Esta página descreve as várias opções para se conectar a um serviço gerenciado para Microsoft Active Directorydomain.
- Conectando-se a um domínio com o Windows VM com RDP
- Solucionar problemas de conexões RDP
- Resolvendo problemas Kerberos
- Conectar a um domínio unido ao Linux VM
- System Security Services Daemon (SSSD) unido diretamente ao Active Directory
- Winbind
- OpenLDAP
- Conectando-se a um domínio via trust
- Conectar-se a um domínio com produtos Hybrid Connectivity
- Antes de começar
- Conectar usando o nome de domínio
- Usando endereço IP para resolução DNS
- Usando peerings
Conectando-se a um domínio com o Windows VM com RDP
Você pode se conectar ao seu domínio com o Remote Desktop Protocol (RDP). Para razões de segurança, você não pode usar o RDP para se conectar diretamente a um controlador de domínio. Ao invés disso, você pode usar o RDP para conectar a uma instância do Compute Engine, e então usar ferramentas de gerenciamento de AD padrão para trabalhar remotamente com o seu domínio AD.
Após unir domínio ao seu Windows VM, você pode usar o RDP no Cloud Console para conectar ao seu Windows VM com domínio e gerenciar seus objetos Active Directory.
Solucionar problemas de conexões RDP
Se você estiver tendo dificuldade em conectar-se à sua instância do Windows com o RDP, veja Solução de problemas do RDP para dicas e abordagens de solução de problemas e problemas comuns do RDP.
Resolvendo problemas Kerberos
Se você tentar usar Kerberos para sua conexão RDP, mas ela cair de volta para NTLM,sua configuração pode não atender aos requisitos necessários.
Para o RDP para uma VM VM gerenciada com AD da Microsoft usando Kerberos, o cliente RDP precisa de um ticket emitido para o servidor de destino. Para obter este ticket, o cliente deve ser capaz de:
- Determinar o nome principal do serviço (SPN) do servidor. Para o RDP, o SPN é derivado do nome DNS do servidor.
- Contacte o controlador de domínio do domínio ao qual a estação de trabalho do cliente está ligada e solicite um ticket para esse SPN.
Para garantir que o cliente possa determinar o SPN, adicione um SPN baseado em IP ao objeto scomputer do servidor em AD.
Para garantir que o cliente possa encontrar o controlador de domínio certo para contatar, você deve fazer um dos seguintes:
- Criar uma confiança para o seu domínio AD no local. Aprenda mais sobre como criar e gerenciar trusts.
- Conectar a partir de uma estação de trabalho unida ao domínio viaCloud VPN ou Cloud Interconnect.
Conectar a um domínio unido ao Linux VM
Esta seção lista algumas das opções de código aberto para gerenciar a interoperação Active Directory com Linux. Aprenda a unir um Linux VM a um domínio AD gerenciado pela Microsoft.
System Security Services Daemon (SSSD) unido diretamente ao Active Directory
Você pode usar o System Security Services Daemon (SSSD) para gerenciar a interoperação com o Active Directory. Note que o SSSD não suporta trusts de cross-forest. Aprenda sobreSSSD.
Winbind
Você pode usar Winbind para gerenciar a interoperação com o Active Directory. Ele usa chamadas de procedimento MicrosoftRemote Procedure Calls (MSRPCs) para interagir com o Active Directory, que é semelhante a um cliente Windows. O Winbind suporta cross-forest trusts. Saiba mais sobreWinbind.
OpenLDAP
OpenLDAP é um conjunto de aplicações LDAP. Alguns provedores de terceiros desenvolveram ferramentas de interoperação proprietárias do Active Directory baseadas no OpenLDAP. Saiba mais sobreOpenLDAP.
Conectando-se a um domínio via trust
Se você criar uma confiança entre seu domínio local e seu domínio AD gerenciado pela Microsoft, você poderá acessar seus recursos AD no Google Cloudas se eles estiverem no seu domínio local. Saiba como criar e gerir fideicomissos no domínio Managed Microsoft AD.
Conectar-se a um domínio com produtos Hybrid Connectivity
Pode ligar-se ao seu domínio Managed Microsoft AD com produtos Google Cloud HybridConnectivity, como Cloud VPN ou Cloud Interconnect. Você pode configurar a conexão de sua rede local ou de outra rede a uma rede autorizada do domínio Managed Microsoft AD. Aprenda sobre conectividade abouthybrid.
Antes de começar
-
Criar um domínio AD Gerenciado Microsoft.
-
Junte seu Windows VM ao VM Gerenciado Microsoft ADdomain.
Conectar usando o nome de domínio
Recomendamos conectar a um controlador de domínio usando seu nome de domínio em vez de seu endereço, porque o AD Gerenciado Microsoft não fornece endereços IP estáticos.Usando o nome, o processo Active Directory DC Locator pode encontrar o controlador de domínio para você, mesmo que seu endereço IP tenha mudado.
Usando endereço IP para resolução DNS
Se você precisar usar o endereço IP para se conectar, você pode criar uma política de DNS de entrada em sua rede VPC para que ela possa usar os mesmos serviços de resolução de nomes que o AD gerenciado pela Microsoft usa. Managed Microsoft AD utiliza o DNS em nuvem para fornecer resolução de nomes para o domínio Managed Microsoft AD utilizando o Peering DNS em nuvem.
Para utilizar a política de DNS de entrada, você deve configurar seus sistemas locais orname servers para encaminhar consultas DNS para o endereço IP proxy localizado na mesma região como o túnel VPN em nuvem ou anexo VLAN que conecta sua rede local à sua rede VPC.Saiba como criar uma política de servidor de entrada.
Usando peerings
O AD gerido pela Microsoft não suporta o peering aninhado, por isso apenas as redes que estão directamente autorizadas para o Active Directory podem aceder ao domínio. Os pares da rede autorizada não podem alcançar o domínio gerenciado pelo Microsoft AD.