Cómo resolver consultas de objetos de Microsoft AD no administrados

En este tema, se muestra cómo configurar el reenvío de DNS para que las consultas de una red autorizada deGoogle Cloud para recursos de Active Directory ubicados en otro dominio se realicen de forma correcta.

Contexto

Cuando se usa una Google Cloud VM unida a un dominio de Microsoft AD administrado, si intentas buscar usuarios u objetos que no se encuentran en la misma red de VPC, la búsqueda falla. Falla porque la configuración predeterminada de Windows no reenvía la consulta al dominio de Microsoft AD administrado. En su lugar, usa el servidor DNS para la VPC en la que se encuentra la VM. Este servidor DNS no tiene información sobre los usuarios y objetos de Microsoft AD administrado fuera de la red de VPC, por lo que la búsqueda falla.

El reenvío de DNS es útil en cualquier caso en el que necesites resolver recursos ubicados fuera de la red de VPC de Google Cloud. Por ejemplo, si el dominio de Microsoft AD administrado tiene una relación de confianza con el dominio de destino, esta configuración es obligatoria.

Antes de comenzar

Antes de comenzar, verifica lo siguiente:

• La VM de Google Cloud debe estar unida al dominio de Microsoft AD administrado.

• Puedes acceder al servidor de nombres de destino de reenvío desde tu red de VPC. Puedes probar que sean accesibles con los siguientes pasos:

  Console

  Antes de comenzar, verifica que la API de administración de redes esté habilitada.

  1. Ve a la página Pruebas de conectividad en la consola de Google Cloud .
     Ir a la página Pruebas de conectividad

  2. Crea y ejecuta una prueba de conectividad con los siguientes valores:

     • Protocol: TCP
     • Fuente: Dirección IP de tu Google Cloud VPC
     • Destino: la dirección IP de tu servidor DNS local
     • Puerto de destino: 53

  Obtén más información sobre cómo crear y ejecutar pruebas de conectividad de red.

  PowerShell

  En Windows PowerShell, ejecuta el siguiente comando:

  nslookup domain-name dns-server-ip
  

  Obtén más información sobre nslookup.

Si tu destino es un dominio local, verifica la siguiente configuración de firewall.

• El firewall debe configurarse para permitir que los usuarios del dominio de Microsoft AD administrado accedan a los recursos locales. Obtén más información sobre las configuraciones de firewall para acceder a los recursos locales.

Si usas el reenvío de DNS privado, hay algunos requisitos adicionales.

• Tu firewall local debe pasar consultas de Cloud DNS. Para permitir esto, configura el firewall para permitir consultas de Cloud DNS desde el rango de direcciones IP 35.199.192.0/19 en el puerto UDP 53 o TCP 53. Si usas varias conexiones de Cloud Interconnect o túneles VPN, asegúrate de que el firewall permita el tráfico para todas ellas.

• Tu red local debe tener una ruta que dirija el tráfico destinado a 35.199.192.0/19 de regreso a tu red de VPC.

El dominio de destino no está en una red de VPC

Para configurar el reenvío de DNS de Google Cloud a un dominio local que no está en una red de VPC, debes usar una zona de reenvío. Obtén más información sobre las zonas de reenvío de DNS.

Para crear una zona de reenvío que resuelva el nombre de DNS local en las direcciones IP de los servidores DNS locales, completa los pasos siguientes.

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

El dominio de destino está en una red de VPC

Para configurar el reenvío de DNS desde Google Cloud a un dominio autoadministrado que se encuentre en una red de VPC, sigue los pasos para Cloud DNS que sean pertinentes a tu configuración.