Crea un trust con un dominio on-premise

Questa pagina mostra come creare una relazione di attendibilità tra domini on-premise e un dominio Managed Service for Microsoft Active Directory. Questa fiducia può essere unidirezionale o bidirezionale. Può estendersi anche in diverse foreste. Se hai già impostato un trust, scopri come gestire i trust.

Microsoft AD gestito supporta il tipo di attendibilità delle foreste e non supporta i tipi di attendibilità esterni, di autenticazione e di scorciatoie.

Tipi di trust

Una relazione di fiducia può essere unidirezionale o bidirezionale. Un trust unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. In questo argomento, il dominio on-premise è il lato attendibile o in entrata del trust unidirezionale, mentre il dominio Microsoft AD gestito è il lato trust o in uscita della relazione. Un trust bidirezionale è un percorso di autenticazione bidirezionale creato tra due domini. Flusso di attendibilità e accesso in entrambe le direzioni.

Prima di iniziare

Prima di creare un trust, completa i seguenti passaggi:

  1. Verifica che il dominio on-premise stia eseguendo una versione supportata di Windows.

  2. Raccogli gli indirizzi IP dei server DNS che si applicano al tuo dominio on-premise.

Stabilisci la connettività di rete

Stabilisci la connettività di rete tra la tua rete on-premise e il tuo Virtual Private Cloud (VPC) di Google Cloud, quindi verifica che le due reti possano comunicare. Per ulteriori informazioni su come identificare e stabilire connessioni Cloud VPN, consulta Panoramica di Cloud VPN.

Porte firewall aperte

Configura le porte in entrata/in uscita sulla rete on-premise e sul VPC di Google Cloud per consentire la connettività di attendibilità di Active Directory.

Nelle tabelle seguenti è elencato l'insieme minimo di porte richieste per stabilire l'attendibilità. A seconda del tuo scenario, potrebbe essere necessario configurare più porte. Per ulteriori informazioni, vedi i requisiti delle porte dei servizi di dominio di Active Directory e Active Directory di Microsoft.

Apri porte firewall di rete on-premise

Apri le porte elencate nella tabella seguente nel firewall on-premise del blocco IP CIDR utilizzato dalla tua rete VPC e dalla rete Microsoft AD gestita.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Modifica password Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 PMI

Porte firewall di rete VPC aperte

Apri le porte elencate nella tabella seguente nel firewall di rete VPC nel blocco IP CIDR utilizzato dalla rete on-premise.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS

Configura i forwarding condizionali DNS

Dopo aver aperto le porte del firewall, configura i forwarding condizionali DNS. Queste impostazioni ti consentono di fornire suggerimenti per l'inoltro di richieste non risolvibili a server DNS diversi.

Verifica la presenza di un criterio di forwarding in entrata

Prima di creare un criterio di forwarding in entrata di Cloud DNS per il tuo VPC, verifica se ne esiste uno.

  1. Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
    Apri la pagina di Cloud DNS

  2. Cerca un criterio nell'elenco in cui la colonna In entrata è impostata su On e la rete VPC utilizzata dal tuo dominio è elencata nel menu a discesa sotto la colonna Utilizzato da.

Se trovi un criterio esistente valido, puoi passare direttamente a Ottenere indirizzi IP DNS.

Crea un criterio di forwarding in entrata

Per creare un criterio di forwarding in entrata, completa i seguenti passaggi:

  1. Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
    Apri la pagina di Cloud DNS

  2. Seleziona Crea criterio.

  3. Inserisci un Nome.

  4. Imposta Inoltro query in entrata su On.

  5. Seleziona la rete VPC per il tuo dominio dal menu Reti.

  6. Seleziona Crea.

Ottieni indirizzi IP DNS

Dopo aver creato un criterio di forwarding in entrata, recupera gli indirizzi IP DNS per il tuo dominio Microsoft AD gestito. Se hai appena creato un nuovo criterio Cloud DNS, gli indirizzi IP potrebbero non essere ancora visualizzati. In tal caso, attendi qualche minuto e riprova.

  1. Apri la pagina dei criteri del server Cloud DNS nella console Google Cloud.
    Apri la pagina di Cloud DNS

  2. Seleziona il criterio dall'elenco, quindi seleziona la scheda Utilizzato da.

  3. Prendi nota degli indirizzi IP DNS del dominio Microsoft AD gestito che devi configurare nel dominio on-premise. Questi indirizzi sono necessari per stabilire l'attendibilità con il dominio Microsoft AD gestito.

Assicurati che i blocchi CIDR contenenti questi indirizzi IP siano configurati nel firewall di rete on-premise.

Crea forwarding condizionale DNS

Per configurare i server di forwarding condizionali DNS nel tuo dominio on-premise, utilizza gli indirizzi IP DNS per il dominio Microsoft AD gestito per completare i passaggi seguenti.

  1. Accedi a un controller di dominio on-premise con un account amministratore di dominio o aziendale per il dominio on-premise.

  2. Apri DNS Manager.

  3. Espandi il server DNS del dominio per cui vuoi configurare il trust.

  4. Fai clic con il pulsante destro del mouse su Forwarder condizionali e seleziona Nuovo forwarding condizionale.

  5. In Dominio DNS, inserisci il nome di dominio completo del dominio Microsoft AD gestito (ad esempio ad.example.com).

  6. Nel campo Indirizzi IP dei server master, inserisci gli indirizzi IP DNS del dominio Microsoft AD gestito che hai annotato in precedenza nel passaggio Ottieni indirizzi IP DNS.

  7. Se nel campo FQDN del server viene visualizzato un errore, puoi ignorarlo.

  8. Seleziona Archivia questo forwarding condizionale in Active Directory, quindi seleziona Tutti i server DNS in questo dominio dal menu a discesa.

  9. Seleziona OK.

Verifica il forwarding condizionale DNS

Puoi verificare che il forwarding sia configurato correttamente utilizzando nslookup o il Cmdlet di PowerShell Resolve-DnsName. Esegui questo comando:

nslookup FQDN

Sostituisci FQDN con il nome di dominio completo del tuo dominio Microsoft AD gestito.

Se il forwardinger condizionale DNS è configurato correttamente, questo comando restituisce gli indirizzi IP dei controller di dominio.

Verifica il criterio di sicurezza locale per il tuo dominio on-premise

La creazione di un trust richiede che il criterio di sicurezza locale per il tuo dominio on-premise consenta l'accesso anonimo alle pipe denominate netlogon, samr e lsarpc. Per verificare che l'accesso anonimo sia abilitato, completa i seguenti passaggi:

  1. Accedi a un controller di dominio on-premise con un account amministratore di dominio o aziendale per il dominio on-premise.

  2. Apri la console del criterio di sicurezza locale.

  3. Nella console, vai a Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza > Accesso alla rete: pipe denominate a cui è possibile accedere in modo anonimo.

  4. Verifica che l'accesso anonimo a netlogon, samr e lsarpc sia abilitato. Tieni presente che questi valori devono essere specificati su righe separate e non separate da virgole.

Configura trust

Dopo aver configurato le reti, puoi creare un trust tra il tuo dominio on-premise e il dominio Microsoft AD gestito.

Configura il dominio on-premise

Per instaurare l'attendibilità del dominio on-premise, completa i seguenti passaggi:

  1. Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o aziendale.

  2. Apri Domini e trust di Active Directory.

  3. Fai clic con il pulsante destro del mouse sul dominio e seleziona Proprietà.

  4. Nella scheda Affidabilità, seleziona Nuovo trust.

  5. Seleziona Avanti nella nuova procedura guidata di attendibilità.

  6. Inserisci il nome di dominio completo del dominio Microsoft AD gestito come Nome attendibilità.

  7. Come Tipo di attendibilità, seleziona Fiducia forestale.

  8. Imposta la direzione di attendibilità.

    • Per creare un trust unidirezionale, seleziona In entrata unidirezionale.
    • Per creare un trust bidirezionale, seleziona Due vie.

  9. In Sides of Trust, seleziona Solo questo dominio.

  10. In Livello di autenticazione di attendibilità in uscita, seleziona Autenticazione a livello di forestale.

  11. Inserisci la Password attendibile.

    Questa password è necessaria per configurare il trust sul dominio Microsoft AD gestito.

  12. Conferma le impostazioni di attendibilità e seleziona Avanti.

  13. Viene visualizzata la finestra Creazione di attendibilità completata.

  14. Seleziona No, non confermare il trust in uscita, quindi seleziona Avanti.

  15. Seleziona No, non confermare l'attendibilità in entrata, quindi seleziona Avanti.

  16. Nella finestra di dialogo Completamento della nuova attendibilità guidata, seleziona Fine.

  17. Aggiorna il routing dei suffissi dei nomi per l'attendibilità.

Configura il dominio Microsoft AD gestito

Per instaurare l'attendibilità del dominio Microsoft AD gestito, completa i seguenti passaggi:

Console

  1. Apri la pagina Microsoft Active Directory gestito nella console Google Cloud.
    Apri la pagina Microsoft Active Directory gestito

  2. Seleziona il dominio per il quale creare un trust, quindi seleziona Crea attendibilità.

  3. Imposta Tipo di attendibilità su Foresta.

  4. In Nome di dominio di destinazione, inserisci il nome di dominio completo del dominio on-premise.

  5. Imposta la Direzione di attendibilità.

    • Per creare un trust unidirezionale, seleziona In uscita.
    • Per creare un trust bidirezionale, seleziona Bidirezionale.

  6. Inserisci la password di attendibilità creata durante la configurazione del trust sul dominio on-premise.

  7. In IP del forwarding condizionale DNS, inserisci gli indirizzi IP del DNS on-premise raccolti in precedenza.

  8. Seleziona Crea relazione di attendibilità.

  9. Tornerai alla pagina del dominio. Il nuovo trust dovrebbe essere visualizzato come Creazione in corso. Attendi finché lo stato passa a Connesso. Il completamento della configurazione può richiedere fino a 10 minuti.

gcloud

Per creare un trust unidirezionale, esegui il seguente comando gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Sostituisci quanto segue:

  • DOMAIN: il nome di dominio completo del dominio Microsoft AD gestito.
  • TARGET_DNS_IP_ADDRESSES: gli indirizzi IP DNS on-premise raccolti in precedenza.
  • TARGET_DOMAIN_NAME: il nome di dominio completo del dominio on-premise.

Per creare un trust bidirezionale, esegui il seguente comando gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Per maggiori informazioni, consulta la sezione sul comando create.

Convalida il trust a due vie

Dopo aver configurato il dominio Microsoft AD gestito per un trust a due vie, devi convalidare l'attendibilità in uscita dal dominio on-premise. Se stai creando un trust unidirezionale, puoi saltare questo passaggio.

Per verificare l'attendibilità in uscita, completa i seguenti passaggi:

  1. Accedi a un controller di dominio on-premise utilizzando un account amministratore di dominio o aziendale.

  2. Apri Domini e trust di Active Directory.

  3. Fai clic con il pulsante destro del mouse sul dominio e seleziona Proprietà.

  4. Nella scheda Attendibile, seleziona il trust in uscita per il dominio Microsoft AD gestito.

  5. Seleziona Proprietà.

  6. Nella scheda Generale, seleziona Convalida.

Risolvere i problemi

Se riscontri problemi durante il tentativo di creare un trust, puoi provare i nostri suggerimenti per la risoluzione dei problemi.

Passaggi successivi