Abfragen für nicht verwaltete AD-Objekte in VPC-Netzwerken auflösen

Dieses Thema zeigt Ihnen, wie Sie die DNS-Weiterleitung konfigurieren, sodass Abfragen aus einem von Google Cloud autorisierten Netzwerk für Active Directory-Ressourcen, die sich in einer anderen Domain befinden, erfolgreich sind.

Kontext

Wenn Sie eine Google Cloud-VM-Domain verwenden, die mit Managed Microsoft AD verbunden ist, wird bei der Suche nach Nutzern oder Objekten gesucht, die sich nicht im selben VPC-Netzwerk befinden. Die Abfrage schlägt fehl, weil die Standard-Windows-Konfiguration die Abfrage nicht an die Managed Microsoft AD-Domain weiterleitet. Stattdessen wird der DNS-Server für die VPC verwendet, in der sich die VM befindet. Dieser DNS-Server enthält keine Informationen zu Managed Microsoft AD-Nutzern und -Objekten außerhalb des VPC-Netzwerks. Daher schlägt die Suche fehl.

Die DNS-Weiterleitung ist hilfreich, wenn Sie Ressourcen außerhalb des VPC-Netzwerks von Google Cloud auflösen müssen. Wenn die Managed Microsoft AD-Domain beispielsweise eine Vertrauensstellung für die Zieldomain enthält, ist diese Konfiguration erforderlich.

Hinweis

Bevor Sie beginnen, sollten Sie die folgenden Konfigurationen prüfen.

  • Die Google Cloud-VM muss mit der verwalteten Microsoft AD-Domain domänenverbunden sein.

  • Der Ziel-Nameserver für die Weiterleitung muss innerhalb Ihres VPC-Netzwerks erreichbar sein. Mit den folgenden Schritten können Sie testen, ob der Server erreichbar ist:

    Console

    Bevor Sie beginnen, prüfen Sie, ob die Network Management API aktiviert ist.

    1. Wechseln Sie in der Cloud Console zur Seite Konnektivitätstests.
      Zur Seite Konnektivitätstests

    2. Erstellen Sie einen Konnektivitätstest mit den folgenden Werten und führen Sie ihn aus:

      • Protokoll: TCP
      • Quelle: IP-Adresse aus Ihrer Google Cloud-VPC
      • Ziel: IP-Adresse Ihres lokalen DNS-Servers
      • Zielport: 53

    Netzwerkverbindungen erstellen und ausführen

    PowerShell

    Führen Sie in Windows PowerShell den folgenden Befehl aus:

    nslookup domain-name dns-server-ip
    

    Mehr über nslookup erfahren.

Wenn Ihr Ziel eine lokale Domain ist, prüfen Sie die folgende Firewallkonfiguration.

Wenn Sie eine private DNS-Weiterleitung verwenden, müssen Sie einige zusätzliche Voraussetzungen erfüllen.

  • Ihre lokale Firewall muss Abfragen von Cloud DNS übergeben. Wenn Sie dies zulassen möchten, konfigurieren Sie die Firewall so, dass Cloud DNS-Abfragen vom IP-Adressbereich 35.199.192.0/19 am UDP-Port 53 oder TCP-Port 53 zugelassen werden. Wenn Sie mehrere Cloud Interconnect-Verbindungen oder VPN-Tunnel verwenden, achten Sie darauf, dass die Firewall Traffic für alle diese Verbindungen zulässt.

  • Ihr lokales Netzwerk muss eine Route haben, die den an 35.199.192.0/19 gerichteten Traffic zurück zu Ihrem VPC-Netzwerk leitet.

Zieldomain befindet sich nicht in einem VPC-Netzwerk

Zur Konfiguration der DNS-Weiterleitung von Google Cloud zu einer lokalen Domain, die sich nicht in einem VPC-Netzwerk befindet, sollten Sie eine Weiterleitungszone verwenden. Weitere Informationen zu DNS-Weiterleitungszonen

Führen Sie die folgenden Schritte aus, um eine Weiterleitungszone zu erstellen, die den lokalen DNS-Namen in die IP-Adressen lokaler DNS-Server auflöst.

Console

  1. Wechseln Sie in der Cloud Console zur Seite Cloud-DNS.
    Rufen Sie die Cloud DNS-Seite auf.

  2. Erstellen Sie eine DNS-Zone mit folgenden Werten:

    • Zonentyp: Privat
    • DNS-Name: Ziel-DNS-Name
    • Optionen: Abfragen an anderen Server weiterleiten
    • Ziel-DNS-Server: IP-Adressen der Ziel-DNS-Server

Weitere Informationen zum Erstellen von DNS-Weiterleitungszonen

gcloud

Verwenden Sie zum Erstellen einer neuen verwalteten privaten Weiterleitungszone den Befehl dns managed-zones create

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Weitere Informationen zum Erstellen von DNS-Weiterleitungszonen

Zieldomain befindet sich in einem VPC-Netzwerk

Befolgen Sie zum Konfigurieren der DNS-Weiterleitung von Google Cloud an eine selbstverwaltete Domain in einem VPC-Netzwerk die für Ihre Konfiguration relevanten Schritte für Cloud-DNS.