Halaman ini menunjukkan cara membuat hubungan kepercayaan antara domain lokal dan domain Managed Service for Microsoft Active Directory. Kepercayaan ini dapat berupa satu arah atau dua arah. Objek ini juga dapat mencakup beberapa hutan. Jika Anda telah menyiapkan kepercayaan, pelajari cara mengelola kepercayaan.
Managed Microsoft AD mendukung jenis kepercayaan hutan dan tidak mendukung jenis kepercayaan eksternal, realm, dan pintasan.
Jenis kepercayaan
Hubungan kepercayaan dapat berupa satu arah atau dua arah. Kepercayaan satu arah adalah jalur autentikasi satu arah yang dibuat di antara dua domain. Dalam topik ini, domain lokal adalah sisi tepercaya atau masuk dari kepercayaan satu arah dan domain Microsoft AD Terkelola adalah sisi mempercayai atau keluar dari hubungan tersebut. Kepercayaan dua arah adalah jalur autentikasi dua arah yang dibuat di antara dua domain. Alur kepercayaan dan akses di kedua arah.
Sebelum memulai
Sebelum Anda membuat kepercayaan, selesaikan langkah-langkah berikut:
Pastikan domain lokal menjalankan versi Windows yang didukung.
Kumpulkan alamat IP server DNS yang berlaku untuk domain lokal Anda.
Membangun konektivitas jaringan
Buat konektivitas jaringan antara jaringan lokal dan Google Cloud Virtual Private Cloud (VPC) Anda, lalu verifikasi bahwa kedua jaringan dapat berkomunikasi. Untuk mengetahui informasi selengkapnya tentang mengidentifikasi dan membuat koneksi Cloud VPN, lihat Ringkasan Cloud VPN.
Membuka port firewall
Konfigurasi port ingress/egress di jaringan lokal danGoogle Cloud VPC Anda untuk mengizinkan konektivitas kepercayaan Active Directory.
Tabel berikut mencantumkan serangkaian port minimal yang diperlukan untuk membangun kepercayaan. Anda mungkin perlu mengonfigurasi lebih banyak port, bergantung pada skenario Anda. Untuk informasi selengkapnya, lihat Persyaratan Port Active Directory dan Active Directory Domain Services Microsoft.
Membuka port firewall jaringan lokal
Buka port yang tercantum dalam tabel berikut di firewall lokal Anda ke blok IP CIDR yang digunakan oleh jaringan VPC dan jaringan Managed Microsoft AD Anda.
| Protokol | Port | Fungsi |
|---|---|---|
| TCP, UDP | 53 | DNS |
| TCP, UDP | 88 | Kerberos |
| TCP, UDP | 464 | Perubahan sandi Kerberos |
| TCP | 135 | RPC |
| TCP | 49152-65535 | RPC |
| TCP, UDP | 389 | LDAP |
| TCP, UDP | 445 | SMB |
Membuka port firewall jaringan VPC
Buka port yang tercantum dalam tabel berikut di firewall jaringan VPC Anda ke blok IP CIDR yang digunakan oleh jaringan lokal Anda.
| Protokol | Port | Fungsi |
|---|---|---|
| TCP, UDP | 53 | DNS |
Mengonfigurasi penerusan bersyarat DNS
Setelah membuka port firewall, konfigurasi penerusan bersyarat DNS. Setelan ini memungkinkan Anda memberikan petunjuk untuk meneruskan permintaan yang tidak dapat diselesaikan ke server DNS yang berbeda.
Memeriksa kebijakan penerusan masuk
Sebelum membuat kebijakan penerusan inbound Cloud DNS untuk VPC Anda, periksa apakah kebijakan tersebut sudah ada.
Buka halaman Cloud DNS server policies di konsol Google Cloud .
Buka halaman Cloud DNSCari kebijakan dalam daftar yang kolom Inbound-nya ditetapkan ke On, dan jaringan VPC yang digunakan oleh domain Anda tercantum di menu drop-down di kolom In use by.
Jika menemukan kebijakan yang valid dan sudah ada, Anda dapat melanjutkan ke Mendapatkan alamat IP DNS.
Membuat kebijakan penerusan masuk
Untuk membuat kebijakan penerusan masuk, selesaikan langkah-langkah berikut:
Buka halaman Cloud DNS server policies di konsol Google Cloud .
Buka halaman Cloud DNSPilih Create Policy.
Masukkan Nama.
Setel Inbound query forwarding ke On.
Pilih jaringan VPC untuk domain Anda dari menu Jaringan.
Pilih Create.
Mendapatkan alamat IP DNS
Setelah membuat kebijakan penerusan masuk, dapatkan alamat IP DNS untuk domain Microsoft AD Terkelola Anda. Jika Anda baru saja membuat kebijakan Cloud DNS, alamat IP mungkin belum muncul. Jika hal ini terjadi, tunggu beberapa menit dan coba lagi.
Buka halaman Cloud DNS server policies di konsol Google Cloud .
Buka halaman Cloud DNSPilih kebijakan Anda dari daftar, lalu pilih tab Digunakan oleh.
Catat semua alamat IP DNS domain Managed Microsoft AD yang perlu Anda konfigurasi di domain lokal. Anda memerlukan alamat ini untuk membangun kepercayaan dengan domain Microsoft AD Terkelola.
Pastikan blok CIDR yang berisi alamat IP ini dikonfigurasi di firewall jaringan lokal Anda.
Membuat forwarder kondisional DNS
Untuk mengonfigurasi penerus bersyarat DNS di domain lokal Anda, gunakan alamat IP DNS untuk domain Managed Microsoft AD Anda guna menyelesaikan langkah-langkah berikut.
Login ke pengontrol domain lokal dengan akun admin Domain atau Enterprise untuk domain lokal.
Buka Pengelola DNS.
Luaskan server DNS domain yang ingin Anda konfigurasi kepercayaannya.
Klik kanan Conditional Forwarders, lalu pilih New conditional forwarder.
Untuk DNS domain, masukkan FQDN domain Managed Microsoft AD (misalnya,
ad.example.com).Di kolom IP addresses of the master servers, masukkan alamat IP DNS domain Managed Microsoft AD Anda yang Anda catat sebelumnya di langkah Mendapatkan alamat IP DNS.
Jika kolom Server FQDN menampilkan error, Anda dapat mengabaikannya.
Pilih Store this conditional forwarder in Active Directory, lalu pilih All DNS servers in this domain dari menu drop-down.
Pilih Oke.
Memverifikasi forwarder kondisional DNS
Anda dapat memverifikasi bahwa penerusan dikonfigurasi dengan benar menggunakan nslookup atau cmdlet PowerShell Resolve-DnsName. Jalankan perintah berikut:
nslookup FQDN
Ganti FQDN dengan nama domain yang sepenuhnya memenuhi syarat dari domain Managed Microsoft AD Anda.
Jika penerus bersyarat DNS dikonfigurasi dengan benar, perintah ini akan menampilkan alamat IP pengontrol domain.
Memverifikasi Kebijakan Keamanan Lokal untuk domain lokal Anda
Membuat hubungan tepercaya mengharuskan Kebijakan Keamanan Lokal untuk domain lokal Anda mengizinkan akses anonim ke named pipe netlogon, samr, dan lsarpc. Untuk memverifikasi bahwa akses anonim diaktifkan, selesaikan langkah-langkah berikut:
Login ke pengontrol domain lokal dengan akun admin Domain atau Enterprise untuk domain lokal.
Di konsol, buka Security Settings > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously.
Pastikan akses anonim ke
netlogon,samr, danlsarpcdiaktifkan. Perhatikan bahwa ini harus ditentukan pada baris terpisah dan tidak dipisahkan dengan koma.
Menyiapkan kepercayaan
Setelah mengonfigurasi jaringan, Anda dapat membuat kepercayaan antara domain lokal dan domain Microsoft AD Terkelola.
Mengonfigurasi domain lokal
Untuk membuat kepercayaan di domain lokal, selesaikan langkah-langkah berikut:
Login ke pengontrol domain lokal menggunakan akun administrator Domain atau Enterprise.
Buka Active Directory Domains and Trusts.
Klik kanan domain, lalu pilih Properties.
Di tab Trust, pilih New trust.
Pilih Berikutnya di New Trust Wizard.
Masukkan FQDN domain Managed Microsoft AD sebagai Nama Kepercayaan.
Untuk Trust type, pilih Forest trust.
Tetapkan Arah Kepercayaan.
- Untuk membuat kepercayaan satu arah, pilih Masuk satu arah.
- Untuk membuat kepercayaan dua arah, pilih Dua arah.
Untuk Sisi Kepercayaan, pilih Hanya domain ini.
Untuk Outgoing Trust Authentication Level, pilih Forest-wide authentication.
Masukkan Sandi Tepercaya.
Anda memerlukan sandi ini untuk mengonfigurasi kepercayaan di domain Managed Microsoft AD.
Konfirmasi setelan kepercayaan, lalu pilih Berikutnya.
Jendela Trust Creation Complete akan ditampilkan.
Pilih Tidak, jangan konfirmasi kepercayaan keluar, lalu pilih Berikutnya.
Pilih Tidak, jangan konfirmasi kepercayaan masuk, lalu pilih Berikutnya.
Di dialog Completing the New Trust Wizard, pilih Finish.
Mengonfigurasi domain Microsoft AD Terkelola
Untuk membangun kepercayaan pada domain Microsoft AD Terkelola, selesaikan langkah-langkah berikut:
Konsol
Buka halaman Managed Microsoft AD di konsol Google Cloud .
Buka halaman Managed Microsoft ADPilih domain untuk membuat kepercayaan, lalu pilih Buat Kepercayaan.
Tetapkan Trust type ke Forest.
Untuk Target domain name, masukkan FQDN domain lokal.
Tetapkan Arah kepercayaan.
- Untuk membuat kepercayaan satu arah, pilih Keluar.
- Untuk membuat kepercayaan dua arah, pilih Dua arah.
Masukkan sandi kepercayaan yang Anda buat saat mengonfigurasi kepercayaan di domain lokal.
Untuk IP Forwarder Kondisional DNS, masukkan alamat IP DNS lokal yang Anda kumpulkan sebelumnya.
Pilih Buat Hubungan Kepercayaan.
Anda akan kembali ke halaman domain. Kepercayaan baru Anda akan ditampilkan sebagai Membuat. Tunggu hingga status berubah menjadi Connected. Penyiapan dapat memerlukan waktu hingga 10 menit untuk selesai.
gcloud
Untuk membuat kepercayaan satu arah, jalankan perintah gcloud CLI berikut:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=OUTBOUND
Ganti kode berikut:
DOMAIN: FQDN domain Managed Microsoft AD.TARGET_DNS_IP_ADDRESSES: Alamat IP DNS lokal yang Anda kumpulkan sebelumnya.TARGET_DOMAIN_NAME: FQDN domain lokal.
Untuk membuat kepercayaan dua arah, jalankan perintah gcloud CLI berikut:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=BIDIRECTIONAL
Untuk mengetahui informasi selengkapnya, lihat perintah create.
Memvalidasi kepercayaan dua arah
Setelah mengonfigurasi domain Managed Microsoft AD untuk kepercayaan dua arah, Anda harus memvalidasi kepercayaan keluar dari domain lokal. Jika Anda membuat kepercayaan satu arah, Anda dapat melewati langkah ini.
Untuk memverifikasi kepercayaan keluar, selesaikan langkah-langkah berikut:
Login ke pengontrol domain lokal menggunakan akun administrator Domain atau Enterprise.
Buka Active Directory Domains and Trusts.
Klik kanan domain Anda, lalu pilih Properties.
Di tab Trust, pilih kepercayaan keluar untuk domain Managed Microsoft AD.
Pilih Properties.
Di tab General, pilih Validasi.
Memecahkan masalah
Jika Anda mengalami masalah saat mencoba membuat kepercayaan, Anda dapat mencoba tips pemecahan masalah kami.
Langkah berikutnya
- Pelajari cara mengelola kepercayaan.
- Pelajari cara memecahkan masalah akses ke kepercayaan.