Tato stránka popisuje různé možnosti připojení ke spravované službě pro doménu Microsoft Active Directorydomain.
- Připojení k virtuálnímu počítači Windows připojenému k doméně pomocí protokolu RDP
- Řešení problémů s připojením RDP
- Řešení problémů s protokolem Kerberos
- Připojení k virtuálnímu počítači Linux připojenému k doméně
- Démon bezpečnostních služeb systému (SSSD) připojený přímo ke službě Active Directory
- Winbind
- OpenLDAP
- Připojení k doméně prostřednictvím důvěryhodnosti
- Připojení k doméně pomocí produktů hybridního připojení
- Než začnete
- Připojení pomocí názvu domény
- Použití IP adresy pro překlad DNS
- Použití peeringu
Připojení k virtuálnímu počítači Windows připojenému k doméně pomocí protokolu RDP
K doméně se můžete připojit pomocí protokolu RDP (Remote Desktop Protocol). Z bezpečnostníchdůvodů se nelze pomocí protokolu RDP připojit přímo k řadiči domény. Místo toho se můžete pomocí protokolu RDP připojit k instanci Compute Engine a poté pomocí standardních nástrojů AD Manageability vzdáleně pracovat s doménou AD.
Po připojení virtuálního počítače Windows k doméně můžete pomocí protokolu RDP v konzole Cloud Consolepřipojit k virtuálnímu počítači Windows připojenému k doméně a spravovat objekty služby Active Directory.
Řešení problémů s připojením RDP
Pokud máte potíže s připojením k instanci systému Windows pomocí protokolu RDP,přečtěte si část Řešení problémů s protokolem RDP, kde najdete tipy a postupy pro řešení běžných problémů s protokolem RDP.
Řešení problémů s protokolem Kerberos
Pokud se pokusíte pro připojení RDP použít protokol Kerberos, ale dojde k pádu zpět na NTLM,vaše konfigurace nemusí splňovat potřebné požadavky.
Chce-li klient RDP připojit k spravovanému virtuálnímu počítači připojenému ke službě Microsoft AD pomocí protokolu Kerberos, potřebuje ticket vydaný pro cílový server. K získání tohoto tiketu musí být klient schopen:
- Zjistit hlavní jméno služby (SPN) serveru. V případě protokolu RDP je číslo SPNodvozeno z názvu DNS serveru.
- Kontaktovat řadič domény domény, ke které je klientova pracovní stanice připojena, a vyžádat si tiket pro toto číslo SPN.
Chcete-li zajistit, aby klient mohl určit SPN, přidejte do objektu počítače serveru v AD SPN na základě IP.
Chcete-li zajistit, aby klient mohl najít správný řadič domény, který má kontaktovat, musíte provést jednu z následujících akcí:
- Vytvořte důvěryhodnost k místní doméně AD. Další informace o vytváření a správě trustů.
- Připojení z pracovní stanice připojené k doméně prostřednictvímCloud VPN nebo Cloud Interconnect.
Připojení k virtuálnímu počítači Linux připojenému k doméně
V této části jsou uvedeny některé možnosti open source pro správu spolupráce služby Active Directory se systémem Linux. Naučte se, jak připojit virtuální počítač Linux ke spravované doméně Microsoft AD.
Démon bezpečnostních služeb systému (SSSD) připojený přímo ke službě Active Directory
Pro správuinteroperace služby Active Directory můžete použít démona bezpečnostních služeb systému (SSSD). Všimněte si, že SSSD nepodporuje důvěryhodnost mezi jednotlivými lesy. Další informace oSSSD.
Winbind
K řízení spolupráce se službou Active Directory můžete použít Winbind. K interakci se službou Active Directory používá volání vzdálených procedur MicrosoftRemote Procedure Calls (MSRPC), které jepodobné klientovi systému Windows. Winbind podporuje důvěryhodnost napříč lesy. Přečtěte si oWinbind.
OpenLDAP
OpenLDAP je sada aplikací LDAP. Někteří poskytovatelé třetích stran vyvinuli vlastní nástroje pro spolupráci se službou Active Directory založené na OpenLDAP.Více informací o služběOpenLDAP.
Připojení k doméně prostřednictvím důvěryhodnosti
Pokud vytvoříte důvěryhodnost mezi místní doménou a spravovanou doménou Microsoft AD, můžete ke zdrojům AD ve službě Google Cloud přistupovat, jako by byly v místní doméně. Přečtěte si, jak vytvářet a spravovat vztahy důvěryhodnosti ve spravované službě Microsoft AD.
Připojení k doméně pomocí produktů hybridního připojení
K doméně spravované služby Microsoft AD se můžete připojit pomocí produktů hybridního připojení Google Cloud, jako je Cloud VPN nebo Cloud Interconnect. Můžetekonfigurovat připojení z lokální nebo jiné sítě k autorizovanésíti spravované domény Microsoft AD. Více informací o hybridním připojení.
Než začnete
-
Vytvořte spravovanou doménu Microsoft AD.
-
Připojte svůj virtuální počítač se systémem Windows nebo virtuální počítač se systémem Linux k spravované doméně Microsoft AD.
Připojení pomocí názvu domény
Doporučujeme připojit se k řadiči domény spíše pomocí jeho názvu domény než jeho adresy, protože služba Managed Microsoft AD neposkytuje statické IP adresy.Pomocí názvu vám proces Active Directory DC Locator najde řadič domény, i když se jeho IP adresa změnila.
Použití IP adresy pro překlad DNS
Pokud musíte pro připojení použít IP adresu, můžete v síti VPC vytvořit zásadu příchozího DNS, aby mohla používat stejné služby pro překlad názvů, jaké používá službaManaged Microsoft AD. Služba Managed Microsoft AD používá službu Cloud DNS k zajištění překladů jmen do domény Managed Microsoft AD pomocí služby Cloud DNS Peering.
Chcete-li použít zásadu příchozího DNS, musíte nakonfigurovat své lokální systémy nebo jmenné servery tak, aby předávaly dotazy DNS na proxy IP adresu umístěnou ve stejné oblasti jako tunel Cloud VPN nebo připojení VLAN, které propojuje vaši lokální síť se sítí VPC.Přečtěte si informace o vytvoření zásad příchozího serveru.
Použití peeringu
Správa Microsoft AD nepodporuje vnořený peering, takže k doméně mohou přistupovat pouze sítě, které jsou přímo autorizovány pro službu Active Directory. Peerové sítě autorizované sítě nemohou dosáhnout na doménu Managed Microsoft AD.