Возможно при правильных правилах брандмауэра или настройке прокси? Например, при загрузке объявления внизу обычно отображается домен, с которого оно загружается. Я считаю, что заблокировал основные из них через прокси или брандмауэр, и проблема решена.
Я бы предпочел увидеть “Страница не может быть отображена”, чем плохо созданное объявление, не имеющее отношения к моим интернет-привычкам.
Privoxy – это прокси, который можно использовать для блокировки рекламы.
Использование файлов хостов в соответствии с предложением vasa1 также может работать, но в этом случае потребуется одна запись для каждого объявления ads1.example.com, ads2.example.com, … ads123.example.com. …, тогда как с помощью прокси-сервера или плагина браузера (например, Adblock Plus) вы обычно можете делать такие вещи, как ads * .example.com. В некоторой степени это относится к блокировке на уровне брандмауэра, где вам нужно будет найти IP-адреса или блоки рекламных серверов (при условии, что это настоящий брандмауэр, а не брандмауэр приложений; некоторые брандмауэры приложений имеют проверку содержимого и могут фильтровать рекламу ).
Privoxy – это прокси, который можно использовать для блокировки рекламы.
Использование файлов хостов в соответствии с предложением vasa1 также может работать, но в этом случае потребуется одна запись для каждого объявления ads1.example.com, ads2.example.com, … ads123.example.com. …, тогда как с помощью прокси-сервера или плагина браузера (например, Adblock Plus) вы обычно можете делать такие вещи, как ads * .example.com. В некоторой степени это относится к блокировке на уровне брандмауэра, где вам нужно будет найти IP-адреса или блоки рекламных серверов (при условии, что это настоящий брандмауэр, а не брандмауэр приложений; некоторые брандмауэры приложений имеют проверку содержимого и могут отфильтровывать рекламу ).
Оба варианта возможны сделать и относительно дешево.
Вы можете заблокировать рекламу в брандмауэре в DD-WRT (доступны другие альтернативные прошивки маршрутизатора) или вы можете настроить прокси-сервер Squid на сервере, если он у вас есть, и пусть все клиенты используют это.
К счастью, вам не нужно слишком много делать, чтобы получить текущий список, поскольку создатели easylist/adblockplus делают свой список доступным.
Как вы его настраиваете, зависит от того, какие ресурсы у вас есть.
Обновление, май 2016: Я делаю то же самое, используя pfSense, который более мощный, плюс аддон pfBlockerNG , который создает ‘черная дыра’ DNS, которая перенаправляет запросы для определенных доменов в прозрачный GIF размером 4×4 пикселя на основе EasyList и следующих дополнительных источников списков, рекомендованных автором BBCan177 …
http://hosts-file.net/download/hosts.zip http://someonewhocares.org/hosts/hosts https://raw.githubusercontent.com/Dawsey21 /Lists/master/main-blacklist.txt https://malc0de.com/bl/BOOT https://mirror.epn.edu.ec/malwaredomains/justdomains.zip http://winhelp2002.mvps.org/hosts. txt http://adblock.gjtech.net/?format=unix-hosts https://www.dshield.org/feeds/suspiciousdomains_High.txt https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist http ://pgl.yoyo.org/adservers/serverlist.php? hostformat =; showintro = 0 https://adaway.org/hosts.txt
I пришлось добавить несколько недостающих рекламных объявлений rs и внесите в белый список серверов, которые я хочу разрешить, но он блокирует большинство доменов, на которых размещены вредоносные программы и реклама.
И то, и другое можно сделать и относительно дешево.
Вы можете заблокировать рекламу в брандмауэре в DD-WRT (доступны другие альтернативные прошивки маршрутизатора), или вы можете настроить прокси-сервер Squid на сервере, если он у вас есть и все клиенты его используют.
К счастью, вам не нужно этого делать слишком много, чтобы получить текущий список, поскольку создатели easylist/adblockplus делают свой список доступным.
Как вы его настраиваете, зависит от того, какие ресурсы у вас есть.
Обновление, май 2016: Я делаю то же самое, используя pfSense, который является более мощным, плюс аддон pfBlockerNG , который создает черную дыру DNS, которая перенаправляет запросы для определенные домены в прозрачный GIF 4×4 пикселя на основе EasyList и следующих дополнительных источников списков, рекомендованных автором BBCan177 …
http://hosts-file.net/download/hosts.zip http://someonewhocares.org/hosts/hosts https://raw.githubusercontent.com/Dawsey21/Li sts/master/main-blacklist.txt https://malc0de.com/bl/BOOT https://mirror.epn.edu.ec/malwaredomains/justdomains.zip http://winhelp2002.mvps.org/hosts.txt http://adblock.gjtech.net/?format=unix-hosts https://www.dshield.org/feeds/suspiciousdomains_High.txt https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist http: //pgl.yoyo.org/adservers/serverlist. php? hostformat =; showintro = 0 https://adaway.org/hosts.txt
Мне пришлось добавить несколько недостающих рекламных серверов и внести в белый список для серверов, которые я хочу разрешить, но он блокирует большинство доменов, на которых размещается вредоносное ПО и реклама.
У меня есть один из маршрутизаторов ASUS, и я могу добавить список веб-сайтов вручную. например, я могу жестко запрограммировать taboola , что кажется наиболее эффективным. Я добавлю крупных преступников, особенно если у них навязчивые всплывающие окна.
Может быть, есть способ сделать это более автоматизированным? Я еще не понял этого, но просто вытащив табулу, вы отфильтруете половину дерьма.
У меня есть один из маршрутизаторов ASUS, и я могу добавить список веб-сайтов вручную. например, я могу жестко запрограммировать taboola , что кажется наиболее эффективным. Я добавлю крупных преступников, особенно если у них навязчивые всплывающие окна.
Может быть, есть способ сделать это более автоматизированным? Я еще не понял этого, но просто вытащив табулу, вы отфильтруете половину дерьма.
В этом нет необходимости, но это было бы эффективно. Я не верю, что брандмауэры будут блокировать каталоги в домене вроде ..
вместо этого заблокирует: IP-адрес http://www.google.com/
Я настоятельно рекомендую вам не пытаться блокировать рекламу на веб-сайте, реклама помогает сайту функционировать. Если вы получаете бесплатный доступ к веб-сайту, нет причин, по которым вы не можете терпеть несколько объявлений.
Однако, поскольку я хочу получить здесь лучший ответ … Попробуйте расширение adblock в Google Chrome.
-
2ОП специально спросил о блокировке рекламы на брандмауэре, и брандмауэры могут блокировать практически все, что вы хотите, включая частичный URL. – Джеймс Снелл 20 дек. ’14 в 10:30
В этом нет необходимости, но это было бы эффективно. Я не верю, что брандмауэры блокируют каталоги в домене вроде..
вместо этого он заблокирует: IP-адрес http://www.google.com/
Я настоятельно рекомендую вам не пытаться блокировать рекламу на веб-сайте, рекламу помощь в работе сайта. Если вы получаете доступ к веб-сайту бесплатно, нет причин, по которым вы не можете терпеть несколько объявлений.
Однако, поскольку я хочу получить здесь лучший ответ … Попробуйте расширение adblock в Google Chrome.
- Использование управляемого Microsoft AD через брандмауэры
- Типичные варианты использования
- Доступ к управляемому Microsoft AD из вашего VPC
- Разрешение доменного имени
- Аутентификация на виртуальной машине с использованием Kerberos
- Аутентификация на виртуальной машине с использованием NTLM
- Присоединение к домену и обработка входов в систему
- Администрирование управляемой Microsoft AD
- Подключение управляемого Microsoft AD к локальной Active Directory
- Создание и проверка доверия
- Разрешение DNS-имен Google Cloud из локальной среды
- Делегирование DNS
- Условная пересылка DNS
- Разрешение локальных DNS-имен из Google Cloud
- Доступ к управляемым ресурсам Microsoft AD из локальной среды
- Аутентификация на виртуальной машине из локальной среды с использованием Kerberos
- Аутентификация на виртуальную машину из локальной среды с использованием NTLM
- Обработка входа в систему для пользователей локального леса
- Доступ к локальным ресурсам Active Directory из Google Cloud
- Аутентификация на локальной виртуальной машине с использованием Kerberos
- Обработка входа в систему для пользователей управляемого леса Microsoft AD
Использование управляемого Microsoft AD через брандмауэры
Контроллеры домена, управляемые управляемой службой для Microsoft Active Directory, предоставляют ряд служб, включая LDAP, DNS, Kerberos и RPC. В зависимости от ваших сценариев использования виртуальным машинам (ВМ), развернутым в Google Cloud, а также машинам, работающим локально, может потребоваться доступ к этим службам, чтобы воспользоваться преимуществами ActiveDirectory.
Чтобы уменьшить поверхность атаки. контроллеров домена и виртуальных машин, вы должны использовать брандмауэры, чтобы запретить любое сетевое взаимодействие, которое не является строго обязательным. В этой статье описывается, как настроить брандмауэры для соответствия распространенным вариантам использования ActiveDirectory, запрещая при этом другие сетевые соединения. аутентификация
Хотя термины “вход в систему” и “аутентификация” часто используются как синонимы, они имеют разные значения в контексте безопасности Windows. Вход в систему описывает процесс, который происходит в системе, к которой пользователь получает доступ. В отличие от этого, аутентификация выполняется компьютером, на котором находится учетная запись пользователя. .
Когда вы используете локальную учетную запись для входа в систему, и вход в систему, и аутентификация обрабатываются целевой машиной. В среде Active Directory для входа в систему чаще всего используется пользователь домена. В этом случае вход в систему обрабатывается целевой машиной, а аутентификация выполняется контроллером домена.
Для аутентификации клиент может использовать либо Kerberos, либо NTLM. Как только клиент аутентифицируется, целевая машина должна В зависимости от типа входа, запрошенного клиентом, это может потребовать дополнительного взаимодействия с контроллерами домена с использованием таких протоколов, как Kerberos, NTLM, LDAP, RPC или SMB.
Поскольку для аутентификации и обработки входа в систему требуются разные протоколов, полезно различать эти две концепции при определении правильной конфигурации брандмауэра.
Типичные варианты использования
В следующих разделах описываются типичные варианты использования для доступа к управляемой Microsoft AD и показаны какие правила брандмауэра необходимо настроить для каждого варианта использования.
Если вы не планируете интегрировать управляемый Microsoft AD с локальным активным каталогом, вам нужно прочитать только первый раздел этой статьи, Доступ к управляемому Microsoft AD изнутри r VPC. Если вы намереваетесь создать доверительные отношения между управляемым Microsoft AD и локальным ActiveDirectory, применяется вся статья.
Вы можете использовать журналы правил брандмауэра для анализа необходимости дополнительных портов. Поскольку в предполагаемом правиле запрета входящего трафика ведение журнала отключено, необходимо сначала создать настраиваемое правило брандмауэра с низким приоритетом, которое запрещает весь входящий трафик, но для которого включено ведение журнала брандмауэра. При наличии этого правила любая неудачная попытка подключения приводит к публикации записи журнала в Stackdriver. Поскольку правила брандмауэра могут создавать значительный объем журналов, рассмотрите возможность повторного отключения ведения журнала брандмауэра после завершения анализа.
Доступ к управляемому Microsoft AD из вашего VPC
При использовании сеть по умолчанию для развертывания Управляемый Microsoft AD, дальнейшая настройка не требуется для включения виртуальных машин в VPC для доступа к Active Directory.
Если вы настроили конфигурацию VPC или правила брандмауэра, убедитесь, что конфигурация брандмауэра разрешает связь с управляемым Microsoft AD. В следующих разделах описываются правила брандмауэра, которые могут вам понадобиться.
Разрешение доменного имени
Когда виртуальная машина пытается разрешить DNS-имя, она не запрашивает напрямую контроллер домена. Вместо этого DNS-запрос отправляется на сервер метаданных, который по умолчанию является DNS-сервером, настроенным для виртуальных машин Compute Engine. Затем сервер метаданных пересылает запрос в зону пересылки privateDNS Cloud DNS, созданную управляемым Microsoft AD. Затем эта зона пересылки пересылает запрос соответствующему контроллеру домена.
Вам не нужно настраивать какие-либо правила брандмауэра, чтобы включить этот вариант использования. Связь с облачным DNS (1) всегда разрешена для виртуальных машин в VPC, а управляемый Microsoft AD позволяет пересылать DNS-запросы от Cloud DNS Cloud DNS (2) по умолчанию.
Аутентификация на виртуальной машине с использованием Kerberos
Пользователю, выполнившему вход на одну виртуальную машину, может потребоваться доступ к службе, предоставляемой другой виртуальной машиной. Например, пользователь может попытаться открыть соединение RDP, получить доступ к общему файловому ресурсу или получить доступ к ресурсу HTTP, который требует аутентификации.
Чтобы позволить пользователю аутентифицироваться на виртуальной машине сервера с помощью Kerberos, клиентская виртуальная машина должна сначала получить соответствующий билет Kerberos от одного из управляемых контроллеров Microsoft AD.
Чтобы разрешить виртуальным машинам аутентифицироваться друг с другом с помощью Kerberos, следующее взаимодействие должно быть разрешено правилами брандмауэра:
| Действие | From | To | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Клиентская виртуальная машина | Управляемая подсеть Microsoft AD | Kerberos (UDP/88, TCP/88) LDAP (UDP/389, TCP/389) |
| 2 | Разрешить | Клиентская виртуальная машина | Серверная виртуальная машина | Протокол, используемый для доступа к виртуальной машине, например HTTP (TCP/80, TCP /443) или RDP (TCP/3389) |
| 3 | Разрешить | ВМ сервера | Управляемая подсеть Microsoft AD | См. обработку входа в систему. |
Аутентификация на виртуальной машине с использованием NTLM
Хотя Windows в большинстве случаев предпочитает Kerberos, а не NTLM, иногда клиентам может потребоваться вернуться к использованию NTLM для аутентификации. NTLM использует сквозную аутентификацию и поэтому требует, чтобы сервер обменивался данными с одним из управляемых контроллеров домена Microsoft AD для аутентификации пользователя.
Чтобы разрешить виртуальным машинам аутентифицировать другие виртуальные машины с помощью NTLM, в правилах брандмауэра должно быть разрешено следующее взаимодействие:
| Действие | From | To | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Клиентская виртуальная машина | Серверная виртуальная машина | Протокол, используемый для доступа к виртуальной машине, например HTTP (TCP/80, TCP/443) или RDP (TCP/3389) |
| 2 | Разрешить | Клиентская виртуальная машина | Управляемая подсеть Microsoft AD | См. Обработку входа в систему. |
Присоединение к домену и обработка входов в систему
Чтобы работать в качестве члена домена и обрабатывать входы пользователей в систему, машина должна иметь возможность взаимодействовать с Active Справочник. Точный набор используемых протоколов зависит от типа входа в систему, запрашиваемого отдельными клиентами. Для поддержки всех общих сценариев необходимо разрешить следующую комбинацию протоколов.
| Action | От | До | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | ВМ сервера | Управляемая подсеть Microsoft AD | Kerberos (UDP/88, TCP/88) NTP (UDP/123) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/ 389) SMB (UDP/445, TCP/445) LDAP GC (TCP/3268) |
Кроме того, в зависимости от конкретного варианта использования, вы также можете разрешить следующие протоколы:
| Действие | От | до | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | ВМ сервера | Управляемая подсеть Microsoft AD | Изменение пароля Kerberos (UDP/ 464, TCP/464) Защищенный LDAP (TCP/636, TCP/3269) |
Администрирование управляемой Microsoft AD
Вы должны использовать виртуальную машину, присоединенную к домену, для управления Ma нагнал Microsoft AD. Чтобы использовать на этой виртуальной машине такие инструменты, как административный центр Active Directory, виртуальная машина также должна иметь доступ к веб-службам Active Directory, предоставляемым управляемыми контроллерами домена Microsoft AD.
| Действие | От | К | Протоколам | |
|---|---|---|---|---|
| 1 | Разрешить | ВМ администратора | Управляемая подсеть Microsoft AD | Веб-службы AD (TCP/9389) |
Подключение управляемого Microsoft AD к локальной Active Directory
Для подключения управляемого Из Microsoft AD в локальную Active Directory необходимо создать доверительные отношения между лесами. Кроме того, вы должны включить разрешение имен DNS между Google Cloud и вашей локальной средой..
Создание и проверка доверия
Чтобы создать и проверить доверие леса, управляемые контроллеры домена Microsoft AD и контроллеры корневого домена вашего локального леса должны иметь возможность для двунаправленной связи.
Чтобы включить создание доверия и проверки, настройте локальный брандмауэр, чтобы разрешить входящий и исходящий трафик, который соответствует этим характеристикам:
| Action | От | До | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Локальная AD | Управляемая Microsoft AD | DNS (UDP/53, TCP/53) Kerberos (UDP/88, TCP/88) Изменение пароля Kerberos (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
| 2 | Разрешить | Управляемый Microsoft AD | Локальный AD | DNS (UDP /53, TCP/53) Kerberos (UDP/8 8, TCP/88) смена пароля Kerberos (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389 , TCP/389) SMB (UDP/445, TCP/445) |
Управляемый Microsoft AD предварительно настроен для разрешения трафика соответствуют этим характеристикам, поэтому вам не нужно настраивать дополнительные правила брандмауэра в Google Cloud.
Разрешение DNS-имен Google Cloud из локальной среды
Есть два способа разрешить локальные компьютеры для разрешения имен DNS в Управляемом Microsoft AD: делегирование DNS и условная переадресация DNS.
Делегирование DNS
Домен DNS, используемый управляемым Microsoft AD, может быть субдомен домена DNS, который используется локально. Например, вы можете использовать cloud.example.com для управляемого Microsoft AD при использовании example.com в локальной среде. Чтобы разрешить локальным клиентам разрешать DNS-имена ресурсов Google Cloud, вы можете настроить делегирование DNS.
При использовании делегирования DNS пытается разрешить DNS-имя ресурса Google Cloud сначала запрашивает локальный внутренний DNS-сервер. Затем DNS-сервер перенаправляет клиента в Cloud DNS, который, в свою очередь, перенаправляет запрос на один из ваших управляемых контроллеров домена Microsoft AD.
Предоставление Cloud DNS локальным сетям требует создания и политики сервера входящей почты. Это приведет к созданию IP-адреса входящего перенаправителя, который является частью вашего VPC.
Чтобы использовать адрес пересылки из локальной сети, настройте локальный брандмауэр, чтобы разрешить исходящий трафик, который соответствует характеристикам, указанным ниже..
| Действие | From | To | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Локально AD | Управляемый Microsoft AD | DNS (UDP/53, TCP/53) Kerberos (UDP/88, TCP/88) изменение пароля Kerberos (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
| 2 | Разрешить | Управляемый Microsoft AD | Локальный AD | DNS (UDP/53, TCP/53) Kerberos (UDP/88, TCP/88) Изменение пароля Kerberos (UDP/464, TCP/464) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP /389) SMB (UDP/445, TCP/445) |
Условная пересылка DNS
Домен DNS, используемый управляемым Microsoft AD, может не быть поддоменом домена DNS, используемого на предприятии. Например, вы можете использовать cloud.example.com для управляемого Microsoft AD при использовании corp.example.local в локальной среде.
В сценариях, где домены DNS не связаны между собой, вы можете настроить условную переадресацию DNS в своем локальном DNS Active Directory. Все запросы, соответствующие имени DNS, используемому управляемой Microsoft AD, будут перенаправлены в Cloud DNS.
Чтобы использовать условную переадресацию DNS, вам необходимо настроить политику DNS, которая сначала включает входящую переадресацию DNS. Чтобы использовать полученный локальный адрес пересылки, настройте локальный брандмауэр, чтобы разрешить исходящий трафик, который соответствует приведенным ниже характеристикам.
| Действие | От | По | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Локальный AD | IP-адрес переадресации DNS | DNS (UDP /53, TCP/53) |
На стороне Google Cloud создайте правило брандмауэра, чтобы разрешить входящий трафик, соответствующий этим критериям.
Вам не нужно настраивать какие-либо правила брандмауэра, чтобы разрешить обмен данными от DNS-сервера пересылки к Cloud DNS (2).
Разрешение локальных DNS-имен из Google Cloud
Управляемый Microsoft AD использует условную переадресацию DNS для разрешения имен DNS в вашем локальном лесу. Чтобы также позволить клиентам, работающим в Google Cloud, разрешать DNS-имена, которые управляются локальной службой Active Directory, вы можете создать частную зону переадресации в Cloud DNS DNS, которая перенаправляет запросы на локальные контроллеры домена.
Чтобы включить разрешение локальных DNS-имен из Google Cloud, настройте локальный брандмауэр на разрешить входящий трафик согласно следующей таблице.
| Action/th> | From | Для | протоколов | |
|---|---|---|---|---|
| 1 | Разрешить | Управляемый Microsoft AD | Локальный AD | DNS (UDP/53, TCP/53) |
| 2 | Разрешить | Cloud DNS (35.199.192. 0/19) | Локальная AD | DNS (UDP/53, TCP/53) |
Google Cloud разрешает соответствующий исходящий трафик по умолчанию.
Доступ к управляемым ресурсам Microsoft AD из локальной среды
Если управляемый лес Microsoft AD настроен на доверие вашей локальной сети -premises forest может потребоваться, чтобы локальные пользователи и машины имели доступ к ресурсам в управляемом лесу Microsoft AD.
Аутентификация на виртуальной машине из локальной среды с использованием Kerberos
Пользователю, выполнившему вход на локальный компьютер, может потребоваться доступ к услуге, предоставляемой виртуальной машиной, работающей в Google Cloud и являющейся членом управляемого леса Microsoft AD. Например, пользователь может попытаться открыть соединение RDP, получить доступ к общему файловому ресурсу или получить доступ к ресурсу HTTP, который требует аутентификации.
Чтобы разрешить пользователям аутентифицироваться на виртуальной машине сервера с помощью Kerberos, клиентская машина должна получить соответствующий билет Kerberos. Для этого требуется связь с одним из локальных контроллеров домена, а также с одним из управляемых контроллеров домена Microsoft AD.
Чтобы включить локальные виртуальные машины для аутентификации с помощью Kerberos, настройте локальный брандмауэр, чтобы разрешить следующий исходящий трафик.
| Действие | From | To | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Клиентский компьютер (локальный) | Управляемая подсеть Microsoft AD | LDAP (UDP/389, TCP/389) Kerberos (UDP/88, TCP/88) |
| 2 | Разрешить | Клиентский компьютер (локальный) | Серверная виртуальная машина (GCP) | Протокол, используемый приложением, например HTTP (TCP/80, TCP/443) или RDP (TCP/3389) |
| 3 | Разрешить | ВМ сервера | Управляемая подсеть Microsoft AD | См. Обработку входа в систему. |
На стороне Google Cloud создайте брандмауэр правила, разрешающие входящий трафик для (1) и (2). Исходящий трафик в Managed Microsoft AD (3) разрешен по умолчанию.
Аутентификация на виртуальную машину из локальной среды с использованием NTLM
При использовании NTLM для аутентификации пользователя из локального леса Active Directory на виртуальную машину сервера, присоединенную к управляемому лесу Microsoft AD, управляемые контроллеры домена Microsoft AD должны взаимодействовать с локальными контроллерами домена.
Чтобы разрешить локальным виртуальным машинам аутентифицироваться с помощью NTLM, настройте локальный брандмауэр для разрешения входящего и исходящего трафика следующим образом.
| Действие | From | To | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Клиентская машина ( локально) | Серверная виртуальная машина (Google Cloud) | Протокол, используемый приложением, например HTTP (TCP/80, TCP/443) или RDP (TCP/ 3389) |
| 2 | Разрешить | ВМ сервера | Управляемая подсеть Microsoft AD | См. Обработку входа в систему s. |
| 3 | Разрешить | Управляемая подсеть Microsoft AD | Локальная AD | LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) |
На стороне Google Cloud создайте правила брандмауэра, разрешающие входящий трафик для (1). Исходящий трафик для (2) и (3) разрешен по умолчанию.
Обработка входа в систему для пользователей локального леса
Для обработки входа в систему для пользователя В локальном лесу виртуальная машина должна иметь возможность взаимодействовать с локальной службой Active Directory. Точный набор используемых протоколов зависит от типа входа, запрошенного клиентом. Для поддержки всех распространенных сценариев настройте локальный брандмауэр, чтобы разрешить входящий трафик, соответствующий этим характеристикам.
| Action | От | До | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Серверная виртуальная машина (Google Cloud) | Локальная подсеть AD | Kerberos (UDP/88 , TCP/88) NTP (UDP/123) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) LDAP GC (TCP/3268) |
В зависимости от вашего точный вариант использования, вы также можете разрешить следующие протоколы.
- изменение пароля Kerberos (UDP/464, TCP/464)
- Secure LDAP (TCP/636, TCP/3269)
На управляемой стороне Microsoft AD соответствующий исходящий трафик разрешен по умолчанию.
На административных виртуальных машинах вы может не планировать разрешать вход в систему от пользователей локального леса. Однако одно действие, которое вам, вероятно, придется выполнять на административных виртуальных машинах, – это управление членством в группах. Каждый раз, когда вы используете средство выбора объектов для ссылки на пользователя или группу из локального леса, средство выбора объектов потребует доступа к локальным контроллерам домена. Для работы административной виртуальной машине требуется такой же доступ к локальным контроллерам домена Active Directory, как и для обработки входа в систему для пользователей локального леса.
Доступ к локальным ресурсам Active Directory из Google Cloud
Если ваш локальный лес настроен на доверие к управляемому лесу Microsoft AD, вам может потребоваться, чтобы пользователи из управляемого леса Microsoft AD имели доступ к локальным ресурсам.
Аутентификация на локальной виртуальной машине с использованием Kerberos
Пользователю, который вошел в систему на виртуальной машине, работающей в Google Cloud, и который является членом управляемого леса Microsoft AD, может потребоваться доступ к службе, предоставляемой локальным компьютером, который является членом вашего локального леса. Например, пользователь может попытаться открыть соединение RDP, получить доступ к общему файлу или получить доступ к ресурсу HTTP, требующему проверки подлинности.
Чтобы позволить пользователю пройти аутентификацию на локальной машине с помощью Kerberos, виртуальная машина должна получить соответствующий билет Kerberos. Для этого необходимо сначала установить связь с одним из управляемых контроллеров Microsoft AD, а затем с локальными контроллерами домена..
Чтобы включить локальные виртуальные машины для аутентификации с помощью Используя Kerberos, настройте свой локальный брандмауэр, чтобы разрешить входящий трафик, который соответствует приведенным ниже характеристикам.
| Action | От | К | Протоколам | |
|---|---|---|---|---|
| 1 | Разрешить | Клиентская виртуальная машина (Google Cloud) | Управляемая подсеть Microsoft AD | Kerberos (UDP/88, TCP/ 88) LDAP (UDP/389, TCP/389) Подразумевается обработкой входов в систему |
| 2 | Разрешить | Клиентская виртуальная машина (Google Cloud) | Локальная AD | Kerberos (UDP/88, TCP/ 88) LDAP (UDP/389, TCP/389) |
| 3 | Разрешить | Клиентская виртуальная машина (Google Cloud) | Серверный компьютер (локальный) | Протокол, используемый приложением, например HTTP (TCP/80, TCP /443) или RDP (TCP/3389) |
На стороне Google Cloud соответствующий исходящий трафик разрешен по умолчанию.
Аутентификация на локальной виртуальной машине с использованием NTLM
При использовании NTLM для аутентификации пользователя из управляемого леса Microsoft AD на серверном компьютере, который присоединен к вашему локальному лесу, локальному домену контроллеры должны иметь возможность взаимодействовать с управляемыми контроллерами домена Microsoft AD:
Чтобы включить локальные виртуальные машины для проверки подлинности с помощью Kerberos, настройте локальный брандмауэр, чтобы разрешить входящий и исходящий трафик, соответствующий этим характеристикам.
| Действие | From | To | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Клиентская виртуальная машина (Google Cloud) | Серверный компьютер (локальный ) | Протокол, используемый приложением, например HTTP (TCP/80, TCP/443) или RDP (TCP/3389) |
| 2 | Разрешить | Локальная AD | Управляемая подсеть Microsoft AD | LDAP ( UDP/389, TCP/389) SMB (UDP/445, TCP/44 5) |
На стороне Google Cloud исходящий трафик для (1) и входящий трафик для (2) разрешен по умолчанию.
Обработка входа в систему для пользователей управляемого леса Microsoft AD
Для обработки входа в систему для пользователя управляемого леса Microsoft AD локальный компьютер должен иметь возможность взаимодействовать с управляемым доменом Microsoft AD. контроллеры. Точный набор используемых протоколов зависит от типа входа, запрошенного клиентом. Для поддержки всех распространенных сценариев вы должны разрешить следующую комбинацию протоколов.
| Действие | From | To | Протоколы | |
|---|---|---|---|---|
| 1 | Разрешить | Серверный компьютер ( локально) | Управляемая подсеть Microsoft AD | Kerberos (UDP/88, TCP/88) NTP (UDP/123) RPC (TCP/135, TCP/49152-65535) LDAP (UDP/389, TCP/389) SMB (UDP/445, TCP/445) LDAP GC (TCP/3268) |
В зависимости от конкретного варианта использования вы также можете разрешить следующие протоколы.
- Изменение пароля Kerberos (UDP/464, TCP/464)
- Защищенный LDAP (TCP/636, TCP/3269)
Убедитесь, что ваши локальные брандмауэры разрешают исходящий трафик, который соответствует этим характеристикам. Вам не нужно настраивать какие-либо правила брандмауэра в Google Cloud для включения соответствующего входящего трафика в управляемый Microsoft AD.
На административных машинах вы можете не планировать разрешать вход в систему от пользователей управляемого леса Microsoft AD. Одно из действий, которое вам, вероятно, придется выполнять на административных машинах, – это управление членством в группах. Каждый раз, когда вы используете средство выбора объектов для ссылки на пользователя или группу из управляемого леса Microsoft ADforest, средство выбора объектов требует доступа к управляемым контроллерам домена Microsoft AD. Чтобы это работало, административной машине требуется такой же доступ к управляемым контроллерам домена Microsoft AD, как и для обработки входа в систему для пользователей управляемого леса Microsoft AD.
[{“type”: “thumb-down”, “id”: “hardToUnderstand”, “label”: “Трудно понять”}, {“type”: ” thumb-down “,” id “:” invalidInformationOrSampleCode “,” label “:” Неверная информация или образец кода “}, {” type “:” thumb-down “,” id “:” missingTheInformationSamplesINeed “,” label “:” Отсутствует необходимая информация/образцы “}, {” type “:” thumb-down “,” id “:” otherDown “,” label “:” Other “}] [{” type “:” большой палец вверх “,” id “:” easyToUnderstand “,” label “:” Легко понять “}, {” type “:” thumb-up “,” id “:” resolMyProblem “,” label ” : “Моя проблема решена”}, {“type”: “thumb-up”, “id”: “otherUp”, “label”: “Other”}] dback>