Maybaygiare.org

Blog Network

Utilizarea Managed Microsoft AD între firewall-uri

controlerele de domeniu operate de Managed Service pentru Microsoft Active Directory expun o serie de servicii, inclusiv LDAP, DNS, Kerberos și RPC. În funcție de cazurile dvs. de utilizare,mașinile virtuale (vm) implementate în Google Cloud, precum și mașinile care rulează local, ar putea avea nevoie de acces la aceste servicii pentru a profita de ActiveDirectory.

pentru a reduce suprafața de atac a controlerelor de domeniu și a VM-urilor, ar trebui să utilizațifirewalls pentru a interzice orice comunicare în rețea care nu este strict necesară.Acest articol descrie modul de configurare a firewall-urilor pentru a se potrivi cazurilor comune de utilizare ActiveDirectory, în timp ce interzice alte comunicații de rețea.

Logon versus autentificare

în timp ce termenii logon și autentificare sunt adesea folosiți interschimbabil,ei au semnificații diferite în contextul securității Windows. Logondescrie procesul care are loc pe sistemul pe care un utilizator îl accesează to.In în contrast, autentificarea este efectuată de computerul pe care se află contul Utilizatorului.

când utilizați un cont local pentru a vă conecta la o mașină, atât conectarea, cât și autentificarea sunt gestionate de mașina țintă. Într-un Directoryenvironment activ, este mai frecvent să utilizați un utilizator de domeniu pentru a vă conecta. În acest caz, conectarea este gestionată de mașina țintă, în timp ce autentificarea este efectuată de un controler de domeniu.

pentru a se autentifica, un client poate folosi eitherKerberos sau NTLM .Odată ce un client se autentifică, mașina țintă trebuie să proceseze conectarea.În funcție de tipul de logon solicitat de client, acest lucru ar putea necesita o interacțiune suplimentară cu controlerele de domeniu folosind protocoale precum Kerberos,NTLM ,LDAP ,RPC sau SMB .

deoarece autentificarea și procesarea logon-urilor necesită protocoale diferite, este util să se facă distincția între cele două concepte atunci când se identifică configurația rightfirewall.

cazuri de utilizare obișnuită

următoarele secțiuni descriu cazuri de utilizare obișnuită pentru accessingManaged Microsoft AD și arată ce reguli de firewall trebuie să configurați pentru fiecare caz de utilizare.

dacă nu intenționați să integrați anunțul Microsoft gestionat cu un director on-premisesActive, trebuie doar să citiți prima secțiune a acestui articol,accesând anunțul Microsoft gestionat din cadrul VPC. Dacă intenționați să creațio relație de încredere între Microsoft Ad gestionat și un ActiveDirectory local, se aplică întregul articol.

puteți utiliza jurnalele de reguli firewall pentru a analiza dacă pot fi necesare porturi suplimentare. Deoarece theimplied deny ingress rule areblogging dezactivat, trebuie mai întâi să creați o regulă de firewall personalizată, cu prioritate redusă, care neagă tot traficul de intrare, dar are activată înregistrarea firewall-ului. Cu thisrule în loc, orice încercare de conectare nu a reușit provoacă o intrare jurnal pentru a fi publicat la Stackdriver. Deoarece regulile firewall-ului pot produce un volum semnificativ de jurnale, luați în considerare dezactivarea jurnalizării firewall-ului din nou după ce ați finalizat analiza.

accesarea anunțului Microsoft gestionat din cadrul VPC

când utilizați rețeaua implicită pentru a implementa Microsoft ad gestionat, nu este necesară nicio altă configurație pentru a activa VMs în VPC pentru a accesa Active Directory.

Dacă v-ați personalizat configurația VPC sau regulile firewall-ului, trebuie să vă asigurați că configurația firewall-ului permite în continuare comunicarea cu Microsoft ad gestionat. Următoarele secțiuni descriu regulile firewall – uluipoate fi necesar să creați.

Domain name resolution

când un VM încearcă să rezolve un nume DNS, acesta nu interoghează direct un domaincontroller. În schimb, interogarea DNS este trimisă serverului de metadate, care esteserverul DNS implicit configurat pentru VM-urile Compute Engine. Serverul de metadate redirecționează interogarea către o zonă de redirecționare privată DNS cloud creată de Microsoft ad. Această zonă de redirecționare transmite apoi interogarea către controlerul de domeniu corespunzător.

rezoluție nume de domeniu

nu aveți nevoie pentru a configura orice reguli firewall pentru a activa acest caz de utilizare.Comunicarea către cloud DNS(1) este întotdeaunapermisă pentru VM-uri într-un VPC și Microsoft Ad gestionat permite cererile DNS răsplătite din Cloud DNS Cloud DNS (2) în mod implicit.

autentificarea la un VM folosind Kerberos

Un utilizator care s-a conectat la un VM ar putea necesita acces la un serviciu furnizat de un VM diferit. De exemplu,un utilizator poate încerca să deschidă o conexiune RDP, să acceseze o partajare de fișiere sau să acceseze o resursă HTTP care necesită autentificare.

pentru a permite unui utilizator să se autentifice la serverul VM folosind Kerberos, clientul VMhas pentru a obține un bilet Kerberos adecvat de la unul dintre controlerele Microsoft ad gestionate mai întâi.

autentificarea la un VM folosind Kerberos

pentru a permite VM-urilor să se autentifice la altul folosind Kerberos, comunicarea următoare trebuie să fie permisă de regulile firewall-ului:

Action From To Protocols
1 Allow Client VM Managed Microsoft AD subnet Kerberos (UDP/88, TCP/88)
LDAP (UDP/389, TCP/389)
2 Allow Client VM Server VM Protocol used to access VM, such as HTTP (TCP/80, TCP/443) or RDP (TCP/3389)
3 Allow Server VM Managed Microsoft AD subnet See processing logons.

autentificarea la un VM folosind NTLM

deși Windowsprefers Kerberos peste NTLM în cele mai multe cazuri, clienții ar putea avea nevoie ocazional să se întoarcă la utilizarea NTLM forauthentication. NTLM se bazează peautentificarea prin trecere și, prin urmare, necesită serverului să comunice cu unul dintre controlerele de domeniu Microsoft ad gestionate pentru a autentifica utilizatorul.

autentificarea la un VM folosind NTLM

pentru a permite VM-urilor să autentifice alte VM-uri folosind NTLM, comunicarea următoare trebuie să fie permisă de regulile firewall-ului:

acțiune de la la protocoale
1 permite Client vm Server VM Protocol utilizat pentru a accesa vm, cum ar fi HTTP (TCP/80, TCP/443) sau RDP (Tcp/3389)
2 permite client vm gestionat Microsoft ad subrețea a se vedea logon de procesare.

conectarea și procesarea logonurilor de domeniu

pentru a funcționa ca membru de domeniu și pentru a procesa logon-uri de la utilizatori, o mașină trebuie să poată interacționa cu Active Directory. Setul exact de protocoale utilizatedepinde de tipul de conectare pe care clienții individuali îl solicită. Pentru a sprijini toate comunescenarii, ar trebui să permiteți următoarea combinație de protocoale.

Action From To Protocols
1 Allow Server VM Managed Microsoft AD subnet Kerberos (UDP/88, TCP/88)
NTP (UDP/123)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
LDAP GC (TCP/3268)

Additionally, depending on your exact use case, you might also want to permitthe următoarele protocoale:

acțiune de la la protocoale
1 permite Server VM gestionat Microsoft AD subrețea Kerberos Schimbare parolă (UDP/464, TCP/464)
secure LDAP (TCP/636, TCP/3269)

administrarea gestionate Microsoft ad

trebuie să utilizați adomain-alăturat vmpentru a gestiona gestionate Microsoft ad. Pentru a utiliza instrumente precum Active DirectoryAdministrative Center pe acest VM, VM trebuie, de asemenea, să poată accesaservicii web Active Directory expuse de Microsoft Ad Domaincontrolere gestionate.

acțiune de la la protocoale
1 permite Admin vm gestionat Microsoft ad subrețea servicii web ad (TCP/9389)

conectarea Microsoft ad gestionat la un director activ local

pentru a conecta Microsoft ad gestionat la un director activ local, trebuie să creați o relație de încredere între păduri. În plus, ar trebui să enableDNS rezoluție nume între Google Cloud și mediul local.

crearea și verificarea încrederii

pentru a crea și verifica o încredere forestieră, controlerele Microsoft Addomain gestionate și controlerele de domeniu rădăcină ale forestm trebuie să poată comunica bidirecțional.

crearea și verificarea încrederii

pentru a activa crearea și verificarea încrederii, configurați firewallul localpentru a permite traficul de intrare și ieșire care se potrivește cu aceste caracteristici:

Action From To Protocols
1 Allow On-premises AD Managed Microsoft AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
2 Allow Managed Microsoft AD On-premises AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

gestionat Microsoft AD este preconfigurat pentru a permite trafic de potrivire thesecharacteristics, astfel încât să nu aveți nevoie pentru a configura reguli suplimentare firewall pe Google Cloud.

rezolvarea numelor DNS Google Cloud din local

există două modalități prin care puteți permite mașinilor locale să rezolve numele DNS în Microsoft ad gestionat: delegarea DNS și redirecționarea DNS condiționată.

delegația DNS

domeniul DNS utilizat de Microsoft Ad gestionat ar putea fi un subdomeniu al domeniului theDNS utilizat local. De exemplu, puteți utiliza cloud.example.com forManaged Microsoft AD în timp ce utilizați example.com la fața locului. Pentru a permite clienților să rezolve numele DNS ale resurselor Google Cloud, puteți seta delegarea upDNS.

când se utilizează delegarea DNS, încercările de a rezolva numele DNS al resursei aGoogle cloud interoghează mai întâi un server DNS local. DNSserver redirecționează apoi clientul către cloud DNS, care, la rândul său, transmite therequest către unul dintre controlerele de domeniu Microsoft Ad gestionate.

delegația DNS

expunerea DNS-ului Cloud la rețelele locale necesită crearea și Politica serverului de intrare.Aceasta va crea o adresă IP de expediere de intrare care face parte din VPC.

pentru a utiliza adresa expeditorului din local, configurați-vă on-premisesfirewall pentru a permite traficul de ieșire care se potrivește cu caracteristicile de mai jos.

Action From To Protocols
1 Allow On-premises AD Managed Microsoft AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
2 Allow Managed Microsoft AD On-premises AD DNS (UDP/53, TCP/53)
Kerberos (UDP/88, TCP/88)
Kerberos password change (UDP/464, TCP/464)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

condițional DNS forwarding

domeniul DNS utilizat de Microsoft Ad gestionat ar putea să nu fie un subdomeniu al domeniul THEDNS utilizat la fața locului. De exemplu, puteți utilizacloud.example.com forManaged Microsoft AD în timp ce utilizați corp.example.local on premises.

în scenarii în care domeniile DNS nu au legătură, puteți configura condițional DNSforwarding în local Active Directory DNS. Toate interogările care se potrivesc cu numele DNS utilizat de anunțul Microsoft gestionat vor fi apoi redirecționate către cloud DNS.

condițional DNS forwarding

pentru a utiliza condițional DNS forwarding, trebuie să configurați politica aDNS care permite inbound DNS forwardingfirst. Pentru a utiliza adresa expeditorului rezultată din local, configurați firewall-ul youron-premises pentru a permite traficul de ieșire care se potrivește cu caracteristicile de mai jos.

acțiune de la la protocoale
1 permite Ad local adresa IP de redirecționare DNS DNS (UDP/53, TCP/53)

în partea Google Cloud, creați o regulă de paravan de protecție pentrupermiteți traficul de intrare care corespunde acestor criterii.

nu aveți nevoie pentru a configura orice reguli firewall pentru a permite comunicarea de la Thedns expeditor la cloud DNS (2).

rezolvarea numelor DNS Locale din Google Cloud

Microsoft Ad gestionat utilizează redirecționarea DNS condiționată pentru a rezolva numele DNS din pădurea locală. Pentru a permite, de asemenea, clienților care rulează în Google Cloud să rezolve numele DNS care sunt gestionate de un director activ local, puteți crea o zonă de redirecționare privată inCloud DNS DNS care redirecționează interogările către controlerele de domeniu locale.

rezolvarea numelor DNS Locale

pentru a activa rezolvarea numelor DNS Locale din Google Cloud, configurați paravanul de protecție local pentru a permite traficul de intrare conform tabelului următor.

acțiune/th> de la la protocoale
1 permite gestionate Microsoft AD local AD DNS (UDP/53, TCP/53)
2 permite cloud DNS (35.199.192.0/19) local AD DNS (UDP/53, TCP/53)

Google Cloud permite traficul de ieșire corespunzătorîn mod implicit.

accesarea resurselor Microsoft Ad gestionate din local

dacă pădurea Microsoft Ad gestionată este configurată pentru a avea încredere în pădurea locală,este posibil să doriți ca utilizatorii și mașinile locale să poată accesa resursele din Pădurea Microsoft Ad gestionată.

autentificarea la un VM de la local folosind Kerberos

Un utilizator care s-a conectat la o mașină locală poate necesita acces la un serviciu furnizat de un VM care rulează pe Google Cloud și este membru al unei rețele Microsoft AD forest. De exemplu, un utilizator poate încerca să deschidă o conexiune RDP, să acceseze o partajare de fișiere sau să acceseze o resursă HTTP care necesită autentificare.

pentru a permite utilizatorilor să se autentifice la serverul VM folosind Kerberos, clientmachine trebuie să obțină un bilet Kerberos adecvat. Acest lucru necesităcomunicarea cu unul dintre controlerele de domeniu local, precum și cu unul dintre controlerele de domeniu Microsoft Ad gestionate.

autentificarea la un VM din local folosind Kerberos

pentru a permite autentificarea VM-urilor locale utilizând Kerberos, configurați firewall-ul youron-premises pentru a permite următorul trafic de ieșire.

Action From To Protocols
1 Allow Client machine (on-premises) Managed Microsoft AD subnet LDAP (UDP/389, TCP/389)
Kerberos (UDP/88, TCP/88)
2 Allow Client machine (on-premises) Server VM (GCP) Protocol used by application, such as HTTP (TCP/80, TCP/443) or RDP (TCP/3389)
3 Allow Server VM Managed Microsoft AD subnet See processing logons.

în partea Google Cloud, creați reguli de firewall pentru a împiedica traficul de intrare pentru (1) și (2). Traficul de ieșire către Microsoft Ad(3) gestionat este permis în mod implicit.

autentificarea la un VM de la local folosind NTLM

atunci când se utilizează NTLM pentru a autentifica un utilizator dintr-un local Directoryforest activ la un server VM s-au alăturat la un gestionat Microsoft AD forest, controlere de domeniu Microsoft ad gestionate trebuie să comunice cu controlere de domeniu local.

autentificarea la un VM de la local folosind NTLM

pentru a permite autentificarea VM-urilor locale utilizând NTLM, configurați paravanul de protecție local youron pentru a permite traficul de intrare și ieșire după cum urmează.

acțiune de la la protocoale
1 permite mașină Client (local) Server VM (Google Cloud) protocol utilizat de aplicație, cum ar fi HTTP (TCP/80, TCP/443) sau RDP (Tcp/3389)
2 permite server VM gestionat Microsoft ad subrețea a se vedea logon de procesare.
3 permite gestionat Microsoft ad subrețea local AD LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

în partea Google Cloud, creați reguli firewall pentru a împiedica traficul de intrare pentru (1). Traficul de ieșire pentru (2) și (3) este permisîn mod implicit.

procesarea logon-urilor pentru utilizatorii pădurii locale

pentru a procesa o conectare pentru un utilizator al pădurii locale, un VM trebuie să poată interacționa cu directorul activ local. Setul exact de protocoale utilizate depinde detipul de logon solicitat de client. Pentru a sprijini toate scenariile comune, configurați firewall-ul youron-premises pentru a permite traficul de intrare care se potrivește cu aceste caracteristici.

acțiune de la la protocoale
1 permite Server VM (Google Cloud) subrețea Ad locală Kerberos (UDP/88, TCP/88)
NTP (UDP/123)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
LDAP GC (TCP/3268)

în funcție de cazul dvs. de utilizare exactă, ați putea dori, de asemenea, să permiteți următoarele protocoale.

  • schimbarea parolei Kerberos (UDP/464, TCP/464)
  • Secure LDAP (TCP/636, TCP/3269)

în partea Microsoft Ad gestionată, traficul de ieșire corespunzător este permisîn mod implicit.

în VM-urile administrative, este posibil să nu intenționați să permiteți conectările de la utilizatorii pădurii on-premises. O activitate pe care probabil trebuie să o efectuațivm-uri administrative este totuși gestionarea membrilor grupului. Ori de câte ori utilizați selectorul de obiecte pentru a face referire la un utilizator sau grup din pădurea dvs. locală, selectorul de obiecte va necesita acces la controlerele de domeniu locale. Pentru ca acest lucru să funcționeze, vm administrativ necesită același acces la controlerele dvs. de domeniu directory on-premisesActive ca și pentru procesarea logon-urilor pentru utilizatorii pădurii locale.

accesarea resurselor Active Directory locale din Google Cloud

dacă pădurea locală este configurată pentru a avea încredere în pădurea Microsoft Ad gestionată,este posibil să doriți ca utilizatorii din Pădurea Microsoft Ad gestionată să poată accesa resursele locale.

autentificarea la un VM local folosind Kerberos

Un utilizator care s-a conectat la un VM care rulează pe Google Cloud și care este membru al pădurii Microsoft Ad gestionate ar putea necesita acces la un serviciu furnizat de o mașină locală care este membru al pădurii dvs. locale.De exemplu, utilizatorul poate încerca să deschidă o conexiune RDP, să acceseze o partajare de fișiere sau să acceseze o resursă HTTP care necesită autentificare.

pentru a permite utilizatorului să se autentifice la mașina locală folosind Kerberos, theVM trebuie să obțină un bilet Kerberos adecvat. Acest lucru necesită mai întâi comunicarea cu unul dintre controlerele de anunțuri Microsoft gestionate și apoi cu controlerele de domeniu locale.

autentificarea la un VM local folosind Kerberos

pentru a permite autentificarea vm local utilizând Kerberos, configurați paravanul de protecție local youron pentru a permite traficul de intrare care corespunde caracteristicilor de mai jos.

Action From To Protocols
1 Allow Client VM (Google Cloud) Managed Microsoft AD subnet Kerberos (UDP/88, TCP/88)
LDAP (UDP/389, TCP/389)
Implied by processing logons
2 Allow Client VM (Google Cloud) On-premises AD Kerberos (UDP/88, TCP/88)
LDAP (UDP/389, TCP/389)
3 Allow Client VM (Google Cloud) Server machine (on-premises) Protocol used by aplicație, cum ar fi HTTP (TCP/80, TCP/443) sau RDP (TCP/3389)

pe partea Google Cloud, traficul de ieșire corespunzător este permisîn mod implicit.

autentificarea la un VM local folosind NTLM

atunci când se utilizează NTLM pentru a autentifica un utilizator de la gestionat Microsoft AD forest toa mașină server care este asociat la dumneavoastră local forest, Controlere on-premisedomain trebuie să fie în măsură să comunice cu controlere de domeniu Microsoft ad gestionate:

autentificarea la un VM local folosind NTLM

pentru a permite autentificarea vm local utilizând Kerberos, configurați firewall-ul local youron pentru a permite traficul de intrare și ieșire care se potrivește cu aceste caracteristici.

acțiune de la la protocoale
1 permite Client vm (Google Cloud) server machine (local) protocol utilizat de aplicație, de exemplu HTTP (TCP/80, TCP/443) sau RDP (Tcp/3389)
2 permite local AD gestionat Microsoft Ad subrețea LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)

pe partea Google Cloud, traficul de ieșire pentru (1) și traficul de intrare pentru(2) este permis de implicit.

procesarea logon-urilor pentru utilizatorii pădurii Microsoft Ad gestionate

pentru a procesa o conectare pentru un utilizator al pădurii Microsoft Ad gestionate, o mașină care rulează local trebuie să poată interacționa cu controlerele Microsoft Addomain gestionate. Setul exact de protocoale utilizate depinde detipul de logon solicitat de client. Pentru a sprijini toate scenariile comune, ar trebui să permitețiurmătoarea combinație de protocoale.

acțiune de la la protocoale
1 permite mașină Server (local) gestionat Microsoft AD subrețea Kerberos (UDP/88, TCP/88)
NTP (UDP/123)
RPC (TCP/135, TCP/49152-65535)
LDAP (UDP/389, TCP/389)
SMB (UDP/445, TCP/445)
LDAP GC (TCP/3268)

în funcție de cazul dvs. exact de utilizare, ați putea dori, de asemenea, să permiteți următoarele protocoale.

  • schimbarea parolei Kerberos (UDP/464, TCP/464)
  • Secure LDAP (TCP/636, TCP/3269)

asigurați-vă că firewall-urile locale permit traficul de ieșire care se potrivește cu aceste caracteristici. Nu este necesar să configurați regulile firewall-ului înGoogle Cloud pentru a activa traficul de intrare corespunzătormanaged Microsoft AD.

pe mașinile administrative, este posibil să nu intenționați să permiteți conectările de la utilizatorii Microsoft AD forest gestionat. O activitate pe care probabil trebuie să o efectuațimașini administrative este gestionarea membrilor grupului. Ori de câte ori utilizați selectorul de obiecte pentru a face referire la un utilizator sau grup din Pădurea Microsoft gestionată, atunci selectorul de obiecte va necesita acces la controlerele Microsoft Addomain gestionate. Pentru ca acest lucru să funcționeze, mașina administrativă necesită același acces la controlerele de domeniu Microsoft Ad gestionate ca și pentru procesarea logonurilor pentru utilizatorii pădurii Microsoft Ad gestionate.

Lasă un răspuns

Adresa ta de email nu va fi publicată.