비관리형 Microsoft AD 객체에 대한 쿼리 해결

이 주제에서는 다른 도메인에 있는 Active Directory 리소스에 대한 Google Cloud 승인 네트워크의 쿼리가 성공하도록 DNS 전달을 구성하는 방법을 보여줍니다.

컨텍스트

도메인에 가입한 관리형 Microsoft AD에 Google Cloud VM을 사용하는 경우 동일한 VPC 네트워크에 없는 사용자 또는 객체를 찾으려고 하면 검색이 실패합니다. 기본 Windows 구성은 관리형 Microsoft AD 도메인으로 쿼리를 전달하지 않기 때문에 실패합니다. 대신 VM이 있는 VPC에 DNS 서버를 사용합니다. 이 DNS 서버에는 VPC 네트워크 외부의 관리형 Microsoft AD 사용자 및 객체에 대한 정보가 없으므로 조회가 실패합니다.

DNS 전달은 Google Cloud에서 VPC 네트워크 외부에 있는 리소스를 확인해야 하는 경우에 유용합니다. 예를 들어 관리형 Microsoft AD 도메인이 대상 도메인과 트러스트 관계인 경우 이 구성이 필요합니다.

시작하기 전에

시작하기 전에 다음 구성을 확인하세요.

• Google Cloud VM은 관리형 Microsoft AD 도메인에 도메인 가입해야 합니다.

• 전달 대상 네임서버는 VPC 네트워크 내에서 연결할 수 있습니다. 다음 단계를 통해 연결할 수 있는지 테스트할 수 있습니다.

  콘솔

  시작하기 전에 네트워크 관리 API가 사용 설정되어 있는지 확인하세요.

  1. Google Cloud 콘솔에서 연결 테스트 페이지로 이동합니다.
     연결 테스트 페이지로 이동

  2. 다음 값으로 연결 테스트를 만들고 실행하세요.

     • 프로토콜: TCP
     • 소스: Google Cloud VPC의 IP 주소
     • 대상: 온프레미스 DNS 서버의 IP 주소
     • 대상 포트: 53

  네트워크 연결 테스트 만들기 및 실행에 대해 자세히 알아보세요.

  PowerShell

  Windows PowerShell에서 다음 명령어를 실행하세요.

  nslookup domain-name dns-server-ip
  

  nslookup 자세히 알아보기

대상이 온프레미스 도메인인 경우 다음 방화벽 구성을 확인하세요.

• 관리형 Microsoft AD 도메인의 사용자가 온프레미스 리소스에 액세스할 수 있도록 방화벽을 구성해야 합니다. 온프레미스 리소스에 액세스하기 위한 방화벽 구성에 대해 알아보세요.

비공개 DNS 전달을 사용하는 경우 몇 가지 추가 기본 요건이 있습니다.

• 온프레미스 방화벽은 Cloud DNS의 쿼리를 전달해야 합니다. 이를 허용하려면 UDP 포트 53 또는 TCP 포트 53의 35.199.192.0/19 IP 주소 범위에서 Cloud DNS 쿼리를 허용하도록 방화벽을 구성합니다. 여러 Cloud Interconnect 연결 또는 VPN 터널을 사용하는 경우 방화벽이 모든 연결에 대한 트래픽을 허용하는지 확인합니다.

• 온프레미스 네트워크에는 35.199.192.0/19로 향하는 트래픽을 VPC 네트워크로 전달하는 경로가 있어야 합니다.

대상 도메인이 VPC 네트워크에 없습니다.

Google Cloud에서 VPC 네트워크가 아닌 온프레미스 도메인으로 DNS 전달을 구성하려면 전달 영역을 사용해야 합니다. DNS 전달 영역에 대해 알아보세요.

온프레미스 DNS 이름을 온프레미스 DNS 서버의 IP 주소로 확인하는 전달 영역을 만들려면 다음 단계를 완료하세요.

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

대상 도메인이 VPC 네트워크에 있습니다.

Google Cloud에서 VPC 네트워크에 있는 자체 관리 도메인으로 DNS 전달을 구성하려면 구성과 관련된 Cloud DNS 단계를 따르세요.