Abfragen für nicht verwaltete Microsoft AD-Objekte auflösen

In diesem Thema erfahren Sie, wie Sie die DNS-Weiterleitung konfigurieren, sodass Abfragen aus einem vonGoogle Cloud autorisierten Netzwerk für Active Directory-Ressourcen, die sich in einer anderen Domain befinden, erfolgreich sind.

Kontext

Wenn Sie eine Google Cloud VM-Domain verwenden, die mit Managed Microsoft AD verbunden ist, wird bei der Suche nach Nutzern oder Objekten gesucht, die sich nicht im selben VPC-Netzwerk befinden. Die Abfrage schlägt fehl, weil die Standard-Windows-Konfiguration die Abfrage nicht an die Managed Microsoft AD-Domain weiterleitet. Stattdessen wird der DNS-Server für die VPC verwendet, in der sich die VM befindet. Dieser DNS-Server enthält keine Informationen zu Managed Microsoft AD-Nutzern und -Objekten außerhalb des VPC-Netzwerks. Daher schlägt die Suche fehl.

Die DNS-Weiterleitung ist hilfreich, wenn Sie Ressourcen außerhalb des VPC-Netzwerks von Google Cloudauflösen müssen. Wenn die Managed Microsoft AD-Domain beispielsweise eine Vertrauensstellung für die Zieldomain enthält, ist diese Konfiguration erforderlich.

Hinweis

Bevor Sie beginnen, sollten Sie die folgenden Konfigurationen prüfen.

• Die Google Cloud VM muss mit der verwalteten Microsoft AD-Domain domänenverbunden sein.

• Der Ziel-Nameserver für die Weiterleitung muss innerhalb Ihres VPC-Netzwerks erreichbar sein. Mit den folgenden Schritten können Sie testen, ob der Server erreichbar ist:

  Console

  Bevor Sie beginnen, prüfen Sie, ob die Network Management API aktiviert ist.

  1. Rufen Sie in der Google Cloud -Konsole die Seite Konnektivitätstests auf.
     Zur Seite „Konnektivitätstests“

  2. Erstellen Sie einen Konnektivitätstest mit den folgenden Werten und führen Sie ihn aus:

     • Protokoll: TCP
     • Quelle: IP-Adresse aus Ihrem Google Cloud VPC
     • Ziel: IP-Adresse Ihres lokalen DNS-Servers
     • Zielport: 53

  Netzwerkverbindungen erstellen und ausführen

  PowerShell

  Führen Sie in Windows PowerShell den folgenden Befehl aus:

  nslookup domain-name dns-server-ip
  

  Mehr über nslookup erfahren.

Wenn Ihr Ziel eine lokale Domain ist, prüfen Sie die folgende Firewallkonfiguration.

• Die Firewall muss so konfiguriert sein, dass Nutzer aus der Managed Microsoft AD-Domain auf lokale Ressourcen zugreifen können. Weitere Informationen zu Firewallkonfigurationen für den Zugriff auf lokale Ressourcen

Wenn Sie eine private DNS-Weiterleitung verwenden, müssen Sie einige zusätzliche Voraussetzungen erfüllen.

• Ihre lokale Firewall muss Abfragen von Cloud DNS übergeben. Wenn Sie dies zulassen möchten, konfigurieren Sie die Firewall so, dass Cloud DNS-Abfragen vom IP-Adressbereich 35.199.192.0/19 am UDP-Port 53 oder TCP-Port 53 zugelassen werden. Wenn Sie mehrere Cloud Interconnect-Verbindungen oder VPN-Tunnel verwenden, achten Sie darauf, dass die Firewall Traffic für alle diese Verbindungen zulässt.

• Ihr lokales Netzwerk muss eine Route haben, die den an 35.199.192.0/19 gerichteten Traffic zurück zu Ihrem VPC-Netzwerk leitet.

Zieldomain befindet sich nicht in einem VPC-Netzwerk

Wenn Sie die DNS-Weiterleitung von Google Cloud zu einer lokalen Domain konfigurieren möchten, die sich nicht in einem VPC-Netzwerk befindet, sollten Sie eine Weiterleitungszone verwenden. Weitere Informationen zu DNS-Weiterleitungszonen

Führen Sie die folgenden Schritte aus, um eine Weiterleitungszone zu erstellen, die den lokalen DNS-Namen in die IP-Adressen lokaler DNS-Server auflöst.

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Zieldomain befindet sich in einem VPC-Netzwerk

Wenn Sie die DNS-Weiterleitung von Google Cloud an eine selbstverwaltete Domain in einem VPC-Netzwerk konfigurieren möchten, befolgen Sie die für Ihre Konfiguration relevanten Schritte für Cloud DNS.