建立具有內部部署網域的信任

本頁說明如何在地端部署網域和 Managed Service for Microsoft Active Directory 網域之間建立信任關係。這種信任關係可以是單向或雙向。也可以跨越多個樹系。如果已設定信任關係,請參閱這篇文章,瞭解如何管理信任關係。

Managed Microsoft AD 支援樹系信任類型,但不支援外部、領域和捷徑信任類型。

信託類型

信任關係可以是單向或雙向。單向信任是兩個網域之間建立的單向驗證路徑。在本主題中,地端部署網域是單向信任關係的「受信任」或「傳入」端,而 Managed Microsoft AD 網域是關係的「信任」或「傳出」端。雙向信任是兩個網域之間建立的雙向驗證路徑。雙向信任和存取流程。

事前準備

建立信任關係前,請先完成下列步驟:

  1. 確認地端部署網域執行支援的 Windows 版本

  2. 收集適用於地端部署網域的 DNS 伺服器 IP 位址。

建立網路連線

在您的地端部署網路和虛擬私有雲 (VPC) 之間建立網路連線,然後確認這兩個網路可以通訊。Google Cloud 如要進一步瞭解如何識別及建立 Cloud VPN 連線,請參閱 Cloud VPN 總覽

開放防火牆通訊埠

在您的地端部署網路和Google Cloud VPC 上設定輸入/輸出通訊埠,允許 Active Directory 信任連線能力。

下表列出建立信任關係所需的最低通訊埠組合。視情況而定,您可能需要設定更多連接埠。詳情請參閱 Microsoft 的「Active Directory and Active Directory Domain Services Port Requirements」。

開啟地端部署網路防火牆通訊埠

在您的地端部署防火牆上,為虛擬私有雲網路和 Managed Microsoft AD 網路使用的 CIDR IP 區塊開啟下表列出的通訊埠。

通訊協定 通訊埠 功能
TCP、UDP 53 DNS
TCP、UDP 88 Kerberos
TCP、UDP 464 變更 Kerberos 密碼
TCP 135 RPC
TCP 49152-65535 RPC
TCP、UDP 389 LDAP
TCP、UDP 445 SMB

開啟虛擬私有雲網路防火牆通訊埠

在虛擬私有雲網路防火牆上,為地端部署網路使用的 CIDR IP 區塊開啟下表列出的通訊埠。

通訊協定 通訊埠 功能
TCP、UDP 53 DNS

設定 DNS 條件式轉送程式

開啟防火牆通訊埠後,請設定 DNS 條件轉送程式。 您可以透過這些設定,為將無法解析的要求轉送至其他 DNS 伺服器提供提示。

檢查是否有傳入轉送政策

為 VPC 建立 Cloud DNS 傳入轉送政策前,請先檢查是否已有這類政策。

  1. 在 Google Cloud 控制台中開啟 Cloud DNS 伺服器政策頁面。
    開啟 Cloud DNS 頁面

  2. 在清單中尋找「傳入」欄設為「開啟」的政策,且網域使用的虛擬私有雲網路會列在「使用執行個體的群組」欄下方的下拉式選單中。

如果找到有效的現有政策,可以跳至「取得 DNS IP 位址」。

建立傳入轉送政策

如要建立轉送政策,請完成下列步驟:

  1. 在 Google Cloud 控制台中開啟 Cloud DNS 伺服器政策頁面。
    開啟 Cloud DNS 頁面

  2. 選取「建立政策」

  3. 輸入名稱

  4. 將「Inbound query forwarding」(傳入查詢轉送) 設為「On」(開啟)

  5. 從「網路」選單中,選取網域的虛擬私有雲網路。

  6. 選取「建立」

取得 DNS IP 位址

建立傳入轉送政策後,請取得受管理 Microsoft AD 網域的 DNS IP 位址。如果您剛建立新的 Cloud DNS 政策,IP 位址可能尚未顯示。如果發生這種情況,請稍候片刻再試一次。

  1. 在 Google Cloud 控制台中開啟 Cloud DNS 伺服器政策頁面。
    開啟 Cloud DNS 頁面

  2. 從清單中選取政策,然後選取「使用對象」分頁標籤。

  3. 記下您需要在地端部署網域中設定的 Managed Microsoft AD 網域 DNS IP 位址。您需要這些地址,才能與 Managed Microsoft AD 網域建立信任關係。

請務必在地端部署網路防火牆中,設定包含這些 IP 位址的 CIDR 區塊。

建立 DNS 條件式轉寄站

如要在地端部署網域上設定 DNS 條件轉送器,請使用 Managed Microsoft AD 網域的 DNS IP 位址,完成下列步驟。

  1. 使用內部部署網域的網域或企業管理員帳戶,登入內部部署網域控制站。

  2. 開啟 DNS 管理工具。

  3. 展開要設定信任關係的網域 DNS 伺服器。

  4. 以滑鼠右鍵按一下「條件式轉寄者」,然後選取「新增條件式轉寄者」

  5. 在「DNS domain」(DNS 網域) 輸入 Managed Microsoft AD 網域的 FQDN (例如 ad.example.com)。

  6. 在「主要伺服器的 IP 位址」欄位中,輸入您在「取得 DNS IP 位址」步驟中記下的 Managed Microsoft AD 網域 DNS IP 位址。

  7. 如果「伺服器 FQDN」欄位顯示錯誤,請忽略。

  8. 選取「將這個條件式轉送器儲存在 Active Directory 中」,然後從下拉式選單中選取「這個網域中的所有 DNS 伺服器」

  9. 選取 [確定]。

驗證 DNS 條件式轉寄站

您可以使用 nslookupResolve-DnsName PowerShell Cmdlet,確認轉送器設定是否正確。執行下列指令:

nslookup FQDN

FQDN 替換為 Managed Microsoft AD 網域的完整網域名稱。

如果 DNS 條件式轉寄站設定正確,這項指令會傳回網域控制器的 IP 位址。

驗證地端部署網域的本機安全性原則

如要建立信任關係,您必須允許地端部署網域的本機安全性政策,匿名存取 netlogonsamrlsarpc 具名管道。如要確認是否已啟用匿名存取權,請完成下列步驟:

  1. 使用內部部署網域的網域或企業管理員帳戶,登入內部部署網域控制站。

  2. 開啟本機安全性原則控制台

  3. 在控制台中,依序前往「安全性設定」>「本機原則」 >「安全性選項」 >「網路存取:可匿名存取的具名管道」

  4. 確認已啟用對 netlogonsamrlsarpc 的匿名存取權。請注意,這些項目必須分行指定,不得以半形逗號分隔。

設定信任關係

設定網路後,您可以在地端部署網域和 Managed Microsoft AD 網域之間建立信任關係。

設定地端部署網域

如要在地端部署網域建立信任關係,請完成下列步驟:

  1. 使用網域或企業管理員帳戶登入地端部署網域控制站。

  2. 開啟「Active Directory 網域和信任關係」

  3. 在網域上按一下滑鼠右鍵,然後選取「屬性」

  4. 在「信任」分頁中,選取「新增」信任。

  5. 在「新增信任關係精靈」中選取「下一步」

  6. 輸入 Managed Microsoft AD 網域的完整網域名稱 (FQDN) 做為信任名稱

  7. 在「信任類型」部分,選取「樹系信任」

  8. 設定「信任方向」

    • 如要建立單向信任關係,請選取「單向連入」
    • 如要建立雙向信任關係,請選取「雙向」

  9. 在「信任關係」中,選取「僅限這個網域」

  10. 在「Outgoing Trust Authentication Level」部分,選取「Forest-wide authentication」

  11. 輸入「信任密碼」

    您需要使用這組密碼,在 Managed Microsoft AD 網域上設定信任關係。

  12. 確認信任設定,然後選取「下一步」

  13. 系統會顯示「信任關係建立完成」視窗。

  14. 選取「否,請勿確認外向信任關係」,然後選取「下一步」

  15. 選取「否,不要確認傳入的信任關係」,然後選取「下一步」

  16. 在「Completing the New Trust Wizard」(完成新增信任關係精靈) 對話方塊中,選取「Finish」(完成)

  17. 重新整理信任項目的名稱字尾路徑

設定 Managed Microsoft AD 網域

如要在 Managed Microsoft AD 網域上建立信任關係,請完成下列步驟:

控制台

  1. 在 Google Cloud 控制台中開啟「Managed Microsoft AD」頁面。
    開啟 Managed Microsoft AD 頁面

  2. 選取要建立信任關係的網域,然後選取「建立信任關係」

  3. 將「信任類型」設為「樹系」

  4. 在「目標網域名稱」中,輸入地端部署網域的 FQDN。

  5. 設定「信任關係方向」

    • 如要建立單向信任關係,請選取「Outbound」
    • 如要建立雙向信任關係,請選取「雙向」

  6. 輸入您在設定地端部署網域的信任關係時建立的信任密碼。

  7. 在「DNS Conditional Forwarder IPs」(DNS 條件式轉寄站 IP) 中,輸入您稍早收集的地端部署 DNS IP 位址。

  8. 選取「建立信任關係」

  9. 系統會將您帶回網域頁面。新的信任關係應會顯示為「正在建立」。等待狀態變更為「已連線」。設定程序最多可能需要 10 分鐘才能完成。

gcloud

如要建立單向信任關係,請執行下列 gcloud CLI 指令:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

更改下列內容:

  • DOMAIN:Managed Microsoft AD 網域的 FQDN。
  • TARGET_DNS_IP_ADDRESSES:您先前收集的地端部署 DNS IP 位址。
  • TARGET_DOMAIN_NAME:地端部署網域的 FQDN。

如要建立雙向信任關係,請執行下列 gcloud CLI 指令:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

詳情請參閱 create 指令

驗證雙向信任關係

為雙向信任關係設定 Managed Microsoft AD 網域後,您必須驗證地端部署網域的外向信任關係。如果您要建立單向信任關係,可以略過這個步驟。

如要驗證外向信任關係,請完成下列步驟:

  1. 使用網域或企業管理員帳戶登入地端部署網域控制站。

  2. 開啟「Active Directory 網域和信任關係」

  3. 在網域上按一下滑鼠右鍵,然後選取「屬性」

  4. 在「信任關係」分頁中,選取 Managed Microsoft AD 網域的外向信任關係。

  5. 選取 [內容]

  6. 在「一般」分頁中,選取「驗證」

疑難排解

如果嘗試建立信任關係時發生問題,請參閱疑難排解提示

後續步驟