Como criar confiança com um domínio local

Neste artigo, você aprenderá como criar um relacionamento de confiança entre domínios locais e um domínio gerenciado do Microsoft AD. Essa confiança pode ser unidirecional ou de mão dupla. Também pode abranger várias florestas. Se você já configurou uma confiança, veja como gerenciar confianças.

Tipos de confiança

Um relacionamento de confiança pode ser de mão única ou bidirecional. Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Neste tópico, o domínio local é o lado confiável ou recebido da confiança unidirecional, e o domínio gerenciado do Microsoft AD é o trusting ou outbound do relacionamento. Uma confiança bidirecional é um caminho de autenticação bidirecional criado entre dois domínios. Fluxo de confiança e acesso nas duas direções.

Antes de começar

Antes de tentar criar uma confiança, verifique se o domínio local está executando uma versão compatível do Windows.

Como estabelecer conectividade de rede

Primeiro, estabeleça a conectividade de rede entre sua rede local e sua nuvem privada virtual (VPC) do Google Cloud e verifique se as duas redes podem se comunicar. Saiba mais sobre como identificar e estabelecer de conexões VPN do Cloud.

Como abrir portas de firewall

Em seguida, configure as portas de entrada/saída na rede local e no Google Cloud VPC para permitir a conectividade de confiança do Active Directory.

As tabelas a seguir listam o conjunto mínimo de portas necessárias para estabelecer a confiança. Talvez seja necessário configurar mais portas, dependendo do cenário. Saiba mais sobre os requisitos de porta do Active Directory e do Active Directory Domain Services da Microsoft.

Como abrir portas de firewall de rede local

Abra as portas listadas na tabela a seguir no firewall local para o bloco IP CIDR usado pela rede VPC e pela rede do Managed Microsoft AD.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Alteração de senha do Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Como abrir portas de firewall de rede VPC

Abra as portas listadas na tabela a seguir no firewall da rede VPC para o bloco de IP CIDR usado pela rede local.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS

Como configurar encaminhadores condicionais de DNS

Em seguida, configure os encaminhadores condicionais de DNS. Com essas configurações, é possível fornecer dicas para encaminhar solicitações não resolvidas para servidores DNS diferentes.

Como verificar uma política de encaminhamento de entrada

Antes de criar uma política de encaminhamento de entrada do Cloud DNS para sua VPC, verifique se existe alguma.

  1. Abra a página de políticas do servidor do Cloud DNS no Console do Cloud.
    Abra a página "Cloud DNS"

  2. Procure uma política na lista em que a coluna Entrada esteja definida como Ativado, e a rede VPC usada pelo seu domínio esteja listada no menu suspenso na coluna Em uso.

Se você encontrar uma política atual válida, pule para Como receber endereços IP de DNS.

Como criar uma política de encaminhamento de entrada

Para criar uma política de encaminhamento de entrada, execute as etapas a seguir.

  1. Abra a página de políticas do servidor do Cloud DNS no Console do Cloud.
    Abra a página "Cloud DNS"

  2. Selecione Criar política.

  3. Digite um Nome.

  4. Defina o Encaminhamento de consulta de entrada como Ativado.

  5. Selecione a rede VPC do seu domínio no menu Redes.

  6. Selecione Criar.

Como obter endereços IP de DNS

Em seguida, consiga os endereços IP de DNS para o domínio gerenciado do Microsoft AD. Se você acabou de criar uma nova política do Cloud DNS, talvez os endereços IP ainda não apareçam. Se isso acontecer, aguarde alguns minutos e tente novamente.

  1. Abra a página de políticas do servidor do Cloud DNS no Console do Cloud.
    Abra a página "Cloud DNS"

  2. Selecione sua política na lista e selecione a guia Em uso por.

  3. Anote todos os endereços IP que se aplicam à sua região local. Você precisa desses endereços para estabelecer a confiança no domínio do Microsoft AD gerenciado.

Verifique se os blocos CIDR que contêm esses endereços IP estão configurados no firewall de rede local.

Como criar o encaminhador condicional do DNS

Para configurar os encaminhadores condicionais de DNS no seu domínio local, use os endereços IP de DNS do seu domínio Managed Microsoft AD para concluir as etapas a seguir.

  1. Faça logon em um controlador de domínio local com uma conta de administrador de Domínio ou de Empresa para o domínio local.

  2. Abra o Gerenciador de DNS.

  3. Expanda o servidor DNS do domínio para o qual você quer configurar a relação de confiança.

  4. Clique com o botão direito do mouse em Encaminhamentos condicionais e selecione Novo encaminhador condicional.

  5. Para Domínio DNS, digite o FQDN do domínio do Managed Microsoft AD (por exemplo, ad.example.com).

  6. No campo Endereços IP dos servidores mestres, insira os endereços IP do seu domínio do Managed Microsoft AD que você consultou em Obtendo endereços IP do DNS.

  7. Se o campo FQDN do servidor mostrar um erro, você poderá ignorá-lo.

  8. Selecione Armazenar este encaminhador condicional no Active Directory e selecione Todos os servidores DNS neste domínio no menu suspenso.

  9. Selecione OK.

Como verificar o encaminhador condicional do DNS

É possível verificar se o encaminhador está configurado corretamente usando o nslookup ou o cmdlet Resolve-DnsName PowerShell. Execute este comando:

nslookup fqdn-for-managed-ad-domain

Se o encaminhador condicional do DNS estiver configurado corretamente, esse comando retornará os endereços IP dos controladores de domínio.

Como verificar a Política de Segurança Local para seu domínio local

A criação de uma relação de confiança requer que a Política de Segurança Local do seu domínio local permita acesso anônimo aos pipes nomeados netlogon, samr e lsarpc. Para verificar se o acesso anônimo está ativado, execute as etapas a seguir:

  1. Faça logon em um controlador de domínio local com uma conta de administrador de Domínio ou de Empresa para o domínio local.

  2. Abra o console de Política de Segurança Local.

  3. No console, vá para Configurações de segurança > Políticas locais > Opções de segurança > Acesso à rede: pipes nomeados que podem ser acessados anonimamente.

  4. Verifique se o acesso anônimo a netlogon, samr e lsarpc está ativado. Eles precisam ser especificados em linhas separadas, e não separados por vírgula.

Como configurar a relação de confiança

Depois de configurar suas redes, crie uma relação de confiança entre o domínio local e o domínio do Managed Microsoft AD.

Como configurar o domínio local

Para estabelecer a relação de confiança no domínio local, execute as etapas a seguir.

  1. Faça logon em um controlador de domínio local usando uma conta de administrador de Domínio ou de Empresa.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do mouse no domínio e selecione Propriedades.

  4. Na guia Confiável, selecione Nova.

  5. Selecione Próxima no assistente de nova confiança.

  6. Digite o FQDN do domínio do Managed Microsoft AD como Nome da relação de confiança.

  7. Para o Tipo de relação de confiança, selecione Relação de confiança na floresta.

  8. Defina a Direção da confiança.

    • Para criar uma confiança unidirecional, selecione Entrada unidirecional..
    • Para criar uma confiança em duas vias, selecione Mão dupla.
  9. Para Lados da relação de confiança, selecione Somente este domínio.

  10. Para Nível de autenticação da relação de confiança de saída, selecione Autenticação em toda a floresta.

  11. Digite a Senha da relação de confiança (Observação: use-a para configurar a relação confiança no domínio do Managed Microsoft AD).

  12. Confirme as configurações de confiança e selecione Próxima.

  13. A janela Criação completa da relação de confiança é exibida.

  14. Selecione Não confirmar a confiança de saída e selecione Próxima.

  15. Selecione Não confirmar a confiança recebida e selecione Próxima.

  16. Na caixa de diálogo Como preencher o assistente para uma nova relação de confiança, selecione Concluir.

  17. Roteamento de sufixo de nome de atualização para a confiança.

Como configurar o domínio do Managed Microsoft AD

Para estabelecer a relação de confiança no domínio do Managed Microsoft AD, execute as etapas a seguir.

Console

  1. Abra a página "Managed Microsoft AD" no Console do Cloud.
    Abrir a página "Managed Microsoft AD"

  2. Selecione o domínio em que você quer criar uma confiança e selecione Create Trust.

  3. Defina Tipo de relação de confiança como Floresta.

  4. Em Nome de domínio de destino, insira o FQDN do domínio local.

  5. Defina a Direção da confiança.

    • Para criar uma confiança unidirecional, selecione Saída.
    • Para criar uma confiança bidirecional, selecione Bidirecional.
  6. Digite a senha da relação de confiança que você criou ao configurar a relação de confiança no domínio local.

  7. Para IPs do encaminhador condicional DNS, digite os endereços IP de DNS local obtidos durante a instalação.

  8. Selecione Criar relação de confiança.

  9. Você retornará à página do domínio. Sua nova confiança deve aparecer como Criando. Aguarde até que o estado mude para Conectado. A configuração pode levar até 10 minutos para ser concluída.

gcloud

Para criar uma confiança unidirecional, execute o seguinte comando da ferramenta gcloud:

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=OUTBOUND

Para criar uma confiança bidirecional, execute o seguinte comando da ferramenta gcloud:

gcloud active-directory domains trusts create domain \
    --target-dns-ip-addresses=target-dns-ip-addresses \
    --target-domain-name=target-domain-name \
    --direction=BIDIRECTIONAL

Saiba mais sobre o comando create.

Validação de confiança bidirecional

Depois de configurar o domínio gerenciado do Microsoft AD para uma confiança bidirecional, você precisa validar a confiança de saída do domínio local. Se você estiver criando uma confiança unidirecional, pule esta etapa.

Para verificar a confiança de saída, siga estas etapas:

  1. Faça login em um controlador de domínio local usando uma conta de administrador do domínio ou da empresa.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do mouse no seu domínio e selecione Propriedades.

  4. Na guia Confiança, selecione a confiança de saída para o domínio gerenciado do Microsoft AD.

  5. Selecione Propriedades.

  6. Na guia Geral, selecione Validar.

Solução de problemas

Se você encontrar problemas ao tentar criar uma confiança, teste nossas dicas de solução de problemas.

A seguir