Az Active Directory-megbízhatóság létrehozása

Áttekintés

Az Active Directory-megbízhatóság (AD-megbízhatóság) két különböző Active Directory-tartomány (vagy -erdő) összekapcsolásának módszere, amely lehetővé teszi, hogy az egyik tartomány felhasználói a másik tartomány erőforrásaival szemben hitelesítsenek. Egyszerűbben fogalmazva, ez egy AD-tartomány (vagy erdő) biztonsági határainak kiterjesztése egy másik AD-tartományra (vagy erdőre).

Az Active Directory trust beállításának számos paramétere van, amelyeket ez a cikk nem tárgyal; az itopia azt javasolja, hogy a rendszergazdák vizsgálják meg az AD trustokat, hogy teljes mértékben megértsék azok hatását és következményeit, mielőtt folytatják. Az olyan fogalmakkal, mint a tranzitivitás, az implicit bizalmi kapcsolatok, a SID-szűrés és a hatókör, ez a cikk nem foglalkozik, de fontos szempontok a bizalmi kapcsolatok hatásának meghatározásakor.

Nagyon fontos megérteni több olyan kifejezést, amelyeket ebben a cikkben használni fogunk:

  • Erőforrás-tartomány – Ez az az AD-tartomány, amely tartalmazza azokat az erőforrásokat, amelyekhez a felhasználóknak hozzá kell férniük. Az itopia kontextusában ez a CAS által létrehozott új tartomány, amely a Cloud Desktop kiszolgálókat tartalmazza. Ezt gyakran “megbízható” tartománynak is nevezik.
  • Fiókok tartománya – Ez az az AD-tartomány, amely a felhasználói fiókokat tartalmazza, amelyekkel a felhasználók bejelentkeznek. Az itopia kontextusában ez az Ön meglévő AD-tartománya, amely tartalmazza azokat a felhasználói fiókokat, amelyek hitelesítik a Cloud Desktopot. Ezt gyakran nevezik “megbízható” tartománynak.

Az irányított bizalmi kapcsolatok

Az AD bizalmi kapcsolatok irányítottak; egy bizalmi kapcsolat egyirányú vagy kétirányú bizalomként konfigurálható. Egyirányú bizalom esetén az egyik tartomány a Fiókok tartomány, a másik pedig az Erőforrás tartomány; a Microsoft zavaros terminológiájával élve a bizalom a Fiókok tartományba befelé, az Erőforrás tartományból pedig kifelé tart. A kétirányú bizalom gyakorlatilag két egyirányú bizalom; mindkét tartomány Accounts tartományként és Resource tartományként van beállítva, így a felhasználók bármelyik tartományban hozzáférhetnek a másik tartomány erőforrásaihoz.

MEGJEGYZÉS: Fontos megérteni, hogy a “hozzáférhetnek az erőforrásokhoz” kifejezés nem azt jelenti, hogy a Accounts felhasználóknak implicit hozzáférése van a bizalmi (Resource) tartomány erőforrásaihoz; pontosabb azt mondani, hogy a Accounts felhasználók “hozzáférhetnek” az Resource tartomány erőforrásaihoz.

Az AD-megbízhatóság létrehozásának előfeltételei

Az AD-megbízhatóság létrehozásához két Active Directory tartomány között a következő követelményeknek kell teljesülniük:

  • Hálózati kapcsolat – az egyes tartományok tartományvezérlőinek képesnek kell lenniük egymással kommunikálni. Az erőforrás-tartomány kiszolgálóinak és egyéb erőforrásainak is képesnek kell lenniük a Fiókok tartományban lévő tartományvezérlőkkel való kommunikációra
  • DNS névfeloldás – mindkét tartomány tartomány tartományvezérlőinek képesnek kell lenniük a másik tartomány AD környezetének DNS rekordjainak feloldására
  • Fiókok tartományi szolgáltatási fiók – egy AD felhasználói fiókra van szükség a Fiókok tartományban, hogy az itopia CAS olvashassa az adott tartomány felhasználói és csoportobjektumait. Ez egyirányú bizalmi kapcsolatok esetén szükséges; kétirányú bizalmi kapcsolatok esetén alapértelmezés szerint implicit csak olvasási hozzáférés biztosított, és nincs szükség szolgáltatási fiókra. A szolgáltatásfióknak nincs szüksége külön engedélyekre; egyszerűen csak a Fiókok tartományban a Tartományi felhasználók csoport tagjának kell lennie.

Hálózati kapcsolat

Az AD-megbízhatóság támogatásához az egyes tartományok tartományvezérlőinek képesnek kell lenniük a kommunikációra több hálózati porton keresztül. A Cloud Desktop esetében ehhez szükséges:

  1. VPC peering létrehozása (ha a Fiókok tartománynak vannak tartományvezérlői a Google Cloudban) vagy VPN vagy Interconnect (ha a Fiókok tartománynak csak a Google Cloudon kívüli tartományvezérlői vannak). Ezekre a folyamatokra vonatkozó részletes utasításokat a Google Cloud dokumentációjában talál.
  2. Tűzfalszabályok konfigurálása az AD-forgalom engedélyezéséhez a Fiókok tartomány és az Erőforrás tartomány között. Ezeket a szabályokat általában több helyen kell beállítani: a Cloud Desktop környezet VPC-hálózatán és a Fiókok tartomány tartomány tartomány tartományvezérlőit tartalmazó VPC-hálózaton (vagy helyhez kötött környezetek esetén a tűzfalon). Ezekre a folyamatokra vonatkozó utasításokat a Google Cloud dokumentációjában és/vagy a tűzfal szállítójának dokumentációjában talál.

Az alábbi táblázat tartalmazza az Active Directory megbízhatósági funkciójához szükséges minimális hálózati portokat. További információk a Microsoft dokumentációjában találhatók.

Az Active Directory-megbízásokhoz szükséges hálózati portok - Lásd a href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts”/>

DNS névfeloldás

A hálózati kapcsolat létrehozása után mindkét Active Directory-tartományt DNS-továbbítási szabályokkal kell konfigurálni, hogy elérhessék egymás Active Directory DNS-bejegyzéseit.

Az elérés leggyakoribb módja az, hogy a másik tartomány DNS-kiszolgálóin feltételes továbbítókat hozunk létre az egyes tartományok FQDN-jeihez. Tekintsük a következő példát:

  • Az erőforrás tartomány a contoso.local, és két AD tartományvezérlővel / DNS-kiszolgálóval rendelkezik a 10.0.1.10 és 10.0.1.11 IP-címekkel
  • A számlák tartomány a fabrikam.local, és két AD tartományvezérlővel / DNS-kiszolgálóval rendelkezik a 192.168.1 IP-címekkel.10 és 192.168.1.11

Mihelyt a hálózati kapcsolat létrejön e két tartomány között (a fent leírtak szerint), mindkét tartomány rendszergazdája a következőket konfigurálja:

  • A contoso.local DNS-kiszolgálókon hozzon létre egy feltételes továbbítót a fabrikam tartomány számára.local, amely a 192.168.1.10 és 192.168.1.11 címre mutat
  • A fabrikam.local DNS-kiszolgálókon hozzon létre egy feltételes továbbítót a contoso.local tartomány számára, amely a 10.0.1.10 és 10.0.1.10 címre mutat.11

A feltételes továbbító létrehozásához:

  1. Nyissa meg a DNS-kiszolgálón a DNS-kezelő segédprogramot
  2. Tágítsa ki a DNS-kiszolgáló nevét, és válassza a Feltételes továbbítók menüpontot.
  3. Jobb gombbal kattintson, és válassza az Új feltételes továbbító
  4. DNS tartományhoz adja meg a másik AD tartomány FQDN-jét. IP-címek esetén adja meg a másik tartomány DNS-kiszolgálójának legalább egy IP-címét
  5. Az egyszerűség kedvéért ajánlott engedélyezni a feltételes továbbító tárolását az Active Directoryban; ellenkező esetben a továbbítót helyileg kell létrehozni minden egyes DNS-kiszolgálón.
  6. Tárolja a továbbítót.
A feltételes továbbító létrehozásának képernyőfelvétele.

MEGJEGYZÉS: A tartományok közötti DNS névfeloldás létrehozására más módszerek is léteznek, és bizonyos esetekben szükség lehet ezekre az egyéb módszerekre. Ha például az egyik tartomány egy hálózati címfordító (NAT) felület mögött található, a DNS-kiszolgálói által visszaküldött IP-címek nem fognak megfelelni azoknak az IP-címeknek, amelyeket a másik tartománynak a kommunikációhoz használnia kell. Ebben a forgatókönyvben DNS-zónát kell létrehozni a másik tartomány FQDN-jének, kézzel DNS A rekordokat kell létrehozni a tartományvezérlőkhöz (és magához a tartománynévhez) a NAT IP-címek használatával, majd delegálni kell a _msdcs.<domain FQDN> altartományt a másik tartományban lévő tartományvezérlőkhöz.

Az AD-megbízhatóság létrehozása

Az előfeltételek megteremtése és ellenőrzése után folytathatja az AD-megbízhatóság létrehozását. Mint a cikk elején említettük, a bizalom létrehozása előtt számos fontos biztonsági döntést kell meghozni, amelyek elemzése meghaladja e cikk kereteit. itopia azt javasolja, hogy a folytatás előtt kutassa fel és értse meg az AD-tartalmakat.

Az alábbi példában a következőket fogjuk beállítani:

  • Erőforrás-tartomány: contoso.local
  • Fiókok tartomány: fabrikam.local
  • Bizalom típusa: Egyirányú, nem tranzitív

A bizalom létrehozását az erőforrás tartományból (contoso.local) kezdeményezzük, és úgy állítjuk be az Új bizalom varázslót, hogy mindkét tartományban létrehozza a bizalmat; ha ez nem lehetséges az Ön környezetében, akkor az Új bizalom varázslót külön-külön is futtathatja mindkét tartományban, és beállíthatja, hogy a másik tartományban ne hozza létre a bizalmat.

  1. Lépjen be az erőforrás tartomány contoso.local tartományában lévő tartományvezérlőbe egy olyan fiókkal, amely tagja a Domain Admins csoportnak.
  2. Nyissa meg az Active Directory tartományok és bizalmi kapcsolatok segédprogramot.
  3. Tágítsa ki a bal oldali fa menüt, kattintson a jobb gombbal a contoso.local tartományt képviselő objektumra, majd válassza a Tulajdonságok parancsot.
  4. Navigáljon a Bizalmi kapcsolatok lapra, és kattintson az Új bizalmi kapcsolat
  5. Folytassa az Új bizalmi kapcsolat varázslót.
  6. A Bizalom neve esetében adja meg a Számlák tartomány FQDN-jét, fabrikam.local
  7. A Bizalom típusa esetében válassza a Külső bizalom lehetőséget; ez azt jelenti, hogy a bizalom csak a két konfigurálandó tartományra vonatkozik. Ha a contoso.local vagy a fabrikam.local alá tartozó tartományok lennének, azok nem használhatnák ezt a bizalmat, és saját bizalmat kellene létrehozniuk.
  8. A bizalom iránya esetén válassza a Kétirányú lehetőséget. Ezzel mind a fiók-, mind az erőforrás-tartományokban beállít egy bejövő és egy kimenő bizalmat.
  9. A bizalom oldalai esetében válassza a Mindkét tartomány és a megadott tartomány lehetőséget. Ez egyszerre hozza létre a megbízhatósági konfigurációt mindkét tartományban. Ha nem rendelkezik tartományi rendszergazdai hitelesítő adatokkal a másik tartományhoz, akkor kiválaszthatja a Csak ez a tartomány lehetőséget, majd egy későbbi időpontban futtathatja az Új megbízhatóság varázslót a megbízhatóság befejezéséhez. Vegye figyelembe, hogy ha ezt teszi, akkor a konfigurációs értékeket megfordítva adja meg az erőforrás-tartomány FQDN-jét, és válassza az Egyirányú: bejövő.
  10. A Felhasználónév és jelszó esetében adja meg egy olyan fiók hitelesítő adatait, amely tartományi rendszergazdai tagsággal rendelkezik a Fiókok tartományban.
  11. A kimenő bizalom hitelesítési szintje – helyi tartomány esetében válassza a Tartományszintű hitelesítés lehetőséget. Ez nagyban leegyszerűsíti az engedélyek konfigurálását.
  12. A Kimenő bizalmi hitelesítési szint – Megadott tartomány esetében válassza a Tartományszintű hitelesítést. Ez jelentősen leegyszerűsíti az engedélyek konfigurálását. MEGJEGYZÉS: Ha nagyobb biztonságra van szükség, a Szelektív hitelesítés engedélyezhető ehhez a beállításhoz. További információért forduljon az itopia ügyfélszolgálatához.
  13. A Bizalom kiválasztása befejeződött képernyőn tekintse át a konfigurációs összefoglalót, majd kattintson a Tovább gombra.
  14. A Bizalom létrehozása befejeződött képernyőn tekintse át az állapotot, hogy megbizonyosodjon a bizalom sikeres létrehozásáról, majd kattintson a Tovább gombra.
  15. A Kimenő megbízhatóság megerősítése esetén válassza az Igen, erősítse meg a kimenő megbízhatóságot.
  16. A Bejövő megbízhatóság megerősítése esetén válassza az Igen, erősítse meg a bejövő megbízhatóságot.
  17. Az Új megbízhatóság varázsló befejezése képernyőn tekintse át az állapotot, hogy meggyőződjön a megbízhatóság sikeres megerősítéséről. Kattintson a Befejezés gombra.
  18. Ha felugró üzenetet lát arról, hogy a SID-szűrés engedélyezve van, nyugodtan elvetheti ezt az üzenetet. Az SID-szűrés egy alapértelmezett biztonsági intézkedés, amely nem befolyásolja a Cloud Desktops megbízhatósági funkcióit.
Az AD-megbízhatóság létrehozási folyamatának képernyőfelvétele

Összefoglaló

Ez a cikk alapvető áttekintést nyújt egy egyszerű Active Directory-megbízhatóság létrehozásának lépéseiről. A fent meghatározott folyamat nem minden környezet számára megfelelő; fontos, hogy megértse az AD-megbízás következményeit, és konzultáljon a biztonsági és címtárcsapatokkal, mielőtt a környezetének megfelelő bizalmi konfigurációról dönt.

Az AD-megbízások támogatása CAS-telepítésekben

Active Directory megvalósítása az itopia CAS-ban

.

Leave a Reply

Az e-mail-címet nem tesszük közzé.