Maybaygiare.org

Blog Network

Brug af administreret Microsoft-annonce på tværs af brandvægge

domænecontrollere, der drives af Managed Service til Microsoft Active Directory, afslører en række tjenester, herunder LDAP, DNS, Kerberos og RPC. Afhængigt af dine brugssager kan virtuelle maskiner (Fos), der er installeret på Google Cloud, samt maskiner, der kører i lokaler, have brug for adgang til disse tjenester for at drage fordel af ActiveDirectory.

for at reducere angrebsfladen på domænecontrollere og VM ‘ er skal du brugebrandvægge for at forbyde enhver netværkskommunikation, der ikke er strengt påkrævet.Denne artikel beskriver, hvordan du konfigurerer brandvægge til at rumme almindelige ActiveDirectory-brugssager, mens du ikke tillader anden netværkskommunikation.

Logon versus autentificering

mens udtrykkene logon og autentificering ofte bruges om hverandre,har de forskellige betydninger i forbindelse med vinduer sikkerhed. Logondescribes den proces, der opstår på systemet en bruger får adgang to.In kontrast, godkendelse udføres af den computer, som brugerens konto er placeret på.

Når du bruger en lokal konto til at logge på en maskine, håndteres både logon og autentificering af målmaskinen. I en aktiv Direktørmiljø er det mere almindeligt at bruge en domænebruger til at logge på. I det tilfælde håndteres logon af målmaskinen, mens godkendelse udføres af en domænecontroller.

for at godkende kan en klient bruge entenkerberos eller NTLM .Når en klient er godkendt, skal målmaskinen behandle logon.Afhængigt af den logontype, som klienten anmodede om, kan dette kræve yderligere interaktion med domænecontrollere ved hjælp af protokoller som Kerberos,NTLM ,LDAP ,RPC eller SMB .

da autentificering og behandling af logoner kræver forskellige protokoller, er det nyttigt at skelne mellem de to begreber, når man identificerer konfigurationen af højre brandvæg.

sager til almindelig brug

de følgende afsnit beskriver sager til almindelig brug for adgang til administreret Microsoft-annonce og viser, hvilke regler du skal konfigurere for hver brugssag.

Hvis du ikke planlægger at integrere administreret Microsoft-annonce med en on-premisesActive-mappe, behøver du kun at læse det første afsnit i denne artikel og få adgang til administreret Microsoft-annonce fra din VPC. Hvis du har til hensigt at opretteet tillidsforhold mellem administreret Microsoft-annonce og en lokal aktiv mappe, gælder hele artiklen.

Du kan bruge logfiler til at analysere, om der kan være behov for yderligere porte. Fordi den Simplied deny ingress-regel harlogging deaktiveret, skal du først oprette en brugerdefineret, lavprioriteret brandvægsregel, der nægter al indtrængningstrafik, men har aktiveret brandvægslogning. Med denne regel på plads, ethvert mislykket forbindelsesforsøg får en logindgang til at blive offentliggjort til Stackdriver. Da regler for brandvæg kan producere en betydelig mængde logfiler, kan du overveje at deaktivere logføring af brandvæg igen, når du har afsluttet din analyse.

adgang til administreret Microsoft-annonce fra din VPC

når du bruger standardnetværket til at implementere administreret Microsoft-annonce, kræves der ingen yderligere konfiguration for at aktivere VM ‘ er i VPC for at få adgang til Active Directory.

Hvis du har tilpasset din VPC-konfiguration eller dine regler, skal du sørge for, at din VPC-konfiguration stadig tillader kommunikation med den administrerede Microsoft-annonce. I de følgende afsnit beskrives reglerne for brandvægdu skal muligvis oprette.

Domænenavnopløsning

når en VM forsøger at løse et DNS-navn, spørger den ikke direkte til en domaincontroller. I stedet sendes DNS-forespørgslen til metadataserveren, som er default DNS-server konfigureret til Compute Engine VM ‘ er. Metadataserveren videresender forespørgslen til et Cloud DNS privateDNS-videresendelsesområde, der er oprettet af en administreret Microsoft-annonce. Dette videresendelsesområde videresender derefter forespørgslen til den relevante domænecontroller.

Domænenavnopløsning

Du behøver ikke at konfigurere nogen regler for brandvæg for at aktivere denne brugssag.Kommunikation til Cloud DNS(1) er altidtilladt til VM ‘ er i en VPC, og administreret Microsoft-annonce tillader som standard tildelte DNS-anmodninger fra Cloud DNS Cloud DNS (2).

godkendelse til en VM ved hjælp af Kerberos

en bruger, der har logget ind på en VM, kan kræve adgang til en tjeneste, der leveres af en anden VM. For eksempel kan en bruger forsøge at åbne en RDP-forbindelse,få adgang til en fildeling eller få adgang til en HTTP-ressource, der kræver godkendelse.

for at give en bruger mulighed for at godkende til serveren VM ved hjælp af Kerberos, skal klienten VMhas først få en passende Kerberos-billet fra en af de administrerede Microsoft-annoncecontrollere.

autentificering til en VM ved hjælp af Kerberos

for at aktivere VM ‘ er til at godkende til en anden ved hjælp af Kerberos, skal følgende kommunikation være tilladt af:

Action From To Protocols
1 Allow Client VM Managed Microsoft AD subnet Kerberos (UDP/88, TCP/88)
LDAP (UDP/389, TCP/389)
2 Allow Client VM Server VM Protocol used to access VM, such as HTTP (TCP/80, TCP/443) or RDP (TCP/3389)
3 Allow Server VM Managed Microsoft AD subnet See processing logons.

autentificering til en VM ved hjælp af NTLM

selvom Vinduesforetrækker Kerberos over NTLM i de fleste tilfælde kan klienter lejlighedsvis være nødt til at falde tilbage til at bruge NTLM forautentisering. NTLM er afhængig af pass-through-godkendelse og kræver derfor, at serveren kommunikerer med en af de administrerede Microsoft-annoncedomænecontrollere for at godkende brugeren.

autentificering til en VM ved hjælp af NTLM

for at aktivere VM ‘er til at autentificere andre VM’ er ved hjælp af NTLM, skal følgendekommunikation være tilladt af brandvægsregler:

handling fra til protokoller
1 Tillad klient VM Server VM protokol, der bruges til at få adgang til VM, såsom HTTP (TCP/80, tcp/443) eller RDP (TCP/3389)
2 Tillad klient VM administreret Microsoft ad subnet se behandlingslogoner.

domænetilslutning og behandling af logoner

for at fungere som domænemedlem og behandle logoner fra brugere skal en maskine være i stand til at interagere med Active Directory. Det nøjagtige sæt anvendte protokollerafhænger af den logontype, som individuelle klienter anmoder om. For at understøtte alle commonscenarios skal du tillade følgende kombination af protokoller.

Action From To Protocols
1 Allow Server VM Managed Microsoft AD subnet Kerberos (UDP/88, TCP/88)
NTP (UDP/123)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
LDAP GC (TCP/3268)

Additionally, depending on your exact use case, you might also want to permitthe følgende protokoller:

handling fra til protokoller
1 Tillad Server VM administreret Microsoft AD subnet Kerberos adgangskodeændring (UDP/464, TCP/464)
sikker LDAP (TCP/636, TCP/3269)

administration af administreret Microsoft ad

Du skal bruge adomain-joined vmto manage managed Microsoft ad. For at bruge værktøjer som Active DirectoryAdministrative Center på denne VM skal VM også kunne få adgang tilactive Directory-tjenester, der er eksponeret af administrerede Microsoft AD domaincontrollere.

handling fra til protokoller
1 Tillad Admin VM administreret Microsoft AD subnet annoncetjenester (TCP/9389)

tilslutning af administreret Microsoft-annonce til en lokal Active Directory

for at forbinde administreret Microsoft-annonce til en lokal Active Directory skal du oprette et tillidsforhold mellem skove. Derudover skal du aktivere navneopløsning mellem Google Cloud og dit lokale miljø.

oprettelse og verifikation af tillid

for at oprette og verificere en forest trust skal de administrerede Microsoft ADdomain-controllere og roddomænecontrollere i din lokale skov være i stand til at kommunikere tovejs.

oprettelse og verifikation af tillid

for at aktivere oprettelse og verifikation af tillid skal du konfigurere din lokale brandvæg for at tillade indtrængen og udgang trafik, der matcher disse egenskaber:

Action From To Protocols
1 Allow On-premises AD Managed Microsoft AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
2 Allow Managed Microsoft AD On-premises AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

Managed Microsoft AD er forudkonfigureret til at tillade trafik, der matcher dissekarakteristika, så du behøver ikke at konfigurere yderligere brandvægregler ongoogle cloud.

løsning af Google Cloud DNS-navne fra lokale

der er to måder, du kan tillade lokale maskiner at løse DNS-navne i administreret Microsoft-annonce: DNS-delegation og betinget DNS-videresendelse.

DNS-delegation

DNS-domænet, der bruges af Managed Microsoft AD, kan være et underdomæne af thedns-domænet, der bruges lokalt. For eksempel kan du bruge cloud.example.com forManaged Microsoft AD, mens du bruger example.com på stedet. Hvis du vil tillade on-premisesclients at løse DNS-navnene på Google Cloud-ressourcer, kan du indstille upDNS-delegation.

Når du bruger DNS-delegation, forsøger du at løse DNS-navnet på aGoogle Cloud resource Forespørg først en lokal DNS-server. Dnsserveren omdirigerer derefter klienten til Cloud DNS, som igen videresender anmodningen til en af dine administrerede Microsoft-annoncedomænecontrollere.

DNS-delegation

udsættelse af Cloud DNS til lokale netværk kræveroprettelse og indgående serverpolitik.Dette vil skabe en indgående speditør IP-adresse, der er en del af din VPC.

Hvis du vil bruge speditøradressen fra det lokale miljø, skal du konfigurere din lokale brandvæg til at tillade udgangstrafik, der matcher nedenstående egenskaber.

Action From To Protocols
1 Allow On-premises AD Managed Microsoft AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
2 Allow Managed Microsoft AD On-premises AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

betinget DNS-videresendelse

DNS-domænet, der bruges af Managed Microsoft AD, er muligvis ikke et underdomæne af THEDNS domæne bruges på lokaler. For eksempel kan du brugecloud.example.com forManaged Microsoft AD, mens du bruger corp.example.local on premises.

i scenarier, hvor DNS-domænerne ikke er relateret, Kan du konfigurere betinget Dnsfordeling i din lokale Active Directory DNS. Alle forespørgsler, der matcher theDNS-navnet, der bruges af Managed Microsoft AD, videresendes derefter til Cloud DNS.

betinget DNS-videresendelse

for at bruge betinget DNS-videresendelse skal du konfigurere aDNS-politik, der muliggør indgående DNS-videresendelseførst. Hvis du vil bruge den resulterende speditøradresse fra On premises, skal du konfigurere din lokale brandvæg til at tillade udgangstrafik, der matcher egenskaberne nedenunder.

handling fra til protokoller
1 Tillad on-premises AD DNS videresendelse IP-adresse DNS (UDP/53, TCP/53)

på Google Cloud-siden skal du oprette en brandvægsregel topermit Ingress traffic, der matcher disse kriterier.

Du behøver ikke at konfigurere nogen regler for at aktivere kommunikation fra Thedns speditør til Cloud DNS (2).

løsning af lokale DNS-navne fra Google Cloud

administreret Microsoft AD bruger betinget DNS-videresendelse til at løse DNS-navne i din lokale skov. Hvis du også vil tillade kunder, der kører i Google Cloud, at løse DNS-navne, der administreres af et lokalt Active Directory, kan du oprette et privat videresendelsesområde med DNS DNS, der videresender forespørgsler til lokale domænecontrollere.

løsning af lokale DNS-navne

for at aktivere løsning af lokale DNS-navne fra Google Cloud skal du konfigurere din lokale brandvæg til at tillade indtrængningstrafik i henhold til følgende tabel.

handling/TH> fra til protokoller
1 Tillad administreret Microsoft ad lokal annonce DNS (UDP/53, TCP/53)
2 tillad Cloud DNS (35.199.192.0/19) lokal annonce DNS (UDP/53, TCP/53)

Google Cloud tillader tilsvarende udgang traffic som standard.

adgang til administrerede Microsoft-annonceressourcer fra On premises

Hvis den administrerede Microsoft-ANNONCESKOV er konfigureret til at stole på din lokale skov,kan det være, at Lokale brugere og maskiner skal have adgang til ressourcer i Managed Microsoft AD forest.

godkendelse til en VM fra lokale virksomheder ved hjælp af Kerberos

en bruger, der har logget ind på en lokal maskine, kan kræve adgang til aservice leveret af en VM, der kører på Google Cloud og er medlem af Amanaged Microsoft AD forest. For eksempel kan en bruger forsøge at åbne en RDPconnection, få adgang til en fildeling eller få adgang til en HTTP-ressource, der kræver godkendelse.

for at give brugerne mulighed for at godkende til serveren VM ved hjælp af Kerberos, skal clientmachine få en passende Kerberos-billet. Dette kræverkommunikation med en af de lokale domænecontrollere samt med en af de administrerede Microsoft AD domain controllers.

godkendelse til en VM fra lokalt brug af Kerberos

for at aktivere lokale VM ‘ er til godkendelse ved hjælp af Kerberos skal du konfigurere din lokale brandvæg til at tillade følgende udgangstrafik.

Action From To Protocols
1 Allow Client machine (on-premises) Managed Microsoft AD subnet LDAP (UDP/389, TCP/389)
Kerberos (UDP/88, TCP/88)
2 Allow Client machine (on-premises) Server VM (GCP) Protocol used by application, such as HTTP (TCP/80, TCP/443) or RDP (TCP/3389)
3 Allow Server VM Managed Microsoft AD subnet See processing logons.

på Google Cloud-siden skal du oprette regler for brandvæg topermit ingress traffic for (1) og (2). Udgang af trafik til administreret Microsoft-annonce(3) er som standard tilladt.

autentificering til en VM fra lokalt brug af NTLM

Når du bruger NTLM til at autentificere en bruger fra en lokal Aktiv Directoryforest til en server VM tilsluttet en administreret Microsoft AD forest, skal de administrerede Microsoft AD domain controllers kommunikere med de lokale domænecontrollere.

godkendelse til en VM fra lokale virksomheder ved hjælp af NTLM

for at aktivere lokale VM ‘ er til godkendelse ved hjælp af NTLM skal du konfigurere din lokale brandvæg til at tillade indtrængen og udgang trafik som følger.

handling fra til protokoller
1 Tillad klientmaskine (lokalt) Server VM (Google Cloud) protokol, der bruges af applikationen, såsom HTTP (TCP/80, tcp/443) eller RDP (TCP/3389)
2 tillad server VM administreret Microsoft ad subnet se behandlingslogoner.
3 Tillad administreret Microsoft AD subnet lokal AD LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

på Google Cloud side, oprette brandvæg regler topermit indtrængen trafik for (1). Udgangstrafik for (2) og (3) er som standard tilladt.

behandling af logon for brugere af lokal skov

for at behandle en logon for en bruger af lokal skov skal en VM være i stand til at interagere med lokal Active Directory. Det nøjagtige sæt protokoller, der bruges, afhænger aflogontype, som klienten anmodede om. For at understøtte alle almindelige scenarier skal du konfigurere din lokale brandvæg til at tillade indtrængningstrafik, der matcher disse egenskaber.

/td>

handling fra til protokoller
1 Tillad Server VM (Google Cloud) lokalt AD subnet Kerberos (UDP/88, TCP/88)
NTP (UDP/123)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
LDAP GC (TCP/3268)

afhængigt af din nøjagtige brugssag kan du også tillade følgendeprotokoller.

  • Kerberos adgangskodeændring (UDP/464, TCP/464)
  • sikker LDAP (TCP/636, TCP/3269)

på den administrerede Microsoft-annonceside er tilsvarende udgående trafik tilladtsom standard.

på administrative VM ‘ er Planlægger du muligvis ikke at tillade logoner fra brugere af Theon-premises forest. En aktivitet, som du sandsynligvis skal udføre påadministrative VM ‘ er, er dog at styre gruppemedlemskaber. Når du bruger theobject picker til at henvise til en bruger eller gruppe fra din lokale skov, kræver theobject picker adgang til de lokale domænecontrollere. For at dette skal fungere, kræver den administrative VM den samme adgang til dine on-premisesActive Directory-domænecontrollere, som det ville gøre for at behandle logoner til brugere af lokalskoven.

adgang til lokale Active Directory-ressourcer fra Google Cloud

Hvis din lokale skov er konfigureret til at stole på den administrerede Microsoft AD forest,skal brugere fra den administrerede Microsoft AD forest muligvis kunne få adgang til lokale ressourcer.

godkendelse til en lokal VM ved hjælp af Kerberos

en bruger, der har logget ind på en VM, der kører på Google Cloud, og som er medlem af den administrerede Microsoft AD forest, kan kræve adgang til en tjeneste, der leveres af en lokal maskine, der er medlem af din lokale skov.For eksempel kan brugeren forsøge at åbne en RDP-forbindelse, få adgang til en fileshare eller få adgang til en HTTP-ressource, der kræver godkendelse.

for at give brugeren mulighed for at autentificere til den lokale maskine ved hjælp af Kerberos, skal theVM få en passende Kerberos-billet. Dette kræver først kommunikation med en af de administrerede Microsoft-annoncecontrollere og derefter med lokale domænecontrollere.

godkendelse til en lokal VM ved hjælp af Kerberos

for at aktivere lokale VM ‘ er til godkendelse ved hjælp af Kerberos skal du konfigurere din lokale brandvæg til at tillade indtrængningstrafik, der matcher egenskaberne nedenunder.

Action From To Protocols
1 Allow Client VM (Google Cloud) Managed Microsoft AD subnet Kerberos (UDP/88, TCP/88)
LDAP (UDP/389, TCP/389)
Implied by processing logons
2 Allow Client VM (Google Cloud) On-premises AD Kerberos (UDP/88, TCP/88)
LDAP (UDP/389, TCP/389)
3 Allow Client VM (Google Cloud) Server machine (on-premises) Protocol used by ansøgning, såsom HTTP (TCP / 80, TCP / 443) eller RDP (TCP/3389)

på Google Cloud-siden er tilsvarende udgangstrafik tilladtsom standard.

autentificering til en lokal VM ved hjælp af NTLM

når du bruger NTLM til at autentificere en bruger fra den administrerede Microsoft AD forest Toa-servermaskine, der er forbundet til din lokale skov, skal de primære controllere være i stand til at kommunikere med de administrerede Microsoft AD-domænecontrollere:

godkendelse til en lokal VM ved hjælp af NTLM

for at aktivere lokale VM ‘ er til godkendelse ved hjælp af Kerberos skal du konfigurere din lokale brandvæg til at tillade indtrængen og udgang trafik, der matcher disse egenskaber.

handling fra til protokoller
1 Tillad klient VM (Google Cloud) Server machine (on-premises) protokol brugt af applikationen, for eksempel HTTP (TCP/80, tcp/443) eller RDP (TCP/3389)
2 tillad lokal annonce administreret Microsoft ad subnet LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

på Google Cloud-siden er Udgangstrafik for (1) og Indtrængningstrafik for(2) tilladt af standard.

behandling af logon for brugere af den administrerede Microsoft AD forest

for at behandle et logon for en bruger af den administrerede Microsoft AD forest skal en maskine, der kører lokalt, kunne interagere med administrerede Microsoft ADdomain-controllere. Det nøjagtige sæt protokoller, der anvendes, afhænger aflogontype, som klienten anmodede om. For at understøtte alle almindelige scenarier bør du tilladefølgende kombination af protokoller.

handling fra til protokoller
1 Tillad servermaskine (lokalt) administreret Microsoft AD subnet Kerberos (UDP/88, TCP/88)
NTP (UDP/123)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
LDAP GC (TCP/3268)

afhængigt af din nøjagtige brugssag kan du også tillade følgende protokoller.

  • Kerberos adgangskodeændring (UDP/464, TCP/464)
  • sikker LDAP (TCP/636, TCP/3269)

sørg for, at dine lokale brandvægge tillader udgangstrafik, der matcherdisse egenskaber. Du behøver ikke at konfigurere nogen regler for brandvæg iGoogle Cloud for at aktivere tilsvarende indtrængningstrafik tilforvaltet Microsoft-annonce.

på administrative maskiner planlægger du muligvis ikke at tillade logoner fra brugere af den administrerede Microsoft AD forest. En aktivitet, som du sandsynligvis skal udføre påadministrative maskiner, er at styre gruppemedlemskaber. Når du bruger objektvælgeren til at henvise til en bruger eller gruppe fra den administrerede Microsoft ADforest, kræver objektvælgeren adgang til de administrerede Microsoft ADdomain-controllere. For at dette skal fungere, kræver den administrative maskine den samme adgang til de administrerede Microsoft-annoncedomænecontrollere, som det ville gøre for at behandle logoner for brugere af den administrerede Microsoft AD forest.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.