Mobile-Menu

Google Managed Service for Microsoft Active Directory Active Directory Services in der Google Cloud Platform nutzen

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Auch in der Google Cloud Platform (GCP) ist der Einsatz von Active Directory möglich – inklusive der Synchronisierung mit lokalen Active-Directory-Umgebungen. In diesem Beitrag zeigen wir die Möglichkeiten, und was bei der Einrichtung beachtet werden sollte.

Firma zum Thema

Google Cloud Directory Sync ermöglicht die Synchronisierung von lokalen AD-Umgebungen mit der Cloud.
Google Cloud Directory Sync ermöglicht die Synchronisierung von lokalen AD-Umgebungen mit der Cloud.
(Bild: Joos / Google)

Mit Managed Service for Microsoft Active Directory lassen sich in der Google Cloud Platform (GCP) AD-Dienste betreiben, mit denen Unternehmen auch Active-Directory-abhängige Dienste in die Cloud auslagern können. Auch die Anbindung an lokale Infrastrukturen mit Active Directory ist möglich. Beim Betrieb ist es zudem möglich, in der Cloud eine eigene AD-Domäne zu erstellen, oder eine lokal betriebene Domäne auf die Cloud auszudehnen.

Gruppenrichtlinien und Standard-Tools für die Verwaltung verwenden

Die Verwaltung erfolgt mit den Standardbordmitteln von Windows-Server zur Verwaltung von Active Directory. Gruppenrichtlinien sind ebenfalls verfügbar, sodass sich Einstellungen auch an andere Ressourcen und VMs in GCP weitergeben lassen. Es ist dagegen nicht empfehlenswert dem Domänencontroller eine externe IP-Adresse zuzuweisen und auf diesem Weg über eine RDP-Verbindung die Domäne zu verwalten.

Bildergalerie
Bildergalerie mit 10 Bildern

Google empfiehlt die Installation eines Mitgliedsservers oder einer Windows-10-Arbeitsstation, die mit der Domäne in der Cloud verbunden ist. Auf diesem Computer kann die Verwaltung von Active Directory anschließend mit den Standard-Tools erfolgen. Diese lassen sich zum Beispiel über die optionalen Features von Windows 10 installieren.

Vollständig kompatibles Active Directory in GCP

Beim Verwenden von Managed Service for Microsoft Active Directory können Unternehmen auf vollständige Kompatibilität mit Active Directory setzen. Die Grundlage des Ads in der Google-Cloud ist Windows-Server – hier wird Active Directory also genauso ausgeführt, wie bei der lokalen Installation von Domänencontrollern. Basis sind also originale Domänencontroller, keine kompatiblen Lösungen wie Samba.

Der Dienst arbeitet parallel dazu mit Cloud DNS in GCP zusammen. Mit diesem Dienst lässt sich die Namensauflösung für alle Ressourcen in GCP zentral steuern und auf AD aufbauen, genauso wie in lokalen Umgebungen. Die Domänencontroller werden von Google aktualisiert und verwaltet. Hier müssen Administratoren also nicht selbst eingreifen. Bezüglich der Wiederherstellung ist es auch möglich, Snapshots von Active Directory in GCP zu erstellen.

Weltweites Active Directory mit Virtual Private Cloud

Das verwaltete AD in GCP lässt sich entweder in einer Region betreiben, oder international nutzen. Mit Virtual Private Cloud können auch Ressourcen aus anderen Regionen die Authentifizierung von AD in GCP nutzen, oder als VM Mitglied der Domäne werden.

Vertrauensstellungen für die Zusammenarbeit erstellen

Für eine Zusammenarbeit zwischen lokalen Active-Directory-Umgebungen und der Domäne in GCP ist es auch möglich, auf die Vertrauensstellungen-Funktion von Domänencontrollern zu setzen. Es ist problemlos möglich Vertrauensstellungen in verschiedene Richtungen zwischen der GCP-Domäne und der On-Premises-AD-Struktur zu erstellen. Dabei stehen unidirektionale Vertrauensstellungen genauso zur Verfügung wie bidirektionale.

Für die Zusammenarbeit von lokalen Active-Directory-Umgebungen und der Cloud ist der beste Weg, eine solche Vertrauensstellung zwischen den Domänen herzustellen. Dazu wird das lokale Netzwerk mit Active Directory über Google Cloud Virtual Private Cloud (VPC) angebunden. Wenn die Netzwerkverbindung zwischen Cloud und Rechenzentrum steht, besteht der nächste Schritt darin, eine Vertrauensstellung mit Bordmitteln herzustellen. Danach lassen sich die Benutzerkonten aus der jeweils anderen Domäne einsetzen.

Für die Einrichtung einer Vertrauensstellung sind Firewall-Regeln notwendig. Welche Ports geöffnet werden sollen, beschreibt Google in der Dokumentation zu Managed Service for Microsoft Active Directory. Über diesen Weg lassen sich auch DNS-Weiterleitungen einrichten, damit die Domäne in GCP und die Domäne im lokalen Rechenzentrum funktioniert.

Damit die Verbindung funktioniert, sollten darüber hinaus auch die Regeln definiert werden, die Microsoft auf der Seite „Active Directory and Active Directory Domain Services Port Requirements“ empfiehlt. Aus Sicherheitsgründen sollten nur die Ports geöffnet werden, die das AD für die Zusammenarbeit auch benötigt.

Google Cloud Directory Sync nutzen

Für die Zusammenarbeit zwischen lokalen AD-Umgebungen und Google Managed Service for Microsoft Active Directory stellt Google auch das Tool „Google Cloud Directory Sync“ zur Verfügung. Mit dem Tool können Gruppen und Benutzerkonten zwischen lokalen AD-Umgebungen und GCP synchronisiert werden. Das Tool steht für Windows und Linux zur Verfügung.

Nach der Installation des kostenlosen Tools im lokalen Rechenzentrum können Administratoren über einen Assistenten die Synchronisierung von Objekten zwischen lokalen Umgebungen und der Cloud konfigurieren.

(ID:47696284)