התחברות לדומיין של שירות מנוהל ל-Microsoft AD

בדף הזה מתוארות האפשרויות השונות להתחברות לדומיין של שירות מנוהל ל-Microsoft Active Directory.

התחברות ל-VM של Windows שמצורף לדומיין באמצעות RDP

אתם יכולים להתחבר לדומיין באמצעות פרוטוקול Remote Desktop ‏ (RDP). מטעמי אבטחה, אי אפשר להשתמש ב-RDP כדי להתחבר ישירות לבקר דומיין. במקום זאת, אפשר להשתמש ב-RDP כדי להתחבר למכונת Compute Engine, ואז להשתמש בכלים הסטנדרטיים לניהול AD כדי לעבוד מרחוק עם דומיין AD.

אחרי הצטרפות של מכונת Windows וירטואלית לדומיין, אפשר להשתמש ב-RDP במסוף Google Cloud כדי להתחבר למכונת Windows וירטואלית שהצטרפה לדומיין ולנהל את האובייקטים של Active Directory.

פתרון בעיות בחיבורי RDP

אם אתם נתקלים בבעיות בהתחברות למופע Windows באמצעות RDP, כדאי לעיין במאמר פתרון בעיות ב-RDP כדי לקבל טיפים וגישות לפתרון בעיות נפוצות ב-RDP.

פתרון בעיות ב-Kerberos

אם אתם מנסים להשתמש ב-Kerberos לחיבור RDP, אבל החיבור חוזר ל-NTLM, יכול להיות שההגדרה שלכם לא עומדת בדרישות הנדרשות.

כדי להתחבר למכונה וירטואלית שמצורפת ל-Managed Microsoft AD באמצעות RDP עם Kerberos, לקוח ה-RDP צריך כרטיס שהונפק לשרת היעד. כדי לקבל את הכרטיס הזה, הלקוח צריך להיות מסוגל לבצע את המשימות הבאות:

  • קובעים את השם הראשי של השירות (SPN) של השרת. ב-RDP, ה-SPN נגזר משם ה-DNS של השרת.
  • פונים לבקר הדומיין של הדומיין שאליו מצורפת תחנת העבודה של הלקוח ומבקשים כרטיס עבור ה-SPN הזה.

כדי לוודא שהלקוח יכול לקבוע את ה-SPN, מוסיפים SPN מבוסס-IP לאובייקט המחשב של השרת ב-AD.

כדי לוודא שהלקוח יכול למצוא את בקר הדומיין הנכון שאליו צריך לפנות, צריך לבצע אחת מהמשימות הבאות:

התחברות ל-VM של Linux שמצורף לדומיין

בקטע הזה מפורטות כמה מהאפשרויות של קוד פתוח לניהול פעולת Active Directory עם Linux. איך מצטרפים למכונה וירטואלית של Linux לדומיין מנוהל של Microsoft AD

השירות System Security Services Daemon‏ (SSSD) הצטרף ישירות ל-Active Directory

אפשר להשתמש ב-System Security Services Daemon‏ (SSSD) כדי לנהל את פעולת Active Directory. שימו לב: SSSD לא תומך ביחסי אמון בין יערות. SSSD

Winbind

אפשר להשתמש ב-Winbind כדי לנהל את פעולת Active Directory. הוא משתמש ב-Microsoft Remote Procedure Calls ‏ (MSRPCs) כדי ליצור אינטראקציה עם Active Directory, בדומה ללקוח Windows. ‫Winbind תומך ביחסי אמון בין יערות. מידע על Winbind

OpenLDAP

‫OpenLDAP היא חבילה של אפליקציות LDAP. ספקים מסוימים של צד שלישי פיתחו כלים קנייניים להפעלה הדדית של Active Directory שמבוססים על OpenLDAP. OpenLDAP

חיבור לדומיין באמצעות יחסי אמון

אם יוצרים יחסי אמון בין הדומיין המקומי לבין דומיין Managed Microsoft AD, אפשר לגשת למשאבי AD ב- Google Cloudכאילו הם נמצאים בדומיין המקומי. איך יוצרים ומנהלים יחסי אמון ב-Managed Microsoft AD

התחברות לדומיין עם מוצרים של Hybrid Connectivity

אפשר להתחבר לדומיין שלכם ב-Managed Microsoft AD באמצעות מוצרים של Google Cloud קישוריות היברידית, כמו Cloud VPN או Cloud Interconnect. אתם יכולים להגדיר את החיבור מהרשת המקומית או מרשת אחרת לרשת מורשית של דומיין מנוהל של Microsoft AD.

לפני שמתחילים

חיבור באמצעות שם דומיין

מומלץ להתחבר לבקר דומיין באמצעות שם הדומיין שלו ולא באמצעות כתובת ה-IP שלו, כי Managed Microsoft AD לא מספק כתובות IP סטטיות. בעזרת שם הדומיין, תהליך איתור בקר הדומיין של Active Directory יכול למצוא את בקר הדומיין בשבילכם, גם אם כתובת ה-IP שלו השתנתה.

שימוש בכתובת IP לפענוח DNS

אם אתם משתמשים בכתובת ה-IP כדי להתחבר לדומיין, אתם יכולים ליצור מדיניות DNS נכנסת ברשת ה-VPC שלכם כדי שהיא תוכל להשתמש באותם שירותי תרגום שמות שבהם נעשה שימוש ב-Managed Microsoft AD. ‫Managed Microsoft AD משתמש ב-Cloud DNS כדי לספק פענוח שמות לדומיין Managed Microsoft AD באמצעות קישור בין רשתות שכנות (peering) ב-Cloud DNS.

כדי להשתמש במדיניות DNS נכנסת, צריך להגדיר את המערכות המקומיות או את שרתי השמות להעברת שאילתות DNS לכתובת ה-IP של ה-proxy שנמצאת באותו אזור כמו מנהרת Cloud VPN או קובץ ה-VLAN שמחבר את הרשת המקומית לרשת ה-VPC. מידע נוסף על יצירת מדיניות שרת לדואר נכנס

שימוש בחיבורי Peering

שירות מנוהל ל-Microsoft AD לא תומך בחיבור רשתות שכנות, ולכן רק רשתות שיש להן הרשאה ישירה ל-Active Directory יכולות לגשת לדומיין. עמיתים ברשת המורשית לא יכולים לגשת לדומיין Managed Microsoft AD.