Opretning af en Active Directory-trust

Overblik

En Active Directory-trust (AD-trust) er en metode til at forbinde to forskellige Active Directory-domæner (eller skove), så brugere i det ene domæne kan godkendes over for ressourcer i det andet. I de enkleste vendinger er det processen med at udvide sikkerhedsgrænsen for et AD-domæne (eller en AD-skov) til at omfatte et andet AD-domæne (eller en anden AD-skov).

Der er flere parametre for konfiguration af en Active Directory-trust, som ikke vil blive diskuteret i denne artikel; itopia anbefaler, at administratorer undersøger AD-truster for at få en fuld forståelse af deres indvirkning og konsekvenser, før de går videre. Begreber som transitivitet, implicitte tillid, SID-filtrering og scoping dækkes ikke i denne artikel, men er vigtige aspekter af definitionen af virkningen af et tillidsforhold.

Det er vigtigt at forstå flere termer, der vil blive brugt i denne artikel:

  • Ressourcedomæne – Dette er det AD-domæne, der indeholder de ressourcer, som brugerne skal have adgang til. I forbindelse med itopia er dette det det nye domæne, der oprettes af CAS, og som indeholder Cloud Desktop-serverne. Dette kaldes ofte det “betroede” domæne.
  • Konti-domæne – Dette er det AD-domæne, der indeholder de brugerkonti, som brugerne logger ind med. I forbindelse med itopia er det dit eksisterende AD-domæne, som indeholder de brugerkonti, der skal godkendes til Cloud Desktop. Dette kaldes ofte det “betroede” domæne.

Directional Trusts

AD trusts-relationer er retningsbestemte; en trust kan konfigureres som en envejs eller tovejs trust. I en envejstillid er det ene domæne angivet som Kontodomænet og det andet som Ressourcedomænet; i Microsofts forvirrende terminologi er tilliden indgående til Kontodomænet og udgående fra Ressourcedomænet. En tovejstillid er i realiteten to envejstillidsaftaler; hvert domæne er konfigureret som både Konti-domæne og Ressource-domæne, så brugere i et af domænerne kan få adgang til ressourcer i det andet domæne.

BEMÆRK: Det er vigtigt at forstå, at udtrykket “kan få adgang til ressourcer” ikke betyder, at Konti-brugere har implicit adgang til ressourcerne i det tillidsgivende (Ressource-) domæne; det er mere korrekt at sige, at Konti-brugere “kan få adgang til ressourcer” i Ressource-domænet.

Forudsætninger for etablering af en AD trust

For at oprette en AD trust mellem to Active Directory-domæner skal følgende krav være opfyldt:

  • Netværksforbindelse – domænecontrollere fra hvert domæne skal kunne kommunikere med hinanden. Servere og andre ressourcer i Ressourcedomænet skal også kunne kommunikere med domænecontrollerne i Accounts-domænet
  • DNS-navnopløsning – domænecontrollere fra hvert domæne skal kunne opløse DNS-poster for det andet domænes AD-miljø
  • Accounts Domain Service Account – der kræves en AD-brugerkonto i Accounts-domænet, så itopia CAS kan læse bruger- og gruppeobjekter i det domæne. Dette er påkrævet for envejstillid; for tovejstillid gives der som standard implicit skrivebeskyttet adgang, og en servicekonto er ikke påkrævet. Tjenestekontoen kræver ingen særlige tilladelser; den skal blot være medlem af gruppen Domænebrugere i domænet Accounts.

Netværksforbindelse

For at understøtte AD-fidusen skal domænecontrollerne i hvert domæne kunne kommunikere over en række netværksporte. For Cloud Desktop kræver dette:

  1. Opretning af en VPC-peering (hvis dit Konti-domæne har domænecontrollere i Google Cloud) eller en VPN eller Interconnect (hvis dit Konti-domæne kun har domænecontrollere uden for Google Cloud). Se Google Cloud-dokumentationen for detaljerede instruktioner om disse processer.
  2. Konfigurering af firewallregler for at tillade AD-trafik mellem Accounts-domænet og Ressource-domænet. Disse regler skal typisk konfigureres flere steder: på VPC-netværket for dit Cloud Desktop-miljø og på det VPC-netværk (eller den firewall for lokale miljøer), der indeholder domænecontrollerne for Accounts-domænet. Se Google Cloud-dokumentation og/eller din firewallleverandørs dokumentation for at få instruktioner om disse processer.

Tabellen nedenfor viser de netværksporte, der som minimum er nødvendige for Active Directory-funktionalitet til tillid til Active Directory. Yderligere oplysninger findes i Microsofts dokumentation.

Nødvendige netværksporte til Active Directory-trusts - Se a href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts”/>

DNS-navnopløsning

Når der er etableret netværksforbindelse, skal begge Active Directory-domæner konfigureres med DNS-videresendelsesregler, så de kan få adgang til hinandens Active Directory DNS-poster.

Den mest almindelige måde at opnå dette på er at oprette betingede videresendelsesadresser for hvert domænes FQDN på det andet domænes DNS-servere. Overvej følgende eksempel:

  • Ressource-domænet er contoso.local og har to AD-domænecontrollere / DNS-servere med IP’erne 10.0.1.10 og 10.0.1.11
  • Kontodomænet er fabrikam.local og har to AD-domænecontrollere / DNS-servere med IP’erne 192.168.1.10 og 192.168.1.11

Når der er etableret netværksforbindelse mellem disse to domæner (som beskrevet ovenfor), vil en administrator for hvert domæne konfigurere følgende:

  • Op DNS-serverne for contoso.local skal du oprette en betinget viderestiller for domænet fabrikam.local, der peger på 192.168.1.10 og 192.168.1.11
  • Op DNS-serverne for fabrikam.local skal du oprette en betinget viderestiller for domænet contoso.local, der peger på 10.0.1.10 og 10.0.1.10 og 10.0.1.11.11

Sådan opretter du en betinget viderestiller:

  1. Åbn hjælpeprogrammet DNS Manager på din DNS-server
  2. Udvid DNS-servernavnet, og vælg menupunktet Betingede viderestillere.
  3. Højreklik, og vælg Ny betinget viderestiller
  4. Angiv FQDN for det andet AD-domæne til DNS-domæne. For IP-adresser skal du angive mindst én IP-adresse på en DNS-server for det andet domæne
  5. For enkelhedens skyld anbefales det at aktivere Gem denne betingede videresender i Active Directory; ellers skal du oprette videresenderen lokalt på hver DNS-server.
  6. Sparer videresenderen.

Skærmbilledeoptagelse af oprettelse af betinget videresender.

ANMÆRK: Der findes andre metoder til at etablere DNS-navnopløsning mellem domæner, og i nogle tilfælde kan disse andre metoder være nødvendige. Hvis et domæne f.eks. befinder sig bag en NAT-grænseflade (Network Address Translation), vil de IP-adresser, der returneres af dets DNS-servere, ikke stemme overens med de IP-adresser, som det andet domæne skal bruge til at kommunikere. I dette scenario skal du oprette en DNS-zone for det andet domænes FQDN, manuelt oprette DNS A-poster for domænecontrollerne (og selve domænenavnet) ved hjælp af NAT-IP-adresserne og derefter uddelegere underdomænet _msdcs.<domænets FQDN> til domænecontrollerne i det andet domæne.

Opretning af en AD-fidus

Når forudsætningerne er blevet etableret og verificeret, kan du fortsætte med at oprette en AD-fidus. Som nævnt i begyndelsen af denne artikel er der flere vigtige sikkerhedsbeslutninger, der skal træffes, før der oprettes en tillid, og en analyse af disse beslutninger ligger uden for denne artikels rækkevidde. itopia anbefaler, at du undersøger og forstår AD-fiduser, før du går videre.

I eksemplet nedenfor konfigurerer vi følgende:

  • Ressourcedomæne: contoso.local
  • Kontodomæne: fabrikam.local
  • Tillidstype: Hvis dette ikke er muligt i dit miljø, kan du køre guiden Ny tillid separat i hvert domæne og konfigurere den til ikke at oprette tilliden i det andet domæne.
    1. Log på en domænecontroller i ressourcedomænet contoso.local med en konto, der er medlem af gruppen Domæneadministratorer.
    2. Åbn hjælpeprogrammet Active Directory Domains and Trusts (Active Directory-domæner og tillid).
    3. Udvælg træmenuen til venstre, højreklik på det objekt, der repræsenterer domænet contoso.local, og vælg Egenskaber.
    4. Navigér til fanen Tillid, og klik på Ny tillid.
    5. Før videre i guiden Ny tillid.
    6. Indtast FQDN for konteringsdomænet fabrikam.local
    7. I forbindelse med tillidstype skal du vælge Ekstern tillid; det betyder, at tilliden kun gælder for de to domæner, der konfigureres. Hvis contoso.local eller fabrikam.local havde underordnede domæner, ville de ikke kunne bruge denne tillid, men skulle oprette deres egne tillidstyper.
    8. For Direction of Trust (Tillidsretning) skal du vælge Two-way (Tovejs). Dette vil konfigurere både en indgående og en udgående tillid i hvert af konto- og ressourcedomænerne.
    9. Vælg Både dette domæne og det angivne domæne for tillidsside. Dette vil oprette tillidskonfigurationen i begge domæner på samme tid. Hvis du ikke har domæneadministratorer-oplysninger for det andet domæne, kan du vælge Kun dette domæne og derefter køre guiden Ny tillid på et senere tidspunkt for at fuldføre tilliden. Bemærk, at hvis du gør dette, skal du vende konfigurationsværdierne om for at angive Ressourcedomænets FQDN, og du skal vælge Envejs: indgående.
    10. For Brugernavn og adgangskode skal du angive legitimationsoplysningerne for en konto med domæneadministratormedlemskab i domænet Konti.
    11. For Udgående tillidsgodkendelsesniveau – lokalt domæne skal du vælge Godkendelse for hele domænet. Dette forenkler tilladelseskonfigurationen betydeligt.
    12. For Outgoing Trust Authentication Level – Specified Domain (Niveau for udgående tillidsautentifikation – Angivet domæne) skal du vælge Domain-wide authentication (Godkendelse for hele domænet). Dette forenkler tilladelseskonfigurationen betydeligt. BEMÆRK: Hvis der er behov for større sikkerhed, kan selektiv autentificering aktiveres for denne indstilling. Kontakt itopia-support for at få flere oplysninger.
    13. På skærmbilledet Trust Selections Complete skal du gennemgå konfigurationsoversigten og klikke på Next.
    14. På skærmbilledet Trust Creation Complete skal du gennemgå status for at sikre, at tilliden blev oprettet med succes, og klikke på Next.
    15. For Bekræft udgående tillid skal du vælge Ja for at bekræfte den udgående tillid.
    16. For Bekræft indgående tillid skal du vælge Ja for at bekræfte den indgående tillid.
    17. På guiden Færdiggørelse af ny tillid skal du gennemgå status for at sikre, at tilliden blev bekræftet med succes. Klik på Afslut.
    18. Hvis du får vist en pop op-meddelelse om, at SID-filtrering er aktiveret, kan du roligt kassere denne meddelelse. SID-filtrering er en standardsikkerhedsforanstaltning, der ikke påvirker tillidsfunktionaliteten for Cloud Desktops.
    Skærmoptagelse af processen for oprettelse af AD-trust

    Resumé

    Denne artikel giver en grundlæggende oversigt over trinene til oprettelse af en simpel Active Directory-trust. Den ovenfor definerede proces er muligvis ikke egnet til alle miljøer; det er vigtigt at forstå konsekvenserne af en AD trust og at konferere med dine sikkerheds- og Directory-teams, før du beslutter dig for den trustkonfiguration, der er passende for dit miljø.

    Support for AD Trusts in CAS Deployments

    Active Directory Implementation in itopia CAS

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.