Tällä sivulla kuvataan eri vaihtoehdot yhteyden muodostamiseksi Microsoft Active Directory -palvelun hallinnoituun toimialueeseen.
- Yhteyden muodostaminen toimialueeseen liitettyyn Windows VM:ään RDP:n avulla
- RDP-yhteyksien vianmääritys
- Kerberos-ongelmien ratkaiseminen
- Yhteyden muodostaminen toimialueeseen liitettyyn Linux-VM:ään
- System Security Services Daemon (SSSD) liitetään suoraan Active Directoryyn
- Winbind
- OpenLDAP
- Yhteyden luominen toimialueeseen luottamuksen kautta
- Yhteyden muodostaminen toimialueeseen Hybrid Connectivity -tuotteilla
- Ennen kuin aloitat
- Yhteyden muodostaminen toimialueen nimen avulla
- IP-osoitteen käyttäminen DNS-resoluutioon
- Vertaisverkkokäytäntöjen käyttäminen
Yhteyden muodostaminen toimialueeseen liitettyyn Windows VM:ään RDP:n avulla
Voit muodostaa yhteyden toimialueeseen RDP:n (Remote Desktop Protocol) avulla. Tietoturvasyistä et voi käyttää RDP:tä yhteyden muodostamiseen suoraan toimialueen ohjaimeen. Sen sijaan voit käyttää RDP:tä muodostaaksesi yhteyden Compute Engine -instanssiin ja käyttää sen jälkeen AD:n hallintatyökaluja etätyöskentelyyn AD-toimialueen kanssa.
Kun olet liittänyt Windows-VM:n toimialueeseen, voit käyttää RDP:tä Cloud Console -palvelussa muodostaaksesi yhteyden toimialueeseen liitettyyn Windows-VM:ään ja hallinnoidaksesi Active Directory -kohteita.
RDP-yhteyksien vianmääritys
Jos sinulla on vaikeuksia muodostaa yhteys Windows-instanssiin RDP:n avulla,katso vinkkejä ja lähestymistapoja yleisten RDP-ongelmien vianmääritykseen ja ratkaisemiseen kohdasta RDP:n vianmääritys.
Kerberos-ongelmien ratkaiseminen
Jos yrität käyttää Kerberosia RDP-yhteydessäsi, mutta se palaa takaisin NTLM:ään,kokoonpanosi ei ehkä täytä tarvittavia vaatimuksia.
Voidaksesi käyttää RDP:tä hallittuun Microsoft AD:n liitettyyn VM:ään Kerberosin avulla RDP-asiakas tarvitsee kohdepalvelimelle laaditun lipun. Tämän lipun saamiseksi asiakkaan on pystyttävä:
- Määrittämään palvelimen palvelupääkäyttäjän nimi (SPN). RDP:ssä SPN saadaan palvelimen DNS-nimestä.
- Ota yhteyttä sen toimialueen toimialueenvalvojaan, johon asiakkaan työasema on liitetty, ja pyydä lippu kyseiselle SPN:lle.
Varmistaaksesi, että asiakas voi määrittää SPN:n, lisää IP-pohjainen SPN palvelimen scomputer-objektiin AD:ssä.
Varmistaaksesi, että asiakas voi löytää oikean toimialueenvalvojan, johon hän voi ottaa yhteyttä, sinun on tehtävä jompikumpi seuraavista toimista:
- Luo luottamus toimitilojen AD-toimialueeseen. Lisätietojaluottamusten luomisesta ja hallinnasta.
- Yhteyden muodostaminen toimialueeseen liitetystä työasemastaCloud VPN:n tai Cloud Interconnectin kautta.
Yhteyden muodostaminen toimialueeseen liitettyyn Linux-VM:ään
Tässä osiossa luetellaan joitakin avoimen lähdekoodin vaihtoehtoja, joilla voidaan hallinnoida Active Directoryn yhteistoimintaa Linuxin kanssa. Opi, miten Linux VM liitetään hallittuun Microsoft AD -toimialueeseen.
System Security Services Daemon (SSSD) liitetään suoraan Active Directoryyn
Voit käyttää System Security Services Daemonia (SSSD) Active Directoryyhteistyön hallintaan. Huomaa, että SSSD ei tue metsien välisiä luottamuksia. LisätietojaSSSD:stä.
Winbind
Voit käyttää Winbindiä Active Directory-yhteistyön hallintaan. Se käyttää MicrosoftRemote Procedure Calls (MSRPC) -käskyjä (MicrosoftRemote Procedure Calls) vuorovaikutukseen Active Directoryn kanssa, joka on samankaltainen kuin Windows-asiakas. Winbind tukee metsien välisiä luottamuksia. Lisätietoja Winbindistä.
OpenLDAP
OpenLDAP on joukko LDAP-sovelluksia. Jotkin kolmannen osapuolen palveluntarjoajat ovat kehittäneet omia Active Directory -yhteistyökaluja, jotka perustuvat OpenLDAP:hen.LisätietojaOpenLDAP:stä.
Yhteyden luominen toimialueeseen luottamuksen kautta
Jos luot luottamuksen paikallisen toimialueesi ja hallinnoidun Microsoft AD -toimialueen välille, pääset käyttämään AD-resurssejasi Google Cloud -palvelussa ikään kuin ne sijaitsisivat paikallisen toimialueesi sisällä. Lue, miten luot ja hallitset luottamuksia Managed Microsoft AD:ssä.
Yhteyden muodostaminen toimialueeseen Hybrid Connectivity -tuotteilla
Voit muodostaa yhteyden Managed Microsoft AD -toimialueeseesi Google Cloudin HybridConnectivity -tuotteilla, kuten Cloud VPN:llä tai Cloud Interconnectilla. Voitkonfiguroida yhteyden toimitiloissa olevasta tai muusta verkosta Managed Microsoft AD -toimialueen valtuutettuun verkkoon. Lisätietoja hybridiliitettävyydestä.
Ennen kuin aloitat
-
Luo Hallittu Microsoft AD -verkkotunnus.
-
Liitä Windows-VM:si tai Linux-VM:si Hallittuun Microsoft AD -verkkotunnukseen.
Yhteyden muodostaminen toimialueen nimen avulla
Suosittelemme yhteyden muodostamista toimialueen ohjaimeen käyttämällä sen toimialueen nimeä eikä sen osoitetta, koska Managed Microsoft AD ei tarjoa staattisia IP-osoitteita.Nimen avulla Active Directory DC Locator -prosessi voi löytää toimialueenohjaimen puolestasi, vaikka sen IP-osoite olisi muuttunut.
IP-osoitteen käyttäminen DNS-resoluutioon
Jos sinun on käytettävä IP-osoitetta yhteyden muodostamiseen, voit luoda saapuvan DNS-käytännön VPC-verkkoon, jotta se voi käyttää samoja nimiresoluutiopalveluja kuinManaged Microsoft AD käyttää. Managed Microsoft AD käyttää Cloud DNS:ää tarjotakseen nimenmäärityksen Managed Microsoft AD -verkkotunnukselle Cloud DNS Peeringin avulla.
Käyttääksesi saapuvaa DNS-käytäntöä sinun on määritettävä tiloissa olevat järjestelmät tai nimipalvelimet välittämään DNS-kyselyt välityspalvelimen IP-osoitteeseen, joka sijaitsee samalla alueella kuin Cloud VPN-tunneli tai VLAN-liitännäinen, joka yhdistää tilaverkkosi VPC-verkkoosi.Tutustu saapuvien palvelinkäytäntöjen luomiseen.
Vertaisverkkokäytäntöjen käyttäminen
Hallittu Microsoft AD ei tue sisäkkäisiä vertaisverkkokäytäntöjä, joten vain verkot, joilla on suora valtuutus Active Directoryyn, voivat käyttää toimialuetta. Valtuutetun verkon vertaisverkot eivät voi tavoittaa Managed Microsoft AD -toimialuetta.