Résoudre les requêtes pour les objets AD non gérés dans les réseaux VPC

Cette rubrique indique comment configurer le transfert DNS afin que les requêtes d'un réseau autorisé par Google Cloud pour les ressources Active Directory situées dans un autre domaine aboutissent.

Context

Lorsque vous utilisez une VM Google Cloud associée à Microsoft AD géré, si vous essayez de rechercher des utilisateurs ou des objets qui ne se trouvent pas sur le même réseau VPC, la recherche échoue. Elle échoue, car la configuration Windows par défaut ne transfère pas la requête au domaine Microsoft AD géré. Au lieu de cela, elle utilise le serveur DNS pour le VPC où se trouve la VM. Ce serveur DNS ne dispose pas d'informations sur les utilisateurs et les objets Microsoft AD gérés en dehors du réseau VPC, de sorte que la recherche échoue.

Le transfert DNS est utile dans toutes les situations où vous devez résoudre des ressources se trouvant en dehors du réseau VPC à partir de Google Cloud. Par exemple, si le domaine Microsoft AD géré dispose d'une relation d'approbation avec le domaine cible, cette configuration est requise.

Avant de commencer

Avant de commencer, vérifiez les configurations suivantes.

  • La VM Google Cloud doit être associée au domaine au domaine Microsoft AD géré.

  • Le serveur de noms utilisé comme cible de transfert est accessible à partir de votre réseau VPC. Vous pouvez vérifier son accessibilité en suivant les étapes suivantes :

    Console

    Avant de commencer, vérifiez que l'API Network Management est activée.

    1. Accédez à la page Tests de connectivité dans Cloud Console.
      Accéder à la page Tests de connectivité

    2. Créez et exécutez un test de connectivité avec les valeurs suivantes :

      • Protocole : TCP
      • Source : adresse IP de votre VPC Google Cloud
      • Destination : adresse IP de votre serveur DNS sur site
      • Port de destination : 53

    En savoir plus sur la création et l'exécution de tests de connectivité réseau.

    PowerShell

    Dans Windows PowerShell, exécutez la commande suivante :

    nslookup domain-name dns-server-ip
    

    Apprenez-en plus sur nslookup.

Si votre cible est un domaine sur site, vérifiez la configuration de pare-feu suivante.

Si vous utilisez un transfert DNS privé, il existe quelques prérequis supplémentaires :

  • Votre pare-feu sur site doit transmettre les requêtes du Cloud DNS. Pour ce faire, configurez le pare-feu pour autoriser les requêtes Cloud DNS à partir de la plage d'adresses IP 35.199.192.0/19 sur le port UDP 53 ou le port TCP 53. Si vous utilisez plusieurs connexions Cloud Interconnect ou tunnels VPN, assurez-vous que le pare-feu autorise le trafic pour chacun d'entre eux.

  • Votre réseau sur site doit comporter une route qui redirige le trafic destiné à la plage d'adresses 35.199.192.0/19 vers votre réseau VPC.

Le domaine cible ne se trouve sur aucun réseau VPC

Pour configurer le transfert DNS de Google Cloud vers un domaine sur site qui ne se trouve pas sur un réseau VPC, vous devez utiliser une zone de transfert. En savoir plus sur les zones de transfert DNS.

Pour créer une zone de transfert qui résout le nom DNS sur site en adresses IP des serveurs DNS sur site, procédez comme suit.

Console

  1. Accédez à la page Cloud DNS dans Cloud Console.
    Accéder à la page Cloud DNS

  2. Créez une zone DNS avec les valeurs suivantes :

    • Type de zone : Privée
    • Nom DNS : nom DNS cible
    • Options : Transférer les requêtes vers un autre serveur
    • Serveurs DNS de destination : adresses IP des serveurs DNS cibles

En savoir plus sur la création de zones de transfert DNS.

gcloud

Pour créer une nouvelle zone de transfert privée gérée, vous devez utiliser la commande dns managed-zones create :

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

En savoir plus sur la création de zones de transfert DNS.

Le domaine cible se trouve sur un réseau VPC

Pour configurer le transfert DNS de Google Cloud vers un domaine autogéré qui se trouve sur un réseau VPC, suivez les étapes pour Cloud DNS appropriées à votre configuration.