Diese Seite beschreibt die verschiedenen Optionen für die Verbindung zu einer verwalteten Service for Microsoft Active Directory-Domäne.

Verbindung zu einer domänenverbundenen Windows-VM mit RDP

Sie können eine Verbindung zu Ihrer Domäne mit Remote Desktop Protocol (RDP) herstellen. Aus Sicherheitsgründen können Sie RDP nicht verwenden, um eine direkte Verbindung mit einem Domänencontroller herzustellen. Stattdessen können Sie RDP verwenden, um eine Verbindung zu einer Compute Engine-Instanz herzustellen und dann die standardmäßigen AD-Verwaltungstools verwenden, um remote mit Ihrer AD-Domäne zu arbeiten.

Nach dem Domänenanschluss Ihrer Windows-VM können Sie RDP in der Cloud Console verwenden, um eine Verbindung zu Ihrer domänenverbundenen Windows-VM herzustellen und Ihre Active Directory-Objekte zu verwalten.

Fehlerbehebung bei RDP-Verbindungen

Wenn Sie Schwierigkeiten haben, mit RDP eine Verbindung zu Ihrer Windows-Instanz herzustellen, finden Sie unter Fehlerbehebung bei RDP Tipps und Vorgehensweisen zur Fehlerbehebung und Behebung häufiger RDP-Probleme.

Beheben von Kerberos-Problemen

Wenn Sie versuchen, Kerberos für Ihre RDP-Verbindung zu verwenden, diese aber auf NTLM zurückfällt, erfüllt Ihre Konfiguration möglicherweise nicht die erforderlichen Anforderungen.

Um eine verwaltete Microsoft AD-gekoppelte VM mit Kerberos per RDP zu verbinden, benötigt der RDP-Client ein für den Zielserver ausgestelltes Ticket. Um dieses Ticket zu erhalten, muss der Client in der Lage sein:

  • den Service Principal Name (SPN) des Servers zu ermitteln. Bei RDP wird der SPN aus dem DNS-Namen des Servers abgeleitet.
  • Kontaktieren Sie den Domänencontroller der Domäne, mit der die Arbeitsstation des Clients verbunden ist, und fordern Sie ein Ticket für diesen SPN an.

Um sicherzustellen, dass der Client den SPN ermitteln kann, fügen Sie dem Computerobjekt des Servers in AD einen IP-basierten SPN hinzu.

Um sicherzustellen, dass der Client den richtigen Domänencontroller findet, den er kontaktieren kann, müssen Sie einen der folgenden Schritte ausführen:

  • Erstellen Sie eine Vertrauensstellung für Ihre lokale AD-Domäne. Erfahren Sie mehr über das Erstellen und Verwalten von Vertrauensstellungen.
  • Verbinden Sie sich von einer domänenverbundenen Arbeitsstation überCloud VPN oder Cloud Interconnect.

Verbinden Sie sich mit einer domänenverbundenen Linux-VM

In diesem Abschnitt werden einige der Open Source-Optionen für die Verwaltung der Active Directory-Interoperation mit Linux aufgeführt. Erfahren Sie, wie Sie eine Linux-VM mit einer verwalteten Microsoft AD-Domäne verbinden.

System Security Services Daemon (SSSD) direkt mit Active Directory verbinden

Sie können System Security Services Daemon (SSSD) verwenden, um die Active Directory-Interoperation zu verwalten. Beachten Sie, dass SSSD keine forstübergreifenden Vertrauensstellungen unterstützt. Erfahren Sie mehr überSSSD.

Winbind

Sie können Winbind verwenden, um die Active Directory-Zusammenarbeit zu verwalten. Es verwendet MicrosoftRemote Procedure Calls (MSRPCs), um mit Active Directory zu interagieren, was einem Windows-Client ähnelt. Winbind unterstützt forstübergreifende Vertrauensstellungen. Erfahren Sie mehr überWinbind.

OpenLDAP

OpenLDAP ist eine Reihe von LDAP-Anwendungen. Einige Drittanbieter haben proprietäre Active Directory-Interoperationstools entwickelt, die auf OpenLDAP basieren.Erfahren Sie mehr überOpenLDAP.

Verbinden mit einer Domäne über eine Vertrauensstellung

Wenn Sie eine Vertrauensstellung zwischen Ihrer lokalen Domäne und Ihrer verwalteten Microsoft AD-Domäne erstellen, können Sie auf Ihre AD-Ressourcen in der Google Cloud zugreifen, als ob sie sich in Ihrer lokalen Domäne befänden. Erfahren Sie, wie Sie Vertrauensstellungen in Managed Microsoft AD erstellen und verwalten können.

Verbinden mit einer Domäne mit Hybrid-Connectivity-Produkten

Sie können eine Verbindung zu Ihrer Managed Microsoft AD-Domäne mit Google Cloud Hybrid-Connectivity-Produkten wie Cloud VPN oder Cloud Interconnect herstellen. Sie können die Verbindung von Ihrem lokalen oder einem anderen Netzwerk zu einem autorisierten Netzwerk der verwalteten Microsoft AD-Domäne konfigurieren. Erfahren Sie mehr über hybride Konnektivität.

Bevor Sie beginnen

  • Erstellen Sie eine Managed Microsoft AD-Domäne.

  • Verbinden Sie Ihre Windows-VM oder Ihre Linux-VM mit der Managed Microsoft AD-Domäne.

Verbinden über den Domänennamen

Wir empfehlen, eine Verbindung zu einem Domänencontroller über den Domänennamen und nicht über die Adresse herzustellen, da Managed Microsoft AD keine statischen IP-Adressen bereitstellt.Wenn Sie den Namen verwenden, kann der Active Directory DC Locator-Prozess den Domänencontroller für Sie finden, selbst wenn sich seine IP-Adresse geändert hat.

Verwendung der IP-Adresse für die DNS-Auflösung

Wenn Sie die IP-Adresse für die Verbindung verwenden müssen, können Sie eine eingehende DNS-Richtlinie in Ihrem VPC-Netzwerk erstellen, damit es die gleichen Dienste für die Namensauflösung verwenden kann, dieManaged Microsoft AD verwendet. Verwaltetes Microsoft AD verwendet Cloud DNS, um die Namensauflösung für die verwaltete Microsoft AD-Domäne mithilfe von Cloud DNS Peering bereitzustellen.

Um die Richtlinie für eingehende DNS-Anfragen zu verwenden, müssen Sie Ihre lokalen Systeme oder Namensserver so konfigurieren, dass sie DNS-Anfragen an die Proxy-IP-Adresse weiterleiten, die sich in der gleichen Region befindet wie der Cloud VPN-Tunnel oder die VLAN-Anlage, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbindet.Erfahren Sie mehr über das Erstellen einer Richtlinie für eingehende Server.

Verwenden von Peerings

Managed Microsoft AD unterstützt kein verschachteltes Peering, sodass nur Netzwerke, die direkt für Active Directory autorisiert sind, auf die Domäne zugreifen können. Peers des autorisierten Netzwerks können die Managed Microsoft AD-Domäne nicht erreichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.