By Leave a Comment on Łączenie z zarządzaną domeną Microsoft AD

Na tej stronie opisano różne opcje łączenia się z zarządzaną usługą dla domeny Microsoft Active Directory.

Połączenie z maszyną wirtualną Windows połączoną z domeną za pomocą protokołu RDP

Możesz połączyć się z domeną za pomocą protokołu Remote Desktop Protocol (RDP). Ze względów bezpieczeństwa, nie można używać RDP do łączenia się bezpośrednio z kontrolerem domeny. Zamiast tego można użyć RDP, aby połączyć się z instancją Compute Engine, a następnie użyć standardowych narzędzi AD Manageability do zdalnej pracy z domeną AD.

Po dołączeniu do domeny maszyny wirtualnej Windows można użyć RDP w konsoli Cloud Console, aby połączyć się z dołączoną do domeny maszyną wirtualną Windows i zarządzać obiektami Active Directory.

Rozwiązywanie problemów z połączeniami RDP

Jeśli masz problemy z połączeniem się z instancją Windows za pomocą RDP, zobacz Rozwiązywanie problemów z RDP, aby uzyskać wskazówki i metody rozwiązywania typowych problemów z RDP.

Rozwiązywanie problemów z protokołem Kerberos

Jeśli próbujesz użyć protokołu Kerberos do połączenia RDP, ale powraca on do NTLM, twoja konfiguracja może nie spełniać niezbędnych wymagań.

Aby RDP do zarządzanej maszyny wirtualnej połączonej z Microsoft AD przy użyciu protokołu Kerberos, klient RDP potrzebuje biletu wydanego dla serwera docelowego. Aby uzyskać ten bilet, klient musi być w stanie:

  • Określić Service principal name (SPN) serwera. W przypadku RDP SPN jest uzyskiwany z nazwy DNS serwera.
  • Kontaktować się z kontrolerem domeny domeny, do której jest podłączona stacja robocza klienta, i poprosić o bilet dla tego SPN.

Aby klient mógł określić SPN, dodaj SPN oparty na IP do obiektu komputerowego serwera w AD.

Aby klient mógł znaleźć właściwy kontroler domeny do kontaktu, musisz wykonać jedną z następujących czynności:

  • Utwórz zaufanie do lokalnej domeny AD. Dowiedz się więcej o tworzeniu i zarządzaniu zaufaniem.
  • Połącz się ze stacji roboczej połączonej z domeną za pomocąCloud VPN lub Cloud Interconnect.

Połączenie z maszyną wirtualną Linux połączoną z domeną

Ta sekcja zawiera listę niektórych opcji open source do zarządzania współpracą Active Directory z systemem Linux. Dowiedz się, jak przyłączyć maszynę wirtualną Linux do zarządzanej domeny Microsoft AD.

System Security Services Daemon (SSSD) przyłączony bezpośrednio do Active Directory

Możesz użyć System Security Services Daemon (SSSD) do zarządzania współpracą z Active Directory. Należy pamiętać, że SSSD nie obsługuje trustów międzyleśnych. Learn aboutSSSD.

Winbind

You can use Winbind to manage Active Directory interoperation. Używa on MicrosoftRemote Procedure Calls (MSRPCs) do interakcji z Active Directory, co jest podobne do klienta Windows. Winbind obsługuje międzyleśne mechanizmy zaufania. Learn aboutWinbind.

OpenLDAP

OpenLDAP jest pakietem aplikacji LDAP. Niektórzy dostawcy zewnętrzni opracowali własne narzędzia do współpracy z Active Directory oparte na OpenLDAP.Learn aboutOpenLDAP.

Połączenie z domeną przez zaufanie

Jeśli utworzysz zaufanie między domeną lokalną a zarządzaną domeną Microsoft AD, możesz uzyskać dostęp do zasobów AD w Google Cloud tak, jakby znajdowały się w domenie lokalnej. Dowiedz się, jak tworzyć i zarządzać trustami w zarządzanej domenie Microsoft AD.

Połączenie z domeną za pomocą produktów Hybrid Connectivity

Możesz połączyć się z zarządzaną domeną Microsoft AD za pomocą produktów Google Cloud HybridConnectivity, takich jak Cloud VPN lub Cloud Interconnect. Można skonfigurować połączenie z sieci lokalnej lub innej sieci do autoryzowanej sieci domeny Managed Microsoft AD. Learn aboutybrid connectivity.

Before you begin

  • Create a Managed Microsoft AD domain.

  • Join your Windows VM orryour Linux VM to the Managed Microsoft ADdomain.

Połączenie przy użyciu nazwy domeny

Zalecamy łączenie się z kontrolerem domeny przy użyciu jego nazwy domeny, a nie adresu, ponieważ zarządzana domena Microsoft AD nie zapewnia statycznych adresów IP.Używając nazwy, proces Active Directory DC Locator może znaleźć kontroler domeny, nawet jeśli jego adres IP uległ zmianie.

Używanie adresu IP do rozwiązywania DNS

Jeśli musisz użyć adresu IP do połączenia, możesz utworzyć przychodzącą politykę DNS w sieci VPC, aby mogła ona korzystać z tych samych usług rozwiązywania nazw, których używa zarządzany Microsoft AD. Zarządzany program Microsoft AD używa usługi Cloud DNS, aby zapewnić rozwiązywanie nazw domeny zarządzanego programu Microsoft AD przy użyciu usługi Cloud DNS Peering.

Aby użyć zasad DNS przychodzącego, należy skonfigurować systemy lokalne lub serwery nazw, aby przekazywały zapytania DNS do adresu IP proxy znajdującego się w regionie, w którym znajduje się tunel Cloud VPN lub przystawka VLAN łącząca sieć lokalną z siecią VPC.Learn about creating an inbound server policy.

Using peerings

Managed Microsoft AD nie obsługuje zagnieżdżonego peering, więc tylko sieci, które są bezpośrednio autoryzowane dla Active Directory mogą uzyskać dostęp do domeny. Sieci równorzędne autoryzowanej sieci nie mogą uzyskać dostępu do domeny Managed Microsoft AD.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.