Crea un trust con un dominio on-premise

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo articolo illustra come creare una relazione di trust tra domini on-premise e un dominio Microsoft AD gestito. Questa fiducia può essere unidirezionale o bidirezionale. Può anche coprire più foreste. Se hai già configurato un trust, scopri come gestire i trust.

Tipi di trust

Una relazione di trust può essere a senso unico o bidirezionale. Un trust unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. In questo argomento, il dominio on-premise è il lato attendibile o in entrata del trust unidirezionale e il dominio Microsoft AD gestito è il lato trusting o outbound della relazione. Un trust bidirezionale è un percorso di autenticazione bidirezionale creato tra due domini. Flusso di attendibilità e accesso in entrambe le direzioni.

Prima di iniziare

Prima di creare un trust, verifica che nel dominio on-premise sia in esecuzione una versione supportata di Windows.

Stabilire la connettività di rete

Innanzitutto, stabilisci la connettività di rete tra la tua rete on-premise e il VPC (Virtual Private Cloud) di Google Cloud, quindi verifica che le due reti possano comunicare. Scopri di più su come identificare e stabilire le connessioni VPN Cloud.

Apertura delle porte firewall

Successivamente, configura le porte in entrata/uscita in uscita sulla tua rete on-premise e sul VPC Google Cloud per consentire la connettività di trust di Active Directory.

Le seguenti tabelle elencano il numero minimo di porte necessarie per stabilire l'attendibilità. Potresti dover configurare più porte, a seconda dello scenario. Scopri di più sui requisiti della porta dei servizi Active Directory e del dominio Active Directory di Microsoft.

Apertura delle porte del firewall di rete on-premise

Apri le porte elencate nella tabella seguente sul firewall on-premise sul blocco IP CIDR utilizzato dalla rete VPC e dalla rete Microsoft AD gestita.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Modifica password Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 PMI

Apertura delle porte firewall di rete VPC

Apri le porte elencate nella tabella seguente sul firewall di rete VPC sul blocco IP CIDR utilizzato dalla rete on-premise.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS

Configurare gli inoltri condizionali DNS

Successivamente, configura gli strumenti di forwarding condizionale DNS. Queste impostazioni ti permettono di fornire suggerimenti per l'inoltro di richieste non risolvibili a diversi server DNS.

Verifica della presenza di criteri di forwarding in entrata

Prima di creare un criterio di forwarding in entrata Cloud DNS per il tuo VPC, controlla se ne esiste uno.

  1. Apri la pagina dei criteri del server Cloud DNS in Google Cloud Console.
    Apri la pagina di Cloud DNS

  2. Cerca un criterio nell'elenco in cui la colonna In entrata è impostata su On e la rete VPC utilizzata dal tuo dominio è elencata nel menu a discesa della colonna Utilizzato da.

Se trovi un criterio esistente valido, puoi passare direttamente alla sezione Ricevere indirizzi IP DNS.

Creazione di un criterio di forwarding in entrata

Per creare un criterio di forwarding in entrata, completa i passaggi seguenti.

  1. Apri la pagina dei criteri del server Cloud DNS in Google Cloud Console.
    Apri la pagina di Cloud DNS

  2. Seleziona Crea criterio.

  3. Inserisci un nome.

  4. Imposta Inoltro query in entrata su On.

  5. Seleziona la rete VPC per il tuo dominio dal menu Reti.

  6. Seleziona Crea.

Recupero indirizzi IP DNS

Successivamente, procurati gli indirizzi IP DNS del tuo dominio Microsoft AD gestito. Se hai appena creato un nuovo criterio Cloud DNS, gli indirizzi IP potrebbero non essere ancora visualizzati. In tal caso, attendi qualche minuto e riprova.

  1. Apri la pagina dei criteri del server Cloud DNS in Google Cloud Console.
    Apri la pagina di Cloud DNS

  2. Seleziona il criterio dall'elenco, quindi seleziona la scheda Utilizzato da.

  3. Prendi nota di tutti gli indirizzi IP che si applicano alla tua regione on-premise. Sono necessari questi indirizzi per stabilire l'attendibilità del dominio Microsoft AD gestito.

Assicurati che i blocchi CIDR contenenti questi indirizzi IP siano configurati nel tuo Firewall di rete on-premise.

Creazione dell'inoltro condizionale DNS

Per configurare gli server di forwarding condizionale DNS nel tuo dominio on-premise, utilizza gli indirizzi IP DNS del tuo dominio Microsoft AD gestito per completare i passaggi seguenti.

  1. Accedi a un controller di dominio on-premise con un account amministratore di dominio o aziendale per il dominio on-premise.

  2. Apri DNS Manager.

  3. Espandi il server DNS del dominio per cui vuoi configurare il trust.

  4. Fai clic con il pulsante destro del mouse su Inoltratore condizionale e seleziona Nuovo inoltro condizionale.

  5. In Dominio DNS, inserisci il nome di dominio completo del dominio Microsoft AD gestito (ad esempio ad.example.com).

  6. Nel campo Indirizzi IP dei server master, inserisci gli indirizzi IP del dominio Microsoft AD gestito che hai cercato in Ottenere indirizzi IP DNS.

  7. Se il campo FQDN del server mostra un errore, puoi ignorarlo.

  8. Seleziona Archivia questo forwarding condizionale in Active Directory, quindi seleziona Tutti i server DNS in questo dominio dal menu a discesa.

  9. Seleziona OK.

Verifica dell'inoltro condizionale DNS

Puoi verificare che l'inoltro sia configurato correttamente utilizzando nslookup o il cmdlet PowerShell di Resolve-DnsName. Esegui questo comando:

nslookup fqdn-for-managed-ad-domain

Se l'inoltro condizionale DNS è configurato correttamente, questo comando restituisce gli indirizzi IP dei controller di dominio.

Verifica del criterio di sicurezza locale per il tuo dominio on-premise

Per creare un trust è necessario che il criterio di sicurezza locale per il dominio on-premise consenta l'accesso anonimo ai canali denominati netlogon, samr e lsarpc. Per verificare che l'accesso anonimo sia attivato, procedi nel seguente modo:

  1. Accedi a un controller di dominio on-premise con un account amministratore di dominio o aziendale per il dominio on-premise.

  2. Apri la console dei criteri di sicurezza locale.

  3. Nella console, vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza > Accesso alla rete: pipeline con nome che sono accessibili in modo anonimo.

  4. Verifica che l'accesso anonimo a netlogon, samr e lsarpc sia attivato. Tieni presente che queste regole devono essere specificate su righe separate e non separate da virgole.

Configura il trust

Dopo aver configurato le reti, puoi creare un trust tra il tuo dominio on-premise e il dominio Microsoft AD gestito.

Configurazione del dominio on-premise

Per stabilire la trust nel dominio on-premise, completa i seguenti passaggi.

  1. Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o aziendale.

  2. Apri Domini e trust Active Directory.

  3. Fai clic con il tasto destro del mouse sul dominio e seleziona Proprietà.

  4. Nella scheda Attendibile, seleziona Nuovo trust.

  5. Seleziona Avanti nella nuova procedura guidata per l'attendibilità.

  6. Inserisci il nome di dominio completo del dominio Microsoft AD gestito come Nome attendibilità.

  7. Per Tipo di attendibilità, seleziona A Foresta attendibile.

  8. Imposta la Direzione di attendibilità.

    • Per creare un trust unidirezionale, seleziona In arrivo unidirezionale.
    • Per creare un trust bidirezionale, seleziona Doppio senso.

  9. Per Lati di attendibilità, seleziona Solo questo dominio.

  10. In Livello di autenticazione trust in uscita, seleziona Autenticazione a livello di foresta.

  11. Inserisci la password attendibile (Nota: è necessaria questa password per configurare il trust sul dominio Microsoft AD gestito).

  12. Conferma le impostazioni di attendibilità, quindi seleziona Avanti.

  13. Viene visualizzata la finestra Creazione di trust completata.

  14. Seleziona No, non confermare il trust in uscita, quindi seleziona Avanti.

  15. Seleziona No, non confermare l'attendibilità in entrata, quindi seleziona Avanti.

  16. Nella finestra di dialogo Completamento della nuova procedura guidata di attendibilità, seleziona Fine.

  17. Aggiorna il routing del suffisso di nome per il trust.

Configurazione del dominio Microsoft AD gestito

Per stabilire la trust nel dominio Managed Microsoft AD, segui questi passaggi.

Console

  1. Apri la pagina Managed Microsoft AD in Google Cloud Console.
    Apri la pagina Microsoft Active Directory gestita

  2. Seleziona il dominio per il quale creare un trust, quindi seleziona Crea trust.

  3. Imposta Tipo di attendibilità su Foresta.

  4. In Nome di dominio di destinazione, inserisci il nome di dominio completo del dominio on-premise.

  5. Imposta la direzione di attendibilità.

    • Per creare un trust unidirezionale, seleziona In uscita.
    • Per creare un trust bidirezionale, seleziona Bidirezionale.

  6. Inserisci la password di trust che hai creato durante la configurazione del trust nel dominio on-premise.

  7. In IP del server di forwarding condizionale DNS, inserisci gli indirizzi IP DNS on-premise che hai ottenuto durante la configurazione.

  8. Seleziona Crea relazione di trust.

  9. Tornerai alla pagina del dominio. La nuova attendibilità dovrebbe apparire come Creazione in corso. Attendi che lo stato diventi Connesso. Il completamento della configurazione può richiedere fino a 10 minuti.

gcloud

Per creare un trust unidirezionale, esegui il seguente comando dell'interfaccia a riga di comando gcloud:

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=OUTBOUND

Per creare un trust bidirezionale, esegui il seguente comando dell'interfaccia a riga di comando gcloud:

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=BIDIRECTIONAL

Scopri di più sul comando create.

Convalida bidirezionale dell'attendibilità

Dopo aver configurato il dominio Microsoft AD gestito per un trust bidirezionale, devi convalidare il trust in uscita dal dominio on-premise. Se stai creando un trust unidirezionale, puoi saltare questo passaggio.

Per verificare l'attendibilità in uscita, completa i seguenti passaggi.

  1. Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o aziendale.

  2. Apri Domini e trust Active Directory.

  3. Fai clic con il pulsante destro del mouse sul tuo dominio e seleziona Proprietà.

  4. Nella scheda Attendibile, seleziona il trust in uscita per il dominio Microsoft AD gestito.

  5. Seleziona Proprietà.

  6. Nella scheda General (Generale), seleziona Validate (Convalida).

Risolvere i problemi

Se riscontri problemi durante il tentativo di creare un trust, puoi provare i nostri suggerimenti per la risoluzione dei problemi.

Passaggi successivi