Esta página descreve as várias opções para estabelecer ligação a um domínio do Managed Service for Microsoft Active Directory.
Estabelecer ligação a uma VM do Windows associada a um domínio com o RDP
Pode ligar-se ao seu domínio com o protocolo de ambiente de trabalho remoto (RDP). Por motivos de segurança, não pode usar o RDP para estabelecer ligação diretamente a um controlador de domínio. Em alternativa, pode usar o RDP para estabelecer ligação a uma instância do Compute Engine e, em seguida, usar as ferramentas de capacidade de gestão do AD padrão para trabalhar remotamente com o seu domínio do AD.
Depois de associar a VM do Windows ao domínio, pode usar o RDP na Google Cloud consola para estabelecer ligação à VM do Windows associada ao domínio e gerir os objetos do Active Directory.
Resolução de problemas de ligações RDP
Se tiver dificuldades em estabelecer ligação à sua instância do Windows com o RDP, consulte o artigo Resolução de problemas do RDP para ver dicas e abordagens para resolver problemas comuns do RDP.
Resolver problemas do Kerberos
Se tentar usar o Kerberos para a sua ligação RDP, mas este voltar a usar o NTLM, a sua configuração pode não cumprir os requisitos necessários.
Para usar o RDP numa VM associada ao Microsoft AD gerido através do Kerberos, o cliente RDP precisa de um pedido emitido para o servidor de destino. Para receber este pedido, o cliente tem de conseguir realizar as seguintes tarefas:
- Determine o nome principal do serviço (SPN) do servidor. Para o RDP, o SPN é derivado do nome DNS do servidor.
- Contacte o controlador de domínio do domínio ao qual a estação de trabalho do cliente está associada e peça um pedido para esse SPN.
Para garantir que o cliente consegue determinar o SPN, adicione um SPN baseado em IP ao objeto de computador do servidor no AD.
Para garantir que o cliente consegue encontrar o controlador de domínio certo para contactar, tem de realizar uma das seguintes tarefas:
- Crie uma relação de confiança com o seu domínio do AD no local. Saiba mais sobre como criar e gerir relações de confiança.
- Ligue-se a uma estação de trabalho associada a um domínio através do Cloud VPN ou do Cloud Interconnect.
Estabelecer ligação a uma VM do Linux associada a um domínio
Esta secção apresenta algumas das opções de código aberto para gerir a interoperabilidade do Active Directory com o Linux. Saiba como associar uma VM Linux a um domínio do Microsoft AD gerido.
O System Security Services Daemon (SSSD) juntou-se diretamente ao Active Directory
Pode usar o daemon de serviços de segurança do sistema (SSSD) para gerir a interoperabilidade do Active Directory. Tenha em atenção que o SSSD não suporta relações de confiança entre florestas. Saiba mais sobre o SSSD.
Winbind
Pode usar o Winbind para gerir a interoperabilidade do Active Directory. Utiliza chamadas de procedimentos remotos (MSRPCs) da Microsoft para interagir com o Active Directory, que é semelhante a um cliente Windows. O Winbind suporta relações de confiança entre florestas. Saiba mais sobre o Winbind.
OpenLDAP
O OpenLDAP é um conjunto de aplicações LDAP. Alguns fornecedores externos desenvolveram ferramentas de interoperabilidade do Active Directory proprietárias baseadas no OpenLDAP. Saiba mais sobre o OpenLDAP.
Estabelecer ligação a um domínio através da confiança
Se criar uma relação de confiança entre o seu domínio no local e o seu domínio do Microsoft AD gerido, pode aceder aos seus recursos do AD no Google Cloud como se estivessem no seu domínio no local. Saiba como criar e gerir relações de confiança no Managed Microsoft AD.
Associar a um domínio com produtos de conetividade híbrida
Pode ligar-se ao seu domínio do Microsoft AD gerido com produtos de Google Cloud conetividade híbrida, como o Cloud VPN ou o Cloud Interconnect. Pode configurar a ligação da sua rede no local ou de outra rede a uma rede autorizada do domínio do Microsoft AD gerido.
Antes de começar
Associe a sua VM do Windows ou a sua VM do Linux ao domínio do Managed Microsoft AD.
Estabelecer ligação através do nome de domínio
Recomendamos que se ligue a um controlador de domínio através do respetivo nome de domínio em vez do respetivo endereço IP, uma vez que o Microsoft AD gerido não fornece endereços IP estáticos. Através do nome do domínio, o processo de localizador do DC do Active Directory pode encontrar o controlador de domínio por si, mesmo que o respetivo endereço IP tenha sido alterado.
Usar o endereço IP para a resolução de DNS
Se usar o endereço IP para se ligar a um domínio, pode criar uma política de DNS de entrada na sua rede VPC para que possa usar os mesmos serviços de resolução de nomes que o Managed Microsoft AD usa. O Microsoft AD gerido usa o Cloud DNS para fornecer resolução de nomes ao domínio do Microsoft AD gerido através da interligação do Cloud DNS.
Para usar a política de DNS de entrada, tem de configurar os seus sistemas no local ou servidores de nomes para encaminhar consultas DNS para o endereço IP do proxy localizado na mesma região que o anexo de VLAN ou o túnel de VPN na nuvem que liga a sua rede no local à sua rede VPC. Saiba como criar uma política de servidor de entrada.
Usar interligações
O Microsoft AD gerido não suporta a interligação aninhada, pelo que apenas as redes diretamente autorizadas para o Active Directory podem aceder ao domínio. Os pares da rede autorizada não conseguem aceder ao domínio do Microsoft AD gerido.