Skapa ett Active Directory-förtroende

Översikt

Ett Active Directory-förtroende (AD-förtroende) är en metod för att koppla ihop två olika Active Directory-domäner (eller skogar) så att användare i en domän kan autentisera sig mot resurser i den andra. Enkelt uttryckt är det processen för att utvidga säkerhetsgränsen för en AD-domän (eller skog) till att omfatta en annan AD-domän (eller skog).

Det finns flera parametrar för att konfigurera ett Active Directory-förtroende som inte kommer att diskuteras i den här artikeln; itopia rekommenderar att administratörer undersöker AD-förtroenden för att få en fullständig förståelse för deras påverkan och implikationer innan de går vidare. Begrepp som transitivitet, implicita förtroenden, SID-filtrering och scoping behandlas inte i den här artikeln, men är viktiga aspekter när det gäller att definiera effekterna av en förtroenderelation.

Det är viktigt att förstå flera termer som kommer att användas i den här artikeln:

  • Resursdomän – Det här är den AD-domän som innehåller de resurser som användarna behöver komma åt. I samband med itopia är detta den nya domän som skapas av CAS och som innehåller Cloud Desktop-servrarna. Denna domän kallas ofta den ”betrodda” domänen.
  • Kontodomän – Detta är den AD-domän som innehåller de användarkonton som användarna loggar in med. I itopia-sammanhang är detta din befintliga AD-domän som innehåller de användarkonton som kommer att autentisera till Cloud Desktop. Detta kallas ofta den ”betrodda” domänen.

Direktionella förtroenden

AD-förtroenderelationer är riktade; ett förtroende kan konfigureras som ett envägs- eller tvåvägsförtroende. I ett envägsförtroende anges en domän som kontodomän och den andra som resursdomän; i Microsofts förvirrande terminologi är förtroendet inkommande till kontodomänen och utgående från resursdomänen. Ett tvåvägsförtroende är i praktiken två envägsförtroenden; varje domän är konfigurerad som både kontodomän och resursdomän, så att användare i endera domänen kan få tillgång till resurser i den andra domänen.

Anmärkningar: Det är viktigt att förstå att frasen ”kan få tillgång till resurser” inte betyder att Konto-användare har implicit tillgång till resurserna i den betrodda domänen (Resursdomänen); det är mer korrekt att säga att Konto-användare ”kan få tillgång till resurser” i Resursdomänen.

Förutsättningar för att upprätta ett AD-förtroende

För att skapa ett AD-förtroende mellan två Active Directory-domäner måste följande krav vara uppfyllda:

  • Nätverksanslutning – domänkontrollanter från varje domän måste kunna kommunicera med varandra. Servrar och andra resurser i Resource-domänen måste också kunna kommunicera med domänkontrollanterna i Accounts-domänen
  • DNS-namnupplösning – domänkontrollanter från varje domän måste kunna lösa DNS-poster för den andra domänens AD-miljö
  • Accounts Domain Service Account – ett AD-användarkonto i Accounts-domänen krävs så att itopia CAS kan läsa användar- och gruppobjekt i den domänen. Detta krävs för envägsförtroenden; för tvåvägsförtroenden tillhandahålls implicit skrivskyddad åtkomst som standard och ett servicekonto krävs inte. Tjänstekontot kräver inga särskilda behörigheter; det behöver bara vara medlem i gruppen Domain Users i domänen Accounts.

Nätverksanslutning

För att stödja AD-förtroendet måste domänkontrollanterna i varje domän kunna kommunicera över ett antal nätverksportar. För Cloud Desktop krävs följande:

  1. Skapa en VPC-peering (om kontodomänen har domänkontrollanter i Google Cloud) eller en VPN eller interkonnect (om kontodomänen endast har domänkontrollanter utanför Google Cloud). Se Google Cloud-dokumentationen för detaljerade instruktioner om dessa processer.
  2. Konfigurera brandväggsregler för att tillåta AD-trafik mellan Accounts-domänen och Resource-domänen. Dessa regler måste vanligtvis konfigureras på flera ställen: på VPC-nätverket för din Cloud Desktop-miljö och på VPC-nätverket (eller brandväggen för lokala miljöer) som innehåller domänkontrollanterna för Accounts-domänen. Se Google Cloud-dokumentation och/eller din brandväggsleverantörs dokumentation för instruktioner om dessa processer.

Tabellen nedan visar de minsta nätverksportar som krävs för Active Directory-förtroendefunktionalitet. Ytterligare information finns i Microsofts dokumentation.

Krävda nätverksportar för Active Directory-förtroenden - Se a href=https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts”/>

DNS-namensupplösning

När nätverksanslutningen har upprättats måste båda Active Directory-domänerna konfigureras med DNS-vidarebefordringsregler så att de kan få åtkomst till varandras Active Directory DNS-poster.

Det vanligaste sättet att uppnå detta är att skapa villkorliga vidarebefordrare för varje domäns FQDN på den andra domänens DNS-servrar. Tänk på följande exempel:

  • Resursdomänen är contoso.local och har två AD-domänkontrollanter/DNS-servrar med IP:erna 10.0.1.10 och 10.0.1.11
  • Kontodomänen är fabrikam.local och har två AD-domänkontrollanter/DNS-servrar med IP:erna 192.168.1.10 och 192.168.1.11

När nätverksanslutningen har upprättats mellan dessa två domäner (enligt beskrivningen ovan) skulle en administratör för varje domän konfigurera följande:

  • På DNS-servrarna för contoso.local skapar du en villkorlig vidarebefordrare för domänen fabrikam.local som pekar på 192.168.1.10 och 192.168.1.11
  • Skapa på DNS-servrarna för fabrikam.local en villkorlig vidarebefordrare för domänen contoso.local som pekar på 10.0.1.10 och 10.0.1.10.11

För att skapa en villkorlig vidarebefordrare:

  1. Öppna verktyget DNS Manager på din DNS-server
  2. Expandera DNS-servernamnet och välj menyalternativet Villkorliga vidarebefordrare.
  3. Högerklicka på och välj Ny villkorlig vidarebefordrare
  4. För DNS-domän anger du FQDN för den andra AD-domänen. För IP-adresser anger du minst en IP-adress till en DNS-server för den andra domänen
  5. För enkelhetens skull rekommenderas att du aktiverar Lagra den här villkorliga vidarebefordraren i Active Directory, annars måste du skapa vidarebefordraren lokalt på varje DNS-server.
  6. Spara vidarebefordraren.

Skärminspelning av skapandet av den villkorliga vidarebefordraren.

OBS: Det finns andra metoder för att etablera DNS-namnupplösning mellan domäner, och i vissa fall kan dessa andra metoder vara nödvändiga. Om en domän till exempel befinner sig bakom ett NAT-gränssnitt (Network Address Translation) kommer de IP-adresser som returneras av dess DNS-servrar inte att matcha de IP-adresser som den andra domänen måste använda för att kommunicera. I det här scenariot måste du skapa en DNS-zon för den andra domänens FQDN, manuellt skapa DNS A-poster för domänkontrollanterna (och själva domännamnet) med hjälp av NAT-IP-adresserna och sedan delegera underdomänen _msdcs.<domän FQDN> till domänkontrollanterna i den andra domänen.

Skapa ett AD-förtroende

När förutsättningarna har fastställts och verifierats kan du fortsätta att skapa ett AD-förtroende. Som nämndes i början av den här artikeln finns det flera viktiga säkerhetsbeslut som måste fattas innan ett förtroende skapas, och analysen av dessa beslut ligger utanför ramen för den här artikeln. itopia rekommenderar att du undersöker och förstår AD-förtroenden innan du fortsätter.

I exemplet nedan kommer vi att konfigurera följande:

  • Resursdomän: contoso.local
  • Kontodomän: fabrikam.local
  • Förtroendetyp: Om detta inte är möjligt i din miljö kan du köra guiden för nya förtroenden separat i varje domän och konfigurera den så att den inte skapar förtroendet i den andra domänen.
    1. Logga in på en domänkontrollant i resursdomänen contoso.local med ett konto som är medlem i gruppen Domain Admins.
    2. Öppna verktyget Active Directory Domains and Trusts.
    3. Expandera den vänstra trädmenyn, högerklicka på objektet som representerar domänen contoso.local och välj Egenskaper.
    4. Navigera till fliken Förtroenden och klicka på Nytt förtroende
    5. Fortsätt genom guiden Nytt förtroende.
    6. För Trust Name anger du FQDN för Accounts-domänen fabrikam.local
    7. För Trust Type väljer du External trust (externt förtroende), vilket innebär att förtroendet endast gäller för de två domäner som konfigureras. Om contoso.local eller fabrikam.local har några underordnade domäner kan de inte använda det här förtroendet utan måste skapa egna förtroenden.
    8. För Direction of Trust väljer du Two-way. Detta kommer att konfigurera både ett inkommande och ett utgående förtroende i var och en av konto- och resursdomänerna.
    9. För Förtroendets sidor väljer du Både den här domänen och den angivna domänen. Detta skapar förtroendekonfigurationen i båda domänerna samtidigt. Om du inte har domänadministratörsbehörigheter för den andra domänen kan du välja Endast den här domänen och sedan köra guiden Nytt förtroende vid en senare tidpunkt för att slutföra förtroendet. Observera att om du gör det här måste du vända på konfigurationsvärdena för att ange Resursdomänens FQDN och välja Envägs: inkommande.
    10. För Användarnamn och lösenord anger du autentiseringsuppgifter för ett konto med medlemskap som domänadministratör i domänen Konton.
    11. För Autentiseringsnivå för utgående förtroende – lokal domän väljer du Autentisering för hela domänen. Detta förenklar konfigurationen av behörigheter avsevärt.
    12. För Outgoing Trust Authentication Level – Specified Domain, välj Domain-wide authentication. Detta förenklar konfigurationen av behörigheter avsevärt. OBS: Om större säkerhet krävs kan selektiv autentisering aktiveras för den här inställningen. Kontakta itopias support för mer information.
    13. På skärmen Trust Selections Complete (Val av förtroende) går du igenom konfigurationssammanfattningen och klickar på Next (Nästa).
    14. På skärmen Trust Creation Complete (Skapande av förtroende) går du igenom statusen för att säkerställa att förtroendet skapades framgångsrikt och klickar på Next (Nästa).
    15. För Confirm Outgoing Trust (Bekräfta utgående förtroende) väljer du Ja och bekräftar det utgående förtroendet.
    16. För Confirm Incoming Trust (Bekräfta inkommande förtroende) väljer du Ja och bekräftar det inkommande förtroendet.
    17. På guiden Completing the New Trust (Slutföra det nya förtroendet) granskar du statusen för att se till att förtroendet har bekräftats. Klicka på Slutför.
    18. Om du ser ett popup-meddelande om att SID-filtrering är aktiverad kan du säkert kasta detta meddelande. SID-filtrering är en standardsäkerhetsåtgärd som inte påverkar förtroendefunktionaliteten för Cloud Desktops.
    Skärminspelning av processen för skapande av AD-förtroende

    Sammanfattning

    Denna artikel ger en grundläggande översikt över stegen för att skapa ett enkelt Active Directory-förtroende. Det är viktigt att förstå konsekvenserna av ett AD-förtroende och att rådgöra med säkerhets- och katalogteamen innan du bestämmer dig för vilken konfiguration av förtroendet som är lämplig för din miljö.

    Stöd för AD-förtroenden i CAS-implementeringar

    Active Directory-implementering i itopia CAS

Lämna ett svar

Din e-postadress kommer inte publiceras.