本頁說明如何在內部部署的網域與 Managed Service for Microsoft Active Directory 網域之間建立信任關係。信任關係可以是單向或雙向。也可以跨越多個森林。如果您已設定信託基金,請參閱這篇文章,瞭解如何管理信託基金。
受管理的 Microsoft AD 支援森林信任類型,但不支援外部、領域和捷徑信任類型。
信託類型
信任關係可以是單向或雙向。單向信任是指在兩個網域之間建立的單向驗證路徑。在本主題中,內部部署網域是單向信任關係的「信任」或「傳入」端,而 Managed Microsoft AD 網域則是關係的「信任」或「傳出」端。雙向信任關係是指在兩個網域之間建立的雙向驗證路徑。雙向信任和存取權流程。
事前準備
建立信託之前,請先完成下列步驟:
確認內部部署網域執行的是支援的 Windows 版本。
收集適用於內部部署網域的 DNS 伺服器 IP 位址。
建立網路連線
請在內部部署網路和Google Cloud 虛擬私有雲 (VPC) 之間建立網路連線,然後確認這兩個網路可以通訊。如要進一步瞭解如何識別及建立 Cloud VPN 連線,請參閱「Cloud VPN 總覽」。
開啟防火牆通訊埠
設定內部部署網路和Google Cloud VPC 的入站/出站通訊埠,以便允許 Active Directory 信任連線。
下表列出建立信任關係所需的最低通訊埠組合。視情況而定,您可能需要設定更多連接埠。如需更多資訊,請參閱 Microsoft 的 Active Directory 和 Active Directory Domain Services 的連接埠需求。
開啟內部部署防火牆通訊埠
在內部部署防火牆上開啟下表所列的通訊埠,並連結至 VPC 網路和受控 Microsoft AD 網路使用的 CIDR IP 區塊。
| 通訊協定 | 通訊埠 | 功能 |
|---|---|---|
| TCP、UDP | 53 | DNS |
| TCP、UDP | 88 | Kerberos |
| TCP、UDP | 464 | 變更 Kerberos 密碼 |
| TCP | 135 | RPC |
| TCP | 49152-65535 | RPC |
| TCP、UDP | 389 | LDAP |
| TCP、UDP | 445 | SMB |
開啟虛擬私有雲網路防火牆通訊埠
將 VPC 網路防火牆中的通訊埠開啟至內部部署網路使用的 CIDR IP 區塊,如下表所列。
| 通訊協定 | 通訊埠 | 功能 |
|---|---|---|
| TCP、UDP | 53 | DNS |
設定 DNS 條件式轉送器
開啟防火牆通訊埠後,請設定 DNS 條件轉送器。您可以使用這些設定提供提示,將無法解析的要求轉送至不同的 DNS 伺服器。
檢查是否有內送轉送政策
為 VPC 建立 Cloud DNS 傳入轉送政策前,請先確認是否已存在這類政策。
在 Google Cloud 控制台中開啟 Cloud DNS 伺服器政策頁面。
開啟 Cloud DNS 頁面在清單中找出「Inbound」欄設為「On」的政策,並在「In use by」欄下方的下拉式選單中,找出網域使用的 VPC 網路。
如果您發現現有有效的政策,可以直接跳至「取得 DNS IP 位址」。
建立傳入轉送政策
如要建立內送轉送政策,請完成下列步驟:
在 Google Cloud 控制台中開啟 Cloud DNS 伺服器政策頁面。
開啟 Cloud DNS 頁面選取「建立政策」。
輸入名稱。
將「Inbound query forwarding」(內送查詢轉送) 設為「On」(開啟)。
從「Networks」(網路) 選單中選取網域的虛擬私有雲網路。
選取 [Create] (建立)。
取得 DNS IP 位址
建立傳入轉送政策後,請取得受管理 Microsoft AD 網域的 DNS IP 位址。如果您剛建立新的 Cloud DNS 政策,IP 位址可能尚未顯示。如果發生這種情況,請稍候幾分鐘後再試一次。
在 Google Cloud 控制台中開啟 Cloud DNS 伺服器政策頁面。
開啟 Cloud DNS 頁面從清單中選取政策,然後選取「使用者人數」分頁。
請記下您需要在內部部署網域中設定的受管理 Microsoft AD 網域的任何 DNS IP 位址。您需要這些位址才能與 Managed Microsoft AD 網域建立信任關係。
請確認包含這些 IP 位址的 CIDR 區塊已在內部部署防火牆中設定。
建立 DNS 條件式轉寄站
如要在內部部署網域上設定 DNS 有條件轉送器,請使用受管理 Microsoft AD 網域的 DNS IP 位址,完成下列步驟。
使用內部網域的網域或企業管理員帳戶,登入內部網域的網域控制站。
開啟 DNS 管理工具。
展開要設定信任關係的網域的 DNS 伺服器。
在「Conditional Forwarders」上按一下滑鼠右鍵,然後選取「New conditional forwarder」。
在「DNS 網域」中,輸入受管理 Microsoft AD 網域的 FQDN (例如
ad.example.com)。在「主伺服器的 IP 位址」欄位中,輸入您先前在「取得 DNS IP 位址」步驟中記下的受管理 Microsoft AD 網域 DNS IP 位址。
如果「伺服器 FQDN」欄位顯示錯誤,您可以忽略該錯誤。
選取「Store this conditional forwarder in Active Directory」,然後從下拉式選單中選取「All DNS servers in this domain」。
選取 [確定]。
驗證 DNS 條件式轉寄站
您可以使用 nslookup 或 Resolve-DnsName PowerShell 指令程式碼,確認轉送器是否設定正確。執行下列指令:
nslookup FQDN
將 FQDN 替換為 Managed Microsoft AD 網域的完整網域名稱。
如果 DNS 條件式轉寄站設定正確,這個指令會傳回網域控制器的 IP 位址。
驗證內部網域的本機安全性政策
建立信任關係時,需要在內部網域的本機安全性政策中,允許匿名存取 netlogon、samr 和 lsarpc 命名管道。如要確認已啟用匿名存取權,請完成下列步驟:
使用內部網域的網域或企業管理員帳戶,登入內部網域的網域控制站。
在控制台中依序前往「安全性設定」>「本機政策」>「安全選項」>「網路存取:可匿名存取的命名管道」。
確認已啟用
netlogon、samr和lsarpc的匿名存取權。請注意,這些值必須分別列在不同行,且不能以半形逗號分隔。
設定信任關係
設定網路後,您可以在內部部署網域和 Managed Microsoft AD 網域之間建立信任關係。
設定內部部署網域
如要建立對內部網域的信任關係,請完成下列步驟:
使用網域或企業管理員帳戶登入內部網域控制站。
開啟「Active Directory 網域和信任」。
在網域上按一下滑鼠右鍵,然後選取「屬性」。
在「信任」分頁中,選取「新增」信任。
在「New Trust」精靈中選取「Next」。
輸入 Managed Microsoft AD 網域的 FQDN 做為信任名稱。
在「信任類型」中,選取「森林信任」。
設定信任方向。
- 如要建立單向信任關係,請選取「單向傳入」。
- 如要建立雙向信任關係,請選取「雙向」。
針對「信任的一方」,選取「僅限這個網域」。
在「Outgoing Trust Authentication Level」部分,選取「Forest-wide authentication」。
輸入信任密碼。
您需要這組密碼,才能設定 Managed Microsoft AD 網域的信任關係。
確認信任設定,然後選取「下一步」。
畫面上會顯示「Trust Creation Complete」視窗。
選取「否,不要確認傳出信任」,然後選取「下一步」。
選取「否,不要確認傳入信任」,然後選取「下一步」。
在「Completing the New Trust Wizard」對話方塊中,選取「Finish」。
設定代管 Microsoft AD 網域
如要在受管理的 Microsoft AD 網域上建立信任關係,請完成下列步驟:
主控台
在 Google Cloud 控制台中開啟「Managed Microsoft AD」(受管理的 Microsoft AD) 頁面。
開啟「Managed Microsoft AD」頁面選取要建立信任的網域,然後選取 「Create Trust」。
將「信任類型」設為「Forest」。
在「目標網域名稱」中,輸入內部網域的 FQDN。
設定信任關係方向。
- 如要建立單向信任關係,請選取「Outbound」。
- 如要建立雙向信任關係,請選取「雙向」。
輸入您在內部部署網域上設定信任時建立的信任密碼。
針對「DNS 條件式轉寄站 IP」,輸入您先前收集的內部部署 DNS IP 位址。
選取「建立信任關係」。
您會回到網域頁面。新的信任關係應顯示為「建立中」。等待狀態變更為「Connected」。設定程序最多可能需要 10 分鐘才能完成。
gcloud
如要建立單向信任關係,請執行下列 gcloud CLI 指令:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=OUTBOUND
更改下列內容:
DOMAIN:代管 Microsoft AD 網域的 FQDN。TARGET_DNS_IP_ADDRESSES:您先前收集的內部部署 DNS IP 位址。TARGET_DOMAIN_NAME:本機網域的 FQDN。
如要建立雙向信任關係,請執行下列 gcloud CLI 指令:
gcloud active-directory domains trusts create DOMAIN \
--target-dns-ip-addresses=TARGET_DNS_IP_ADDRESSES \
--target-domain-name=TARGET_DOMAIN_NAME \
--direction=BIDIRECTIONAL
詳情請參閱 create 指令。
驗證雙向信任
為雙向信任關係設定 Managed Microsoft AD 網域後,您必須驗證來自內部部署系統網域的出站信任關係。如果您要建立單向信任關係,可以略過這個步驟。
如要驗證外送信任,請完成下列步驟:
使用網域或企業管理員帳戶登入內部網域控制站。
開啟「Active Directory 網域和信任」。
在網域上按一下滑鼠右鍵,然後選取「屬性」。
在「Trust」分頁中,選取 Managed Microsoft AD 網域的出站信任關係。
選取 [內容]。
在「一般」分頁中,選取「驗證」。
疑難排解
如果在建立信任關係時遇到問題,請參考我們的疑難排解提示。
後續步驟
- 瞭解如何管理信託。
- 瞭解如何排解存取信任關係的問題。