Creare una relazione di trust con un dominio on-premise

Questa pagina mostra come creare una relazione di trust tra i domini on-premise e un dominio Managed Service for Microsoft Active Directory. Questo trust può essere unidirezionale o bidirezionale. Può anche estendersi a più foreste. Se hai già configurato un trust, scopri come gestirlo.

Managed Microsoft AD supporta il tipo di trust della foresta e non supporta i tipi di trust esterni, di realm e di scorciatoia.

Tipi di trust

Una relazione di trust può essere unidirezionale o bidirezionale. Un trust unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. In questo argomento, il dominio on-premise è il lato attendibile o in entrata del trust unidirezionale e il dominio Managed Microsoft AD è il lato attendibile o in uscita della relazione. Un trust bidirezionale è un percorso di autenticazione bidirezionale creato tra due domini. Il trust e l'accesso fluiscono in entrambe le direzioni.

Prima di iniziare

Prima di creare un trust, completa i seguenti passaggi:

  1. Verifica che il dominio on-premise esegua una versione supportata di Windows.

  2. Raccogli gli indirizzi IP dei server DNS che si applicano al tuo dominio on-premise.

Stabilire la connettività di rete

Stabilisci la connettività di rete tra la tua rete on-premise e il tuo Google Cloud Virtual Private Cloud (VPC), quindi verifica che le due reti possano comunicare. Per ulteriori informazioni sull' identificazione e la creazione di connessioni Cloud VPN, consulta la panoramica di Cloud VPN.

Aprire le porte del firewall

Configura le porte in entrata/in uscita sulla tua rete on-premise e sul tuo Google Cloud VPC per consentire la connettività di trust di Active Directory.

Le tabelle seguenti elencano il set minimo di porte necessarie per stabilire il trust. Potresti dover configurare altre porte, a seconda dello scenario. Per ulteriori informazioni, consulta Requisiti delle porte di Active Directory e Active Directory Domain Services di Microsoft.

Aprire le porte del firewall di rete on-premise

Apri le porte elencate nella tabella seguente sul firewall on-premise al blocco IP CIDR utilizzato dalla rete VPC e dalla rete Managed Microsoft AD.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Modifica della password Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Aprire le porte del firewall di rete VPC

Apri le porte elencate nella tabella seguente sul firewall della rete VPC al blocco IP CIDR utilizzato dalla rete on-premise.

Protocollo Porta Funzionalità
TCP, UDP 53 DNS

Configurare i server di forwarding condizionale DNS

Dopo aver aperto le porte del firewall, configura i server di forwarding condizionale DNS. Queste impostazioni ti consentono di fornire suggerimenti per il forwarding delle richieste non risolvibili a server DNS diversi.

Verificare la presenza di una policy di forwarding in entrata

Prima di creare una policy di forwarding in entrata di Cloud DNS per il tuo VPC, verifica se ne esiste una.

  1. Apri la pagina delle policy dei server Cloud DNS nella Google Cloud console.
    Apri la pagina Cloud DNS

  2. Cerca una policy nell'elenco in cui la colonna In entrata è impostata su On e la rete VPC utilizzata dal tuo dominio è elencata nel menu a discesa sotto la colonna In uso da.

Se trovi una policy esistente valida, puoi passare a Recuperare gli indirizzi IP DNS.

Creare una policy di forwarding in entrata

Per creare una policy di forwarding in entrata, completa i seguenti passaggi:

  1. Apri la pagina delle policy dei server Cloud DNS nella Google Cloud console.
    Apri la pagina Cloud DNS

  2. Seleziona Crea policy.

  3. Inserisci un Nome.

  4. Imposta Forwarding query in entrata su On.

  5. Seleziona la rete VPC per il tuo dominio dal menu Reti.

  6. Seleziona Crea.

Recuperare gli indirizzi IP DNS

Dopo aver creato una policy di forwarding in entrata, recupera gli indirizzi IP DNS per il tuo dominio Managed Microsoft AD. Se hai appena creato una nuova policy Cloud DNS, gli indirizzi IP potrebbero non essere ancora visualizzati. In questo caso, attendi qualche minuto e riprova.

  1. Apri la pagina delle policy dei server Cloud DNS nella Google Cloud console.
    Apri la pagina Cloud DNS

  2. Seleziona la policy dall'elenco, quindi seleziona la scheda In uso da.

  3. Prendi nota di tutti gli indirizzi IP DNS del dominio Managed Microsoft AD che devi configurare nel tuo dominio on-premise. Questi indirizzi sono necessari per stabilire il trust con il dominio Managed Microsoft AD.

Assicurati che i blocchi CIDR contenenti questi indirizzi IP siano configurati in nel firewall di rete on-premise.

Creare un server di forwarding condizionale DNS

Per configurare i server di forwarding condizionale DNS nel tuo dominio on-premise, utilizza gli indirizzi IP DNS per il tuo dominio Managed Microsoft AD per completare i seguenti passaggi.

  1. Accedi a un domain controller on-premise con un account amministratore di dominio o di Enterprise per il dominio on-premise.

  2. Apri DNS Manager.

  3. Espandi il server DNS del dominio per cui vuoi configurare il trust.

  4. Fai clic con il tasto destro del mouse su Server di forwarding condizionale e seleziona Nuovo server di forwarding condizionale.

  5. In Dominio DNS, inserisci il nome di dominio completo (FQDN) del dominio Managed Microsoft AD (ad esempio ad.example.com).

  6. Nel campo Indirizzi IP dei server master, inserisci gli indirizzi IP DNS del tuo dominio Managed Microsoft AD che hai annotato in precedenza nel passaggio Recuperare gli indirizzi IP DNS.

  7. Se nel campo FQDN server viene visualizzato un errore, puoi ignorarlo.

  8. Seleziona Memorizza questo server di forwarding condizionale in Active Directory, quindi seleziona Tutti i server DNS in questo dominio dal menu a discesa.

  9. Seleziona Ok.

Verificare il server di forwarding condizionale DNS

Puoi verificare che il server di forwarding sia configurato correttamente utilizzando nslookup o il cmdlet PowerShell Resolve-DnsName. Esegui questo comando:

nslookup FQDN

Sostituisci FQDN con il nome di dominio completo del tuo dominio Managed Microsoft AD.

Se il server di forwarding condizionale DNS è configurato correttamente, questo comando restituisce gli indirizzi IP dei domain controller.

Verificare la policy di sicurezza locale per il dominio on-premise

La creazione di un trust richiede che la policy di sicurezza locale per il dominio on-premise consenta l'accesso anonimo alle named pipe netlogon, samr e lsarpc. Per verificare che l'accesso anonimo sia attivato, completa i seguenti passaggi:

  1. Accedi a un domain controller on-premise con un account amministratore di dominio o di Enterprise per il dominio on-premise.

  2. Apri la console Policy di sicurezza locale.

  3. Nella console, vai a Impostazioni di sicurezza > Policy locali > Opzioni di sicurezza > Accesso di rete: named pipe a cui è possibile accedere in modo anonimo.

  4. Verifica che l'accesso anonimo a netlogon, samr e lsarpc sia attivato. Tieni presente che questi devono essere specificati su righe separate e non separati da virgole.

Configurare il trust

Dopo aver configurato le reti, puoi creare un trust tra il dominio on-premise e il dominio Managed Microsoft AD.

Configurare il dominio on-premise

Per stabilire il trust sul dominio on-premise, completa i seguenti passaggi:

  1. Accedi a un domain controller on-premise utilizzando un account amministratore di dominio o di Enterprise.

  2. Apri Domini e trust di Active Directory.

  3. Fai clic con il tasto destro del mouse sul dominio e seleziona Proprietà.

  4. Nella scheda Trust, seleziona Nuovo trust.

  5. Seleziona Avanti nella procedura guidata Nuovo trust.

  6. Inserisci il nome di dominio completo (FQDN) del dominio Managed Microsoft AD come Nome trust.

  7. In Tipo di trust, seleziona Trust della foresta.

  8. Imposta la Direzione del trust.

    • Per creare un trust unidirezionale, seleziona In entrata unidirezionale.
    • Per creare un trust bidirezionale, seleziona Bidirezionale.

  9. In Lati del trust, seleziona Solo questo dominio.

  10. In Livello di autenticazione del trust in uscita, seleziona Autenticazione a livello di foresta .

  11. Inserisci la Password del trust.

    Questa password è necessaria per configurare il trust sul dominio Managed Microsoft AD.

  12. Conferma le impostazioni del trust, quindi seleziona Avanti.

  13. Viene visualizzata la finestra Creazione del trust completata.

  14. Seleziona No, non confermare il trust in uscita, quindi seleziona Avanti.

  15. Seleziona No, non confermare il trust in entrata, quindi seleziona Avanti.

  16. Nella finestra di dialogo Completamento della procedura guidata Nuovo trust, seleziona Fine.

  17. Aggiorna il routing del suffisso del nome per il trust.

Configurare il dominio Managed Microsoft AD

Per stabilire il trust sul dominio Managed Microsoft AD, completa i seguenti passaggi:

Console

  1. Apri la pagina Microsoft AD gestito nella Google Cloud console.
    Apri la pagina Microsoft AD gestito

  2. Seleziona il dominio per cui creare un trust, quindi seleziona Crea trust.

  3. Imposta Tipo di trust su Foresta.

  4. In Nome di dominio di destinazione, inserisci il nome di dominio completo (FQDN) del dominio on-premise.

  5. Imposta la Direzione del trust.

    • Per creare un trust unidirezionale, seleziona In uscita.
    • Per creare un trust bidirezionale, seleziona Bidirezionale.

  6. Inserisci la password del trust che hai creato durante la configurazione del trust sul dominio on-premise.

  7. In IP del server di forwarding condizionale DNS, inserisci gli indirizzi IP DNS on-premise che hai raccolto in precedenza.

  8. Seleziona Crea relazione di trust.

  9. Tornerai alla pagina del dominio. Il nuovo trust dovrebbe essere visualizzato come Creazione. Attendi che lo stato diventi Connesso. Il completamento della configurazione può richiedere fino a 10 minuti.

gcloud

Per creare un trust unidirezionale, esegui questo comando gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Sostituisci quanto segue:

  • DOMAIN: il nome di dominio completo (FQDN) del dominio Managed Microsoft AD.
  • TARGET_DNS_IP_ADDRESSES: gli indirizzi IP DNS on-premise che hai raccolto in precedenza.
  • TARGET_DOMAIN_NAME: il nome di dominio completo (FQDN) del dominio on-premise.

Per creare un trust bidirezionale, esegui questo comando gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Per ulteriori informazioni, consulta il comando create.

Convalidare il trust bidirezionale

Dopo aver configurato il dominio Managed Microsoft AD per un trust bidirezionale, devi convalidare il trust in uscita dal dominio on-premise. Se stai creando un trust unidirezionale, puoi saltare questo passaggio.

Per verificare il trust in uscita, completa i seguenti passaggi:

  1. Accedi a un domain controller on-premise utilizzando un account amministratore di dominio o di Enterprise.

  2. Apri Domini e trust di Active Directory.

  3. Fai clic con il tasto destro del mouse sul dominio, quindi seleziona Proprietà.

  4. Nella scheda Trust, seleziona il trust in uscita per il dominio Managed Microsoft AD.

  5. Seleziona Proprietà.

  6. Nella scheda Generale, seleziona Convalida.

Risoluzione dei problemi

Se riscontri problemi durante la creazione di un trust, puoi provare i nostri suggerimenti per la risoluzione dei problemi.

Passaggi successivi