本页介绍如何在本地网域和 Microsoft Active Directory 托管服务网域之间创建信任关系。这种信任可以是单向的,也可以是双向的。它也可以跨越多个森林。如果您已经设置了信任, 请了解如何管理信任。
Microsoft AD 托管服务支持森林 信任 类型 ,但不支持外部、领域和快捷方式信任类型。
信任类型
信任关系可以是单向的,也可以是双向的。单向信任是在两个网域之间创建的单向身份验证路径。在本主题中,本地网域是单向信任的被信任端或入站端,而 Microsoft AD 托管服务网域是该关系的信任端或出站端。双向信任是指在两个网域之间创建的双向身份验证路径。双向信任和访问流。
准备工作
在创建信任之前,请完成以下步骤:
验证本地网域运行的是受支持的 Windows 版本。
收集适用于本地网域的 DNS 服务器的 IP 地址。
建立网络连接
在本地网络和您的 Google Cloud 虚拟私有云 (VPC) 之间建立网络连接,然后验证 两个网络能够通信。如需详细了解如何 识别和建立 Cloud VPN 连接,请参阅 Cloud VPN 概览。
因此,您必须在 Cloud Router 上使用自定义通告的路由,以便为 Microsoft AD 托管服务传播预留的 CIDR 范围。打开防火墙端口
配置本地网络和您的 Google Cloud VPC 上的入站/出站端口,以允许 Active Directory 信任 连接。
下表列出了建立信任所需的最小端口集。 根据使用场景,您可能需要配置更多端口。如需了解详情,请参阅 Microsoft 的 Active Directory 和 Active Directory Domain Services 端口要求。
打开本地网络防火墙端口
在本地防火墙上,打开下表中列出的端口,以允许CIDR IP 块,该 IP 块由您的 VPC 网络和 Microsoft AD 托管服务网络使用。
| 协议 | 端口 | 功能 |
|---|---|---|
| TCP、UDP | 53 | DNS |
| TCP、UDP | 88 | Kerberos |
| TCP、UDP | 464 | Kerberos 密码更改 |
| TCP | 135 | RPC |
| TCP | 49152-65535 | RPC |
| TCP、UDP | 389 | LDAP |
| TCP、UDP | 445 | SMB |
打开 VPC 网络防火墙端口
在 VPC 网络 防火墙上,打开下表中列出的端口,以允许本地网络使用的 CIDR IP 块。
| 协议 | 端口 | 功能 |
|---|---|---|
| TCP、UDP | 53 | DNS |
配置 DNS 条件转发器
打开防火墙端口后,配置 DNS 条件转发器。 这些设置使您可以提供提示,以将无法解析的请求转发到不同的 DNS 服务器。
检查入站转发政策
在为您的 VPC 创建 Cloud DNS 入站转发政策之前,请检查是否已经存在该政策。
在 Google Cloud 控制台中打开 Cloud DNS 服务器政策页面。
打开 Cloud DNS 页面在入站 列设置为 开启 的列表中查找政策,您的网域使用的 VPC 网络在 使用者 列下的下拉列表中列出。
如果找到有效的现有政策,则可以跳至 获取 DNS IP 地址。
创建入站转发政策
要创建入站转发政策,请完成以下步骤:
在 Google Cloud 控制台中打开 Cloud DNS 服务器政策页面。
打开 Cloud DNS 页面选择创建政策。
输入名称。
将入站查询转发设置为开启。
从网络菜单中为您的网域选择 VPC 网络。
选择创建 。
获取 DNS IP 地址
创建入站转发政策后,获取您的 Microsoft AD 托管服务网域的 DNS IP 地址。如果您刚刚创建了新的 Cloud DNS 政策,则 IP 地址可能尚未出现。如果出现这种情况,请等待几分钟,然后重试。
在 Google Cloud 控制台中打开 Cloud DNS 服务器政策页面。
打开 Cloud DNS 页面从列表中选择您的政策,然后选择使用者 标签页。
记下需要在本地网域中配置的 Microsoft AD 托管服务 网域的任何 DNS IP 地址。您需要这些地址才能与 Microsoft AD 托管服务网域建立信任。
确保您的本地网络防火墙中配置了包含这些 IP 地址的 CIDR 块。
创建 DNS 条件转发器
要在本地网域上配置 DNS 条件转发器,请使用 Microsoft AD 托管服务的 DNS IP 地址来完成以下步骤。
使用本地网域的网域管理员或企业管理员账号登录到本地网域控制器。
打开 DNS 管理器。
展开要为其配置信任的网域的 DNS 服务器。
右键点击 Conditional Forwarders 然后选择 New conditional forwarder。
对于 DNS domain,输入 Microsoft AD 托管服务的 FQDN(例如
ad.example.com)。在 IP addresses of the master servers 字段中,输入您在 Get DNS IP addresses 步骤中记下的 Microsoft AD 托管服务网域的 DNS IP 地址。
如果 Server FQDN 字段显示错误,可以忽略它。
选择 Store this conditional forwarder in Active Directory,然后从下拉菜单中选择 All DNS servers in this domain。
选择 OK 。
验证 DNS 条件转发器
您可以使用 nslookup 或 Resolve-DnsName PowerShell cmdlet
验证转发器是否配置正确。运行以下命令:
nslookup FQDN
将 FQDN 替换为 Microsoft AD 托管服务 网域的完全限定域名。
如果 DNS 条件转发器配置正确,此命令将返回网域控制器的 IP 地址。
验证本地网域的本地安全政策
创建信任要求本地网域的本地安全政策允许匿名访问 netlogon、samr 和 lsarpc 命名管道。要验证是否启用了匿名访问,请完成以下步骤:
使用本地网域的网域管理员或企业管理员账号登录到本地网域控制器。
打开本地安全政策控制台。
在控制台中,转到 Security Settings > Local Policies > Security Options > Network access: Named Pipes that can be accessed anonymously。
验证是否已启用对
netlogon、samr和lsarpc的匿名访问。 请注意,您需要在每一行中单独指定,而不是以逗号分隔。
设置信任
配置网络后,您可以在本地网域和 Microsoft AD 托管服务网域之间建立信任关系。
配置本地网域
如需在本地网域上建立信任,请完成以下步骤:
使用网域 管理员或企业管理员账号登录到本地网域控制器。
打开 Active Directory Domains and Trusts。
右键点击网域,然后选择 Properties。
在 Trust 标签页上,选择 New 信任。
选择 New Trust 向导上的 Next。
输入 Microsoft AD 托管服务的 FQDN 作为 Trust Name。
对于 Trust type,选择 Forest trust。
设置 Direction of Trust。
- 如需创建单向信任,请选择 One-way incoming。
- 如需创建双向信任,请选择 Two-way。
对于 Sides of Trust,选择 This domain only。
对于 Outgoing Trust Authentication Level ,选择 Forest-wide authentication 。
输入 Trust Password 。
您需要此密码才能配置 Microsoft AD 托管服务网域上的信任。
确认信任设置,然后选择 Next 。
此时会显示 Trust Creation Complete 窗口。
选择 No, do not confirm the outgoing trust,然后选择 Next。
选择 No, do not confirm the incoming trust,然后选择 Next。
在 Completing the New Trust Wizard 对话框上,选择 Finish。
配置 Microsoft AD 托管服务网域
如需在 Microsoft AD 托管服务网域上建立信任,请完成以下步骤:
控制台
在 Google Cloud 控制台中打开“Microsoft AD 托管服务”页面。
打开“Microsoft AD 托管服务”页面选择要为其创建信任的网域,然后选择创建信任关系。
将信任类型设置为森林。
对于目标域名,输入本地网域的 FQDN。
设置信任方向。
- 如需创建单向信任,请选择出站。
- 如需创建双向信任,请选择双向。
输入您在本地网域上配置信任时创建的信任密码。
选择创建信任关系 。
您将返回到网域页面。您的新信任应该显示为正在创建。等待状态变为已连接。设置最多可能需要 10 分钟才能完成。
gcloud
如需创建单向信任,请运行以下 gcloud CLI 命令:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=OUTBOUND
替换以下内容:
DOMAIN:Microsoft AD 托管服务的 FQDN。TARGET_DNS_IP_ADDRESSES:您之前收集的本地 DNS IP 地址。TARGET_DOMAIN_NAME:本地网域的 FQDN。
如需创建双向信任,请运行以下 gcloud CLI 命令:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=BIDIRECTIONAL
如需了解详情,请参阅 create 命令。
验证双向信任
为双向信任配置 Microsoft AD 托管服务网域后,您必须验证来自本地网域的出站信任。如果要创建单向信任,则可以跳过此步骤。
如需验证出站信任,请完成以下步骤:
使用网域管理员或企业 管理员账号登录到本地网域控制器。
打开 Active Directory Domains and Trusts。
右键点击您的网域,然后选择 Properties。
在信任 标签页上,选择 Microsoft AD 托管服务的出站信任。
选择属性。
在常规 标签页中,选择验证 。
问题排查
如果您在尝试建立信任时遇到问题,可以试试我们的 问题排查提示。