Abfragen für nicht verwaltete Microsoft AD-Objekte auflösen

Dieses Thema zeigt Ihnen, wie Sie die DNS-Weiterleitung konfigurieren, sodass Abfragen aus einem von Google Cloud autorisierten Netzwerk für Active Directory-Ressourcen, die sich in einer anderen Domain befinden, erfolgreich sind.

Kontext

Wenn Sie eine Google Cloud-VM-Domain verwenden, die mit Managed Microsoft AD verbunden ist, wird bei der Suche nach Nutzern oder Objekten gesucht, die sich nicht im selben VPC-Netzwerk befinden. Die Abfrage schlägt fehl, weil die Standard-Windows-Konfiguration die Abfrage nicht an die Managed Microsoft AD-Domain weiterleitet. Stattdessen wird der DNS-Server für die VPC verwendet, in der sich die VM befindet. Dieser DNS-Server enthält keine Informationen zu Managed Microsoft AD-Nutzern und -Objekten außerhalb des VPC-Netzwerks. Daher schlägt die Suche fehl.

Die DNS-Weiterleitung ist hilfreich, wenn Sie Ressourcen außerhalb des VPC-Netzwerks von Google Cloud auflösen müssen. Wenn die Managed Microsoft AD-Domain beispielsweise eine Vertrauensstellung für die Zieldomain enthält, ist diese Konfiguration erforderlich.

Hinweis

Bevor Sie beginnen, sollten Sie die folgenden Konfigurationen prüfen.

• Die Google Cloud-VM muss mit der verwalteten Microsoft AD-Domain domänenverbunden sein.

• Der Ziel-Nameserver für die Weiterleitung muss innerhalb Ihres VPC-Netzwerks erreichbar sein. Mit den folgenden Schritten können Sie testen, ob der Server erreichbar ist:

  Console

  Bevor Sie beginnen, prüfen Sie, ob die Network Management API aktiviert ist.

  1. Rufen Sie in der Google Cloud Console die Seite Konnektivitätstests auf.
     Zur Seite Konnektivitätstests

  2. Erstellen Sie einen Konnektivitätstest mit den folgenden Werten und führen Sie ihn aus:

     • Protokoll: TCP
     • Quelle: IP-Adresse aus Ihrer Google Cloud-VPC
     • Ziel: IP-Adresse Ihres lokalen DNS-Servers
     • Zielport: 53

  Netzwerkverbindungen erstellen und ausführen

  PowerShell

  Führen Sie in Windows PowerShell den folgenden Befehl aus:

  nslookup domain-name dns-server-ip
  

  Mehr über nslookup erfahren.

Wenn Ihr Ziel eine lokale Domain ist, prüfen Sie die folgende Firewallkonfiguration.

• Die Firewall muss so konfiguriert sein, dass Nutzer aus der Managed Microsoft AD-Domain auf lokale Ressourcen zugreifen können. Weitere Informationen zu Firewallkonfigurationen für den Zugriff auf lokale Ressourcen

Wenn Sie eine private DNS-Weiterleitung verwenden, müssen Sie einige zusätzliche Voraussetzungen erfüllen.

• Ihre lokale Firewall muss Abfragen von Cloud DNS übergeben. Wenn Sie dies zulassen möchten, konfigurieren Sie die Firewall so, dass Cloud DNS-Abfragen vom IP-Adressbereich 35.199.192.0/19 am UDP-Port 53 oder TCP-Port 53 zugelassen werden. Wenn Sie mehrere Cloud Interconnect-Verbindungen oder VPN-Tunnel verwenden, achten Sie darauf, dass die Firewall Traffic für alle diese Verbindungen zulässt.

• Ihr lokales Netzwerk muss eine Route haben, die den an 35.199.192.0/19 gerichteten Traffic zurück zu Ihrem VPC-Netzwerk leitet.

Zieldomain befindet sich nicht in einem VPC-Netzwerk

Zur Konfiguration der DNS-Weiterleitung von Google Cloud zu einer lokalen Domain, die sich nicht in einem VPC-Netzwerk befindet, sollten Sie eine Weiterleitungszone verwenden. Weitere Informationen zu DNS-Weiterleitungszonen

Führen Sie die folgenden Schritte aus, um eine Weiterleitungszone zu erstellen, die den lokalen DNS-Namen in die IP-Adressen lokaler DNS-Server auflöst.

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Zieldomain befindet sich in einem VPC-Netzwerk

Befolgen Sie zum Konfigurieren der DNS-Weiterleitung von Google Cloud an eine selbstverwaltete Domain in einem VPC-Netzwerk die für Ihre Konfiguration relevanten Schritte für Cloud-DNS.