.
Dans la boîte de dialogue Terminer la création de l'approbation de l'assistant, sélectionnez Terminer.
Actualisez le routage des suffixes de nom pour l'approbation.
Configurer le domaine Microsoft AD géré
Pour établir l'approbation sur le domaine Microsoft AD géré, procédez comme suit:
Console
Ouvrez la page Service Microsoft AD géré dans la console Google Cloud.
Ouvrez la page Service Microsoft AD géréSélectionnez le domaine pour lequel vous souhaitez créer une approbation, puis cliquez sur
Créer une approbation.Définissez le Type d'approbation sur Forêt.
Comme nom de domaine cible, saisissez le nom de domaine complet du domaine sur site.
Définissez la Direction de la relation d'approbation.
- Pour créer une approbation unidirectionnelle, sélectionnez Sortante.
- Pour créer une approbation unidirectionnelle, sélectionnez Bidirectionnelle.
Saisissez le mot de passe d'approbation que vous avez créé lors de la configuration de l'approbation sur le domaine sur site.
Pour les Adresses IP du redirecteur conditionnel du DNS, saisissez les adresses IP de vos serveurs DNS sur site, que vous avez collectées précédemment.
Sélectionnez Créer une relation d'approbation.
Vous êtes redirigé vers la page du domaine. Votre nouvelle approbation doit apparaître comme Création en cours. Attendez que l'état passe à Connecté. La configuration peut prendre jusqu'à 10 minutes.
gcloud
Pour créer une approbation unidirectionnelle, exécutez la commande gcloud CLI suivante:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=OUTBOUND
Remplacez les éléments suivants :
DOMAIN
: nom de domaine complet du domaine Microsoft AD géré.TARGET_DNS_IP_ADDRESSES
: les adresses IP DNS sur site que vous avez recueillies précédemment.TARGET_DOMAIN_NAME
: nom de domaine complet du domaine sur site.
Pour créer une approbation bidirectionnelle, exécutez la commande gcloud CLI suivante:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=BIDIRECTIONAL
Pour en savoir plus, consultez la section Commande create
.
Valider une approbation bidirectionnelle
Après avoir configuré le domaine Microsoft AD géré pour une approbation bidirectionnelle, vous devez valider l'approbation sortante à partir d'un domaine sur site. Si vous créez une approbation unidirectionnelle, vous pouvez ignorer cette étape.
Pour valider l'approbation sortante, procédez comme suit:
Connectez-vous à un contrôleur de domaine sur site à l'aide d'un compte administrateur de domaine ou d'entreprise.
Ouvrez Domaines et approbations Active Directory.
Effectuez un clic droit sur votre domaine et sélectionnez Propriétés.
Dans l'onglet Approbation, sélectionnez l'approbation sortante pour le domaine Microsoft AD géré.
Sélectionnez Propriétés.
Dans l'onglet Général, sélectionnez Valider.
Résoudre les problèmes
Si vous rencontrez des problèmes lors de la création d'une approbation, vous pouvez essayer d'utiliser nos conseils de dépannage.
Étape suivante
- Découvrez comment gérer une approbation.
- Découvrez comment résoudre les problèmes d'accès à une approbation.