Op deze pagina worden de verschillende opties beschreven voor het maken van verbinding met een beheerd Service for Microsoft Active Directory-domein.
- Verbinding maken met een aan een domein gekoppelde Windows VM met RDP
- Problemen oplossen bij RDP-verbindingen
- Oplossen van Kerberos-problemen
- Verbind u met een met het domein verbonden Linux VM
- System Security Services Daemon (SSSD) rechtstreeks verbonden met Active Directory
- Winbind
- OpenLDAP
- Verbinding maken met een domein via vertrouwen
- Verbinding maken met een domein met hybride connectiviteitsproducten
- Voordat u begint
- Verbinden met domeinnaam
- IP-adres gebruiken voor DNS-resolutie
- Peerings gebruiken
Verbinding maken met een aan een domein gekoppelde Windows VM met RDP
U kunt verbinding maken met uw domein met Remote Desktop Protocol (RDP). Om veiligheidsredenen kunt u RDP niet gebruiken om rechtstreeks verbinding te maken met een domeincontroller. In plaats daarvan kunt u RDP gebruiken om verbinding te maken met een Compute Engine-instance en vervolgens de standaardhulpprogramma’s voor AD-beheer gebruiken om op afstand met uw AD-domein te werken.
Nadat uw Windows VM aan het domein is gekoppeld, kunt u RDP in de Cloud Console gebruiken om verbinding te maken met uw Windows VM die aan het domein is gekoppeld en uw Active Directory-objecten te beheren.
Problemen oplossen bij RDP-verbindingen
Als u problemen ondervindt bij het maken van verbinding met uw Windows-instance met RDP, raadpleegt u Problemen oplossen met RDP voor tips en benaderingen om veelvoorkomende RDP-problemen op te lossen.
Oplossen van Kerberos-problemen
Als u Kerberos probeert te gebruiken voor uw RDP-verbinding, maar deze terugvalt op NTLM, voldoet uw configuratie mogelijk niet aan de noodzakelijke vereisten.
Om met Kerberos te kunnen RDP-en naar een beheerde Microsoft AD-gekoppelde VM, heeft de RDP-client een ticket nodig dat is uitgegeven voor de doelserver. Om dit ticket te verkrijgen, moet de client in staat zijn om:
- de service principal name (SPN) van de server te bepalen. Voor RDP wordt de SPN afgeleid van de DNS-naam van de server.
- Contacteer de domeincontroller van het domein waaraan het werkstation van de client is gekoppeld en vraag een ticket aan voor die SPN.
Om ervoor te zorgen dat de client de SPN kan bepalen, voegt u een op IP gebaseerde SPN toe aan het computerobject van de server in AD.
Om ervoor te zorgen dat de client de juiste domeincontroller kan vinden om contact mee op te nemen, moet u een van de volgende dingen doen:
- Maak een trust voor uw on-premises AD-domein aan. Meer informatie over het maken en beheren van trusts.
- Verbind u vanaf een met het domein verbonden werkstation via Cloud VPN of Cloud Interconnect.
Verbind u met een met het domein verbonden Linux VM
In dit gedeelte vindt u enkele van de open-sourceopties voor het beheren van Active Directory-interoperatie met Linux. Leer hoe u een Linux VM kunt verbinden met een beheerd Microsoft AD-domein.
System Security Services Daemon (SSSD) rechtstreeks verbonden met Active Directory
U kunt System Security Services Daemon (SSSD) gebruiken om Active Directory-interoperatie te beheren. Merk op dat SSSD geen ondersteuning biedt voor cross-forest trusts. Meer informatie over SSSD.
Winbind
U kunt Winbind gebruiken om de Active Directory-interoperatie te beheren. Het maakt gebruik van Microsoft Remote Procedure Calls (MSRPC’s) om te communiceren met Active Directory, die vergelijkbaar is met een Windows-client. Winbind ondersteunt cross-forest trusts. Leer meer over Winbind.
OpenLDAP
OpenLDAP is een suite van LDAP applicaties. Sommige externe leveranciers hebben eigen Active Directory-interoperatietools ontwikkeld op basis van OpenLDAP.Meer informatie over OpenLDAP.
Verbinding maken met een domein via vertrouwen
Als u een vertrouwen maakt tussen uw lokale domein en uw beheerde Microsoft AD-domein, hebt u toegang tot uw AD-bronnen in Google Cloud alsof ze zich in uw lokale domein bevinden. Ontdek hoe u trusts maakt en beheert in Managed Microsoft AD.
Verbinding maken met een domein met hybride connectiviteitsproducten
U kunt verbinding maken met uw Managed Microsoft AD-domein met Google Cloud HybridConnectivity-producten, zoals Cloud VPN of Cloud Interconnect. U kunt de verbinding configureren van uw lokale of andere netwerk naar een geautoriseerd netwerk van het beheerde Microsoft AD-domein. Meer informatie over hybride connectiviteit.
Voordat u begint
-
Maak een beheerd Microsoft AD-domein.
-
Sluit uw Windows VM of uw Linux VM aan op het beheerde Microsoft AD-domein.
Verbinden met domeinnaam
We raden u aan verbinding te maken met een domeincontroller door de domeinnaam te gebruiken in plaats van het adres, omdat Managed Microsoft AD geen statische IP-adressen biedt.Als u de naam gebruikt, kan het Active Directory DC Locator-proces de domeincontroller voor u vinden, zelfs als het IP-adres is gewijzigd.
IP-adres gebruiken voor DNS-resolutie
Als u het IP-adres moet gebruiken om verbinding te maken, kunt u een inkomend DNS-beleid maken op uw VPC-netwerk, zodat het dezelfde naamresolutieservices kan gebruiken dieManaged Microsoft AD gebruikt. Managed Microsoft AD maakt gebruik van Cloud DNS om naamresolutie te bieden aan het Managed Microsoft AD-domein met behulp van Cloud DNS Peering.
Om het inkomende DNS-beleid te gebruiken, moet u uw on-premises systemen of naamservers configureren om DNS-query’s door te sturen naar het proxy-IP-adres dat zich in dezelfde regio bevindt als de Cloud VPN-tunnel of VLAN-koppeling die uw on-premises netwerk met uw VPC-netwerk verbindt.Meer informatie over het maken van een inkomend serverbeleid.
Peerings gebruiken
Beheerde Microsoft AD ondersteunt geen geneste peering, dus alleen netwerken die rechtstreeks zijn geautoriseerd voor Active Directory hebben toegang tot het domein. Peers van het geautoriseerde netwerk kunnen het Managed Microsoft AD-domein niet bereiken.