Questa pagina descrive le varie opzioni per la connessione a un servizio gestito per il dominio Microsoft Active Directory.

Collegamento a una VM Windows unita al dominio con RDP

Puoi connetterti al tuo dominio con Remote Desktop Protocol (RDP). Per ragioni di sicurezza, non puoi usare RDP per connetterti direttamente a un controller di dominio. Invece, puoi usare RDP per connetterti a un’istanza di Compute Engine, e poi usare gli strumenti standard di AD Manageability per lavorare da remoto con il tuo dominio AD.

Dopo aver unito il dominio alla tua VM Windows, puoi usare RDP nella Cloud Console per connetterti alla tua VM Windows unita al dominio e gestire i tuoi oggetti Active Directory.

Risolvere i problemi delle connessioni RDP

Se hai difficoltà a connetterti alla tua istanza di Windows con RDP, vedi Risoluzione dei problemi di RDP per suggerimenti e approcci per risolvere i problemi comuni di RDP.

Risolvere i problemi di Kerberos

Se provi a usare Kerberos per la tua connessione RDP, ma ricade su NTLM, la tua configurazione potrebbe non soddisfare i requisiti necessari.

Per RDP a una VM gestita Microsoft AD-joined usando Kerberos, il client RDP necessita di un ticket emesso per il server di destinazione. Per ottenere questo ticket, il client deve essere in grado di:

  • Determinare il nome principale del servizio (SPN) del server. Per RDP, l’SPN è derivato dal nome DNS del server.
  • Contattare il controller di dominio del dominio a cui è collegata la stazione di lavoro del client e richiedere un ticket per quell’SPN.

Per assicurarti che il client possa determinare l’SPN, aggiungi un SPN basato su IP all’oggetto computer del server in AD.

Per assicurarti che il client possa trovare il giusto controller di dominio da contattare, devi fare una delle seguenti cose:

  • Crea un trust al tuo dominio AD locale. Per saperne di più su come creare e gestire i trust.
  • Connettersi da una workstation unita al dominio tramiteCloud VPN o Cloud Interconnect.

Connettersi a una VM Linux unita al dominio

Questa sezione elenca alcune delle opzioni open source per gestire l’interoperatività di Active Directory con Linux. Impara come unire una VM Linux a un dominio Microsoft AD gestito.

System Security Services Daemon (SSSD) unito direttamente ad Active Directory

Puoi usare System Security Services Daemon (SSSD) per gestire l’interoperatività di Active Directory. Nota che SSSD non supporta i cross-forest trusts. Impara suSSSD.

Winbind

Puoi usare Winbind per gestire l’interoperatività di Active Directory. Utilizza MicrosoftRemote Procedure Calls (MSRPCs) per interagire con Active Directory, che è simile a un client di Windows. Winbind supporta i cross-forest trusts. Impara su Winbind.

OpenLDAP

OpenLDAP è una suite di applicazioni LDAP. Alcuni fornitori di terze parti hanno sviluppato strumenti proprietari per l’interoperabilità di Active Directory basati su OpenLDAP.Scopri di OpenLDAP.

Collegamento a un dominio tramite fiducia

Se crei una fiducia tra il tuo dominio on-premises e il tuo dominio gestito Microsoft AD, puoi accedere alle tue risorse AD in Google Cloud come se fossero nel tuo dominio on-premises. Scopri come creare e gestire i trust in Managed Microsoft AD.

Collegamento a un dominio con prodotti di connettività ibrida

Puoi connetterti al tuo dominio Managed Microsoft AD con prodotti di connettività ibrida di Google Cloud, come Cloud VPN o Cloud Interconnect. Puoi configurare la connessione dalla tua rete on-premises o di altro tipo a una rete autorizzata del dominio Managed Microsoft AD. Impara la connettività ibrida.

Prima di iniziare

  • Crea un dominio Managed Microsoft AD.

  • Unisci la tua VM Windows o la tua VM Linux al dominio Managed Microsoft AD.

Connettersi usando il nome del dominio

Si raccomanda di connettersi a un controller di dominio usando il suo nome di dominio piuttosto che il suo indirizzo perché Managed Microsoft AD non fornisce indirizzi IP statici.Usando il nome, il processo Active Directory DC Locator può trovare il controller di dominio per te, anche se il suo indirizzo IP è cambiato.

Utilizzando l’indirizzo IP per la risoluzione DNS

Se devi usare l’indirizzo IP per la connessione, puoi creare una policy DNS in entrata sulla tua rete VPC in modo che possa usare gli stessi servizi di risoluzione dei nomi che usa Managed Microsoft AD. Managed Microsoft AD utilizza Cloud DNS per fornire la risoluzione del nome al dominio Managed Microsoft AD utilizzando Cloud DNS Peering.

Per utilizzare la policy DNS in entrata, è necessario configurare i sistemi on-premises o i servername per inoltrare le query DNS all’indirizzo IP proxy situato nella regione del tunnel Cloud VPN o della connessione VLAN che collega la rete on-premises alla rete VPC.Impara a creare una politica del server in entrata.

Usare i peerings

Managed Microsoft AD non supporta il peering annidato, quindi solo le reti che sono direttamente autorizzate per Active Directory possono accedere al dominio. I peer della rete autorizzata non possono raggiungere il dominio Managed Microsoft AD.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.