Een Active Directory Trust maken

Overzicht

Een Active Directory trust (AD trust) is een methode om twee verschillende Active Directory domeinen (of wouden) met elkaar te verbinden, zodat gebruikers in het ene domein zich kunnen authenticeren tegen bronnen in het andere domein. Eenvoudig gezegd is het het proces van het uitbreiden van de beveiligingsgrens van een AD-domein (of forest) om een ander AD-domein (of forest) te omvatten.

Er zijn meerdere parameters voor het configureren van een Active Directory-trust die niet in dit artikel zullen worden besproken; itopia beveelt aan dat beheerders AD-trusts onderzoeken om een volledig begrip te krijgen van hun impact en implicaties voordat ze verder gaan. Concepten zoals transitiviteit, impliciete trusts, SID-filtering en scoping worden in dit artikel niet behandeld, maar zijn belangrijke aspecten bij het definiëren van de impact van een vertrouwensrelatie.

Het is belangrijk om verschillende termen te begrijpen die in dit artikel zullen worden gebruikt:

  • Hulpbrondomein – Dit is het AD-domein dat de hulpbronnen bevat waartoe gebruikers toegang moeten hebben. In de context van itopia is dit het nieuwe domein dat wordt gemaakt door CAS en dat de Cloud Desktop-servers bevat. Dit wordt vaak het “vertrouwende” domein genoemd.
  • Accounts Domain – Dit is het AD-domein dat de gebruikersaccounts bevat waarmee gebruikers inloggen. In de context van itopia, is dit uw bestaande AD-domein dat de gebruikersaccounts bevat die zich zullen authenticeren bij Cloud Desktop. Dit wordt vaak het “vertrouwde” domein genoemd.

Directionele Trusts

AD-trusts relaties zijn directioneel; een trust kan worden geconfigureerd als een eenrichtings- of tweerichtings trust. Bij een eenrichtings trust is het ene domein gespecificeerd als het Accounts domain en het andere als het Resource domain; in Microsofts verwarrende terminologie, de trust is inkomend naar het Accounts domain en uitgaand van het Resource domain. Een tweeweg-trust is in feite twee eenrichtings-trusts; elk domein is geconfigureerd als zowel het Accounts-domein als het Hulpbron-domein, zodat gebruikers in een van beide domeinen toegang hebben tot bronnen in het andere domein.

NOOT: Het is belangrijk om te begrijpen dat de zinsnede “toegang kunnen krijgen tot bronnen” niet betekent dat Accounts-gebruikers impliciet toegang hebben tot de bronnen in het vertrouwende (Hulpbron) domein; het is nauwkeuriger om te zeggen dat Accounts-gebruikers “toegang kunnen krijgen tot bronnen” in het Hulpbron-domein.

Voorwaarden voor het instellen van een AD-trust

Om een AD-trust tussen twee Active Directory-domeinen tot stand te brengen, moet aan de volgende vereisten worden voldaan:

  • Netwerkconnectiviteit – domain controllers van elk domein moeten met elkaar kunnen communiceren. Servers en andere resources in het Resource-domein moeten ook kunnen communiceren met de domeincontrollers in het Accounts-domein
  • DNS-naamresolutie – domeincontrollers van elk domein moeten DNS-records voor de AD-omgeving van het andere domein kunnen oplossen
  • Accounts Domain Service Account – een AD-gebruikersaccount in het Accounts-domein is vereist, zodat itopia CAS gebruikers- en groepsobjecten in dat domein kan lezen. Dit is vereist voor eenrichtings-trusts; voor tweerichtings-trusts wordt standaard impliciete alleen-lezen-toegang geboden en is een service-account niet vereist. De service-account vereist geen speciale machtigingen; deze moet gewoon lid zijn van de groep Domeingebruikers in het domein Accounts.

Netwerkconnectiviteit

Om de AD-trust te ondersteunen, moeten de domeincontrollers in elk domein in staat zijn om te communiceren via een aantal netwerkpoorten. Voor Cloud Desktop vereist dit:

  1. Een VPC-peering maken (als uw Accounts-domein domeincontrollers in Google Cloud heeft) of een VPN of Interconnect (als uw Accounts-domein alleen domeincontrollers buiten Google Cloud heeft). Raadpleeg de Google Cloud-documentatie voor gedetailleerde instructies over deze processen.
  2. Het configureren van firewallregels om AD-verkeer toe te staan tussen het Accounts-domein en het Resource-domein. Deze regels moeten doorgaans op meerdere plaatsen worden geconfigureerd: op het VPC-netwerk voor uw Cloud Desktop-omgeving en op het VPC-netwerk (of de firewall voor on-premises omgevingen) dat de domeincontrollers voor het domein Accounts bevat. Raadpleeg de documentatie bij Google Cloud en/of de documentatie van uw firewall-leverancier voor instructies over deze processen.

De onderstaande tabel bevat de minimale netwerkpoorten die vereist zijn voor de vertrouwensfunctionaliteit van Active Directory. Aanvullende informatie is beschikbaar in de documentatie van Microsoft.

Vereiste netwerkpoorten voor Active Directory-trusts - Raadpleeg a href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts”/>

DNS-naamresolutie

Als de netwerkconnectiviteit tot stand is gebracht, moeten beide Active Directory-domeinen worden geconfigureerd met DNS-doorstuurregels zodat ze elkaars Active Directory DNS-records kunnen benaderen.

De meest gebruikelijke manier om dit te bereiken is door conditionele forwarders te maken voor de FQDN van elk domein op de DNS-servers van het andere domein. Beschouw het volgende voorbeeld:

  • Het Resource-domein is contoso.local en heeft twee AD-domeincontrollers / DNS-servers met de IP’s 10.0.1.10 en 10.0.1.11
  • Het Accounts-domein is fabrikam.local en heeft twee AD-domeincontrollers / DNS-servers met de IP’s 192.168.1.10 en 192.168.1.11

Als de netwerkconnectiviteit tussen deze twee domeinen eenmaal tot stand is gebracht (zoals hierboven beschreven), zou een beheerder voor elk domein het volgende configureren:

  • Op de DNS-servers voor contoso.local, creëert u een voorwaardelijke forwarder voor het domein fabrikam.local dat wijst naar 192.168.1.10 en 192.168.1.11
  • Op de DNS-servers voor fabrikam.local, creëer een conditionele forwarder voor het domein contoso.local dat wijst naar 10.0.1.10 en 10.0.1.11

Om een voorwaardelijke forwarder te maken:

  1. Open het hulpprogramma DNS Manager op uw DNS-server
  2. Vouw de DNS-servernaam uit, en selecteer het menu-item Conditional Forwarders.
  3. Rechter muisklik en selecteer New Conditional Forwarder
  4. Voor DNS-domein, specificeer de FQDN van het andere AD-domein. Voor IP-adressen, geef ten minste een IP-adres van een DNS-server voor het andere domein
  5. Voor de eenvoud is het aanbevolen om deze voorwaardelijke forwarder in Active Directory op te slaan; anders moet u de forwarder lokaal op elke DNS-server aanmaken.
  6. Sla de forwarder op.
Screenopname van het maken van een voorwaardelijke forwarder.

NOOT: Er zijn andere methoden om DNS-naamresolutie tussen domeinen tot stand te brengen, en in sommige gevallen kunnen deze andere methoden noodzakelijk zijn. Als het ene domein zich bijvoorbeeld achter een Network Address Translation (NAT)-interface bevindt, komen de IP-adressen die door zijn DNS-servers worden geretourneerd niet overeen met de IP-adressen die het andere domein moet gebruiken om te communiceren. In dit scenario moet u een DNS-zone maken voor de FQDN van het andere domein, handmatig DNS A-records maken voor de domeincontrollers (en de domeinnaam zelf) met de IP-adressen van de NAT, en vervolgens het subdomein _msdcs.<domain FQDN> delegeren naar de domeincontrollers in het andere domein.

Een AD trust aanmaken

Als de randvoorwaarden eenmaal zijn vastgesteld en geverifieerd, kunt u verder gaan met het aanmaken van een AD trust. Zoals aan het begin van dit artikel is vermeld, zijn er verschillende belangrijke beveiligingsbeslissingen die moeten worden genomen voordat een trust kan worden aangemaakt. itopia raadt u aan om AD-trusts te onderzoeken en te begrijpen voordat u verder gaat.

In het onderstaande voorbeeld configureren we het volgende:

  • Resource domain: contoso.local
  • Accounts domain: fabrikam.local
  • Vertrouwens type: One-way, non-transitive

We starten het maken van de trust vanuit het Resource-domein (contoso.local) en configureren de New Trust Wizard om de trust in beide domeinen te maken; als dit in uw omgeving niet mogelijk is, kunt u de New Trust Wizard in elk domein afzonderlijk uitvoeren en configureren dat de trust niet in het andere domein wordt gemaakt.

  1. Log in op een domeincontroller in het Resource-domein contoso.local met een account die lid is van de Domain Admins groep.
  2. Open het hulpprogramma Active Directory-domeinen en trusts.
  3. Uitbreiding van het linker boommenu, klik met de rechtermuisknop op het object dat het domein contoso.local vertegenwoordigt en selecteer Eigenschappen.
  4. Navig naar het tabblad Trusts en klik op Nieuwe Trust
  5. Voer de wizard Nieuwe Trust uit.
  6. Voor Trust Naam, geef de FQDN van het Accounts domein, fabrikam.local
  7. Voor Trust Type, selecteer Externe trust; dit betekent dat de trust alleen voor de twee domeinen is die worden geconfigureerd. Als contoso.local of fabrikam.local kinddomeinen hadden, zouden zij niet in staat zijn om deze trust te gebruiken en zouden hun eigen trusts moeten maken.
  8. Voor Richting van Vertrouwen, selecteer Twee-weg. Hiermee wordt zowel een inkomende als een uitgaande trust in elk van de Account en Resource domeinen geconfigureerd.
  9. Voor Sides of Trust, selecteer Zowel dit domein als het gespecificeerde domein. Hierdoor wordt de vertrouwensconfiguratie in beide domeinen tegelijk gemaakt. Als u geen Domain Admins-gegevens voor het andere domein hebt, kunt u Alleen dit domein selecteren en de wizard Nieuwe trust op een later tijdstip uitvoeren om de trust te voltooien. Merk op dat als u dit doet, u de configuratiewaarden moet omkeren om de FQDN van het domein Bron op te geven en u moet Eenrichting: inkomend selecteren.
  10. Voor Gebruikersnaam en Wachtwoord, geef de referentie voor een account met het lidmaatschap van Domeinbeheerders in het domein Accounts.
  11. Voor Uitgaand vertrouwensauthenticatieniveau – Lokaal domein, selecteer Domeinbrede authenticatie. Dit vereenvoudigt de toestemmingsconfiguratie aanzienlijk.
  12. Voor Uitgaand vertrouwensauthenticatieniveau – gespecificeerd domein, selecteert u Domeinbrede authenticatie. Dit vereenvoudigt de toestemmingsconfiguratie aanzienlijk. OPMERKING: Als er meer veiligheid nodig is, kan Selectieve authenticatie voor deze instelling worden ingeschakeld. Neem contact op met itopia support voor meer informatie.
  13. Op het scherm Trust Selections Complete bekijkt u de samenvatting van de configuratie en klikt u op Next.
  14. Op het scherm Trust Creation Complete bekijkt u de status om er zeker van te zijn dat de trust met succes is aangemaakt en klikt u op Next.
  15. Voor Bevestig uitgaande trust, selecteer Ja, bevestig de uitgaande trust.
  16. Voor Bevestig inkomende trust, selecteer Ja, bevestig de inkomende trust.
  17. Op de Wizard Voltooiing van de nieuwe trust, controleert u de status om te verzekeren dat de trust met succes is bevestigd. Klik op Voltooien.
  18. Als u een pop-upbericht ziet dat SID-filtering is ingeschakeld, kunt u dit bericht veilig negeren. SID-filtering is een standaard beveiligingsmaatregel die geen invloed heeft op de vertrouwensfunctionaliteit voor Cloud Desktops.
Screenopname van het maken van een AD-trust

Samenvatting

Dit artikel biedt een basisoverzicht van de stappen voor het maken van een eenvoudige Active Directory-trust. Het hierboven beschreven proces is mogelijk niet geschikt voor elke omgeving; het is belangrijk dat u de implicaties van een AD-trust begrijpt en dat u overlegt met uw Security- en Directory-teams voordat u een beslissing neemt over de vertrouwensconfiguratie die geschikt is voor uw omgeving.

Ondersteuning voor AD-trusts in CAS-implementaties

Active Directory-implementatie in itopia CAS

Laat een antwoord achter

Het e-mailadres wordt niet gepubliceerd.