Resolver consultas de objetos do Managed Microsoft AD

Este tópico mostra como configurar o encaminhamento de DNS para que as consultas de uma rede autorizada do Google Cloud para recursos do Active Directory localizados em outro domínio sejam bem-sucedidas.

Context

Ao usar uma VM do Google Cloud associada a um domínio do Managed Microsoft AD, se você tentar procurar usuários ou objetos que não estão localizados na mesma rede VPC, a pesquisa falhará. Ela falha porque a configuração padrão do Windows não encaminha a consulta para o domínio do Managed Microsoft AD. Em vez disso, ela usa o servidor DNS para a VPC em que a VM está localizada. Esse servidor DNS não possui informações sobre usuários e objetos do Managed Microsoft AD fora da rede VPC, portanto, a pesquisa falha.

O encaminhamento de DNS é útil em qualquer caso em que você precisa resolver recursos localizados fora da rede VPC do Google Cloud. Por exemplo, se o domínio do Managed Microsoft AD tiver uma relação de confiança com o domínio de destino, essa configuração será necessária.

Antes de começar

Antes de começar, verifique as seguintes configurações.

  • A VM do Google Cloud deve ser associada ao domínio do Managed Microsoft AD.

  • O servidor de nomes de destino do encaminhamento pode ser acessado por sua rede VPC. Você pode testar se ele está acessível com as seguintes etapas:

    Console

    Antes de começar, verifique se a API Network Management está ativada.

    1. Acesse a página Testes de conectividade no console do Google Cloud.
      Vá para a página Testes de conectividade

    2. Crie e execute um teste de conectividade com os seguintes valores:

      • Protocolo: TCP
      • Origem: endereço IP da VPC do Google Cloud
      • Destino: endereço IP do servidor DNS local
      • Porta de destino: 53

    Saiba mais sobre como criar e executar testes de conectividade de rede.

    PowerShell

    No Windows PowerShell, execute o seguinte comando:

    nslookup domain-name dns-server-ip
    

    Saiba mais sobre nslookup.

Se o seu destino for um domínio local, verifique a seguinte configuração de firewall.

Se você estiver usando o encaminhamento de DNS privado, existem alguns pré-requisitos adicionais.

  • Seu firewall local deve passar as consultas do Cloud DNS. Para permitir isso, configure o firewall para permitir consultas do Cloud DNS do intervalo de endereços IP 35.199.192.0/19 na porta UDP 53 ou na porta TCP 53. Se você estiver usando várias conexões do Cloud Interconnect ou túneis da VPN, verifique se o firewall permite o tráfego para todas elas.

  • Sua rede local deve ter uma rota que direcione o tráfego destinado a 35.199.192.0/19 de volta à sua rede VPC.

O domínio de destino não está em uma rede VPC

Para configurar o encaminhamento de DNS do Google Cloud para um domínio local que não esteja em uma rede VPC, use uma zona de encaminhamento. Aprenda sobre zonas de encaminhamento de DNS.

Para criar uma zona de encaminhamento que resolve o nome DNS local para os endereços IP dos servidores DNS locais, execute as etapas a seguir.

Console

  1. Acesse a página Cloud DNS no console do Google Cloud.
    Acessar a página do Cloud DNS

  2. Crie uma zona DNS com os seguintes valores:

    • Tipo de zona: Particular
    • Nome DNS: nome DNS de destino
    • Opções: Encaminhar consultas para outro servidor
    • Servidores DNS de destino: endereços IP dos servidores DNS de destino

Saiba mais sobre a criação de zonas de encaminhamento de DNS.

gcloud

Para criar uma nova zona de encaminhamento particular gerenciada, você deve usar o comando dns managed-zones create:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Saiba mais sobre a criação de zonas de encaminhamento de DNS.

O domínio de destino está em uma rede VPC

Para configurar o encaminhamento de DNS do Google Cloud para um domínio autogerenciado em uma rede VPC, siga as etapas do Cloud DNS relevantes à sua configuração.