By Leave a Comment on Oprettelse af forbindelse til et administreret Microsoft AD-domæne

Denne side beskriver de forskellige muligheder for at oprette forbindelse til et administreret service for Microsoft Active Director-domæne.

Opret forbindelse til en domænetilsluttet Windows VM med RDP

Du kan oprette forbindelse til dit domæne med Remote Desktop Protocol (RDP). Af sikkerhedshensyn kan du ikke bruge RDP til at oprette direkte forbindelse til en domænecontroller. I stedet kan du bruge RDP til at oprette forbindelse til en Compute Engine-instans og derefter bruge standardværktøjerne til AD-håndtering til at arbejde eksternt med dit AD-domæne.

Når du har knyttet din Windows VM til et domæne, kan du bruge RDP i Cloud Console til at oprette forbindelse til din Windows VM, der er knyttet til et domæne, og administrere dine Active Directory-objekter.

Fejlfinding af RDP-forbindelser

Hvis du har problemer med at oprette forbindelse til din Windows-instans med RDP, se Fejlfinding af RDP for at få tips og fremgangsmåder til fejlfinding og løsning af almindelige RDP-problemer.

Løsning af Kerberos-problemer

Hvis du forsøger at bruge Kerberos til din RDP-forbindelse, men den falder tilbage til NTLM, opfylder din konfiguration muligvis ikke de nødvendige krav.

For at kunne foretage RDP til en administreret Microsoft AD-tilsluttet VM ved hjælp af Kerberos skal RDP-klienten have en billet udstedt for målserveren. For at få denne billet skal klienten være i stand til at:

  • Bestemme serverens SPN (Service Principal Name). For RDP afledes SPN’et fra serverens DNS-navn.
  • Kontakt til domænecontrolleren for det domæne, klientens arbejdsstation er tilknyttet, og anmode om en billet for det pågældende SPN.

For at sikre, at klienten kan bestemme SPN’et, skal du tilføje et IP-baseret SPN til serverens computerobjekt i AD.

For at sikre, at klienten kan finde den rigtige domænecontroller at kontakte, skal du gøre en af følgende ting:

  • Opret en tillid til dit lokale AD-domæne. Få mere at vide om oprettelse og administration af tillid.
  • Opret forbindelse fra en domænetilsluttet arbejdsstation viaCloud VPN eller Cloud Interconnect.

Opret forbindelse til en domænetilsluttet Linux VM

Dette afsnit viser nogle af open source-mulighederne for administration af Active Directory-samarbejde med Linux. Lær hvordan du tilknytter en Linux VM til et administreret Microsoft AD-domæne.

System Security Services Daemon (SSSD) tilknyttet direkte til Active Directory

Du kan bruge System Security Services Daemon (SSSD) til at administrere Active Directoryinteroperation. Bemærk, at SSSD ikke understøtter tillid på tværs af skove. Få mere at vide omSSSD.

Winbind

Du kan bruge Winbind til at administrere Active Directory-samarbejdet. Den bruger MicrosoftRemote Procedure Calls (MSRPC’er) til at interagere med Active Directory, hvilket minder om en Windows-klient. Winbind understøtter tillid på tværs af skove. Få mere at vide omWinbind.

OpenLDAP

OpenLDAP er en suite af LDAP-programmer. Nogle tredjepartsleverandører har udviklet proprietære Active Directory-samarbejdsværktøjer baseret på OpenLDAP.Få mere at vide omOpenLDAP.

Forbindelse til et domæne via tillid

Hvis du opretter en tillid mellem dit domæne på stedet og dit administrerede Microsoft AD-domæne, kan du få adgang til dine AD-ressourcer i Google Cloud, som om de befandt sig i dit domæne på stedet. Få mere at vide om, hvordan du opretter og administrerer tillid i Administreret Microsoft AD.

Forbindelse til et domæne med Hybrid Connectivity-produkter

Du kan oprette forbindelse til dit Administreret Microsoft AD-domæne med Google Cloud HybridConnectivity-produkter, f.eks. Cloud VPN eller Cloud Interconnect. Du kan konfigurere forbindelsen fra dit lokale netværk eller et andet netværk til et autoriseret netværk for Administreret Microsoft AD-domæne. Få mere at vide om hybridkonnektivitet.

Hvor du begynder

  • Opret et Administreret Microsoft AD-domæne.

  • Før din Windows VM eller din Linux VM sammen med det Administrerede Microsoft AD-domæne.

Opret forbindelse ved hjælp af domænenavn

Vi anbefaler, at du opretter forbindelse til en domænecontroller ved hjælp af dens domænenavn i stedet for dens adresse, fordi Administreret Microsoft AD ikke giver statiske IP-adresser.Ved hjælp af navnet kan Active Directory DC Locator-processen finde domænecontrolleren for dig, selv om dens IP-adresse er ændret.

Brug af IP-adresse til DNS-opløsning

Hvis du skal bruge IP-adressen til at oprette forbindelse, kan du oprette en indgående DNS-politik på dit VPC-netværk, så det kan bruge de samme navneopløsningstjenester, som Managed Microsoft AD bruger. Administreret Microsoft AD bruger Cloud DNS til at levere navneopløsning til Administreret Microsoft AD-domænet ved hjælp af Cloud DNS Peering.

For at bruge den indgående DNS-politik skal du konfigurere dine lokale systemer eller navneservere til at videresende DNS-forespørgsler til proxy-IP-adressen i samme region som den Cloud VPN-tunnel eller VLAN-tilknytning, der forbinder dit lokale netværk med dit VPC-netværk.Få mere at vide om oprettelse af en politik for indgående servere.

Brug af peerings

Managed Microsoft AD understøtter ikke nested peering, så kun netværk, der er direkte autoriseret til Active Directory, kan få adgang til domænet. Peers i det autoriserede netværk kan ikke nå Managed Microsoft AD-domænet.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.