Résoudre les requêtes pour des objets Microsoft AD non gérés

Cette rubrique indique comment configurer le transfert DNS afin que les requêtes d'un réseau autorisé par Google Cloud pour les ressources Active Directory situées dans un autre domaine aboutissent.

Context

Lorsque vous utilisez une VM Google Cloud associée à Microsoft AD géré, si vous essayez de rechercher des utilisateurs ou des objets qui ne se trouvent pas sur le même réseau VPC, la recherche échoue. Elle échoue, car la configuration Windows par défaut ne transfère pas la requête au domaine Microsoft AD géré. Au lieu de cela, elle utilise le serveur DNS pour le VPC où se trouve la VM. Ce serveur DNS ne dispose pas d'informations sur les utilisateurs et les objets Microsoft AD gérés en dehors du réseau VPC, de sorte que la recherche échoue.

Le transfert DNS est utile dans toutes les situations où vous devez résoudre des ressources se trouvant en dehors du réseau VPC à partir de Google Cloud. Par exemple, si le domaine Microsoft AD géré dispose d'une relation d'approbation avec le domaine cible, cette configuration est requise.

Avant de commencer

Avant de commencer, vérifiez les configurations suivantes.

• La VM Google Cloud doit être associée au domaine au domaine Microsoft AD géré.

• Le serveur de noms utilisé comme cible de transfert est accessible à partir de votre réseau VPC. Vous pouvez vérifier son accessibilité en suivant les étapes suivantes :

  Console

  Avant de commencer, vérifiez que l'API Network Management est activée.

  1. Accédez à la page Tests de connectivité de la console Google Cloud.
     Accéder à la page Tests de connectivité

  2. Créez et exécutez un test de connectivité avec les valeurs suivantes :

     • Protocole : TCP
     • Source : adresse IP de votre VPC Google Cloud
     • Destination : adresse IP de votre serveur DNS sur site
     • Port de destination : 53

  En savoir plus sur la création et l'exécution de tests de connectivité réseau.

  PowerShell

  Dans Windows PowerShell, exécutez la commande suivante :

  nslookup domain-name dns-server-ip
  

  Apprenez-en plus sur nslookup.

Si votre cible est un domaine sur site, vérifiez la configuration de pare-feu suivante.

• Le pare-feu doit être configuré pour permettre aux utilisateurs du domaine Microsoft AD géré d'accéder aux ressources sur site. Découvrez les configurations de pare-feu pour accéder aux ressources sur site.

Si vous utilisez un transfert DNS privé, il existe quelques prérequis supplémentaires :

• Votre pare-feu sur site doit transmettre les requêtes du Cloud DNS. Pour ce faire, configurez le pare-feu pour autoriser les requêtes Cloud DNS à partir de la plage d'adresses IP 35.199.192.0/19 sur le port UDP 53 ou le port TCP 53. Si vous utilisez plusieurs connexions Cloud Interconnect ou tunnels VPN, assurez-vous que le pare-feu autorise le trafic pour chacun d'entre eux.

• Votre réseau sur site doit comporter une route qui redirige le trafic destiné à la plage d'adresses 35.199.192.0/19 vers votre réseau VPC.

Le domaine cible ne se trouve sur aucun réseau VPC

Pour configurer le transfert DNS de Google Cloud vers un domaine sur site qui ne se trouve pas sur un réseau VPC, vous devez utiliser une zone de transfert. En savoir plus sur les zones de transfert DNS.

Pour créer une zone de transfert qui résout le nom DNS sur site en adresses IP des serveurs DNS sur site, procédez comme suit.

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Le domaine cible se trouve sur un réseau VPC

Pour configurer le transfert DNS de Google Cloud vers un domaine autogéré qui se trouve sur un réseau VPC, suivez les étapes pour Cloud DNS appropriées à votre configuration.