Domänencontroller, die von Managed Service für Microsoft Active Directory betrieben werden, stellen eine Reihe von Diensten bereit, darunter LDAP, DNS, Kerberos und RPC. Abhängig von Ihren Anwendungsfällen benötigen virtuelle Maschinen (VMs), die in Google Cloud bereitgestellt werden, sowie Maschinen, die lokal ausgeführt werden, möglicherweise Zugriff auf diese Dienste, um ActiveDirectory nutzen zu können.
Um die Angriffsfläche von Domänencontrollern und VMs zu reduzieren, sollten Sie Firewalls verwenden, um jede Netzwerkkommunikation zu unterbinden, die nicht unbedingt erforderlich ist.In diesem Artikel wird beschrieben, wie Firewalls konfiguriert werden, um gängige ActiveDirectory-Anwendungsfälle zu berücksichtigen, während andere Netzwerkkommunikation nicht zulässig ist.
Anmeldung versus Authentifizierung
Obwohl die Begriffe Anmeldung und Authentifizierung häufig synonym verwendet werden, haben sie im Kontext der Windows-Sicherheit unterschiedliche Bedeutungen. Logondescribes der Prozess, der auf dem System auftritt, auf das ein Benutzer Zugriff erhält to.In im Gegensatz dazu wird die Authentifizierung von dem Computer durchgeführt, auf dem sich das Benutzerkonto befindet.
Wenn Sie sich mit einem lokalen Konto an einem Computer anmelden, werden sowohl die Anmeldung als Auchauthentifizierung vom Zielcomputer ausgeführt. In einer Active Directory-Umgebung ist es üblicher, einen Domänenbenutzer zum Anmelden zu verwenden. In diesem Fall wird die Anmeldung vom Zielcomputer ausgeführt, während die Authentifizierung von einem Domänencontroller ausgeführt wird.
Zur Authentifizierung kann ein Client entweder verwendenkerberos oder NTLM .Sobald sich ein Client authentifiziert hat, muss der Zielcomputer die Anmeldung verarbeiten.Abhängig vom Anmeldetyp, den der Client angefordert hat, kann dies eine zusätzliche Interaktion mit Domänencontrollern erfordern, die Protokolle wie Kerberos, NTLM, LDAP, RPC oder SMB verwenden .
Da für die Authentifizierung und Verarbeitung von Anmeldungen unterschiedliche Protokolle erforderlich sind, ist es hilfreich, bei der Identifizierung der rightfirewall-Konfiguration zwischen den beiden Konzepten zu unterscheiden.
Häufige Anwendungsfälle
Die folgenden Abschnitte beschreiben häufige Anwendungsfälle für den Zugriff auf verwaltetes Microsoft AD und zeigen, welche Firewallregeln Sie für jeden Anwendungsfall konfigurieren müssen.
Wenn Sie nicht vorhaben, Managed Microsoft AD in ein lokales Active Directory zu integrieren, müssen Sie nur den ersten Abschnitt dieses Artikels lesen: Zugriff auf Managed Microsoft AD von Ihrer VPC aus. Wenn Sie beabsichtigen, eine Vertrauensstellung zwischen verwaltetem Microsoft AD und einem lokalen ActiveDirectory zu erstellen, gilt der gesamte Artikel.
Sie können Firewall-Regelprotokolle verwenden, um zu analysieren, ob zusätzliche Ports erforderlich sind. Da für die implementierte Deny Ingress-Regel die Protokollierung deaktiviert ist, müssen Sie zuerst eine benutzerdefinierte Firewallregel mit niedriger Priorität erstellen, die den gesamten eingehenden Datenverkehr ablehnt, aber die Firewall-Protokollierung aktiviert hat. Mit dieser Regel führt jeder fehlgeschlagene Verbindungsversuch dazu, dass ein Protokolleintrag in Stackdriver veröffentlicht wird. Da Firewall-Regeln ein erhebliches Protokollvolumen erzeugen können, sollten Sie die Firewall-Protokollierung nach Abschluss der Analyse erneut deaktivieren.
Zugriff auf verwaltetes Microsoft AD von Ihrer VPC aus
Wenn Sie das Standardnetzwerk für die Bereitstellung von verwaltetem Microsoft AD verwenden, ist keine weitere Konfiguration erforderlich, um VMs in der VPC den Zugriff auf Active Directory zu ermöglichen.
Wenn Sie Ihre VPC-Konfiguration oder Firewallregeln angepasst haben, müssen Sie sicherstellen, dass Ihre Firewallkonfiguration weiterhin die Kommunikation mit verwaltetem Microsoft AD zulässt. In den folgenden Abschnitten werden Firewallregeln beschriebensie müssen möglicherweise erstellen.
Domänennamenauflösung
Wenn eine VM versucht, einen DNS-Namen aufzulösen, fragt sie einen Domaincontroller nicht direkt ab. Stattdessen wird die DNS-Abfrage an den Metadatenserver gesendet, bei dem es sich um den für Compute Engine-VMs konfigurierten Standard-DNS-Server handelt. Der Metadatenserver leitet die Abfrage dann an eine Cloud DNS-privateDNS-Weiterleitungszone weiter, die von verwaltetem Microsoft AD erstellt wurde. Diese Weiterleitungszone leitet die Abfrage dann an den entsprechenden Domänencontroller weiter.
Sie müssen keine Firewall-Regeln konfigurieren, um diesen Anwendungsfall zu aktivieren.Die Kommunikation mit Cloud DNS (1) ist für VMs in einer VPC immer zulässig und verwaltet Microsoft AD allowsforwarded DNS-Anforderungen von Cloud DNS Cloud DNS (2) standardmäßig.
Authentifizierung bei einer VM mit Kerberos
Ein Benutzer, der sich bei einer VM angemeldet hat, benötigt möglicherweise Zugriff auf einen Dienst, der von einer anderen VM bereitgestellt wird. Beispielsweise kann ein Benutzer versuchen, eine RDP-Verbindung zu öffnen, auf eine Dateifreigabe zuzugreifen oder auf eine HTTP-Ressource zuzugreifen, für die eine Authentifizierung erforderlich ist.
Damit sich ein Benutzer mit Kerberos bei der Server-VM authentifizieren kann, muss die Client-VM zuerst ein entsprechendes Kerberos-Ticket von einem der verwalteten Microsoft AD-Controller beziehen.
Um VMs die Authentifizierung bei einer anderen VM mit Kerberos zu ermöglichen, muss die folgende Kommunikation durch Firewallregeln zugelassen werden:
| Action | From | To | Protocols | |
|---|---|---|---|---|
| 1 | Allow | Client VM | Managed Microsoft AD subnet | Kerberos (UDP/88, TCP/88) LDAP (UDP/389, TCP/389) |
| 2 | Allow | Client VM | Server VM | Protocol used to access VM, such as HTTP (TCP/80, TCP/443) or RDP (TCP/3389) |
| 3 | Allow | Server VM | Managed Microsoft AD subnet | See processing logons. |
Authentifizierung bei einer VM mit NTLM
Obwohl Windowsprefers Kerberos über NTLM in den meisten Fällen müssen Clients gelegentlich auf die Verwendung von NTLM für die Authentifizierung zurückgreifen. NTLM basiert aufpass-Through-Authentifizierung und erfordert daher, dass der Server mit einem der verwalteten Microsoft AD-Domänencontroller kommuniziert, um den Benutzer zu authentifizieren.
Damit VMs andere VMs mit NTLM authentifizieren können, muss die folgende Kommunikation durch Firewall-Regeln zugelassen werden:
| Aktion | Von | Bis | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Client-VM | Server-VM | Protokoll für den Zugriff auf VM, z. B. HTTP (TCP/80, TCP /443) oder RDP (TCP/3389) |
| 2 | Zulassen | Client-VM | Verwaltetes Microsoft AD-Subnetz | Siehe Verarbeiten von Anmeldungen. |
Domänenbeitritt und Verarbeitung von Anmeldungen
Um als Domänenmitglied zu arbeiten und Anmeldungen von Benutzern zu verarbeiten, muss eine Maschine in der Lage sein, mit Active Directory zu interagieren. Der genaue Satz der verwendeten Protokollehängt vom Anmeldetyp ab, den einzelne Clients anfordern. Um alle gängigen Szenarien zu unterstützen, sollten Sie die folgende Kombination von Protokollen zulassen.
| Action | From | To | Protocols | |
|---|---|---|---|---|
| 1 | Allow | Server VM | Managed Microsoft AD subnet | Kerberos (UDP/88, TCP/88) NTP (UDP/123) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) LDAP GC (TCP/3268) |
Additionally, depending on your exact use case, you might also want to permitthe folgende Protokolle:
| Aktion | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Server-VM | Verwaltetes Microsoft AD-Subnetz | Kerberos-Kennwortänderung (UDP/ 464, TCP/464) Secure LDAP (TCP/636, TCP/3269) |
Verwalten von Managed Microsoft AD
Sie müssen adomain-joined VMto Managed Microsoft AD verwenden. Um Tools wie Active DirectoryAdministrative Center auf dieser VM zu verwenden, muss die VM auch auf die Active Directory-Webdienste zugreifen können, die von verwalteten Microsoft AD-Domänencontrollern bereitgestellt werden.
| Aktion | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Admin VM | Verwaltetes Microsoft AD-Subnetz | AD-Webdienste (TCP/9389) |
Verbinden von verwaltetem Microsoft AD mit einem lokalen Active Directory
Um verwaltetes Microsoft AD mit einem lokalen Active Directory zu verbinden, müssen Sieeine Vertrauensstellung zwischen Gesamtstrukturen erstellen. Darüber hinaus sollten Sie die DNS-Namensauflösung zwischen Google Cloud und Ihrer lokalen Umgebung aktivieren.
Vertrauensstellung und Verifizierung
Um eine Gesamtstrukturvertrauensstellung zu erstellen und zu verifizieren, müssen die verwalteten Microsoft ADdomain-Controller und die Root-Domänencontroller Ihres lokalen Forests bidirektional kommunizieren können.
Um die Vertrauenserstellung und -überprüfung zu aktivieren, konfigurieren Sie Ihre lokale Firewall so, dass eingehender und ausgehender Datenverkehr zugelassen wird, der diesen Eigenschaften entspricht:
| Action | From | To | Protocols | |
|---|---|---|---|---|
| 1 | Allow | On-premises AD | Managed Microsoft AD | DNS (UDP/53, TCP/53) Kerberos (UDP/88, TCP/88) Kerberos password change (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
| 2 | Allow | Managed Microsoft AD | On-premises AD | DNS (UDP/53, TCP/53) Kerberos (UDP/88, TCP/88) Kerberos password change (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/ 389, TCP/389) SMB (UDP/ 445, TCP/445) |
Managed Microsoft AD ist vorkonfiguriert, um Datenverkehr zuzulassen, der diesen Eigenschaften entspricht, sodass Sie keine zusätzlichen Firewall-Regeln für Google Cloud konfigurieren müssen.
Google Cloud DNS-Namen lokal auflösen
Es gibt zwei Möglichkeiten, wie lokale Computer DNS-Namen in verwaltetem Microsoft AD auflösen können: DNS-Delegierung und bedingte DNS-Weiterleitung.
DNS-Delegierung
Die von verwaltetem Microsoft AD verwendete DNS-Domäne ist möglicherweise eine Unterdomäne der lokal verwendeten DNS-Domäne. Zum Beispiel könnten Sie verwenden cloud.example.com forManaged Microsoft AD während der Verwendung example.com auf dem Gelände. Damit lokale Clients die DNS-Namen von Google Cloud-Ressourcen auflösen können, können Sie die upDNS-Delegierung festlegen.
Bei Verwendung der DNS-Delegierung wird versucht, den DNS-Namen einer Google Cloud-Ressource aufzulösen, indem zuerst ein lokaler DNS-Server abgefragt wird. Der DNSServer leitet den Client dann an Cloud DNS weiter, das wiederum die Anfrage an einen Ihrer verwalteten Microsoft AD-Domänencontroller weiterleitet.
Das Bereitstellen von Cloud DNS für lokale Netzwerke erforderterstellen und eingehende Serverrichtlinie.Dadurch wird eine IP-Adresse für die eingehende Weiterleitung erstellt, die Teil Ihrer VPC ist.
Um die Weiterleitungsadresse von On-Premises zu verwenden, konfigurieren Sie Ihre On-premisesfirewall so, dass ausgehender Datenverkehr zugelassen wird, der den folgenden Merkmalen entspricht.
| Action | From | To | Protocols | |
|---|---|---|---|---|
| 1 | Allow | On-premises AD | Managed Microsoft AD | DNS (UDP/53, TCP/53) Kerberos (UDP/88, TCP/88) Kerberos password change (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
| 2 | Allow | Managed Microsoft AD | On-premises AD | DNS (UDP/53, TCP/53) Kerberos (UDP/88, TCP/88) Kerberos password change (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
Bedingte DNS-Weiterleitung
Die von verwaltetem Microsoft AD verwendete DNS-Domäne ist möglicherweise keine Unterdomäne der verwendeten DNS-Domäne auf dem Gelände. Sie können beispielsweisecloud.example.com forManaged Microsoft AD verwenden, während Sie corp.example.local lokal verwenden.
In Szenarien, in denen die DNS-Domänen nicht miteinander verknüpft sind, können Sie bedingtes DNSforwarding in Ihrem lokalen Active Directory-DNS einrichten. Alle Abfragen, die mit dem von Managed Microsoft AD verwendeten DNS-Namen übereinstimmen, werden dann an Cloud DNS weitergeleitet.
Um die bedingte DNS-Weiterleitung zu verwenden, müssen Sie eine aDNS-Richtlinie einrichten, die die eingehende DNS-Weiterleitung aktiviert. Um die resultierende Weiterleitungsadresse lokal zu verwenden, konfigurieren Sie Ihre lokale Firewall so, dass ausgehender Datenverkehr zugelassen wird, der den folgenden Merkmalen entspricht.
| Aktion | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Lokale ANZEIGE | DNS-Weiterleitung IP-Adresse | DNS (UDP/53, TCP/53 ) |
Erstellen Sie auf der Google Cloud-Seite eine Firewall-Regel, um den eingehenden Datenverkehr zu verhindern, der diesen Kriterien entspricht.
Sie müssen keine Firewall-Regeln konfigurieren, um die Kommunikation von theDNS Forwarder zu Cloud DNS (2) zu ermöglichen.
Lokale DNS-Namen aus Google Cloud auflösen
Managed Microsoft AD verwendet bedingte DNS-Weiterleitung, um DNS-Namen in Ihrer lokalen Gesamtstruktur aufzulösen. Damit Clients, die in Google Cloud ausgeführt werden, auch DNS-Namen auflösen können, die von einem lokalen Active Directory verwaltet werden, können Sie eine private Weiterleitungszone in Cloud DNS DNS erstellen, die Abfragen an lokale Domänencontroller weiterleitet.
Um die Auflösung lokaler DNS-Namen aus der Google Cloud zu aktivieren, konfigurieren Sie Ihre lokale Firewall so, dass eingehender Datenverkehr gemäß der folgenden Tabelle zulässig ist.
| th> | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Verwaltetes Microsoft AD | AD | DNS (UDP/53, TCP/53) |
| 2 | Erlauben | Wolke DNS (35.199.192.0/19) | Lokale ANZEIGE | DNS (UDP/ 53, TCP/53) |
Google Cloud ermöglicht standardmäßig den entsprechenden Ausgangsverkehr.
Lokaler Zugriff auf verwaltete Microsoft AD-Ressourcen
Wenn die verwaltete Microsoft AD-Gesamtstruktur so eingerichtet ist, dass sie Ihrer lokalen Gesamtstruktur vertraut, möchten Sie möglicherweise, dass lokale Benutzer und Computer auf Ressourcen in der verwalteten Microsoft AD-Gesamtstruktur zugreifen können.
Lokale Authentifizierung bei einer VM mithilfe von Kerberos
Ein Benutzer, der sich bei einem lokalen Computer angemeldet hat, benötigt möglicherweise Zugriff auf einen Dienst, der von einer VM bereitgestellt wird, die in Google Cloud ausgeführt wird und Mitglied einer verwalteten Microsoft AD-Gesamtstruktur ist. Beispielsweise kann ein Benutzer versuchen, eine RDPconnection zu öffnen, auf eine Dateifreigabe zuzugreifen oder auf eine HTTP-Ressource zuzugreifen, für die Authentifizierung erforderlich ist.
Damit sich Benutzer mit Kerberos bei der Server-VM authentifizieren können, muss der Clientcomputer ein entsprechendes Kerberos-Ticket erhalten. Dies erfordert die Kommunikation mit einem der lokalen Domänencontroller sowie mit einem der verwalteten Microsoft AD-Domänencontroller.
Um On-Premises-VMs die Authentifizierung mit Kerberos zu ermöglichen, konfigurieren Sie Ihre on-Premises-Firewall, um den folgenden ausgehenden Datenverkehr zuzulassen.
| Action | From | To | Protocols | |
|---|---|---|---|---|
| 1 | Allow | Client machine (on-premises) | Managed Microsoft AD subnet | LDAP (UDP/389, TCP/389) Kerberos (UDP/88, TCP/88) |
| 2 | Allow | Client machine (on-premises) | Server VM (GCP) | Protocol used by application, such as HTTP (TCP/80, TCP/443) or RDP (TCP/3389) |
| 3 | Allow | Server VM | Managed Microsoft AD subnet | See processing logons. |
Erstellen Sie auf der Google Cloud-Seite Firewall-Regeln, um den eingehenden Datenverkehr für (1) und (2) zu verhindern. Ausgehender Datenverkehr zu verwaltetem Microsoft AD (3) ist standardmäßig zulässig.
Authentifizierung bei einer lokalen VM mithilfe von NTLM
Wenn Sie NTLM verwenden, um einen Benutzer aus einem lokalen Active Directoryforest bei einer Server-VM zu authentifizieren, die mit einer verwalteten Microsoft AD-Gesamtstruktur verbunden ist, müssen die verwalteten Microsoft AD-Domänencontroller mit den lokalen Domänencontrollern kommunizieren.
Um die Authentifizierung von lokalen VMs mithilfe von NTLM zu ermöglichen, konfigurieren Sie Ihre lokale Firewall so, dass eingehender und ausgehender Datenverkehr wie folgt zulässig ist.
| Aktion | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Client-Maschine (lokal) | Server-VM (Google Cloud) | Von der Anwendung verwendetes Protokoll, wie HTTP (TCP/80, TCP/443) oder RDP (TCP/3389) |
| 2 | Zulassen | Server-VM | Verwaltetes Microsoft AD-Subnetz | Siehe Verarbeiten von Anmeldungen. |
| 3 | Zulassen | Verwaltetes Microsoft AD-Subnetz | Lokales AD | LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
Erstellen Sie auf der Google Cloud-Seite firewall-Regeln topermit eingehenden Datenverkehr für (1). Der ausgehende Datenverkehr für (2) und (3) ist standardmäßig zulässig.
Verarbeiten von Anmeldungen für Benutzer der lokalen Gesamtstruktur
Um eine Anmeldung für einen Benutzer der lokalen Gesamtstruktur zu verarbeiten, muss eine VM mit dem lokalen Active Directory interagieren können. Der genaue Satz der verwendeten Protokolle hängt vom Anmeldetyp ab, den der Client angefordert hat. Um alle gängigen Szenarien zu unterstützen, konfigurieren Sie Ihre lokale Firewall so, dass eingehender Datenverkehr zugelassen wird, der diesen Eigenschaften entspricht.
| Aktion | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Server-VM (Google Cloud) | Lokales AD-Subnetz | Kerberos (UDP/ 88, TCP/88) NTP (UDP/123) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) LDAP GC (TCP/3268) |
Abhängig von Ihrem genauen Anwendungsfall möchten Sie möglicherweise auch die folgenden Protokolle zulassen.
- Kerberos-Kennwortänderung (UDP/464, TCP/464)
- Sicheres LDAP (TCP/636, TCP/3269)
Auf der verwalteten Microsoft AD-Seite ist der entsprechende Ausgangsverkehr standardmäßig zulässig.
Auf administrativen VMs planen Sie möglicherweise nicht, Anmeldungen von Benutzern der lokalen Gesamtstruktur zuzulassen. Eine Aktivität, die Sie jedoch wahrscheinlich auf administrativen VMs ausführen müssen, ist das Verwalten von Gruppenmitgliedschaften. Wenn Sie die Objektauswahl verwenden, um auf einen Benutzer oder eine Gruppe aus Ihrer lokalen Gesamtstruktur zu verweisen, erfordert die Objektauswahl Zugriff auf die lokalen Domänencontroller. Damit dies funktioniert, benötigt die administrative VM denselben Zugriff auf Ihre lokalen Active Directory-Domänencontroller wie für die Verarbeitung von Anmeldungen für Benutzer der lokalen Gesamtstruktur.
Zugriff auf lokale Active Directory-Ressourcen von Google Cloud aus
Wenn Ihre lokale Gesamtstruktur so eingerichtet ist, dass sie der verwalteten Microsoft AD-Gesamtstruktur vertraut, möchten Sie möglicherweise, dass Benutzer aus der verwalteten Microsoft AD-Gesamtstruktur auf lokale Ressourcen zugreifen können.
Authentifizierung bei einer lokalen VM mit Kerberos
Ein Benutzer, der sich bei einer in Google Cloud ausgeführten VM angemeldet hat und Mitglied der verwalteten Microsoft AD-Gesamtstruktur ist, benötigt möglicherweise Zugriff auf einen Dienst, der von einem lokalen Computer bereitgestellt wird, der Mitglied Ihrer lokalen Gesamtstruktur ist.Der Benutzer kann beispielsweise versuchen, eine RDP-Verbindung zu öffnen, auf eine Dateifreigabe zuzugreifen oder auf eine HTTP-Ressource zuzugreifen, für die eine Authentifizierung erforderlich ist.
Damit sich der Benutzer mit Kerberos bei der lokalen Maschine authentifizieren kann, muss theVM ein entsprechendes Kerberos-Ticket erhalten. Dies erfordert zuerst die Kommunikation mit einem der verwalteten Microsoft AD-Controller und dann mit den lokalen Domänencontrollern.
Um die Authentifizierung von lokalen VMs mithilfe von Kerberos zu ermöglichen, konfigurieren Sie Ihre lokale Firewall so, dass eingehender Datenverkehr zugelassen wird, der den folgenden Merkmalen entspricht.
| Action | From | To | Protocols | |
|---|---|---|---|---|
| 1 | Allow | Client VM (Google Cloud) | Managed Microsoft AD subnet | Kerberos (UDP/88, TCP/88) LDAP (UDP/389, TCP/389) Implied by processing logons |
| 2 | Allow | Client VM (Google Cloud) | On-premises AD | Kerberos (UDP/88, TCP/88) LDAP (UDP/389, TCP/389) |
| 3 | Allow | Client VM (Google Cloud) | Server machine (on-premises) | Protocol used by anwendung, wie HTTP (TCP/80, TCP/443) oder RDP (TCP/3389) |
Auf der Google Cloud-Seite ist der entsprechende Ausgangsverkehr zulässigstandardmäßig.
Authentifizierung bei einer lokalen VM mithilfe von NTLM
Wenn Sie NTLM verwenden, um einen Benutzer aus der verwalteten Microsoft AD-Gesamtstruktur auf einem Servercomputer zu authentifizieren, der mit Ihrer lokalen Gesamtstruktur verbunden ist, müssen die lokalen Domänencontroller in der Lage sein, mit den verwalteten Microsoft AD-Domänencontrollern zu kommunizieren:
Um die Authentifizierung von lokalen VMs mithilfe von Kerberos zu ermöglichen, konfigurieren Sie Ihre lokale Firewall so, dass eingehender und ausgehender Datenverkehr diesen Eigenschaften entspricht.
| Aktion | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Client-VM (Google Cloud) | Servermaschine (lokal) | Protokoll, das von der Anwendung verwendet wird, zum Beispiel HTTP (TCP/80, TCP/443) oder RDP (TCP/3389) |
| 2 | Zulassen | Lokales AD | Verwaltetes Microsoft AD-Subnetz | LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
Auf der Google Cloud-Seite ist der ausgehende Datenverkehr für (1) und der eingehende Datenverkehr für(2) Standard.
Verarbeiten von Anmeldungen für Benutzer der verwalteten Microsoft AD-Gesamtstruktur
Um eine Anmeldung für einen Benutzer der verwalteten Microsoft AD-Gesamtstruktur zu verarbeiten, muss ein Machinerunning On-Premises in der Lage sein, mit verwalteten Microsoft ADdomain-Controllern zu interagieren. Der genaue Satz der verwendeten Protokolle hängt vom Anmeldetyp ab, den der Client angefordert hat. Um alle gängigen Szenarien zu unterstützen, sollten Sie erlaubendie folgende Kombination von Protokollen.
| Aktion | Von | Zu | Protokolle | |
|---|---|---|---|---|
| 1 | Zulassen | Servercomputer (lokal) | Verwaltetes Microsoft AD-Subnetz | Kerberos (UDP/ 88, TCP/88) NTP (UDP/123) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) LDAP GC (TCP/3268) |
Abhängig von Ihrem genauen Anwendungsfall möchten Sie möglicherweise auch die folgenden Protokolle zulassen.
- Kerberos-Kennwortänderung (UDP/464, TCP/464)
- Sicheres LDAP (TCP/636, TCP/3269)
Stellen Sie sicher, dass Ihre lokalen Firewalls ausgehenden Datenverkehr zulassen, der diesen Merkmalen entspricht. Sie müssen keine Firewall-Regeln in Google Cloud konfigurieren, um den entsprechenden eingehenden Datenverkehr zu aktivierenverwaltetes Microsoft AD.
Auf Verwaltungscomputern planen Sie möglicherweise nicht, Anmeldungen von Benutzern der verwalteten Microsoft AD-Gesamtstruktur zuzulassen. Eine Aktivität, die Sie wahrscheinlich auf administrativen Computern ausführen müssen, ist das Verwalten von Gruppenmitgliedschaften. Wenn Sie die Objektauswahl verwenden, um einen Benutzer oder eine Gruppe aus dem verwalteten Microsoft ADforest zu referenzieren, benötigt die Objektauswahl Zugriff auf die verwalteten Microsoft ADdomain-Controller. Damit dies funktioniert, benötigt der Verwaltungscomputer denselben Zugriff auf die verwalteten Microsoft AD-Domänencontroller wie für die Verarbeitung von Anmeldungen für Benutzer der verwalteten Microsoft AD-Gesamtstruktur.