בדף הזה מתוארות האפשרויות השונות להתחברות לדומיין של שירות מנוהל ל-Microsoft Active Directory.
התחברות ל-VM של Windows שמצורף לדומיין באמצעות RDP
אתם יכולים להתחבר לדומיין באמצעות פרוטוקול Remote Desktop (RDP). מטעמי אבטחה, אי אפשר להשתמש ב-RDP כדי להתחבר ישירות לבקר דומיין. במקום זאת, אפשר להשתמש ב-RDP כדי להתחבר למכונת Compute Engine, ואז להשתמש בכלים הסטנדרטיים לניהול AD כדי לעבוד מרחוק עם דומיין AD.
אחרי הצטרפות של מכונת Windows וירטואלית לדומיין, אפשר להשתמש ב-RDP במסוף Google Cloud כדי להתחבר למכונת Windows וירטואלית שהצטרפה לדומיין ולנהל את האובייקטים של Active Directory.
פתרון בעיות בחיבורי RDP
אם אתם נתקלים בבעיות בהתחברות למופע Windows באמצעות RDP, כדאי לעיין במאמר פתרון בעיות ב-RDP כדי לקבל טיפים וגישות לפתרון בעיות נפוצות ב-RDP.
פתרון בעיות ב-Kerberos
אם אתם מנסים להשתמש ב-Kerberos לחיבור RDP, אבל החיבור חוזר ל-NTLM, יכול להיות שההגדרה שלכם לא עומדת בדרישות הנדרשות.
כדי להתחבר למכונה וירטואלית שמצורפת ל-Managed Microsoft AD באמצעות RDP עם Kerberos, לקוח ה-RDP צריך כרטיס שהונפק לשרת היעד. כדי לקבל את הכרטיס הזה, הלקוח צריך להיות מסוגל לבצע את המשימות הבאות:
- קובעים את השם הראשי של השירות (SPN) של השרת. ב-RDP, ה-SPN נגזר משם ה-DNS של השרת.
- פונים לבקר הדומיין של הדומיין שאליו מצורפת תחנת העבודה של הלקוח ומבקשים כרטיס עבור ה-SPN הזה.
כדי לוודא שהלקוח יכול לקבוע את ה-SPN, מוסיפים SPN מבוסס-IP לאובייקט המחשב של השרת ב-AD.
כדי לוודא שהלקוח יכול למצוא את בקר הדומיין הנכון שאליו צריך לפנות, צריך לבצע אחת מהמשימות הבאות:
- יוצרים יחסי אמון עם דומיין AD מקומי. מידע נוסף על יצירה וניהול של יחסי אמון
- מתחברים מתחנת עבודה שמצורפת לדומיין באמצעות Cloud VPN או Cloud Interconnect.
התחברות ל-VM של Linux שמצורף לדומיין
בקטע הזה מפורטות כמה מהאפשרויות של קוד פתוח לניהול פעולת Active Directory עם Linux. איך מצטרפים למכונה וירטואלית של Linux לדומיין מנוהל של Microsoft AD
השירות System Security Services Daemon (SSSD) הצטרף ישירות ל-Active Directory
אפשר להשתמש ב-System Security Services Daemon (SSSD) כדי לנהל את פעולת Active Directory. שימו לב: SSSD לא תומך ביחסי אמון בין יערות. SSSD
Winbind
אפשר להשתמש ב-Winbind כדי לנהל את פעולת Active Directory. הוא משתמש ב-Microsoft Remote Procedure Calls (MSRPCs) כדי ליצור אינטראקציה עם Active Directory, בדומה ללקוח Windows. Winbind תומך ביחסי אמון בין יערות. מידע על Winbind
OpenLDAP
OpenLDAP היא חבילה של אפליקציות LDAP. ספקים מסוימים של צד שלישי פיתחו כלים קנייניים להפעלה הדדית של Active Directory שמבוססים על OpenLDAP. OpenLDAP
חיבור לדומיין באמצעות יחסי אמון
אם יוצרים יחסי אמון בין הדומיין המקומי לבין דומיין Managed Microsoft AD, אפשר לגשת למשאבי AD ב- Google Cloudכאילו הם נמצאים בדומיין המקומי. איך יוצרים ומנהלים יחסי אמון ב-Managed Microsoft AD
התחברות לדומיין עם מוצרים של Hybrid Connectivity
אפשר להתחבר לדומיין שלכם ב-Managed Microsoft AD באמצעות מוצרים של Google Cloud קישוריות היברידית, כמו Cloud VPN או Cloud Interconnect. אתם יכולים להגדיר את החיבור מהרשת המקומית או מרשת אחרת לרשת מורשית של דומיין מנוהל של Microsoft AD.
לפני שמתחילים
מצטרפים ל-VM של Windows או ל-VM של Linux לדומיין Managed Microsoft AD.
חיבור באמצעות שם דומיין
מומלץ להתחבר לבקר דומיין באמצעות שם הדומיין שלו ולא באמצעות כתובת ה-IP שלו, כי Managed Microsoft AD לא מספק כתובות IP סטטיות. בעזרת שם הדומיין, תהליך איתור בקר הדומיין של Active Directory יכול למצוא את בקר הדומיין בשבילכם, גם אם כתובת ה-IP שלו השתנתה.
שימוש בכתובת IP לפענוח DNS
אם אתם משתמשים בכתובת ה-IP כדי להתחבר לדומיין, אתם יכולים ליצור מדיניות DNS נכנסת ברשת ה-VPC שלכם כדי שהיא תוכל להשתמש באותם שירותי תרגום שמות שבהם נעשה שימוש ב-Managed Microsoft AD. Managed Microsoft AD משתמש ב-Cloud DNS כדי לספק פענוח שמות לדומיין Managed Microsoft AD באמצעות קישור בין רשתות שכנות (peering) ב-Cloud DNS.
כדי להשתמש במדיניות DNS נכנסת, צריך להגדיר את המערכות המקומיות או את שרתי השמות להעברת שאילתות DNS לכתובת ה-IP של ה-proxy שנמצאת באותו אזור כמו מנהרת Cloud VPN או קובץ ה-VLAN שמחבר את הרשת המקומית לרשת ה-VPC. מידע נוסף על יצירת מדיניות שרת לדואר נכנס
שימוש בחיבורי Peering
שירות מנוהל ל-Microsoft AD לא תומך בחיבור רשתות שכנות, ולכן רק רשתות שיש להן הרשאה ישירה ל-Active Directory יכולות לגשת לדומיין. עמיתים ברשת המורשית לא יכולים לגשת לדומיין Managed Microsoft AD.