Criar uma relação de confiança com um domínio local

Nesta página, mostramos como criar um relacionamento de confiança entre domínios locais e um domínio do Serviço Gerenciado para Microsoft Active Directory. Essa confiança pode ser unidirecional ou bidirecional. Também pode abranger várias florestas. Se você já configurou uma confiança, veja como gerenciar confianças.

O Microsoft AD gerenciado oferece suporte ao tipo de confiança de floresta e não oferece suporte aos tipos de confiança externa, de realm e de atalho.

Tipos de confiança

Um relacionamento de confiança pode ser de mão única ou bidirecional. Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Neste tópico, o domínio local é o lado confiável ou recebido da confiança unidirecional, e o domínio Microsoft AD gerenciado é o lado confiante ou de saída do relacionamento. Uma confiança bidirecional é um caminho de autenticação bidirecional criado entre dois domínios. Fluxo de confiança e acesso nas duas direções.

Antes de começar

Antes de criar uma relação de confiança, siga estas etapas:

  1. Verifique se o domínio local está executando uma versão compatível do Windows.

  2. Reúna os endereços IP dos servidores DNS que se aplicam ao seu domínio local.

Estabelecer conectividade de rede

Estabeleça a conectividade de rede entre sua rede local e sua Google Cloud nuvem privada virtual (VPC) e verifique se as duas redes podem se comunicar. Para mais informações sobre como identificar e estabelecer conexões VPN do Cloud, consulte a visão geral do Cloud VPN.

Abrir portas de firewall

Configure as portas de entrada/saída na rede local e na sua Google Cloud VPC para permitir a confiança do Active Directory conectividade.

As tabelas a seguir listam o conjunto mínimo de portas necessárias para estabelecer a confiança. Talvez seja necessário configurar mais portas, dependendo do cenário. Para mais informações, consulte os requisitos de porta do Active Directory e do Active Directory Domain Services da Microsoft.

Abrir portas de firewall de rede local

Abra as portas listadas na tabela a seguir no firewall local para o bloco de IP CIDR usado pela rede VPC e pela rede do Microsoft AD gerenciado.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS
TCP, UDP 88 Kerberos
TCP, UDP 464 Alteração de senha do Kerberos
TCP 135 RPC
TCP 49152-65535 RPC
TCP, UDP 389 LDAP
TCP, UDP 445 SMB

Como abrir portas de firewall de rede VPC

Abra as portas listadas na tabela a seguir no firewall da rede VPC para o bloco de IP CIDR usado pela rede local.

Protocolo Porta Funcionalidade
TCP, UDP 53 DNS

Como configurar encaminhadores condicionais de DNS

Depois de abrir as portas de firewall, configure os encaminhadores condicionais de DNS. Com essas configurações, é possível fornecer dicas para encaminhar solicitações não resolvidas para servidores DNS diferentes.

Como verificar uma política de encaminhamento de entrada

Antes de criar uma política de encaminhamento de entrada do Cloud DNS para sua VPC, verifique se existe alguma.

  1. Abra a página de políticas do servidor DNS do Cloud DNS no Google Cloud console.
    Abrir a página do Cloud DNS

  2. Procure uma política na lista em que a coluna Entrada esteja definida como Ativado, e a rede VPC usada pelo seu domínio esteja listada no menu suspenso na coluna Em uso.

Se você encontrar uma política atual válida, pule para Como receber endereços IP de DNS.

Como criar uma política de encaminhamento de entrada

Para criar uma política de encaminhamento de entrada, siga estas etapas:

  1. Abra a página de políticas do servidor DNS do Cloud DNS no Google Cloud console.
    Abrir a página do Cloud DNS

  2. Selecione Criar política.

  3. Digite um Nome.

  4. Defina o Encaminhamento de consulta de entrada como Ativado.

  5. Selecione a rede VPC do seu domínio no menu Redes.

  6. Selecione Criar.

Como obter endereços IP de DNS

Depois de criar uma política de encaminhamento de entrada, receba os endereços IP de DNS para o domínio do Microsoft AD gerenciado. Se você acabou de criar uma nova política do Cloud DNS, talvez os endereços IP ainda não apareçam. Se isso acontecer, aguarde alguns minutos e tente de novo.

  1. Abra a página de políticas do servidor DNS do Cloud DNS no Google Cloud console.
    Abrir a página do Cloud DNS

  2. Selecione sua política na lista e selecione a guia Em uso por.

  3. Anote todos os endereços IP de DNS do Microsoft AD gerenciado que você precisa configurar no seu domínio local. Você precisa desses endereços para estabelecer a relação de confiança com o domínio Microsoft AD gerenciado.

Verifique se os blocos CIDR que contêm esses endereços IP estão configurados em seu firewall de rede local.

Como criar um encaminhador condicional de DNS

Para configurar os encaminhadores condicionais de DNS no seu domínio local, use os endereços IP de DNS do seu domínio Microsoft AD gerenciado para concluir as etapas a seguir.

  1. Faça login em um controlador de domínio local com uma conta de administrador de domínio ou corporativa para o domínio local.

  2. Abra o Gerenciador de DNS.

  3. Expanda o servidor DNS do domínio para o qual você quer configurar a relação de confiança.

  4. Clique com o botão direito do mouse em Encaminhamentos condicionais e selecione Novo encaminhador condicional.

  5. Para domínio DNS, digite o FQDN do domínio do Microsoft AD gerenciado (por exemplo, ad.example.com).

  6. No campo Endereços IP dos servidores mestres, insira os endereços IP de DNS do seu domínio do Microsoft AD gerenciado que você anotou anteriormente na etapa Como receber endereços IP de DNS.

  7. Se o campo FQDN do servidor mostrar um erro, você poderá ignorá-lo.

  8. Selecione Armazenar este encaminhador condicional no Active Directory e selecione Todos os servidores DNS neste domínio no menu suspenso.

  9. Selecione OK.

Como verificar o encaminhador condicional do DNS

É possível verificar se o encaminhador está configurado corretamente usando o nslookup ou o cmdlet PowerShell Resolve-DnsName. Execute este comando:

nslookup FQDN

Substitua FQDN pelo nome de domínio totalmente qualificado do seu domínio do Microsoft AD gerenciado.

Se o encaminhador condicional do DNS estiver configurado corretamente, esse comando retornará os endereços IP dos controladores de domínio.

Como verificar a Política de Segurança Local para seu domínio local

A criação de uma relação de confiança requer que a Política de Segurança Local do seu domínio local permita acesso anônimo aos pipes nomeados netlogon, samr e lsarpc. Para verificar se o acesso anônimo está ativado, execute as etapas a seguir:

  1. Faça login em um controlador de domínio local com uma conta de administrador de domínio ou corporativa para o domínio local.

  2. Abra o console de Política de Segurança Local.

  3. No console, vá para Configurações de segurança > Políticas locais > Opções de segurança > Acesso à rede: pipes nomeados que podem ser acessados anonimamente.

  4. Verifique se o acesso anônimo a netlogon, samr e lsarpc está ativado. Observe que eles precisam ser especificados em linhas separadas, e não separados por vírgula.

Configurar a relação de confiança

Depois de configurar suas redes, crie uma relação de confiança entre o domínio local e o domínio do Microsoft AD gerenciado.

Como configurar o domínio local

Para estabelecer a relação de confiança no domínio local, siga estas etapas:

  1. Faça login em um controlador de domínio local usando uma conta de administrador de domínio ou corporativa.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do mouse no domínio e selecione Propriedades.

  4. Na guia Confiável, selecione Nova.

  5. Selecione Próxima no assistente de nova confiança.

  6. Digite o FQDN do domínio do Microsoft AD gerenciado como o Nome da relação de confiança.

  7. Para o Tipo de relação de confiança, selecione Relação de confiança na floresta.

  8. Defina a Direção da confiança.

    • Para criar uma confiança unidirecional, selecione Entrada unidirecional..
    • Para criar uma confiança em duas vias, selecione Mão dupla.

  9. Para Lados da relação de confiança, selecione Somente este domínio.

  10. Para Nível de autenticação da relação de confiança de saída, selecione Autenticação em toda a floresta.

  11. Digite a senha da relação de confiança.

    Você precisa dessa senha para configurar a relação de confiança no domínio do Microsoft AD gerenciado.

  12. Confirme as configurações de confiança e selecione Próxima.

  13. A janela Criação completa da relação de confiança é exibida.

  14. Selecione Não confirmar a confiança de saída e selecione Próxima.

  15. Selecione Não confirmar a confiança recebida e selecione Próxima.

  16. Na caixa de diálogo Como preencher o assistente para uma nova relação de confiança, selecione Concluir.

  17. Roteamento de sufixo de nome de atualização para a confiança.

Como configurar o domínio do Microsoft AD gerenciado

Para estabelecer a relação de confiança no domínio do Microsoft AD gerenciado, siga estas etapas:

Console

  1. Abra a página "Microsoft AD gerenciado" no Google Cloud console.
    Abrir a página Microsoft AD gerenciado

  2. Selecione o domínio em que você quer criar uma confiança e selecione Create Trust.

  3. Defina Tipo de relação de confiança como Floresta.

  4. Em Nome de domínio de destino, insira o FQDN do domínio local.

  5. Defina a Direção da confiança.

    • Para criar uma confiança unidirecional, selecione Saída.
    • Para criar uma confiança bidirecional, selecione Bidirecional.

  6. Digite a senha da relação de confiança que você criou ao configurar a relação de confiança no domínio local.

  7. Para IPs do encaminhador condicional DNS, digite os endereços IP de DNS local que você coletou anteriormente.

  8. Selecione Criar relação de confiança.

  9. Você retornará à página do domínio. Sua nova confiança deve aparecer como Criando. Aguarde até que o estado mude para Conectado. A configuração pode levar até 10 minutos para ser concluída.

gcloud

Para criar uma confiança unidirecional, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

Substitua:

Para criar uma confiança bidirecional, execute o seguinte comando da CLI gcloud:

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

Para mais informações, consulte o comando create.

Validar confiança bidirecional

Depois de configurar o domínio do Microsoft AD gerenciado para uma confiança bidirecional, você precisa validar a confiança de saída do domínio local. Se você estiver criando uma confiança unidirecional, pule esta etapa.

Para verificar a confiança de saída, siga estas etapas:

  1. Faça login em um controlador de domínio local usando uma conta de administrador de domínio ou corporativa.

  2. Abra Domínios e relações de confiança do Active Directory.

  3. Clique com o botão direito do mouse no seu domínio e selecione Propriedades.

  4. Na guia Confiança, selecione a confiança de saída para o domínio Microsoft AD gerenciado.

  5. Selecione Propriedades.

  6. Na guia Geral, selecione Validar.

Resolver problemas

Se você encontrar problemas ao tentar criar uma confiança, teste nossas dicas de solução de problemas.

A seguir