Den här sidan beskriver de olika alternativen för att ansluta till en hanterad tjänst för Microsoft Active Director-domän.
- Ansluta till en virtuell Windows-domän som är ansluten till en domän med RDP
- Felsökning av RDP-anslutningar
- Lösning av Kerberos-problem
- Ansluta till en domänansluten Linux VM
- System Security Services Daemon (SSSD) ansluten direkt till Active Directory
- Winbind
- OpenLDAP
- Anslutning till en domän via förtroende
- Ansluta till en domän med Hybrid Connectivity-produkter
- För du börjar
- Ansluta med domännamn
- Användning av IP-adress för DNS-upplösning
- Användning av peerings
Ansluta till en virtuell Windows-domän som är ansluten till en domän med RDP
Du kan ansluta till din domän med Remote Desktop Protocol (RDP). Av säkerhetsskäl kan du inte använda RDP för att ansluta direkt till en domänkontrollant. Istället kan du använda RDP för att ansluta till en Compute Engine-instans och sedan använda standardverktygen för AD-hantering för att arbeta på distans med AD-domänen.
När du har kopplat ihop Windows VM med en domän kan du använda RDP i Cloud Console för att koppla upp dig mot din domänkopplade Windows VM och hantera dina Active Directory-objekt.
Felsökning av RDP-anslutningar
Om du har problem med att ansluta till din Windows-instans med RDP, se Felsökning av RDP för tips och tillvägagångssätt för att felsöka och lösa vanliga RDP-problem.
Lösning av Kerberos-problem
Om du försöker använda Kerberos för din RDP-anslutning, men den återgår till NTLM, kanske din konfiguration inte uppfyller de nödvändiga kraven.
Om du vill använda Kerberos för att göra RDP till en hanterad virtuell maskin som är kopplad till Microsoft AD med hjälp av Kerberos behöver RDP-klienten en biljett som utfärdats för målservern. För att få den här biljetten måste klienten kunna:
- För att få fram serverns SPN (Service Principal Name). För RDP härleds SPN från serverns DNS-namn.
- Kontaktera domänkontrollanten för den domän som klientens arbetsstation är ansluten till och begära en biljett för detta SPN.
För att säkerställa att klienten kan fastställa SPN:et lägger du till ett IP-baserat SPN till serverns datorobjekt i AD.
För att säkerställa att klienten kan hitta rätt domänkontrollant att kontakta måste du göra något av följande:
- Skapa ett förtroende till din lokala AD-domän. Läs mer om hur du skapar och hanterar förtroenden.
- Anslut från en domänansluten arbetsstation viaCloud VPN eller Cloud Interconnect.
Ansluta till en domänansluten Linux VM
Det här avsnittet listar några av alternativen med öppen källkod för att hantera Active Directory-samarbete med Linux. Lär dig hur du ansluter en Linux VM till en hanterad Microsoft AD-domän.
System Security Services Daemon (SSSD) ansluten direkt till Active Directory
Du kan använda System Security Services Daemon (SSSD) för att hantera Active Directoryinteroperation. Observera att SSSD inte har stöd för förtroenden över skogsgränserna. Läs mer omSSSD.
Winbind
Du kan använda Winbind för att hantera Active Directory-samarbetet. Den använder MicrosoftRemote Procedure Calls (MSRPCs) för att interagera med Active Directory, vilket liknar en Windows-klient. Winbind har stöd för förtroenden över skogsgränserna. Läs mer om Winbind.
OpenLDAP
OpenLDAP är en uppsättning LDAP-program. Vissa tredjepartsleverantörer har utvecklat egna Active Directory-samarbetsverktyg baserade på OpenLDAP.Läs mer omOpenLDAP.
Anslutning till en domän via förtroende
Om du skapar ett förtroende mellan din lokala domän och din hanterade Microsoft AD-domän kan du få tillgång till dina AD-resurser i Google Cloud som om de fanns i din lokala domän. Läs mer om hur du skapar och hanterar förtroenden i Managed Microsoft AD.
Ansluta till en domän med Hybrid Connectivity-produkter
Du kan ansluta till din Managed Microsoft AD-domän med Google Cloud HybridConnectivity-produkter, som Cloud VPN eller Cloud Interconnect. Du kan konfigurera anslutningen från ditt lokala nätverk eller ett annat nätverk till ett auktoriserat nätverk för den hanterade Microsoft AD-domänen. Läs mer om hybridanslutning.
För du börjar
-
Skapa en Managed Microsoft AD-domän.
-
Förbind din virtuella Windows- eller din virtuella Linux-domän med den Managed Microsoft AD-domänen.
Ansluta med domännamn
Vi rekommenderar att du ansluter till en domänkontrollant med hjälp av domännamnet i stället för adressen eftersom Managed Microsoft AD inte tillhandahåller statiska IP-adresser.Om du använder namnet kan Active Directory DC Locator-processen hitta domänkontrollanten åt dig, även om dess IP-adress har ändrats.
Användning av IP-adress för DNS-upplösning
Om du måste använda IP-adressen för att ansluta kan du skapa en inkommande DNS-policy i ditt VPC-nätverk så att det kan använda samma namnupplösningstjänster som Managed Microsoft AD använder. Managed Microsoft AD använder Cloud DNS för att tillhandahålla namnupplösning till Managed Microsoft AD-domänen med hjälp av Cloud DNS Peering.
Om du vill använda principen för inkommande DNS måste du konfigurera dina lokala system eller namnservrar så att de vidarebefordrar DNS-frågor till proxy-IP-adressen som ligger i samma region som Cloud VPN-tunneln eller VLAN-anslutningen som ansluter ditt lokala nätverk till ditt VPC-nätverk.Läs mer om hur du skapar en policy för inkommande servrar.
Användning av peerings
Managed Microsoft AD har inte stöd för nested peering, så endast nätverk som är direkt auktoriserade för Active Directory kan få åtkomst till domänen. Peers i det auktoriserade nätverket kan inte nå domänen Managed Microsoft AD.