Resuelve consultas para objetos de AD no administrados en redes de VPC

En este tema, se muestra cómo configurar el reenvío de DNS para que las consultas de una red autorizada de Google Cloud para recursos de Active Directory ubicados en otro dominio se realicen de forma correcta.

Context

Cuando se usa una VM de Google Cloud unida a un dominio de Microsoft AD administrado, si intentas buscar usuarios u objetos que no se encuentran en la misma red de VPC, la búsqueda falla. Falla porque la configuración predeterminada de Windows no reenvía la consulta al dominio de Microsoft AD administrado. En su lugar, usa el servidor DNS para la VPC en la que se encuentra la VM. Este servidor DNS no tiene información sobre los usuarios y objetos de Microsoft AD administrado fuera de la red de VPC, por lo que la búsqueda falla.

El reenvío de DNS es útil en cualquier caso en el que necesites resolver recursos ubicados fuera de la red de VPC de Google Cloud. Por ejemplo, si el dominio de Microsoft AD administrado tiene una relación de confianza con el dominio de destino, esta configuración es obligatoria.

Antes de comenzar

Antes de comenzar, verifica lo siguiente:

  • La VM de Google Cloud debe estar unida al dominio de Microsoft AD administrado.

  • Puedes acceder al servidor de nombres de destino de reenvío desde tu red de VPC. Puedes probar que sean accesibles con los siguientes pasos:

    Console

    Antes de comenzar, verifica que la API de administración de redes esté habilitada.

    1. Ve a la página Pruebas de conectividad en Cloud Console.
      Ir a la página Pruebas de conectividad

    2. Crea y ejecuta una prueba de conectividad con los siguientes valores:

      • Protocolo: TCP
      • Fuente: dirección IP de tu VPC de Google Cloud
      • Destino: la dirección IP de tu servidor DNS local
      • Puerto de destino: 53

    Obtén más información sobre cómo crear y ejecutar pruebas de conectividad de red.

    PowerShell

    En Windows PowerShell, ejecuta el siguiente comando:

    nslookup domain-name dns-server-ip
    

    Obtén más información sobre nslookup.

Si tu destino es un dominio local, verifica la siguiente configuración de firewall.

Si usas el reenvío de DNS privado, hay algunos requisitos adicionales.

  • Tu firewall local debe pasar consultas de Cloud DNS. Para permitir esto, configura el firewall para permitir consultas de Cloud DNS desde el rango de direcciones IP 35.199.192.0/19 en el puerto UDP 53 o TCP 53. Si usas varias conexiones de Cloud Interconnect o túneles VPN, asegúrate de que el firewall permita el tráfico para todas ellas.

  • Tu red local debe tener una ruta que dirija el tráfico destinado a 35.199.192.0/19 de regreso a tu red de VPC.

El dominio de destino no está en una red de VPC

Para configurar el reenvío de DNS de Google Cloud a un dominio local que no está en una red de VPC, debes usar una zona de reenvío. Obtén más información sobre las zonas de reenvío de DNS.

Para crear una zona de reenvío que resuelva el nombre de DNS local en las direcciones IP de los servidores DNS locales, completa los pasos siguientes.

Console

  1. Ve a la página Cloud DNS en Cloud Console.
    Ir a la página de Cloud DNS

  2. Crea una zona de DNS con los siguientes valores:

    • Tipo de zona: Privada
    • Nombre de DNS: Nombre DNS de destino
    • Opciones: Reenvía consultas a otro servidor
    • Servidores DNS de destino: Las direcciones IP de los servidores DNS de destino

Obtén más información sobre la creación de zonas de reenvío de DNS.

gcloud

Para crear una nueva zona de reenvío privada administrada, debes usar el comando dns managed-zones create:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Obtén más información sobre la creación de zonas de reenvío de DNS.

El dominio de destino está en una red de VPC

Para configurar el reenvío de DNS desde Google Cloud a un dominio autoadministrado que se encuentre en una red de VPC, sigue los pasos para Cloud DNS que sean pertinentes a tu configuración.