Această pagină descrie diferitele opțiuni de conectare la un domeniu Managed Service for Microsoft Active Directory.
- Conectarea la o mașină virtuală Windows conectată la un domeniu cu RDP
- Depanarea conexiunilor RDP
- Rezolvarea problemelor Kerberos
- Conectarea la o VM Linux alăturată domeniului
- System Security Services Daemon (SSSD) alăturat direct la Active Directory
- Winbind
- OpenLDAP
- Conectarea la un domeniu prin intermediul unui trust
- Conectarea la un domeniu cu produse de conectivitate hibridă
- Înainte de a începe
- Conectarea folosind numele de domeniu
- Utilizarea adresei IP pentru rezoluția DNS
- Utilizarea de peeringuri
Conectarea la o mașină virtuală Windows conectată la un domeniu cu RDP
Vă puteți conecta la domeniul dumneavoastră cu Remote Desktop Protocol (RDP). Din motive de securitate, nu puteți utiliza RDP pentru a vă conecta direct la un controler de domeniu. În schimb,puteți utiliza RDP pentru a vă conecta la o instanță Compute Engine și apoi puteți utiliza instrumentele standard AD Manageability pentru a lucra de la distanță cu domeniul dvs. AD.
După ce v-ați conectat la domeniu la mașina dvs. virtuală Windows, puteți utiliza RDP în Cloud Console pentru a vă conecta la mașina dvs. virtuală Windows conectată la domeniu și a vă gestiona obiectele Active Directory.
Depanarea conexiunilor RDP
Dacă întâmpinați dificultăți în conectarea la instanța dvs. Windows cu RDP,consultați Depanarea RDPpentru sfaturi și abordări pentru depanarea și rezolvarea problemelor comune ale RDP.
Rezolvarea problemelor Kerberos
Dacă încercați să utilizați Kerberos pentru conexiunea RDP, dar aceasta revine la NTLM,este posibil ca configurația dvs. să nu îndeplinească cerințele necesare.
Pentru a face RDP la o VM administrată Microsoft AD-joined folosind Kerberos, clientul RDP are nevoie de un tichet emis pentru serverul țintă. Pentru a obține acest tichet, clientul trebuie să poată:
- Determina numele principalului de serviciu (SPN) al serverului. Pentru RDP, SPN-ul este derivat din numele DNS al serverului.
- Contactați controlorul de domeniu al domeniului la care este conectată stația de lucru a clientului și solicitați un tichet pentru acel SPN.
Pentru a vă asigura că clientul poate determina SPN-ul, adăugați un SPN bazat pe IP la obiectul computer al serverului din AD.
Pentru a vă asigura că clientul poate găsi controlerul de domeniu corect pe care să îl contacteze, trebuie să faceți una dintre următoarele:
- Creați o încredere în domeniul AD din incinta dvs. Aflați mai multe desprecrearea și gestionarea trusturilor.
- Conectați-vă de la o stație de lucru alăturată domeniului prinCloud VPN sau Cloud Interconnect.
Conectarea la o VM Linux alăturată domeniului
Această secțiune enumeră unele dintre opțiunile open source pentru gestionarea interoperării Active Directory cu Linux. Aflați cum să alăturați o VM Linux la un domeniu Microsoft AD gestionat.
System Security Services Daemon (SSSD) alăturat direct la Active Directory
Puteți utiliza System Security Services Daemon (SSSD) pentru a gestiona interoperarea cu Active Directory. Rețineți că SSSD nu suportă trusturi între păduri. Aflați despreSSSD.
Winbind
Puteți utiliza Winbind pentru a gestiona interoperarea Active Directory. Acesta utilizează MicrosoftRemote Procedure Calls (MSRPC) pentru a interacționa cu Active Directory, care este asemănător cu un client Windows. Winbind suportă trusturi între păduri. Aflați mai multe despreWinbind.
OpenLDAP
OpenLDAP este o suită de aplicații LDAP. Unii furnizori terți audezvoltat instrumente proprietare de interoperare Active Directory bazate pe OpenLDAP.Aflați mai multe despreOpenLDAP.
Conectarea la un domeniu prin intermediul unui trust
Dacă creați un trust între domeniul dvs. local și domeniul Microsoft AD administrat, puteți accesa resursele AD în Google Cloud ca și cum acestea s-ar afla în domeniul dvs. local. Aflați cum să creați și să gestionați trusturile în Managed Microsoft AD.
Conectarea la un domeniu cu produse de conectivitate hibridă
Vă puteți conecta la domeniul dumneavoastră Managed Microsoft AD cu produse de conectivitate hibridă Google Cloud, cum ar fi Cloud VPN sau Cloud Interconnect. Putețiconfigura conexiunea de la rețeaua dvs. locală sau de la o altă rețea la o rețea autorizată a domeniului Managed Microsoft AD. Aflați mai multe despreconectivitatea hibridă.
Înainte de a începe
-
Creați un domeniu Managed Microsoft AD.
-
Conectați-vă mașina virtuală Windows sau mașina virtuală Linux la domeniul Managed Microsoft AD.
Conectarea folosind numele de domeniu
Recomandăm conectarea la un controler de domeniu folosind numele de domeniu mai degrabă decât adresa sa, deoarece Managed Microsoft AD nu oferă adrese IP statice.Folosind numele, procesul Active Directory DC Locator poate găsi pentru dumneavoastră controlorul de domeniu, chiar dacă adresa IP a acestuia s-a schimbat.
Utilizarea adresei IP pentru rezoluția DNS
Dacă trebuie să folosiți adresa IP pentru a vă conecta, puteți crea o politică DNS de intrare în rețeaua VPC, astfel încât aceasta să poată folosi aceleași servicii de rezoluție a numelui pe care le foloseșteManaged Microsoft AD. Managed Microsoft AD utilizează Cloud DNS pentru a furniza rezoluția numelui la domeniul Managed Microsoft AD utilizând Cloud DNS Peering.
Pentru a utiliza politica DNS de intrare, trebuie să configurați sistemele sau serverele de nume de la fața locului pentru a redirecționa interogările DNS către adresa IP proxy situată în aceeași regiune ca și tunelul Cloud VPN sau atașamentul VLAN careconectează rețeaua dvs. de la fața locului la rețeaua VPC.Aflați cum să creați o politică de server de intrare.
Utilizarea de peeringuri
Managed Microsoft AD nu acceptă peeringuri imbricate, astfel încât numai rețelele care sunt autorizate direct pentru Active Directory pot accesa domeniul. Peerii din rețeaua autorizată nu pot ajunge la domeniul Managed Microsoft AD.
.