Crea confianza con un dominio local

En esta página, se muestra cómo crear una relación de confianza entre los dominios locales y un dominio de Servicio administrado para Microsoft Active Directory. Esta confianza puede ser unidireccional o bidireccional. También puede abarcar varios bosques. Si ya configuraste una relación de confianza, aprende cómo administrar relaciones de confianza.

Microsoft AD administrado admite el tipo de confianza de bosque trust type y no admite los tipos de confianza externa, de dominio y de acceso directo.

Tipos de confianza

Una relación de confianza puede ser unidireccional o bidireccional. Una relación de confianza unidireccional es una ruta de autenticación unidireccional creada entre dos dominios. En este tema, el dominio local es el lado confiable o entrante de la relación de confianza unidireccional y el dominio de Microsoft AD administrado es el lado que confía o saliente de la relación. Una confianza bidireccional es una ruta de autenticación bidireccional creada entre dos dominios. Confianza y flujo de acceso en ambas direcciones.

Antes de comenzar

Antes de crear una relación de confianza, completa los siguientes pasos:

  1. Verifica que el dominio local ejecute una versión compatible de Windows.

  2. Recopila las direcciones IP de los servidores DNS que se aplican a tu dominio local.

Establece una conectividad de red

Establece la conectividad de red entre tu red local y tu Google Cloud nube privada virtual (VPC) y, luego, verifica que las dos redes puedan comunicarse. Para obtener más información sobre cómo identificar y establecer conexiones de Cloud VPN, consulta la Descripción general de Cloud VPN.

Abre puertos de firewall

Configura los puertos de entrada/salida en tu red local y tu Google Cloud VPC para permitir la conectividad de confianza de Active Directory.

Las siguientes tablas enumeran el conjunto mínimo de puertos necesarios para establecer la relación de confianza. Es posible que deba configurar más puertos, según su situación. Para obtener más información, consulta Requisitos de puertos de Active Directory y Active Directory Domain Services de Microsoft.

Abre los puertos de firewall de red locales

Abre los puertos enumerados en la siguiente tabla en tu firewall local para el bloque de IP de CIDR que usan tu red de VPC y la red de Microsoft AD administrado.

Protocolo Port Funcionalidad
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Cambio de contraseña de Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Abre puertos de firewall de red de VPC

Abre los puertos enumerados en la siguiente tabla en tu firewall de red de VPC para el bloque de IP de CIDR que usa tu red local.

Protocolo Port Funcionalidad
TCP, UDP 53 DNS

Configura servidores de reenvío condicionales de DNS

Después de abrir los puertos de firewall, configura los servidores de reenvío condicionales de DNS. Esta configuración te permite proporcionar sugerencias para reenviar solicitudes no resueltas a diferentes servidores DNS.

Comprueba una política de reenvío entrante

Antes de crear una política de reenvío entrante de Cloud DNS para su VPC, verifique si existe.

  1. Abre la página de políticas del servidor DNS de Cloud DNS en la Google Cloud consola.
    Abrir la página de Cloud DNS

  2. Busca una política en la lista en la que la columna Entrante esté configurada como Activada y la red de VPC que usa tu dominio aparece en el menú desplegable debajo de la columna En uso.

Si encuentras una política existente válida, puedes pasar a la sección Obtén direcciones IP de DNS.

Crea una política de reenvío entrante

Para crear una política de reenvío entrante, completa los siguientes pasos:

  1. Abre la página de políticas del servidor DNS de Cloud DNS en la Google Cloud consola.
    Abrir la página de Cloud DNS

  2. Selecciona Crear política.

  3. Ingresa un Nombre.

  4. Establezca Reenvío de consultas entrantes a Activado.

  5. Selecciona la red de VPC para tu dominio en el menú Redes.

  6. Selecciona Crear.

Obtén direcciones IP de DNS

Después de crear una política de reenvío entrante, obtén las direcciones IP de DNS para tu dominio de Microsoft AD administrado. Si acabas de crear una política de Cloud DNS nueva, es posible que las direcciones IP aún no aparezcan. Si esto sucede, espera unos minutos y vuelve a intentarlo.

  1. Abre la página de políticas del servidor DNS de Cloud DNS en la Google Cloud consola.
    Abrir la página de Cloud DNS

  2. Selecciona tu política de la lista y, luego, haz clic en la pestaña En uso.

  3. Toma nota de cualquier dirección IP de DNS del dominio de Microsoft AD administrado que necesites configurar en tu dominio local. Necesitas estas direcciones para establecer la relación de confianza con el dominio de Microsoft AD administrado.

Asegúrate de que los bloques de CIDR que contengan estas direcciones IP estén configurados en tu firewall de red local.

Crea un servidor de reenvío condicional de DNS

Para configurar los servidores de reenvío condicionales DNS en su dominio local, use las direcciones IP de DNS para su dominio de Microsoft AD administrado para completar los siguientes pasos.

  1. Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.

  2. Abre el administrador de DNS.

  3. Expanda el servidor DNS del dominio para el que desea configurar la relación de confianza.

  4. Haga clic con el botón derecho en servidores de reenvío condicionales y seleccione Nuevo servidor de reenvío condicional.

  5. En Dominio DNS, ingresa el FQDN del dominio de Microsoft AD administrado (por ejemplo, ad.example.com).

  6. En el campo direcciones IP de los servidores principales, ingresa las direcciones IP de DNS de tu dominio de Microsoft AD administrado que anotaste antes en el paso Obtén direcciones IP de DNS.

  7. Si el campo Servidor FQDN muestra un error, puedes ignorarlo.

  8. Seleccione Almacenar este servidor de reenvío condicional en Active Directory y, luego, seleccione Todos los servidores DNS en este dominio del menú desplegable.

  9. Selecciona Aceptar.

Verifica el servidor de reenvío condicional de DNS

Puede verificar que el servidor de reenvío esté configurado correctamente mediante nslookup o el cmdlet PowerShell Resolve-DnsName. Ejecuta el comando siguiente:

nslookup FQDN

Reemplaza FQDN por el nombre de dominio completamente calificado de tu dominio de Microsoft AD administrado.

Si el servidor de reenvío condicional de DNS está configurado correctamente, este comando muestra las direcciones IP de los controladores de dominio.

Verifica la política de seguridad local para su dominio local

Crear una confianza requiere que la política de seguridad local para tu dominio local permita el acceso anónimo a las canalizaciones llamadas netlogon, samr y lsarpc. Para verificar que el acceso anónimo esté habilitado, completa los siguientes pasos:

  1. Accede a un controlador de dominio local con una cuenta de administrador empresarial o de dominio para el dominio local.

  2. Abra la consola de política de seguridad local.

  3. En la consola, ve a Configuración de seguridad > Políticas locales > Opciones de seguridad > Acceso a la red: canalizaciones con nombre a las que se puede acceder de forma anónima.

  4. Verifica que el acceso anónimo a netlogon, samr y lsarpc esté habilitado. Ten en cuenta que deben especificarse en líneas separadas y no separados por comas.

Configura la relación de confianza

Después de configurar tus redes, puedes crear una relación de confianza entre tu dominio local y tu dominio de Microsoft AD administrado.

Configura el dominio local

Para establecer la relación de confianza en el dominio local, completa los siguientes pasos:

  1. Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.

  2. Abra Dominios y confianzas de Active Directory.

  3. Haz clic con el botón derecho en el dominio y selecciona Propiedades.

  4. En la pestaña Confiar, selecciona confianza Nueva.

  5. Selecciona Siguiente en el Asistente para nueva relación de confianza.

  6. Ingrese el FQDN del dominio de Microsoft AD administrado como el Nombre de la relación de confianza.

  7. Para el Tipo de relación de confianza, seleccione relación de confianza de bosque.

  8. Configura la Dirección de la relación de confianza.

    • Para crear una relación de confianza unidireccional, selecciona Entrada unidireccional.
    • Para crear una relación de este sentido, selecciona Two-way.

  9. Para Lados de la relación de confianza, seleccione Este dominio solamente.

  10. Para Nivel de autenticación de la relación de confianza saliente, seleccione Autenticación en todo el bosque.

  11. Ingresa la Contraseña de la relación de confianza.

    Necesitas esta contraseña para configurar la relación de confianza en el dominio de Microsoft AD administrado.

  12. Confirma la configuración de la relación de confianza y, luego, haz clic en Siguiente.

  13. Se muestra la ventana Creación de la relación de confianza completa.

  14. Selecciona No, do not confirm the outgoing trust y, luego, selecciona Siguiente.

  15. Selecciona No, do not confirm the incoming trust y, luego, selecciona Siguiente.

  16. En el cuadro de diálogo Completing the New Trust Wizard, selecciona Finalizar.

  17. Actualiza el enrutamiento del sufijo del nombre para la confianza.

Configura el dominio de Microsoft AD administrado

Para establecer la relación de confianza en el dominio de Microsoft AD administrado, completa los siguientes pasos:

Console

  1. Abra la página de Microsoft AD administrado en la Google Cloud consola de.
    Abrir la página de Microsoft AD administrado

  2. Selecciona el dominio para el que deseas crear una relación de confianza y, luego, selecciona Crear una relación de confianza.

  3. Establezca Tipo de relación de confianza en Bosque.

  4. En Nombre de dominio de destino, ingresa el FQDN del dominio local.

  5. Establece la Dirección de confianza.

    • Para crear una relación de confianza unidireccional, selecciona Saliente.
    • Para crear una relación de confianza bidireccional, selecciona Bidireccional.

  6. Ingrese la contraseña de la relación de confianza que creó al configurar la confianza en el dominio local.

  7. Para IP de reenvío condicional de DNS, ingresa las direcciones IP de DNS locales que recopilaste antes.

  8. Selecciona Crear una relación de confianza.

  9. Volverás a la página del dominio. Tu confianza nueva debe aparecer como Creando. Espera a que el estado cambie a Conectado. La configuración puede tardar hasta 10 minutos en completarse.

gcloud

Para crear una relación de confianza unidireccional, ejecuta el siguiente comando de gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Reemplaza lo siguiente:

Para crear una relación de confianza bidireccional, ejecuta el siguiente comando de gcloud CLI:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Para obtener más información, consulta el comando create.

Valida la confianza bidireccional

Después de configurar el dominio de Microsoft AD administrado para una relación de confianza bidireccional, debes validar la confianza de salida desde el dominio local. Si estás creando una relación de confianza unidireccional, puedes omitir este paso.

Para verificar la relación de confianza saliente, completa los siguientes pasos:

  1. Accede a un controlador de dominio local con una cuenta de administrador de dominio o Enterprise.

  2. Abra Dominios y confianzas de Active Directory.

  3. Haz clic con el botón derecho en tu dominio y, a continuación, selecciona Propiedades.

  4. En la pestaña Trust, selecciona la relación de confianza saliente para el dominio de Microsoft AD administrado.

  5. Selecciona Propiedades.

  6. En la pestaña General, selecciona Validate.

Solucionar problemas

Si tiene problemas al intentar crear una confianza, puede probar nuestros consejos para la solución de problemas.

¿Qué sigue?