Résoudre les requêtes pour les objets Microsoft AD non gérés
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette rubrique explique comment configurer le transfert DNS afin que les requêtes d'un réseau autorisé parGoogle Cloud pour les ressources Active Directory situées dans un autre domaine aboutissent.
Contexte
Lorsque vous utilisez une Google Cloud VM associée à Microsoft AD géré, si vous essayez de rechercher des utilisateurs ou des objets qui ne se trouvent pas sur le même réseau VPC, la recherche échoue. Elle échoue, car la configuration Windows par défaut ne transfère pas la requête au domaine Microsoft AD géré. Au lieu de cela, elle utilise le serveur DNS pour le VPC où se trouve la VM. Ce serveur DNS ne dispose pas d'informations sur les utilisateurs et les objets Microsoft AD gérés en dehors du réseau VPC, de sorte que la recherche échoue.
Le transfert DNS est utile dans toutes les situations où vous devez résoudre des ressources se trouvant en dehors du réseau VPC à partir de Google Cloud. Par exemple, si le domaine Microsoft AD géré dispose d'une relation d'approbation avec le domaine cible, cette configuration est requise.
Avant de commencer
Avant de commencer, vérifiez les configurations suivantes.
La VM Google Cloud doit être associée au domaine Microsoft AD géré.
Le serveur de noms utilisé comme cible de transfert est accessible à partir de votre réseau VPC.
Vous pouvez vérifier son accessibilité en suivant les étapes suivantes :
Si vous utilisez un transfert DNS privé, il existe quelques prérequis supplémentaires :
Votre pare-feu sur site doit transmettre les requêtes du Cloud DNS. Pour ce faire, configurez le pare-feu pour autoriser les requêtes Cloud DNS à partir de la plage d'adresses IP 35.199.192.0/19 sur le port UDP 53 ou le port TCP 53. Si vous utilisez plusieurs connexions Cloud Interconnect ou tunnels VPN, assurez-vous que le pare-feu autorise le trafic pour chacun d'entre eux.
Votre réseau sur site doit comporter une route qui redirige le trafic destiné à la plage d'adresses 35.199.192.0/19 vers votre réseau VPC.
Le domaine cible ne se trouve sur aucun réseau VPC
Pour configurer le transfert DNS de Google Cloud vers un domaine sur site qui ne se trouve pas sur un réseau VPC, vous devez utiliser une zone de transfert. En savoir plus sur les zones de transfert DNS
Pour créer une zone de transfert qui résout le nom DNS sur site en adresses IP des serveurs DNS sur site, procédez comme suit.
Pour configurer le transfert DNS de Google Cloud vers un domaine autogéré qui se trouve sur un réseau VPC, suivez les étapes pour Cloud DNS appropriées à votre configuration.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Resolve queries for non-Managed Microsoft AD objects\n\nThis topic shows you how to configure DNS forwarding so that queries from a\nGoogle Cloud authorized network for Active Directory resources located\nin another domain succeed.\n\nContext\n-------\n\nWhen using a Google Cloud VM domain-joined to Managed Microsoft AD,\nif you try to look up users or objects that are not located on the same VPC\nnetwork, the search fails. It fails because the default Windows configuration\ndoes not forward the query to the Managed Microsoft AD domain. Instead, it\nuses the DNS server for the VPC where the VM is located. This DNS server does\nnot have information about Managed Microsoft AD users and objects outside the\nVPC network, so the lookup fails.\n\nDNS forwarding is useful in any case where you need to resolve\nresources located outside the VPC network from Google Cloud. For\nexample, if the Managed Microsoft AD domain has a trust relationship with the\ntarget domain, this configuration is required.\n\nBefore you begin\n----------------\n\nBefore you begin, verify the following configurations.\n\n- The Google Cloud VM must be domain-joined to the\n Managed Microsoft AD domain.\n\n- The forwarding target name server is reachable from within your VPC network.\n You can test that it is reachable with the following steps:\n\n ### Console\n\n Before you begin, verify that the\n [Network Management API](https://console.cloud.google.com/marketplace/product/google/networkmanagement.googleapis.com)\n is enabled.\n 1. Go to the\n [**Connectivity Tests**](https://console.cloud.google.com/net-intelligence/connectivity/tests)\n page in the Google Cloud console.\n\n\n [Go to the Connectivity Tests page](https://console.cloud.google.com/net-intelligence/connectivity/tests)\n\n 2. Create and run a Connectivity Test with the following values:\n\n - **Protocol**: TCP\n - **Source**: IP address from your Google Cloud VPC\n - **Destination**: IP address of your on-premises DNS server\n - **Destination port**: 53\n\n Learn more about creating and running\n [Network Connectivity Tests](/network-intelligence-center/docs/connectivity-tests/how-to/running-connectivity-tests).\n\n ### PowerShell\n\n In Windows PowerShell, run the following command: \n\n ```\n nslookup domain-name dns-server-ip\n ```\n\n Learn more about\n [`nslookup`](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/nslookup).\n\nIf your target is an on-premises domain, verify the following firewall\nconfiguration.\n\n- The firewall must be configured to allow users from the Managed Microsoft AD domain to access on-premises resources. Learn about [firewall configurations for accessing on-premises resources](/managed-microsoft-ad/docs/firewalls#accessing_on-premises_active_directory_resources_from).\n\nIf you are using private DNS forwarding, there are a few additional\nprerequisites.\n\n- Your on-premises firewall must pass queries from Cloud DNS. To allow\n this, configure the firewall to allow Cloud DNS queries from the\n 35.199.192.0/19 IP address range on UDP port 53 or TCP port 53. If you are\n using multiple Cloud Interconnect connections or VPN tunnels, be sure\n that the firewall allows traffic for all of them.\n\n- Your on-premises network must have a route that directs traffic destined to\n 35.199.192.0/19 back to your VPC network.\n\nTarget domain is not on a VPC network\n-------------------------------------\n\nTo configure DNS forwarding from Google Cloud to an on-premises domain\nthat is not on a VPC network, you should use a forwarding zone. Learn about\n[DNS forwarding zones](/dns/docs/zones/zones-overview#forwarding_zones).\n\nTo create a forwarding zone that resolves the on-premises DNS name to the IP\naddresses of on-premises DNS servers, complete the following steps. \n\n### Console\n\n1. Go to the\n [**Cloud DNS**](https://console.cloud.google.com/networking/dns/zones/) page in the\n Google Cloud console.\n\n\n [Go to the Cloud DNS page](https://console.cloud.google.com/networking/dns/zones/)\n\n2. Create a DNS zone with the following values:\n\n - **Zone type** : **Private**\n - **DNS name**: Target DNS name\n - **Options** : **Forward queries to another server**\n - **Destination DNS servers**: IP addresses of target DNS servers\n\nLearn more about\n[creating DNS forwarding zones](/dns/zones#creating-forwarding-zones).\n\n### gcloud\n\nTo create a new managed private forwarding zone, you should use the\n[dns managed-zones create](/sdk/gcloud/reference/dns/managed-zones/create)\ncommand: \n\n```\ngcloud dns managed-zones create name \\\n --description=description \\\n --dns-name=on-premises-dns-name \\\n --forwarding-targets=on-premises-dns-ip-addresses \\\n --visibility=private\n```\n\nLearn more about\n[creating DNS forwarding zones](/dns/zones#creating-forwarding-zones).\n\nTarget domain is on a VPC network\n---------------------------------\n\nTo configure DNS forwarding from Google Cloud to a self-managed domain\nthat is on a VPC network,\n[follow the steps for Cloud DNS](/dns/docs/zones/zones-overview#forwarding_zones)\nthat are relevant for your configuration."]]
