Topik ini menunjukkan cara mengonfigurasi penerusan DNS, sehingga kueri dari jaringan yang diizinkan Google Cloud untuk resource Active Directory yang terletak di domain lain berhasil.
Konteks
Saat menggunakan VM Google Cloud yang digabungkan dengan domain Microsoft AD Terkelola, penelusuran akan gagal jika Anda mencoba mencari pengguna atau objek yang tidak berada di jaringan VPC yang sama. Proses ini gagal karena konfigurasi Windows default tidak meneruskan kueri ke domain Microsoft AD Terkelola. Sebagai gantinya, sistem ini menggunakan server DNS untuk VPC tempat VM berada. Server DNS ini tidak memiliki informasi tentang objek dan pengguna Microsoft AD Terkelola di luar jaringan VPC, sehingga pencarian gagal.
Penerusan DNS berguna ketika Anda perlu me-resolve resource yang berada di luar jaringan VPC dari Google Cloud. Misalnya, jika domain Microsoft AD Terkelola memiliki hubungan kepercayaan dengan domain target, konfigurasi ini diperlukan.
Sebelum memulai
Sebelum memulai, verifikasi konfigurasi berikut.
VM Google Cloud harus bergabung dengan domain domain Microsoft AD Terkelola.
Server nama target penerusan dapat dijangkau dari dalam jaringan VPC Anda. Anda dapat menguji apakah halaman dapat dijangkau dengan langkah-langkah berikut:
Konsol
Sebelum memulai, pastikan Network Management API diaktifkan.
Buka halaman Pengujian Konektivitas di Konsol Google Cloud.
Buka halaman Uji KonektivitasBuat dan jalankan Uji Konektivitas dengan nilai berikut:
- Protokol: TCP
- Sumber: Alamat IP dari VPC Google Cloud Anda
- Tujuan: Alamat IP server DNS lokal
- Port tujuan: 53
Pelajari lebih lanjut cara membuat dan menjalankan Pengujian Konektivitas Jaringan.
PowerShell
Di Windows PowerShell, jalankan perintah berikut:
nslookup domain-name dns-server-ip
Pelajari
nslookuplebih lanjut.
Jika target Anda adalah domain lokal, verifikasi konfigurasi firewall berikut.
- Firewall harus dikonfigurasi untuk mengizinkan pengguna dari domain Microsoft AD Terkelola mengakses resource lokal. Pelajari konfigurasi firewall untuk mengakses resource lokal.
Jika Anda menggunakan penerusan DNS pribadi, ada beberapa prasyarat tambahan.
Firewall lokal Anda harus meneruskan kueri dari Cloud DNS. Untuk mengizinkannya, konfigurasikan firewall untuk mengizinkan kueri Cloud DNS dari rentang alamat IP 35.199.192.0/19 pada port UDP 53 atau TCP port 53. Jika Anda menggunakan beberapa koneksi Cloud Interconnect atau tunnel VPN, pastikan bahwa firewall mengizinkan traffic untuk semuanya.
Jaringan lokal Anda harus memiliki rute yang mengarahkan traffic yang ditujukan ke 35.199.192.0/19 kembali ke jaringan VPC Anda.
Domain target tidak berada dalam jaringan VPC
Untuk mengonfigurasi penerusan DNS dari Google Cloud ke domain lokal yang tidak berada di jaringan VPC, Anda harus menggunakan zona penerusan. Pelajari Zona penerusan DNS.
Untuk membuat zona penerusan yang me-resolve nama DNS lokal ke alamat IP server DNS lokal, selesaikan langkah-langkah berikut.
Konsol
Buka halaman Cloud DNS di Konsol Google Cloud.
Buka halaman Cloud DNSBuat zona DNS dengan nilai berikut:
- Jenis zona: Pribadi
- DNS name: Nama DNS target
- Opsi: Meneruskan kueri ke server lain
- Server DNS tujuan: Alamat IP server DNS target
Pelajari lebih lanjut cara membuat zona penerusan DNS.
gcloud
Untuk membuat zona penerusan pribadi terkelola yang baru, Anda harus menggunakan perintah dns managed-zones create:
gcloud dns managed-zones create name \
--description=description \
--dns-name=on-premises-dns-name \
--forwarding-targets=on-premises-dns-ip-addresses \
--visibility=private
Pelajari lebih lanjut cara membuat zona penerusan DNS.
Domain target berada di jaringan VPC
Untuk mengonfigurasi penerusan DNS dari Google Cloud ke domain yang dikelola sendiri dan berada di jaringan VPC, ikuti langkah-langkah untuk Cloud DNS yang relevan dengan konfigurasi Anda.