בדף הזה מוסבר איך ליצור יחסי אמון בין דומיינים מקומיים לבין דומיין של שירות מנוהל ל-Microsoft Active Directory. היחסים האלה יכולים להיות חד-כיווניים או דו-כיווניים. הוא יכול גם לכלול כמה יערות. אם כבר הגדרתם יחסי אמון, כאן מוסבר איך לנהל אותם.
Microsoft AD מנוהל תומך בסוג האמון של יער, ולא תומך בסוגי אמון חיצוניים, בתחום ובקיצור דרך.
סוגים של יחסי אמון
יחסי אמון יכולים להיות חד-כיווניים או דו-כיווניים. אמון חד-כיווני הוא נתיב אימות חד-כיווני שנוצר בין שני דומיינים. בנושא הזה, הדומיין המקומי הוא הצד המהימן או הנכנס של האמון החד-כיווני, והדומיין המנוהל של Microsoft AD הוא הצד הסומך או היוצא של הקשר. יחסי אמון דו-כיווניים הם נתיב אימות דו-כיווני שנוצר בין שני דומיינים. המהימנות והגישה פועלות בשני הכיוונים.
לפני שמתחילים
לפני שיוצרים יחסי אמון, צריך לבצע את השלבים הבאים:
מוודאים שבדומיין המקומי פועלת גרסה נתמכת של Windows.
אוספים את כתובות ה-IP של שרתי ה-DNS שרלוונטיים לדומיין המקומי.
יצירת קישוריות לרשת
יצירת קישוריות בין הרשת המקומית לביןGoogle Cloud הענן הווירטואלי הפרטי (VPC), ואז אימות של האפשרות לתקשר בין שתי הרשתות. מידע נוסף על זיהוי ועל יצירת חיבורי Cloud VPN זמין במאמר סקירה כללית על Cloud VPN.
פתיחת יציאות בחומת האש
מגדירים את יציאות הכניסה והיציאה ברשת המקומית וב-Google Cloud VPC כדי לאפשר קישוריות של Active Directory trust.
בטבלאות הבאות מפורטת קבוצת היציאות המינימלית שנדרשת כדי ליצור מהימנות. יכול להיות שתצטרכו להגדיר עוד יציאות, בהתאם לתרחיש שלכם. מידע נוסף זמין במאמר של מיקרוסופט בנושא דרישות היציאה של Active Directory ו-Active Directory Domain Services.
פתיחת יציאות בחומת אש ברשת מקומית
פותחים את הפורטים שמפורטים בטבלה הבאה בחומת האש המקומית לבלוק ה-IP של CIDR שבו נעשה שימוש ברשת ה-VPC וברשת Managed Microsoft AD.
| פרוטוקול | יציאה | פונקציונליות |
|---|---|---|
| TCP, UDP | 53 | DNS |
| TCP, UDP | 88 | Kerberos |
| TCP, UDP | 464 | שינוי סיסמה ב-Kerberos |
| TCP | 135 | RPC |
| TCP | 49152-65535 | RPC |
| TCP, UDP | 389 | LDAP |
| TCP, UDP | 445 | SMB |
פתיחת יציאות בחומת האש של רשת VPC
פותחים את הפורטים שמפורטים בטבלה הבאה בחומת האש של רשת ה-VPC לבלוק כתובות ה-IP של CIDR שמשמש את הרשת המקומית.
| פרוטוקול | יציאה | פונקציונליות |
|---|---|---|
| TCP, UDP | 53 | DNS |
הגדרת מעבירי DNS מותנים
אחרי שפותחים את יציאות חומת האש, מגדירים את מעבירי ה-DNS המותנים. ההגדרות האלה מאפשרות לספק רמזים להעברת בקשות שלא ניתן לפתור לשרתי DNS שונים.
בדיקה של מדיניות להעברת שיחות נכנסות
לפני שיוצרים מדיניות להעברת תנועה נכנסת ב-Cloud DNS עבור ה-VPC, צריך לבדוק אם קיימת מדיניות כזו.
פותחים את הדף Cloud DNS server policies במסוף Google Cloud .
פתיחת הדף Cloud DNSמחפשים ברשימה מדיניות שבעמודה Inbound שלה מוגדר הערך On, ורשת ה-VPC שבה נעשה שימוש בדומיין מופיעה בתפריט הנפתח שבעמודה In use by.
אם מצאתם מדיניות קיימת ותקינה, אפשר לדלג אל קבלת כתובות IP של DNS.
יצירת מדיניות להעברת דואר נכנס
כדי ליצור מדיניות להעברת הודעות נכנסות, מבצעים את השלבים הבאים:
פותחים את הדף Cloud DNS server policies במסוף Google Cloud .
פתיחת הדף Cloud DNSלוחצים על יצירת מדיניות.
מזינים שם.
מגדירים את האפשרות העברת שאילתות נכנסות למצב On.
בוחרים את רשת ה-VPC של הדומיין מהתפריט Networks (רשתות).
לוחצים על יצירה.
קבלת כתובות IP של DNS
אחרי שיוצרים מדיניות להעברת הודעות נכנסות, מקבלים את כתובות ה-IP של ה-DNS עבור הדומיין המנוהל של Microsoft AD. אם יצרתם מדיניות חדשה של Cloud DNS, יכול להיות שכתובות ה-IP עדיין לא יופיעו. במקרה כזה, צריך להמתין כמה דקות ולנסות שוב.
פותחים את הדף Cloud DNS server policies במסוף Google Cloud .
פתיחת הדף Cloud DNSבוחרים את המדיניות מהרשימה ואז בוחרים בכרטיסייה בשימוש על ידי.
רושמים את כתובות ה-IP של ה-DNS של דומיין Managed Microsoft AD שצריך להגדיר בדומיין המקומי. הכתובות האלה נחוצות כדי ליצור את האמון עם דומיין Microsoft AD מנוהל.
חשוב לוודא שבלוקי ה-CIDR שמכילים את כתובות ה-IP האלה מוגדרים בחומת האש של הרשת המקומית.
יצירת מפנה מותנה של DNS
כדי להגדיר את מפעילי ההעברה המותנית של DNS בדומיין המקומי, צריך להשתמש בכתובות ה-IP של ה-DNS של דומיין Managed Microsoft AD כדי לבצע את השלבים הבאים.
מתחברים לבקר הדומיין המקומי באמצעות חשבון אדמין של הדומיין או של הארגון בדומיין המקומי.
פותחים את מנהל ה-DNS.
מרחיבים את שרת ה-DNS של הדומיין שרוצים להגדיר עבורו את האמון.
לוחצים לחיצה ימנית על Conditional Forwarders (העברות מותנות) ובוחרים באפשרות New conditional forwarder (העברה מותנית חדשה).
בשדה DNS domain (דומיין DNS), מזינים את ה-FQDN של הדומיין המנוהל של Microsoft AD (לדוגמה,
ad.example.com).בשדה IP addresses of the master servers, מזינים את כתובות ה-IP של ה-DNS של דומיין Managed Microsoft AD שרשמתם קודם בשלב Get DNS IP addresses.
אם בשדה Server FQDN (שם דומיין מלא של השרת) מוצגת שגיאה, אפשר להתעלם ממנה.
בוחרים באפשרות Store this conditional forwarder in Active Directory (שמירת המפנה המותנה הזה ב-Active Directory) ואז בוחרים באפשרות All DNS servers in this domain (כל שרתי ה-DNS בדומיין הזה) בתפריט הנפתח.
לוחצים על אישור.
אימות של מעביר ה-DNS המותנה
אתם יכולים להשתמש ב-nslookup או בפקודת ה-cmdlet של Resolve-DnsName PowerShell כדי לוודא שההעברה מוגדרת בצורה נכונה. מריצים את הפקודה הבאה:
nslookup FQDN
מחליפים את FQDN בשם הדומיין שמוגדר במלואו של דומיין Managed Microsoft AD.
אם העברת ה-DNS המותנית מוגדרת בצורה נכונה, הפקודה הזו מחזירה את כתובות ה-IP של בקרי הדומיין.
אימות מדיניות האבטחה המקומית בדומיין המקומי
כדי ליצור יחסי אמון, צריך לוודא שמדיניות האבטחה המקומית בדומיין המקומי מאפשרת גישה אנונימית לצינורות בעלי השם netlogon, samr ו-lsarpc. כדי לוודא שהגישה האנונימית מופעלת:
מתחברים לבקר הדומיין המקומי באמצעות חשבון אדמין של הדומיין או של הארגון בדומיין המקומי.
פותחים את מסוף מדיניות האבטחה המקומית.
במסוף, עוברים אל הגדרות אבטחה > מדיניות מקומית > אפשרויות אבטחה > גישה לרשת: צינורות בעלי שם שאפשר לגשת אליהם באופן אנונימי.
מוודאים שהגישה האנונימית אל
netlogon,samrו-lsarpcמופעלת. חשוב לציין את הערכים האלה בשורות נפרדות ולא להפריד ביניהם באמצעות פסיקים.
הגדרת אמון
אחרי שמגדירים את הרשתות, אפשר ליצור יחסי אמון בין הדומיין המקומי לבין הדומיין המנוהל של Microsoft AD.
הגדרת הדומיין המקומי
כדי ליצור את היחסים של אמון בדומיין המקומי, מבצעים את השלבים הבאים:
מתחברים לבקר דומיין מקומי באמצעות חשבון אדמין של דומיין או של ארגון.
פותחים את Active Directory Domains and Trusts.
לוחצים לחיצה ימנית על הדומיין ובוחרים באפשרות מאפיינים.
בכרטיסייה Trust, בוחרים באפשרות New trust.
לוחצים על הבא באשף החדש של Trust.
מזינים את ה-FQDN של דומיין Microsoft AD המנוהל בשדה שם האמון.
בשדה Trust type (סוג ההרשאה), בוחרים באפשרות Forest trust (הרשאה של יער).
מגדירים את כיוון ההרשאות.
- כדי ליצור יחסי אמון חד-כיווניים, בוחרים באפשרות חד-כיווני נכנס.
- כדי ליצור יחסי אמון דו-כיווניים, בוחרים באפשרות דו-כיווני.
בקטע Sides of Trust (צדדים מהימנים), בוחרים באפשרות This domain only (הדומיין הזה בלבד).
בקטע Outgoing Trust Authentication Level (רמת האימות של יחסי האמון היוצאים), בוחרים באפשרות Forest-wide authentication (אימות בכל היער).
מזינים את סיסמת הגישה.
הסיסמה הזו נדרשת כדי להגדיר את האמון בדומיין המנוהל של Microsoft AD.
מאשרים את הגדרות האמון ולוחצים על הבא.
יופיע החלון Trust Creation Complete (יצירת היחסים המהימנים הושלמה).
בוחרים באפשרות לא, אל תאשר את יחסי האמון היוצאים ואז לוחצים על הבא.
בוחרים באפשרות לא, אל תאשר את האמון הנכנס ואז לוחצים על הבא.
בתיבת הדו-שיח Completing the New Trust Wizard, לוחצים על Finish.
הגדרת הדומיין של Microsoft AD המנוהל
כדי ליצור יחסי אמון בדומיין Managed Microsoft AD, מבצעים את השלבים הבאים:
המסוף
פותחים את הדף Managed Microsoft AD במסוף Google Cloud .
פתיחת הדף של שירות מנוהל ל-Microsoft ADבוחרים את הדומיין שרוצים ליצור עבורו יחסי אמון, ואז בוחרים באפשרות יצירת יחסי אמון.
מגדירים את Trust type בתור Forest.
בקטע שם דומיין היעד, מזינים את ה-FQDN של הדומיין המקומי.
מגדירים את כיוון ההרשאות.
- כדי ליצור יחסי אמון חד-כיווניים, בוחרים באפשרות יוצא.
- כדי ליצור יחסי אמון דו-כיווניים, בוחרים באפשרות דו-כיווני.
מזינים את סיסמת ההרשאה שנוצרה כשמגדירים את ההרשאה בדומיין המקומי.
בקטע כתובות IP של DNS Conditional Forwarder, מזינים את כתובות ה-IP של DNS המקומי שאספתם קודם.
לוחצים על יצירת יחסי אמון.
אתם חוזרים לדף הדומיין. היחסים החדשים שלכם אמורים להופיע עם הסטטוס יצירה. ממתינים עד שהסטטוס משתנה למחובר. השלמת ההגדרה יכולה להימשך עד 10 דקות.
gcloud
כדי ליצור יחסי אמון חד-כיווניים, מריצים את הפקודה הבאה ב-CLI של gcloud:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=OUTBOUND
מחליפים את מה שכתוב בשדות הבאים:
-
DOMAIN: ה-FQDN של דומיין Managed Microsoft AD. -
TARGET_DNS_IP_ADDRESSES: כתובות ה-IP של ה-DNS המקומי שאספתם קודם. -
TARGET_DOMAIN_NAME: שם הדומיין המלא (FQDN) של הדומיין המקומי.
כדי ליצור יחסי אמון דו-כיווניים, מריצים את הפקודה הבאה ב-CLI של gcloud:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=BIDIRECTIONAL
מידע נוסף זמין במאמר בנושא הפקודה create.
אימות של יחסי אמון דו-כיווניים
אחרי שמגדירים את דומיין Microsoft AD המנוהל לאמון דו-כיווני, צריך לאמת את האמון היוצא מהדומיין המקומי. אם אתם יוצרים הרשאת שיתוף חד-כיוונית, אתם יכולים לדלג על השלב הזה.
כדי לאמת את האמון היוצא, מבצעים את השלבים הבאים:
מתחברים לבקר דומיין מקומי באמצעות חשבון אדמין של דומיין או של ארגון.
פותחים את Active Directory Domains and Trusts.
לוחצים לחיצה ימנית על הדומיין ובוחרים באפשרות מאפיינים.
בכרטיסייה Trust (אמון), בוחרים את האמון היוצא עבור הדומיין המנוהל של Microsoft AD.
בוחרים באפשרות מאפיינים.
בכרטיסייה כללי, לוחצים על אימות.
פתרון בעיות
אם נתקלתם בבעיות כשניסיתם ליצור יחסי אמון, תוכלו לנסות את הטיפים לפתרון בעיות.