Esta página mostra como criar um relacionamento de confiança entre domínios locais e um domínio do Serviço Gerenciado para Microsoft Active Directory. Essa confiança pode ser unidirecional ou bidirecional. Também pode abranger várias florestas. Se você já configurou uma confiança, veja como gerenciar confianças.
O Microsoft AD gerenciado oferece suporte ao tipo de confiança de floresta e não oferece suporte a tipos de confiança externos, de domínio e de atalho.
Tipos de confiança
Uma relação de confiança pode ser unidirecional ou bidirecional. Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Neste tópico, o domínio local é o lado confiável ou recebido da confiança unidirecional, e o domínio gerenciado do Microsoft AD é o trusting ou outbound do relacionamento. Uma confiança bidirecional é um caminho de autenticação bidirecional criado entre dois domínios. Fluxo de confiança e acesso nas duas direções.
Antes de começar
Antes de criar uma confiança, siga estas etapas:
Verifique se o domínio local está executando uma versão compatível do Windows.
Reúna os endereços IP dos servidores DNS que se aplicam ao seu domínio local.
Estabelecer conectividade de rede
Estabeleça a conectividade de rede entre a rede local e a nuvem privada virtual (VPC) do Google Cloud e verifique se as duas redes podem se comunicar. Para mais informações sobre como identificar e estabelecer conexões do Cloud VPN, consulte a Visão geral do Cloud VPN.
Abrir portas de firewall
Configure as portas de entrada/saída na rede local e na VPC do Google Cloud para permitir a conectividade de confiança do Active Directory.
As tabelas a seguir listam o conjunto mínimo de portas necessárias para estabelecer a confiança. Talvez seja necessário configurar mais portas, dependendo do cenário. Para mais informações, consulte os requisitos de porta do Active Directory e do Active Directory Domain Services da Microsoft.
Abrir portas de firewall de rede local
Abra as portas listadas na tabela a seguir no firewall local para o bloco IP CIDR usado pela rede VPC e pela rede do Managed Microsoft AD.
Protocolo | Porta | Funcionalidade |
---|---|---|
TCP, UDP | 53 | DNS |
TCP, UDP | 88 | Kerberos |
TCP, UDP | 464 | Alteração de senha do Kerberos |
TCP | 135 | RPC |
TCP | 49152-65535 | RPC |
TCP, UDP | 389 | LDAP |
TCP, UDP | 445 | SMB |
Abrir portas de firewall de rede VPC
Abra as portas listadas na tabela a seguir no firewall da rede VPC para o bloco de IP CIDR usado pela rede local.
Protocolo | Porta | Funcionalidade |
---|---|---|
TCP, UDP | 53 | DNS |
Configurar encaminhadores condicionais de DNS
Depois de abrir as portas do firewall, configure os encaminhadores condicionais de DNS. Com essas configurações, é possível fornecer dicas para encaminhar solicitações não resolvidas para servidores DNS diferentes.
Verificar uma política de encaminhamento de entrada
Antes de criar uma política de encaminhamento de entrada do Cloud DNS para sua VPC, verifique se existe alguma.
Abra a página de políticas do servidor do Cloud DNS no console do Google Cloud.
Abra a página "Cloud DNS"Procure uma política na lista em que a coluna Entrada esteja definida como Ativado, e a rede VPC usada pelo seu domínio esteja listada no menu suspenso na coluna Em uso.
Se você encontrar uma política atual válida, pule para Receber endereços IP de DNS.
Criar uma política de encaminhamento de entrada
Para criar uma política de encaminhamento de entrada, siga estas etapas:
Abra a página de políticas do servidor do Cloud DNS no console do Google Cloud.
Abra a página "Cloud DNS"Selecione Criar política.
Digite um Nome.
Defina o Encaminhamento de consulta de entrada como Ativado.
Selecione a rede VPC do seu domínio no menu Redes.
Selecione Criar.
Conseguir endereços IP de DNS
Depois de criar uma política de encaminhamento de entrada, confira os endereços IP de DNS do seu domínio gerenciado do Microsoft AD. Se você acabou de criar uma nova política do Cloud DNS, talvez os endereços IP ainda não apareçam. Se isso acontecer, aguarde alguns minutos e tente novamente.
Abra a página de políticas do servidor do Cloud DNS no console do Google Cloud.
Abra a página "Cloud DNS"Selecione sua política na lista e selecione a guia Em uso por.
Anote todos os endereços IP de DNS do domínio gerenciado do Microsoft AD que você precisa configurar no domínio local. Você precisa desses endereços para estabelecer a confiança com o domínio do Microsoft AD gerenciado.
Verifique se os blocos CIDR que contêm esses endereços IP estão configurados no firewall de rede local.
Criar um encaminhador condicional de DNS
Para configurar os encaminhadores condicionais de DNS no seu domínio local, use os endereços IP de DNS do seu domínio Managed Microsoft AD para concluir as etapas a seguir.
Faça logon em um controlador de domínio local com uma conta de administrador de Domínio ou de Empresa para o domínio local.
Abra o Gerenciador de DNS.
Expanda o servidor DNS do domínio para o qual você quer configurar a relação de confiança.
Clique com o botão direito do mouse em Encaminhamentos condicionais e selecione Novo encaminhador condicional.
Para Domínio DNS, digite o FQDN do domínio do Managed Microsoft AD (por exemplo,
ad.example.com
).No campo Endereços IP dos servidores mestres, insira os endereços IP do DNS do seu domínio do Managed Microsoft AD que você anotou anteriormente na etapa Obter endereços IP do DNS.
Se o campo FQDN do servidor mostrar um erro, você poderá ignorá-lo.
Selecione Armazenar este encaminhador condicional no Active Directory e selecione Todos os servidores DNS neste domínio no menu suspenso.
Selecione OK.
Verificar o encaminhador condicional do DNS
É possível verificar se o encaminhador está configurado corretamente usando o nslookup
ou o cmdlet Resolve-DnsName
PowerShell. Execute este comando:
nslookup FQDN
Substitua FQDN
pelo nome de domínio totalmente qualificado do seu domínio do Microsoft AD gerenciado.
Se o encaminhador condicional do DNS estiver configurado corretamente, esse comando retornará os endereços IP dos controladores de domínio.
Verificar a Política de Segurança Local para seu domínio local
A criação de uma relação de confiança requer que a Política de Segurança Local do seu domínio local permita acesso anônimo aos pipes nomeados netlogon
, samr
e lsarpc
. Para verificar se o acesso anônimo está ativado, execute as etapas a seguir:
Faça logon em um controlador de domínio local com uma conta de administrador de Domínio ou de Empresa para o domínio local.
No console, vá para Configurações de segurança > Políticas locais > Opções de segurança > Acesso à rede: pipes nomeados que podem ser acessados anonimamente.
Verifique se o acesso anônimo a
netlogon
,samr
elsarpc
está ativado. Eles precisam ser especificados em linhas separadas, e não separados por vírgula.
Configurar confiança
Depois de configurar suas redes, crie uma relação de confiança entre o domínio local e o domínio do Managed Microsoft AD.
Configurar o domínio local
Para estabelecer a confiança no domínio local, siga estas etapas:
Faça logon em um controlador de domínio local usando uma conta de administrador de Domínio ou de Empresa.
Abra Domínios e relações de confiança do Active Directory.
Clique com o botão direito do mouse no domínio e selecione Propriedades.
Na guia Confiável, selecione Nova.
Selecione Próxima no assistente de nova confiança.
Digite o FQDN do domínio do Managed Microsoft AD como Nome da relação de confiança.
Para o Tipo de relação de confiança, selecione Relação de confiança na floresta.
Defina a Direção da confiança.
- Para criar uma confiança unidirecional, selecione Entrada unidirecional..
- Para criar uma confiança em duas vias, selecione Mão dupla.
Para Lados da relação de confiança, selecione Somente este domínio.
Para Nível de autenticação da relação de confiança de saída, selecione Autenticação em toda a floresta.
Digite a senha de confiança.
Use essa senha para configurar a relação de confiança no domínio do Managed Microsoft AD.
Confirme as configurações de confiança e selecione Próxima.
A janela Criação completa da relação de confiança é exibida.
Selecione Não confirmar a confiança de saída e selecione Próxima.
Selecione Não confirmar a confiança recebida e selecione Próxima.
Na caixa de diálogo Como preencher o assistente para uma nova relação de confiança, selecione Concluir.
Roteamento de sufixo de nome de atualização para a confiança.
Configurar o domínio do Microsoft AD gerenciado
Para estabelecer a confiança no domínio do Microsoft AD gerenciado, siga estas etapas:
Console
Abra a página "Managed Microsoft AD" no console do Google Cloud.
Abrir a página Managed Microsoft ADSelecione o domínio em que você quer criar uma confiança e selecione
Create Trust.Defina Tipo de relação de confiança como Floresta.
Em Nome de domínio de destino, insira o FQDN do domínio local.
Defina a Direção da confiança.
- Para criar uma confiança unidirecional, selecione Saída.
- Para criar uma confiança bidirecional, selecione Bidirecional.
Digite a senha da relação de confiança que você criou ao configurar a relação de confiança no domínio local.
Para IPs do encaminhador condicional DNS, insira os endereços IP de DNS local coletados anteriormente.
Selecione Criar relação de confiança.
Você retornará à página do domínio. Sua nova confiança deve aparecer como Criando. Aguarde até que o estado mude para Conectado. A configuração pode levar até 10 minutos para ser concluída.
gcloud
Para criar uma confiança unidirecional, execute o seguinte comando da CLI gcloud:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=OUTBOUND
Substitua:
DOMAIN
: o FQDN do domínio do Managed Microsoft AD.TARGET_DNS_IP_ADDRESSES
: os endereços IP DNS locais que você coletou anteriormente.TARGET_DOMAIN_NAME
: o FQDN do domínio local.
Para criar uma confiança bidirecional, execute o seguinte comando da CLI gcloud:
gcloud active-directory domains trusts create DOMAIN \ --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \ --target-domain-name=TARGET_DOMAIN_NAME \ --direction=BIDIRECTIONAL
Para mais informações, consulte Comando create
.
Validar confiança bidirecional
Depois de configurar o domínio gerenciado do Microsoft AD para uma confiança bidirecional, você precisa validar a confiança de saída do domínio local. Se você estiver criando uma confiança unidirecional, pule esta etapa.
Para verificar a confiança de saída, siga estas etapas:
Faça login em um controlador de domínio local usando uma conta de administrador do domínio ou da empresa.
Abra Domínios e relações de confiança do Active Directory.
Clique com o botão direito do mouse no seu domínio e selecione Propriedades.
Na guia Confiança, selecione a confiança de saída para o domínio gerenciado do Microsoft AD.
Selecione Propriedades.
Na guia Geral, selecione Validar.
Resolver problemas
Se você encontrar problemas ao tentar criar uma confiança, teste nossas dicas de solução de problemas.
A seguir
- Saiba como gerenciar uma relação de confiança.
- Saiba como solucionar problemas de acesso a uma relação de confiança.