Creare una relazione di trust con un dominio on-premise

Questa pagina mostra come creare una relazione di attendibilità tra i domini on-premise e un dominio Managed Service for Microsoft Active Directory. Questa relazione di trust può essere unidirezionale o bidirezionale. Può anche estendersi a più foreste. Se hai già configurato un'azienda fiduciaria, scopri come gestirli.

AD Microsoft gestito supporta il tipo di relazione di attendibilità della foresta e non supporta i tipi di relazione di attendibilità esterna, di realm e di scorciatoia.

Tipi di trust

Una relazione di trust può essere unidirezionale o bidirezionale. Una relazione di attendibilità unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. In questo argomento, il dominio on-premise è il lato attendibile o in entrata della relazione di attendibilità unidirezionale e il dominio Microsoft AD gestito è il lato attendibile o in uscita della relazione. Una relazione di trust bidirezionale è un percorso di autenticazione bidirezionale creato tra due domini. La fiducia e l'accesso fluiscono in entrambe le direzioni.

Prima di iniziare

Prima di creare un'azienda consociata, completa i seguenti passaggi:

  1. Verifica che nel dominio on-premise sia in esecuzione una versione supportata di Windows.

  2. Raccogli gli indirizzi IP dei server DNS che si applicano al tuo dominio on-premise.

Stabilire la connettività di rete

Stabilisci la connettività di rete tra la tua rete on-premise e la tua rete VPC (Virtual Private Cloud) di Google Cloud, quindi verifica che le due reti possano comunicare. Per ulteriori informazioni sull'identificazione e sull'impostazione delle connessioni Cloud VPN, consulta la panoramica di Cloud VPN.

Aprire le porte del firewall

Configura le porte di ingresso/uscita sulla rete on-premise e sulla VPC Google Cloud per consentire la connettività della attendibilità Active Directory.

Le tabelle seguenti elencano l'insieme minimo di porte necessarie per stabilire la fiducia. Potresti dover configurare altre porte, a seconda dello scenario. Per maggiori informazioni, consulta i Requisiti delle porte di Active Directory e Active Directory Domain Services di Microsoft.

Apri le porte del firewall di rete on-premise

Apri le porte elencate nella tabella seguente sul firewall on-premise per il blocco IP CIDR utilizzato dalla rete VPC e dalla rete Microsoft Active Directory gestita.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Modifica della password Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 PMI

Apri le porte del firewall della rete VPC

Apri le porte elencate nella tabella seguente nel firewall della rete VPC al blocco IP CIDR utilizzato dalla rete on-premise.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS

Configura i server di forwarding condizionale DNS

Dopo aver aperto le porte del firewall, configura i reindirizzamenti condizionali DNS. Queste impostazioni ti consentono di fornire suggerimenti per l'inoltro delle richieste non risolvibili a diversi server DNS.

Controlla se è presente un criterio di inoltro in entrata

Prima di creare un criterio di inoltro in entrata Cloud DNS per la tua VPC, controlla se ne esiste uno.

  1. Apri la pagina dei criteri dei server Cloud DNS nella console Google Cloud.
    Apri la pagina Cloud DNS

  2. Cerca un criterio nell'elenco in cui la colonna In entrata sia impostata su On e la rete VPC utilizzata dal tuo dominio sia elencata nel menu a discesa sotto la colonna Utilizzato da.

Se trovi un criterio esistente valido, puoi andare a Ottenere gli indirizzi IP DNS.

Crea un criterio di inoltro in entrata

Per creare un criterio di inoltro in entrata:

  1. Apri la pagina dei criteri dei server Cloud DNS nella console Google Cloud.
    Apri la pagina Cloud DNS

  2. Seleziona Crea criterio.

  3. Inserisci un nome.

  4. Imposta Forwarding query in entrata su On.

  5. Seleziona la rete VPC per il tuo dominio dal menu Reti.

  6. Seleziona Crea.

Ottenere gli indirizzi IP DNS

Dopo aver creato un criterio di inoltro in entrata, ottieni gli indirizzi IP DNS per il tuo dominio Microsoft AD gestito. Se hai appena creato un nuovo criterio Cloud DNS, gli indirizzi IP potrebbero non essere ancora visualizzati. In questo caso, attendi qualche minuto e riprova.

  1. Apri la pagina dei criteri dei server Cloud DNS nella console Google Cloud.
    Apri la pagina Cloud DNS

  2. Seleziona il criterio dall'elenco, quindi la scheda In uso da.

  3. Prendi nota di eventuali indirizzi IP DNS del dominio AD di Microsoft gestito che devi configurare nel tuo dominio on-premise. Questi indirizzi sono necessari per stabilire il trust con il dominio Microsoft AD gestito.

Assicurati che i blocchi CIDR contenenti questi indirizzi IP siano configurati nel firewall di rete on-premise.

Crea un forwarder condizionale DNS

Per configurare i reindirizzamenti DNS condizionali nel tuo dominio on-premise, utilizza gli indirizzi IP DNS per il tuo dominio Microsoft AD gestito per completare i passaggi che seguono.

  1. Accedi a un controller di dominio on-premise con un account amministrativo di Domain o Enterprise per il dominio on-premise.

  2. Apri DNS Manager.

  3. Espandi il server DNS del dominio per cui vuoi configurare il trust.

  4. Fai clic con il tasto destro del mouse su Inoltro condizionale e seleziona Nuovo inoltro condizionale.

  5. In Dominio DNS, inserisci il FQDN del dominio Microsoft AD gestito (ad esempio ad.example.com).

  6. Nel campo Indirizzi IP dei server master, inserisci gli indirizzi IP DNS del tuo dominio Microsoft AD gestito che hai annotato in precedenza nel passaggio Ottieni gli indirizzi IP DNS.

  7. Se il campo FQDN del server mostra un errore, puoi ignorarlo.

  8. Seleziona Memorizza questo reindirizzamento condizionale in Active Directory, quindi seleziona Tutti i server DNS in questo dominio dal menu a discesa.

  9. Seleziona OK.

Verifica il forwarder condizionale DNS

Puoi verificare che il forwarder sia configurato correttamente utilizzando nslookup o il cmdlet PowerShell Resolve-DnsName. Esegui questo comando:

nslookup FQDN

Sostituisci FQDN con il nome di dominio completo del tuo dominio Microsoft AD gestito.

Se il forwarder condizionale DNS è configurato correttamente, questo comando restituisce gli indirizzi IP dei controller di dominio.

Verifica il criterio di sicurezza locale per il tuo dominio on-premise

La creazione di una relazione di attendibilità richiede che il criterio di sicurezza locale per il tuo dominio on-premise consenta l'accesso anonimo alle canalizzazioni denominate netlogon, samr e lsarpc. Per verificare che l'accesso anonimo sia abilitato:

  1. Accedi a un controller di dominio on-premise con un account amministrativo di Domain o Enterprise per il dominio on-premise.

  2. Apri la console Criteri di sicurezza locali.

  3. Nella console, vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza > Accesso alla rete: pipe nominate a cui si può accedere anonimamente.

  4. Verifica che l'accesso anonimo a netlogon, samr e lsarpc sia abilitato. Tieni presente che devono essere specificati su righe separate e non separati da virgole.

Configurare la fiducia

Dopo aver configurato le reti, puoi creare una relazione di attendibilità tra il tuo dominio on-premise e il tuo dominio Microsoft AD gestito.

Configura il dominio on-premise

Per stabilire la fiducia nel dominio on-premise, completa i seguenti passaggi:

  1. Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o Enterprise.

  2. Apri Domini e attendibilità di Active Directory.

  3. Fai clic con il tasto destro del mouse sul dominio e seleziona Proprietà.

  4. Nella scheda Attendibilità, seleziona Nuova attendibilità.

  5. Seleziona Avanti nella procedura guidata Nuovo trust.

  6. Inserisci il FQDN del dominio Microsoft Active Directory gestito come Nome attendibilità.

  7. In Tipo di attendibilità, seleziona Relazione di attendibilità del forest.

  8. Imposta la direzione di attendibilità.

    • Per creare una relazione di trust unidirezionale, seleziona In entrata unidirezionale.
    • Per creare una relazione di attendibilità bidirezionale, seleziona Bidirezionale.

  9. In Lati attendibili, seleziona Solo questo dominio.

  10. Per Livello di autenticazione della attendibilità in uscita, seleziona Autenticazione per l'intero forest.

  11. Inserisci la password attendibile.

    Questa password è necessaria per configurare il trust sul dominio Microsoft AD gestito.

  12. Conferma le impostazioni di attendibilità e seleziona Avanti.

  13. Viene visualizzata la finestra Creazione della relazione di attendibilità completata.

  14. Seleziona No, non confermare la relazione di attendibilità in uscita e poi Avanti.

  15. Seleziona No, non confermare la fiducia in entrata e poi Avanti.

  16. Nella finestra di dialogo Completamento della procedura guidata per la creazione di un nuovo criterio di attendibilità, seleziona Fine.

  17. Aggiorna il routing del suffisso del nome per la relazione di attendibilità.

Configura il dominio Microsoft AD gestito

Per stabilire la relazione di attendibilità nel dominio Microsoft AD gestito, completa i seguenti passaggi:

Console

  1. Apri la pagina AD Microsoft gestito nella console Google Cloud.
    Apri la pagina Microsoft Active Directory gestito

  2. Seleziona il dominio per cui creare una relazione di attendibilità, quindi seleziona Crea relazione di attendibilità.

  3. Imposta Tipo di trust su Foresta.

  4. In Nome di dominio di destinazione, inserisci il FQDN del dominio on-premise.

  5. Imposta la direzione di attendibilità.

    • Per creare una relazione di trust unidirezionale, seleziona In uscita.
    • Per creare una relazione di attendibilità bidirezionale, seleziona Bidirezionale.

  6. Inserisci la password di attendibilità che hai creato durante la configurazione della attendibilità sul dominio on-premise.

  7. In IP del server di forwarding condizionale DNS, inserisci gli indirizzi IP DNS on-premise che hai raccolto in precedenza.

  8. Seleziona Crea relazione di trust.

  9. Tornerai alla pagina del dominio. La nuova azienda dovrebbe essere visualizzata come In fase di creazione. Attendi che lo stato diventi Connesso. Il completamento della configurazione può richiedere fino a 10 minuti.

gcloud

Per creare una relazione di attendibilità unidirezionale, esegui il seguente comando gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Sostituisci quanto segue:

  • DOMAIN: il FQDN del dominio Microsoft AD gestito.
  • TARGET_DNS_IP_ADDRESSES: gli indirizzi IP DNS on-premise che hai raccolto in precedenza.
  • TARGET_DOMAIN_NAME: il FQDN del dominio on-premise.

Per creare una relazione di attendibilità bidirezionale, esegui il seguente comando gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Per ulteriori informazioni, consulta il comando create.

Convalida la fiducia bidirezionale

Dopo aver configurato il dominio Microsoft AD gestito per un rapporto di attendibilità bidirezionale, devi convalidare il trust in uscita dal dominio on-premise. Se stai creando una relazione di trust unidirezionale, puoi saltare questo passaggio.

Per verificare la attendibilità in uscita, completa i seguenti passaggi:

  1. Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o Enterprise.

  2. Apri Domini e attendibilità di Active Directory.

  3. Fai clic con il tasto destro del mouse sul dominio e seleziona Proprietà.

  4. Nella scheda Trust (Attendibilità), seleziona la relazione di attendibilità in uscita per il dominio Microsoft AD gestito.

  5. Seleziona Proprietà.

  6. Nella scheda Generale, seleziona Convalida.

Risoluzione dei problemi

Se riscontri problemi durante il tentativo di creare una relazione di attendibilità, puoi provare i nostri suggerimenti per la risoluzione dei problemi.

Passaggi successivi