解析针对 VPC 网络中的非托管式 AD 对象的查询

本主题介绍如何配置 DNS 转发,以使来自 Google Cloud 已获授权的网络且针对另一个网域中的 Active Directory 资源的查询能够成功。

背景

当使用加入了托管式 Microsoft AD 网域的 Google Cloud 虚拟机时,如果您尝试查找不在同一 VPC 网络上的用户或对象,搜索将失败。失败的原因是默认的 Windows 配置不会将查询转发到托管式 Microsoft AD 网域,而是会使用虚拟机所在的 VPC 的 DNS 服务器。此 DNS 服务器没有关于该 VPC 网络外部的托管式 Microsoft AD 用户和对象的信息,因此查找会失败。

如果您需要从 Google Cloud 解析 VPC 网络之外的资源,DNS 转发会非常有用。例如,如果托管式 Microsoft AD 网域与目标网域之间有信任关系,则需要此配置。

准备工作

在开始之前,请验证以下配置。

  • Google Cloud 虚拟机必须已加入托管式 Microsoft AD 网域。

  • 可从您的 VPC 网络中访问转发目标名称服务器。您可以通过以下步骤测试它是否可以访问:

    控制台

    在开始之前,请确认已启用 Network Management API

    1. 转到 Cloud Console 中的连接测试页面。
      转到“连接测试”页面

    2. 使用以下值创建并运行连接测试:

      • 协议:TCP
      • 来源:您的 Google Cloud VPC 中的 IP 地址
      • 目标:本地 DNS 服务器的 IP 地址
      • 目标端口:53

    详细了解如何创建和运行网络连接测试

    PowerShell

    在 Windows PowerShell 中,运行以下命令:

    nslookup domain-name dns-server-ip
    

    详细了解 nslookup

如果您的目标是本地域,请验证以下防火墙配置。

如果您使用专用 DNS 转发,则还需要满足一些其他前提条件。

  • 您的本地防火墙必须传递来自 Cloud DNS 的查询。为此,请将防火墙配置为允许 UDP 端口 53 或 TCP 端口 53 上来自 35.199.192.0/19 IP 地址范围的 Cloud DNS 查询。如果您使用多个 Cloud Interconnect 连接或 VPN 隧道,请确保防火墙允许针对它们的流量。

  • 本地网络必须具有将目标为 35.199.192.0/19 的流量定向至 VPC 网络的路由。

目标网域不在 VPC 网络上

要配置从 Google Cloud 到不在 VPC 网络上的本地网域的 DNS 转发,您应该使用转发地区。了解 DNS 转发区域

要创建将本地 DNS 名称解析为本地 DNS 服务器 IP 地址的转发地区,请完成以下步骤。

控制台

  1. 转到 Cloud Console 中的 Cloud DNS 页面。
    转到 Cloud DNS 页面

  2. 使用以下值创建 DNS 地区:

    • 地区类型专用
    • DNS 名称:目标 DNS 名称
    • 选项将查询转发到其他服务器
    • 目标 DNS 服务器:目标 DNS 服务器的 IP 地址

详细了解创建 DNS 转发地区

gcloud

要创建新的托管式专用转发地区,应使用 dns managed-zones create 命令:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

详细了解创建 DNS 转发地区

目标网域在 VPC 网络上

要配置从 Google Cloud 到 VPC 网络上的自行管理的网域的 DNS 转发,请按照与您的配置相关的 Cloud DNS 步骤进行操作。