Dieses Thema zeigt Ihnen, wie Sie die DNS-Weiterleitung konfigurieren, sodass Abfragen aus einem von Google Cloud autorisierten Netzwerk für Active Directory-Ressourcen, die sich in einer anderen Domain befinden, erfolgreich sind.
Kontext
Wenn Sie eine Google Cloud-VM-Domain verwenden, die mit Managed Microsoft AD verbunden ist, wird bei der Suche nach Nutzern oder Objekten gesucht, die sich nicht im selben VPC-Netzwerk befinden. Die Abfrage schlägt fehl, weil die Standard-Windows-Konfiguration die Abfrage nicht an die Managed Microsoft AD-Domain weiterleitet. Stattdessen wird der DNS-Server für die VPC verwendet, in der sich die VM befindet. Dieser DNS-Server enthält keine Informationen zu Managed Microsoft AD-Nutzern und -Objekten außerhalb des VPC-Netzwerks. Daher schlägt die Suche fehl.
Die DNS-Weiterleitung ist hilfreich, wenn Sie Ressourcen außerhalb des VPC-Netzwerks von Google Cloud auflösen müssen. Wenn die Managed Microsoft AD-Domain beispielsweise eine Vertrauensstellung für die Zieldomain enthält, ist diese Konfiguration erforderlich.
Hinweis
Bevor Sie beginnen, sollten Sie die folgenden Konfigurationen prüfen.
Die Google Cloud-VM muss mit der verwalteten Microsoft AD-Domain domänenverbunden sein.
Der Ziel-Nameserver für die Weiterleitung muss innerhalb Ihres VPC-Netzwerks erreichbar sein. Mit den folgenden Schritten können Sie testen, ob der Server erreichbar ist:
Console
Bevor Sie beginnen, prüfen Sie, ob die Network Management API aktiviert ist.
Rufen Sie in der Google Cloud Console die Seite Konnektivitätstests auf.
Zur Seite KonnektivitätstestsErstellen Sie einen Konnektivitätstest mit den folgenden Werten und führen Sie ihn aus:
- Protokoll: TCP
- Quelle: IP-Adresse aus Ihrer Google Cloud-VPC
- Ziel: IP-Adresse Ihres lokalen DNS-Servers
- Zielport: 53
PowerShell
Führen Sie in Windows PowerShell den folgenden Befehl aus:
nslookup domain-name dns-server-ip
Wenn Ihr Ziel eine lokale Domain ist, prüfen Sie die folgende Firewallkonfiguration.
- Die Firewall muss so konfiguriert sein, dass Nutzer aus der Managed Microsoft AD-Domain auf lokale Ressourcen zugreifen können. Weitere Informationen zu Firewallkonfigurationen für den Zugriff auf lokale Ressourcen
Wenn Sie eine private DNS-Weiterleitung verwenden, müssen Sie einige zusätzliche Voraussetzungen erfüllen.
Ihre lokale Firewall muss Abfragen von Cloud DNS übergeben. Wenn Sie dies zulassen möchten, konfigurieren Sie die Firewall so, dass Cloud DNS-Abfragen vom IP-Adressbereich 35.199.192.0/19 am UDP-Port 53 oder TCP-Port 53 zugelassen werden. Wenn Sie mehrere Cloud Interconnect-Verbindungen oder VPN-Tunnel verwenden, achten Sie darauf, dass die Firewall Traffic für alle diese Verbindungen zulässt.
Ihr lokales Netzwerk muss eine Route haben, die den an 35.199.192.0/19 gerichteten Traffic zurück zu Ihrem VPC-Netzwerk leitet.
Zieldomain befindet sich nicht in einem VPC-Netzwerk
Zur Konfiguration der DNS-Weiterleitung von Google Cloud zu einer lokalen Domain, die sich nicht in einem VPC-Netzwerk befindet, sollten Sie eine Weiterleitungszone verwenden. Weitere Informationen zu DNS-Weiterleitungszonen
Führen Sie die folgenden Schritte aus, um eine Weiterleitungszone zu erstellen, die den lokalen DNS-Namen in die IP-Adressen lokaler DNS-Server auflöst.
Console
Gehen Sie zur Cloud DNS in der Google Cloud Console
Rufen Sie die Cloud DNS-Seite auf.Erstellen Sie eine DNS-Zone mit folgenden Werten:
- Zonentyp: Privat
- DNS-Name: Ziel-DNS-Name
- Optionen: Abfragen an anderen Server weiterleiten
- Ziel-DNS-Server: IP-Adressen der Ziel-DNS-Server
Weitere Informationen zum Erstellen von DNS-Weiterleitungszonen
gcloud
Verwenden Sie zum Erstellen einer neuen verwalteten privaten Weiterleitungszone den Befehl dns managed-zones create
gcloud dns managed-zones create name \ --description=description \ --dns-name=on-premises-dns-name \ --forwarding-targets=on-premises-dns-ip-addresses \ --visibility=private
Weitere Informationen zum Erstellen von DNS-Weiterleitungszonen
Zieldomain befindet sich in einem VPC-Netzwerk
Befolgen Sie zum Konfigurieren der DNS-Weiterleitung von Google Cloud an eine selbstverwaltete Domain in einem VPC-Netzwerk die für Ihre Konfiguration relevanten Schritte für Cloud-DNS.