Cette page décrit les différentes options de connexion à un domaine de service géré pour Microsoft Active Directory.

Connexion à une VM Windows jointe à un domaine avec RDP

Vous pouvez vous connecter à votre domaine avec le protocole de bureau à distance (RDP). Pour des raisons de sécurité, vous ne pouvez pas utiliser RDP pour vous connecter directement à un contrôleur de domaine. Au lieu de cela,vous pouvez utiliser RDP pour vous connecter à une instance de Compute Engine, puis utiliser les outils standard AD Manageability pour travailler à distance avec votre domaine AD.

Après avoir joint le domaine à votre VM Windows, vous pouvez utiliser RDP dans la console Cloud pour vous connecter à votre VM Windows jointe au domaine et gérer vos objets Active Directory.

Dépannage des connexions RDP

Si vous avez des difficultés à vous connecter à votre instance Windows avec RDP,consultez la section Dépannage de RDP pour obtenir des conseils et des approches permettant de dépanner et de résoudre les problèmes RDP courants.

Résolution des problèmes Kerberos

Si vous essayez d’utiliser Kerberos pour votre connexion RDP, mais qu’elle retombe sur NTLM,votre configuration ne répond peut-être pas aux exigences nécessaires.

Pour se connecter par RDP à une VM gérée Microsoft AD-jointed à l’aide de Kerberos, le client RDPa besoin d’un ticket émis pour le serveur cible. Pour obtenir ce ticket, le client doit pouvoir :

  • Déterminer le nom de principal de service (SPN) du serveur. Pour RDP, le SPN est dérivé du nom DNS du serveur.
  • Contacter le contrôleur de domaine du domaine auquel la station de travail du client est reliée et demander un ticket pour ce SPN.

Pour s’assurer que le client puisse déterminer le SPN, ajoutez un SPN basé sur l’IP à l’objet ordinateur du serveur dans AD.

Pour s’assurer que le client puisse trouver le bon contrôleur de domaine à contacter, vous devez effectuer l’une des opérations suivantes :

  • Créer une confiance vers votre domaine AD sur site. En savoir plus sur la création et la gestion des trusts.
  • Connexion depuis un poste de travail joint au domaine viaCloud VPN ou Cloud Interconnect.

Connexion à une VM Linux jointe au domaine

Cette section répertorie certaines des options open source pour gérer l’interopérabilité d’Active Directory avec Linux. Apprenez comment joindre une VM Linux à un domaine AD Microsoft géré.

System Security Services Daemon (SSSD) joint directement à Active Directory

Vous pouvez utiliser System Security Services Daemon (SSSD) pour gérer Active Directoryinteroperation. Notez que SSSD ne prend pas en charge les trusts inter-forêts. En savoir plus surSSSD.

Winbind

Vous pouvez utiliser Winbind pour gérer l’interopérabilité Active Directory. Il utilise les appels de procédure à distance MicrosoftRemote (MSRPC) pour interagir avec Active Directory, ce qui est similaire à un client Windows. Winbind prend en charge les trusts inter-forêts. En savoir plus surWinbind.

OpenLDAP

OpenLDAP est une suite d’applications LDAP. Certains fournisseurs tiers ont développé des outils propriétaires d’interopérabilité Active Directory basés sur OpenLDAP.En savoir plus surOpenLDAP.

Connexion à un domaine via une confiance

Si vous créez une confiance entre votre domaine sur site et votre domaine Microsoft AD géré, vous pouvez accéder à vos ressources AD dans Google Cloud comme si elles se trouvaient dans votre domaine sur site. Découvrez comment créer et gérer des trusts dans Microsoft AD géré.

Connexion à un domaine avec des produits de connectivité hybride

Vous pouvez vous connecter à votre domaine Microsoft AD géré avec des produits de connectivité hybride Google Cloud, comme Cloud VPN ou Cloud Interconnect. Vous pouvezconfigurer la connexion depuis votre réseau sur site ou autre vers un réseau autorisé du domaine Microsoft AD géré. Découvrez la connectivité hybride.

Avant de commencer

  • Créer un domaine Microsoft AD géré.

  • Joindre votre VM Windows ouvotre VM Linux au domaine Microsoft AD géré.

Connexion à l’aide du nom de domaine

Nous recommandons de se connecter à un contrôleur de domaine à l’aide de son nom de domaine plutôt que de son adresse car Microsoft AD géré ne fournit pas d’adresses IP statiques.En utilisant le nom, le processus Active Directory DC Locator peut trouver le contrôleur de domaine pour vous, même si son adresse IP a changé.

Utilisation de l’adresse IP pour la résolution DNS

Si vous devez utiliser l’adresse IP pour vous connecter, vous pouvez créer une politique DNS entrante sur votre réseau VPC afin qu’il puisse utiliser les mêmes services de résolution de noms queManaged Microsoft AD utilise. Managed Microsoft AD utilise Cloud DNS pour fournir une résolution de nom au domaine Managed Microsoft AD à l’aide de Cloud DNS Peering.

Pour utiliser la stratégie DNS entrante, vous devez configurer vos systèmes sur site ou vos serveurs de nom pour transférer les requêtes DNS à l’adresse IP proxy située dans la même région que le tunnel VPN Cloud ou l’attachement VLAN qui connecte votre réseau sur site à votre réseau VPC.En savoir plus sur la création d’une politique de serveur entrant.

Utilisation des peerings

Géré Microsoft AD ne prend pas en charge le peering imbriqué, de sorte que seuls les réseaux qui sont directement autorisés pour Active Directory peuvent accéder au domaine. Les pairs du réseau autorisé ne peuvent pas atteindre le domaine Managed Microsoft AD.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.