このページでは、Managed Service for Microsoft Active Directory ドメインに接続するためのさまざまなオプションについて説明します。

RDPでドメイン結合Windows VMに接続する

リモート デスクトップ プロトコル(RDP)でドメインに接続することができます。 セキュリティ上の理由から、RDPを使用してドメインコントローラーに直接接続することはできません。 その代わりに、RDP を使用して Compute Engine インスタンスに接続し、標準の AD 管理ツールを使用して AD ドメインをリモートで操作できます。

Windows VM をドメイン結合した後、Cloud Console で RDP を使用して、ドメイン結合した Windows VM に接続し、Active Directory オブジェクトを管理できます。

RDP 接続のトラブルシューティング

RDP で Windows インスタンスに接続できない場合は、RDP のトラブルシューティングを参照して、一般的な RDP の問題をトラブルシューティングして解決するためのヒントと方法を確認してください。

Kerberos の問題の解決

RDP 接続に Kerberos を使用しようとしたが、NTLM にフォールバックした場合、構成が必要な要件を満たしていない可能性があります。 このチケットを取得するために、クライアントは次のことが可能でなければなりません。 RDPの場合、SPNはサーバーのDNS名から取得します。

  • クライアントのワークステーションが接続しているドメインのドメインコントローラーに連絡して、そのSPNに対するチケットを要求します。
  • クライアントがSPNを決定できるようにするには、ADのサーバーのコンピュータオブジェクトにIPベースのSPNを追加します。

    クライアントが連絡する正しいドメインコントローラを見つけられるようにするには、次のいずれかを実行する必要があります。

  • Cloud VPN または Cloud Interconnect を使用してドメインに参加したワークステーションから接続します。
  • ドメインに参加した Linux VM に接続する

    このセクションでは、Linux との Active Directory 相互運用の管理に関するオープン ソース オプションをいくつかリストアップします。 Linux VM を Managed Microsoft AD ドメインに結合する方法を説明します。

    System Security Services Daemon (SSSD) を Active Directory に直接結合

    System Security Services Daemon (SSSD) を使用して Active Directory インターオペレーションを管理することができます。 SSSDは、クロスフォレストトラストをサポートしていないことに注意してください。 SSSDの詳細はこちら

    Winbind

    Winbindを使用すると、Active Directoryの相互運用を管理することができます。 Winbindは、MicrosoftRemote Procedure Calls (MSRPCs)を使用して、Windowsクライアントと同様にActive Directoryと対話します。 Winbindは、クロスフォレストトラストをサポートしています。 Winbindについて学ぶ

    OpenLDAP

    OpenLDAP は、LDAPアプリケーションのスイートです。 OpenLDAPについて詳しくはこちら

    トラストによるドメインへの接続

    オンプレミス ドメインと管理下のMicrosoft ADドメイン間にトラストを作成すると、Google CloudのADリソースにオンプレミス ドメインと同様にアクセスすることができます。 Managed Microsoft AD で信頼関係を作成および管理する方法について説明します。

    Connecting to a domain with Hybrid Connectivity products

    Cloud VPN や Cloud Interconnect など、Google Cloud HybridConnectivity 製品を使って Managed Microsoft AD ドメインに接続することが可能です。 オンプレミスまたは他のネットワークから、Managed Microsoft AD ドメインの認定ネットワークへの接続を設定することができます。 ハイブリッド接続について学ぶ

    始める前に

    • Managed Microsoft ADドメインを作成する

    • Windows VM または Linux VM を Managed Microsoft AD ドメインに参加させる。

    Connecting using domain name

    Managed Microsoft ADは固定IPアドレスを提供しないため、アドレスではなくドメイン名を使用してドメインコントローラーに接続することをお勧めします。名前を使用すると、Active Directory DC Locator プロセスは、ドメイン コントローラーの IP アドレスが変更されていても、ドメイン コントローラーを見つけることができます。

    DNS 解決に IP アドレスを使用

    接続に IP アドレスを使用する必要がある場合、VPC ネットワークで受信 DNS ポリシーを作成すると、Managed Microsoft AD と同じ名前解決サービスを使用できるようになります。

    受信DNSポリシーを使用するには、オンプレミスシステムまたはネームサーバーを設定して、オンプレミスネットワークをVPCネットワークに接続するCloud VPNトンネルまたはVLANアタッチメントと同じ地域にあるプロキシIPアドレスにDNSクエリーを転送する必要があります。インバウンドサーバーポリシーの作成について学びます。

    Using peerings

    管理されたMicrosoft ADはネストされたピアリングをサポートしていないので、Active Directoryが直接許可されているネットワークだけがドメインにアクセスできます。 認証されたネットワークのピアがManaged Microsoft ADドメインに到達することはできません。

    コメントを残す

    メールアドレスが公開されることはありません。