連結至代管的 Microsoft AD 網域

本頁說明連線至 Managed Service for Microsoft Active Directory 網域的各種選項。

使用 RDP 連線至已加入網域的 Windows VM

您可以使用遠端桌面通訊協定 (RDP) 連線至網域。基於安全性考量，您無法使用 RDP 直接連線至網域控制器。您可以改用 RDP 連線至 Compute Engine 執行個體，然後使用標準 AD 可管理性工具，透過遠端方式與 AD 網域互動。

將 Windows VM 加入網域後，您可以在 Google Cloud 主控台中使用 RDP 連線至加入網域的 Windows VM，並管理 Active Directory 物件。

排解 RDP 連線問題

如果您無法使用 RDP 連線至 Windows 執行個體，請參閱「RDP 疑難排解」一文，瞭解如何排解及解決常見的 RDP 問題。

解決 Kerberos 問題

如果您嘗試使用 Kerberos 進行 RDP 連線，但系統會改用 NTLM，表示您的設定可能不符合必要條件。

如要使用 Kerberos 將 RDP 連線至已加入 Microsoft AD 的受管理 VM，RDP 用戶端需要針對目標伺服器核發的票證。如要取得此票證，用戶端必須能夠執行下列工作：

• 判斷伺服器的服務主體名稱 (SPN)。對於 RDP，SPN 會衍生自伺服器的 DNS 名稱。
• 請與用戶端工作站所屬網域的網域控制站聯絡，並要求該 SPN 的支援單。

為確保用戶端可以判斷 SPN，請在 AD 中將 IP 型 SPN 新增至伺服器的電腦物件。

為確保用戶端能找到要聯絡的正確網域控制器，您必須執行下列任一項工作：

• 建立與內部部署 AD 網域的信任關係。進一步瞭解如何建立及管理信託。
• 使用 Cloud VPN 或 Cloud Interconnect 從加入網域的工作站連線。

連線至已加入網域的 Linux VM

本節列出一些開放原始碼選項，可用於管理 Active Directory 與 Linux 的互通性。瞭解如何將 Linux VM 加入 Managed Microsoft AD 網域。

系統安全性服務 Daemon (SSSD) 直接加入 Active Directory

您可以使用系統安全性服務 Daemon (SSSD) 管理 Active Directory 互通作業。請注意，SSSD 不支援跨樹林信任關係。瞭解 SSSD。

Winbind

您可以使用 Winbind 管理 Active Directory 間的作業。它使用 Microsoft 遠端程序呼叫 (MSRPC) 與 Active Directory 互動，這類似於 Windows 用戶端。Winbind 支援跨樹系信任關係。瞭解 Winbind。

OpenLDAP

OpenLDAP 是一組 LDAP 應用程式。部分第三方供應商已開發出以 OpenLDAP 為基礎的專屬 Active Directory 互通工具。瞭解 OpenLDAP。

使用信任連結連線至網域

如果您在內部部署網域和 Managed Microsoft AD 網域之間建立信任關係，就可以在 Google Cloud中存取 AD 資源，就像這些資源位於內部部署網域中一樣。瞭解如何在受管理的 Microsoft AD 中建立及管理信任關係。

使用混合式連線產品連線至網域

您可以使用 Google Cloud 混合式連線產品 (例如 Cloud VPN 或 Cloud Interconnect) 連線至受管理的 Microsoft AD 網域。您可以設定內部部署或其他網路與 Managed Microsoft AD 網域的授權網路之間的連線。

事前準備

• 建立代管的 Microsoft AD 網域。

• 將Windows VM 或Linux VM 加入 Managed Microsoft AD 網域。

使用網域名稱連線

建議您使用網域控制器的網域名稱，而非 IP 位址連線，因為 Managed Microsoft AD 不會提供靜態 IP 位址。使用網域名稱，Active Directory DC 定位器程序可以為您尋找網域控制器，即使其 IP 位址已變更也一樣。

使用 IP 位址進行 DNS 解析

如果您使用 IP 位址連線至網域，可以在 VPC 網路上建立傳入 DNS 政策，讓網路使用與 Managed Microsoft AD 相同的名稱解析服務。代管的 Microsoft AD 會使用 Cloud DNS 提供名稱解析，並透過 Cloud DNS 對等連線連線至代管的 Microsoft AD 網域。

如要使用傳入 DNS 政策，您必須設定內部部署網路系統或名稱伺服器，將 DNS 查詢轉送至與 Cloud VPN 通道或將內部部署網路連線至虛擬私有雲網路的 VLAN 連結相同區域的 Proxy IP 位址。瞭解如何建立內送伺服器政策。

使用對等互連

受管理的 Microsoft AD 不支援巢狀對等連線，因此只有直接獲得 Active Directory 授權的網路才能存取網域。授權網路的對等端無法連上 Managed Microsoft AD 網域。