オンプレミス ドメインとの信頼の作成

このページでは、オンプレミス ドメインと Managed Service for Microsoft Active Directory ドメインの間に信頼関係を作成する方法について説明します。この信頼は、一方向または双方向です。また、複数のフォレストにまたがることもあります。信頼をすでに設定している場合は、信頼を管理する方法をご覧ください。

Managed Microsoft AD はフォレスト信頼タイプをサポートしています。外部、レルム、ショートカットの信頼タイプはサポートしていません。

信頼の種類

信頼関係は一方向または双方向です。一方向の信頼とは、2 つのドメイン間に作成される単方向の認証パスです。このトピックでは、オンプレミス ドメインは一方向の信頼の信頼されている側または受信側で、マネージド Microsoft AD ドメインはその関係の信頼する側または送信側です。双方向の信頼は、2 つのドメインの間に作成される双方向の認証パスです。信頼とアクセスは双方向に流れます。

始める前に

信頼を作成する前に、次の手順を完了します。

  1. オンプレミス ドメインでサポートされているバージョンの Windows が実行されていることを確認します。

  2. オンプレミス ドメインに適用される DNS サーバーの IP アドレスを収集します。

ネットワーク接続を確立する

オンプレミス ネットワークと Google Cloud Virtual Private Cloud(VPC)の間のネットワーク接続を確立してから、2 つのネットワークが通信できることを確認します。Cloud VPN 接続の識別と確立の詳細については、Cloud VPN の概要をご覧ください。

開放するファイアウォール ポート

オンプレミス ネットワークと Google Cloud VPC の入力 / 出力ポートを構成して、Active Directory 信頼接続を許可します。

次の表は、信頼を確立するために必要な最小限のポートのセットを示しています。シナリオによっては、さらに多くのポートを構成する必要がある場合があります。詳細については、Microsoft の Active Directory および Active Directory ドメイン サービスのポート要件をご覧ください。

オンプレミス ネットワーク ファイアウォール ポートを開く

VPC ネットワークとマネージド Microsoft AD ネットワークで使用される CIDR IP ブロックに対して、オンプレミス ファイアウォールの次の表にリストされているポートを開きます。

プロトコル ポート 機能
TCP、UDP 53 DNS
TCP、UDP 88 Kerberos
TCP、UDP 464 Kerberos パスワードの変更
TCP 135 RPC
TCP 49152-65535 RPC
TCP、UDP 389 LDAP
TCP、UDP 445 SMB

VPC ネットワーク ファイアウォール ポートを開く

オンプレミス ネットワークで使用される CIDR IP ブロックに対して、VPC ネットワーク ファイアウォールの次の表にリストされているポートを開きます。

プロトコル ポート 機能
TCP、UDP 53 DNS

DNS 条件付きフォワーダーを構成する

ファイアウォール ポートを開いたら、DNS 条件付きフォワーダーを構成します。これらの設定により、解決できない要求を別の DNS サーバーに転送するためのヒントを取得できます。

受信転送ポリシーを確認する

VPC の Cloud DNS 受信転送ポリシーを作成する前に、ポリシーが存在するかどうかを確認してください。

  1. Google Cloud コンソールで Cloud DNS サーバー ポリシーのページを開きます。
    [Cloud DNS] ページを開く

  2. [受信] 列が [オン] に設定されているリストでポリシーを探します。ドメインで使用されている VPC ネットワークは、[使用中] 列のプルダウンに一覧表示されています。

有効な既存のポリシーが見つかった場合は、DNS IP アドレスを取得するにスキップできます。

受信転送ポリシーを作成する

受信転送ポリシーを作成するには、次の手順を行います。

  1. Google Cloud コンソールで Cloud DNS サーバー ポリシーのページを開きます。
    [Cloud DNS] ページを開く

  2. [ポリシーを作成] を選択します。

  3. [名前] を入力します。

  4. [受信クエリ転送] を [オン] に設定します。

  5. [ネットワーク] メニューからドメインの VPC ネットワークを選択します。

  6. [作成] を選択します。

DNS IP アドレスを取得する

受信転送ポリシーを作成したら、マネージド Microsoft AD ドメインの DNS IP アドレスを取得します。新しい Cloud DNS ポリシーを作成したばかりの場合、IP アドレスはまだ表示されていない可能性があります。この場合、数分待ってから再試行してください。

  1. Google Cloud コンソールで Cloud DNS サーバー ポリシーのページを開きます。
    [Cloud DNS] ページを開く

  2. リストからポリシーを選択し、[使用中] タブを選択します。

  3. オンプレミス ドメインで構成する必要のあるマネージド Microsoft AD ドメインの DNS IP アドレスをメモしておきます。これらのアドレスは、マネージド Microsoft AD ドメインで信頼を確立するために必要です。

これらの IP アドレスを含む CIDR ブロックがオンプレミス ネットワーク ファイアウォールで構成されていることを確認してください。

DNS 条件付きフォワーダーを作成する

オンプレミス ドメインで DNS 条件付きフォワーダーを構成するには、マネージド Microsoft AD ドメインの DNS IP アドレスを使用して、次の手順を行います。

  1. オンプレミス ドメインのドメインまたはエンタープライズ管理者アカウントで、オンプレミス ドメイン コントローラーにログインします。

  2. DNS Manager を開きます。

  3. 信頼を構成するドメインの DNS サーバーをデプロイします。

  4. [Conditional Forwarders] を右クリックして、[New conditional forwarder] を選択します。

  5. DNS ドメインの場合は、マネージド Microsoft AD ドメインの FQDN を入力します(たとえば、ad.example.com)。

  6. In theマスター サーバーの IP アドレスフィールドに、DNS IP アドレスを取得するの手順で先ほどメモした Managed Microsoft AD ドメインの DNS IP アドレスを入力します。

  7. [Server FQDN] フィールドにエラーが表示された場合、無視します。

  8. [Store this conditional forwarder in Active Directory] を選択し、プルダウン メニューから [All DNS servers in this domain] を選択します。

  9. [OK] を選択します。

DNS 条件付きフォワーダーを確認する

nslookup または Resolve-DnsName PowerShell コマンドレットを使用して、フォワーダーが正しく構成されていることを確認できます。次のコマンドを実行します。

nslookup FQDN

FQDN を、Managed Microsoft AD ドメインの完全修飾ドメイン名に置き換えます。

DNS 条件付きフォワーダーが正しく構成されている場合、このコマンドはドメイン コントローラーの IP アドレスを返します。

オンプレミス ドメインのローカル セキュリティ ポリシーを確認する

信頼を作成するには、オンプレミス ドメインのローカル セキュリティ ポリシーで、netlogonsamrlsarpc の名前付きパイプへの匿名アクセスが許可されている必要があります。匿名アクセスが有効になっていることを確認するには、次の手順を行います。

  1. オンプレミス ドメインのドメインまたはエンタープライズ管理者アカウントで、オンプレミス ドメイン コントローラーにログインします。

  2. ローカル セキュリティ ポリシー コンソールを開きます。

  3. コンソールで、[Security Settings] > [Local Policies] > [Security Options] > [Network access: Named Pipes that can be accessed anonymously] の順に進みます。

  4. netlogonsamr、および lsarpc への匿名アクセスが有効になっていることを確認します。これらは、カンマで区切るのではなく、別々の行に指定する必要があります。

信頼を設定する

ネットワークを構成した後、オンプレミス ドメインとマネージド Microsoft AD ドメインの間に信頼を作成できます。

オンプレミス ドメインを構成する

オンプレミス ドメインで信頼を確立するには、次の手順を行います。

  1. ドメインまたはエンタープライズの管理者アカウントを使用して、オンプレミスのドメイン コントローラーにログインします。

  2. [Active Directory Domains and Trusts] を開きます。

  3. ドメインを右クリックして、[プロパティ] を選択します。

  4. [信頼] タブで、新しい信頼を選択します。

  5. 新しい信頼ウィザードで [次へ] を選択します。

  6. マネージド Microsoft AD ドメインの FQDN を信頼名として入力します。

  7. [Finish] で、[Forest trust] を選択します。

  8. [Direction of Trust] を設定します。

    • 一方向の信頼を作成するには、[One-way incoming] を選択します。
    • 双方向の信頼を作成するには、[Two-way] を選択します。
  9. [Sides of Trust] で、[This domain only] を選択します。

  10. [Outgoing Trust Authentication Level] で、[Forest-wide authentication] を選択します。

  11. 信頼パスワードを入力します。

    マネージド Microsoft AD ドメインで信頼を構成するには、このパスワードが必要です。

  12. 信頼設定を確認して、[次へ] を選択します。

  13. [Trust Creation Complete] ウィンドウが表示されます。

  14. [No, do not confirm the outgoing trust] を選択して、[次へ] を選択します。

  15. [No, do not confirm the incoming trust] を選択して、[次へ] を選択します。

  16. [Completing the New Trust Wizard] ダイアログで、[Finish] を選択します。

  17. 信頼の名前サフィックス ルーティングを更新します

マネージド Microsoft AD ドメインを構成する

マネージド Microsoft AD ドメインで信頼を確立するには、次の手順を行います。

コンソール

  1. Google Cloud コンソールで [マネージド Microsoft AD] ページを開きます。
    [マネージド Microsoft AD] ページを開く

  2. 信頼を作成するドメインを選択して、[信頼を作成] を選択します。

  3. [信頼の種類]を [フォレスト] に設定します。

  4. [ターゲットドメイン名] には、オンプレミス ドメインの FQDN を入力します。

  5. [信頼の方向] を設定します。

    • 一方向の信頼を作成するには、[Outbound] を選択します。
    • 双方向の信頼を作成するには、[Bidirectional] を選択します。
  6. オンプレミス ドメインで信頼を構成するときに作成した信頼パスワードを入力します。

  7. [DNS 条件付きフォワーダーの IP] には、前述で収集したオンプレミス DNS IP アドレスを入力します。

  8. [信頼関係を作成] を選択します。

  9. ドメインページに戻ります。新しい信頼が [作成中] と表示されます。状態が [接続済み] になるまで待ちます。セットアップが完了するまでに最大 10 分かかることがあります。

gcloud

一方向の信頼を作成するには、次の gcloud CLI コマンドを実行します。

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=OUTBOUND

以下を置き換えます。

  • DOMAIN: マネージド Microsoft AD ドメインの FQDN。
  • TARGET_DNS_IP_ADDRESSES: 以前に収集したオンプレミス DNS IP アドレス。
  • TARGET_DOMAIN_NAME: オンプレミス ドメインの FQDN。

双方向の信頼を作成するには、次の gcloud CLI コマンドを実行します。

gcloud active-directory domains trusts create DOMAIN \
    --target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
    --target-domain-name=TARGET_DOMAIN_NAME \
    --direction=BIDIRECTIONAL

詳細については、create コマンドをご覧ください。

双方向の信頼を検証する

マネージド Microsoft AD ドメインに双方向の信頼を構成したら、オンプレミス ドメインから送信の信頼を検証する必要があります。一方向の信頼性を作成する場合は、この手順をスキップできます。

送信の信頼を検証するには、次の手順を行います。

  1. ドメインまたはエンタープライズの管理者アカウントを使用して、オンプレミスのドメイン コントローラーにログインします。

  2. [Active Directory Domains and Trusts] を開きます。

  3. ドメインを右クリックして、[プロパティ] を選択します。

  4. [信頼] タブで、マネージド Microsoft AD ドメインに対する送信の信頼を選択します。

  5. [プロパティ] をクリックします。

  6. [全般] タブで [検証] を選択します。

トラブルシューティング

信頼の作成中に問題が発生した場合は、トラブルシューティングのヒントを試すことができます。

次のステップ