Questo argomento mostra come configurare l'inoltro DNS in modo che le query da un Rete Google Cloud autorizzata per le risorse Active Directory individuate in un altro dominio.
Contesto
Quando utilizzi una VM Google Cloud aggiunta a un dominio Microsoft gestito, se provi a cercare utenti o oggetti che non si trovano sullo stesso VPC la ricerca non va a buon fine. L'operazione non riesce perché la configurazione predefinita di Windows non inoltra la query al dominio Microsoft Active Directory gestito. Invece, utilizza il server DNS per il VPC in cui si trova la VM. Questo server DNS non contengono informazioni sugli utenti e sugli oggetti di Microsoft Active Directory gestito al di fuori del rete VPC, quindi la ricerca non va a buon fine.
L'inoltro DNS è utile in tutti i casi in cui devi risolvere al di fuori della rete VPC da Google Cloud. Per Ad esempio, se il dominio Microsoft Active Directory gestito ha una relazione di attendibilità dominio di destinazione, questa configurazione è obbligatoria.
Prima di iniziare
Prima di iniziare, verifica le seguenti configurazioni.
La VM Google Cloud deve essere aggiunta al dominio Dominio Microsoft AD gestito.
Il server dei nomi della destinazione di forwarding è raggiungibile dall'interno della rete VPC. Per verificare che sia raggiungibile, procedi nel seguente modo:
Console
Prima di iniziare, verifica che API Network Management sia abilitato.
Vai alla pagina Test di connettività nella console Google Cloud.
Vai alla pagina Connectivity TestsCrea ed esegui un test di connettività con i seguenti valori:
- Protocollo: TCP
- Origine: indirizzo IP dal VPC Google Cloud
- Destinazione: indirizzo IP del server DNS on-premise.
- Porta di destinazione: 53
Scopri di più sulla creazione e sull'esecuzione Network Connectivity Tests.
PowerShell
In Windows PowerShell, esegui il seguente comando:
nslookup domain-name dns-server-ip
Scopri di più su
nslookup
Se il target è un dominio on-premise, verifica il firewall seguente configurazione.
- Il firewall deve essere configurato in modo da consentire agli utenti Dominio Microsoft AD gestito per accedere alle risorse on-premise. Informazioni su configurazioni firewall per l'accesso alle risorse on-premise.
Se utilizzi l'inoltro DNS privato, sono disponibili anche e i prerequisiti necessari.
Il firewall on-premise deve passare le query da Cloud DNS. Per consentire questo, configura il firewall in modo da consentire le query Cloud DNS dall'intervallo di indirizzi IP 35.199.192.0/19 sulla porta UDP 53 o sulla porta TCP 53. Se usando più connessioni Cloud Interconnect o tunnel VPN, assicurati in modo che il firewall consenta il traffico per tutti.
La rete on-premise deve avere una route che indirizza il traffico destinato a 35.199.192.0/19 alla rete VPC.
Il dominio di destinazione non si trova su una rete VPC
Per configurare l'inoltro DNS da Google Cloud a un dominio on-premise: che non si trova su una rete VPC, devi utilizzare una zona di inoltro. Informazioni su Zone di inoltro DNS.
Creare una zona di forwarding che risolva il nome DNS on-premise all'IP dei server DNS on-premise, completa i seguenti passaggi.
Console
Vai alla sezione della pagina Cloud DNS della nella console Google Cloud.
Vai alla pagina di Cloud DNSCrea una zona DNS con i seguenti valori:
- Tipo di zona: Privato
- Nome DNS: nome DNS di destinazione
- Opzioni: Inoltra le query a un altro server
- Server DNS di destinazione: indirizzi IP dei server DNS di destinazione.
Scopri di più su creazione di zone di forwarding DNS.
gcloud
Per creare una nuova zona di inoltro privato gestita, devi utilizzare il comando dns managed-zones create:
gcloud dns managed-zones create name \
--description=description \
--dns-name=on-premises-dns-name \
--forwarding-targets=on-premises-dns-ip-addresses \
--visibility=private
Scopri di più su creazione di zone di forwarding DNS.
Il dominio di destinazione si trova su una rete VPC
Per configurare l'inoltro DNS da Google Cloud a un dominio autogestito su una rete VPC, segui i passaggi per Cloud DNS pertinenti alla tua configurazione.