Questo argomento illustra come configurare l'inoltro DNS in modo che le query da una rete autorizzata di Google Cloud per le risorse Active Directory situate in un altro dominio abbiano esito positivo.
Contesto
Quando utilizzi un dominio VM Google Cloud aggiunto a Microsoft AD gestito, se provi a cercare utenti o oggetti che non si trovano sulla stessa rete VPC, la ricerca non riesce. L'operazione non va a buon fine perché la configurazione predefinita di Windows non inoltra la query al dominio Microsoft AD gestito. Utilizza invece il server DNS per il VPC in cui si trova la VM. Questo server DNS non dispone di informazioni sugli utenti e sugli oggetti Microsoft AD gestiti all'esterno della rete VPC, pertanto la ricerca non riesce.
L'inoltro DNS è utile in tutti i casi in cui devi risolvere da Google Cloud risorse situate al di fuori della rete VPC. Ad esempio, se il dominio Microsoft AD gestito ha una relazione di attendibilità con il dominio di destinazione, questa configurazione è obbligatoria.
Prima di iniziare
Prima di iniziare, verifica le seguenti configurazioni.
La VM Google Cloud deve essere aggiunta al dominio Microsoft AD gestito.
Il server dei nomi di destinazione di inoltro è raggiungibile dalla tua rete VPC. Per verificare se è raggiungibile:
Console
Prima di iniziare, verifica che l'API Network Management sia abilitata.
Vai alla pagina Test di connettività nella console Google Cloud.
Vai alla pagina Connectivity TestsCrea ed esegui un test di connettività con i seguenti valori:
- Protocollo: TCP
- Origine: indirizzo IP dal VPC di Google Cloud
- Destinazione: indirizzo IP del server DNS on-premise.
- Porta di destinazione: 53
Scopri di più sulla creazione e sull'esecuzione di Network Connectivity Tests.
PowerShell
In Windows PowerShell, esegui questo comando:
nslookup domain-name dns-server-ip
Scopri di più su
nslookup.
Se il tuo target è un dominio on-premise, verifica la seguente configurazione del firewall.
- Il firewall deve essere configurato in modo da consentire agli utenti del dominio Microsoft AD gestito di accedere alle risorse on-premise. Scopri di più sulle configurazioni di firewall per l'accesso alle risorse on-premise.
Se utilizzi l'inoltro DNS privato, esistono alcuni prerequisiti aggiuntivi.
Il firewall on-premise deve passare le query da Cloud DNS. Per consentire questa operazione, configura il firewall in modo da consentire le query Cloud DNS dall'intervallo di indirizzi IP 35.199.192.0/19 sulla porta UDP 53 o sulla porta TCP 53. Se utilizzi più connessioni Cloud Interconnect o tunnel VPN, assicurati che il firewall consenta il traffico per tutti gli elementi.
La rete on-premise deve avere una route che indirizzi il traffico destinato a 35.199.192.0/19 alla tua rete VPC.
Il dominio di destinazione non si trova su una rete VPC
Per configurare l'inoltro DNS da Google Cloud a un dominio on-premise che non si trova su una rete VPC, devi utilizzare una zona di forwarding. Scopri di più sulle zone di inoltro DNS.
Per creare una zona di forwarding che risolva il nome DNS on-premise negli indirizzi IP dei server DNS on-premise, completa i passaggi seguenti.
Console
Vai alla pagina Cloud DNS nella console Google Cloud.
Vai alla pagina di Cloud DNSCrea una zona DNS con i seguenti valori:
- Zone type (Tipo di zona): Private (Privato).
- Nome DNS: Nome DNS di destinazione
- Opzioni: inoltra le query a un altro server
- Server DNS di destinazione: indirizzi IP dei server DNS di destinazione.
Scopri di più sulla creazione di zone di forwarding DNS.
gcloud
Per creare una nuova zona di forwarding privato gestito, devi utilizzare il comando dns managed-zones create:
gcloud dns managed-zones create name \
--description=description \
--dns-name=on-premises-dns-name \
--forwarding-targets=on-premises-dns-ip-addresses \
--visibility=private
Scopri di più sulla creazione di zone di forwarding DNS.
Il dominio di destinazione si trova su una rete VPC
Per configurare l'inoltro DNS da Google Cloud a un dominio autogestito su una rete VPC, segui i passaggi per Cloud DNS pertinenti per la tua configurazione.