By Leave a Comment on Csatlakozás egy felügyelt Microsoft AD-tartományhoz

Ez az oldal a Microsoft Active Directory felügyelt szolgáltatáshoz való csatlakozás különböző lehetőségeit ismerteti.

Kapcsolódás egy tartományhoz kapcsolt Windows VM-hez RDP-vel

Távoli asztali protokollal (RDP) csatlakozhat a tartományhoz. Biztonsági okokból nem használhatja az RDP-t a tartományvezérlőhöz való közvetlen csatlakozáshoz. Ehelyett az RDP segítségével csatlakozhat egy Compute Engine-példányhoz, majd a szabványos AD kezelhetőségi eszközökkel távolról dolgozhat az AD-tartományával.

A Windows VM tartományhoz való csatlakoztatása után a Cloud Console-ban az RDP segítségével csatlakozhat a tartományhoz csatlakoztatott Windows VM-hez, és kezelheti az Active Directory-objektumokat.

RDP-kapcsolatok hibaelhárítása

Ha nehézségei vannak a Windows-példányhoz való csatlakozással az RDP segítségével,az RDP hibaelhárítása című fejezetben talál tippeket és megközelítéseket a gyakori RDP-problémák elhárítására és megoldására.

Kerberos-problémák megoldása

Ha megpróbálja használni a Kerberos-t az RDP-kapcsolathoz, de az NTLM-re esik vissza,a konfigurációja nem felel meg a szükséges követelményeknek.

Az RDP-hez, hogy Kerberos használatával RDP-t használhasson egy kezelt Microsoft AD-vel összekapcsolt VM-hez, az RDP-ügyfélnek szüksége van egy, a célkiszolgálóhoz kiállított jegyre. A jegy megszerzéséhez az ügyfélnek képesnek kell lennie:

  • meghatározni a kiszolgáló Service Principal nevét (SPN). RDP esetén az SPN a kiszolgáló DNS nevéből származik.
  • Lépjen kapcsolatba annak a tartománynak a tartományvezérlőjével, amelyhez az ügyfél munkaállomása csatlakozik, és kérjen jegyet az adott SPN-hez.

Hogy az ügyfél meg tudja határozni az SPN-t, adjon hozzá egy IP-alapú SPN-t a kiszolgáló számítógép objektumához az AD-ben.

Hogy az ügyfél megtalálja a megfelelő tartományvezérlőt, amellyel kapcsolatba léphet, a következők egyikét kell tennie:

  • Hozzon létre bizalmi kapcsolatot a helyi AD-tartományhoz. További információ a bizalmi kapcsolatok létrehozásáról és kezeléséről.
  • Kapcsolódás egy tartományhoz csatlakozó munkaállomásról aCloud VPN vagy Cloud Interconnect segítségével.

Kapcsolódás egy tartományhoz csatlakozó Linux VM-hez

Ez a szakasz felsorol néhány nyílt forráskódú lehetőséget az Active Directory és a Linux közötti együttműködés kezelésére. Megtanulja, hogyan csatlakoztathat egy Linux VM-et egy kezelt Microsoft AD tartományhoz.

System Security Services Daemon (SSSD) közvetlenül az Active Directoryhoz csatlakozva

A System Security Services Daemon (SSSD) segítségével kezelheti az Active Directory-működést. Vegye figyelembe, hogy az SSSD nem támogatja az erdők közötti bizalmi kapcsolatokat. Tudjon meg többet azSSSD-ről.

Winbind

A Winbind segítségével kezelheti az Active Directory együttműködését. MicrosoftRemote Procedure Calls (MSRPC-k) segítségével lép kapcsolatba az Active Directoryval, ami hasonló a Windows-ügyfélhez. A Winbind támogatja az erdőközi bizalmi kapcsolatokat. Tudjon meg többet a Winbindről.

OpenLDAP

A OpenLDAP egy LDAP-alkalmazáscsomag. Néhány harmadik fél szolgáltató saját Active Directory-interoperációs eszközöket fejlesztett ki az OpenLDAP alapján.További információ azOpenLDAP-ról.

Tartományhoz való csatlakozás bizalmon keresztül

Ha bizalmat hoz létre a helyi tartomány és aManaged Microsoft AD tartomány között, akkor a Google Cloudban úgy érheti el az AD erőforrásait, mintha azok a helyi tartományban lennének. Ismerje meg, hogyan hozhat létre és kezelhet bizalmi kapcsolatokat a Felügyelt Microsoft AD-ben.

Tartományhoz való csatlakozás hibrid csatlakozási termékekkel

A Felügyelt Microsoft AD-tartományhoz a Google Cloud hibrid csatlakozási termékeivel, például a Cloud VPN vagy a Cloud Interconnect segítségével csatlakozhat. Konfigurálhatja a kapcsolatot a helyben lévő vagy más hálózatról a felügyelt Microsoft AD-tartomány engedélyezett hálózatához. Tudjon meg többet a hibrid kapcsolódásról.

Kezdés előtt

  • Hozzon létre egy felügyelt Microsoft AD-tartományt.

  • Kapcsolja Windows VM-jét vagy Linux VM-jét a felügyelt Microsoft ADtartományhoz.

Kapcsolódás a tartománynév használatával

A tartományvezérlőhöz a cím helyett a tartománynév használatával ajánlott csatlakozni, mivel a Managed Microsoft AD nem biztosít statikus IP-címeket.A név használatával az Active Directory DC Locator folyamat meg tudja találni a tartományvezérlőt, még akkor is, ha annak IP-címe megváltozott.

IP-cím használata DNS-feloldáshoz

Ha IP-címet kell használnia a csatlakozáshoz, létrehozhat egy bejövő DNS-házirendet a VPC hálózatán, így az ugyanazokat a névfeloldási szolgáltatásokat használhatja, mint aManaged Microsoft AD. A Managed Microsoft AD a Cloud DNS-t használja a Cloud DNS Peering használatával a Managed Microsoft AD tartomány névfeloldásának biztosítására.

A bejövő DNS-házirend használatához úgy kell konfigurálnia a helyben lévő rendszereit vagy névkiszolgálóit, hogy a DNS-lekérdezéseket továbbítsák a proxy IP-címre, amely a Cloud VPN-alagúttal vagy VLAN-csatlakozással azonos régióban található, amely összeköti a helyben lévő hálózatot a VPC-hálózattal.Tudjon meg többet a bejövő kiszolgáló házirend létrehozásával kapcsolatban.

Társak használata

A kezelt Microsoft AD nem támogatja az egymásba ágyazott társításokat, így csak az Active Directoryhoz közvetlenül engedélyezett hálózatok férhetnek hozzá a tartományhoz. Az engedélyezett hálózat partnerhálózatai nem érhetik el a Managed Microsoft AD tartományt.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.