En este artículo se explica cómo configurar el reenvío de DNS para que las consultas de unaGoogle Cloud red autorizada de recursos de Active Directory ubicados en otro dominio se realicen correctamente.
Contexto
Cuando se usa una Google Cloud VM unida a un dominio de Microsoft AD gestionado, si intentas buscar usuarios u objetos que no se encuentran en la misma red VPC, la búsqueda falla. Se produce un error porque la configuración predeterminada de Windows no reenvía la consulta al dominio de Microsoft AD gestionado. En su lugar, usa el servidor DNS de la VPC en la que se encuentra la VM. Este servidor DNS no tiene información sobre los usuarios y objetos de Microsoft AD gestionado fuera de la red VPC, por lo que la búsqueda falla.
El reenvío de DNS es útil en cualquier caso en el que necesites resolver recursos ubicados fuera de la red de VPC desde Google Cloud. Por ejemplo, si el dominio de Microsoft AD gestionado tiene una relación de confianza con el dominio de destino, esta configuración es obligatoria.
Antes de empezar
Antes de empezar, comprueba las siguientes configuraciones.
La Google Cloud VM debe unirse al dominio de Microsoft AD gestionado.
Se puede acceder al servidor de nombres de destino de reenvío desde tu red de VPC. Para comprobar que se puede acceder a él, sigue estos pasos:
Consola
Antes de empezar, comprueba que la API Network Management esté habilitada.
Ve a la página Pruebas de conectividad de la Google Cloud consola.
Ir a la página Pruebas de conectividadCrea y ejecuta una prueba de conectividad con los siguientes valores:
- Protocol (Protocolo): TCP
- Origen: dirección IP de tu Google Cloud VPC
- Destino: dirección IP de tu servidor DNS local
- Puerto de destino: 53
Más información sobre cómo crear y ejecutar pruebas de conectividad de red
PowerShell
En Windows PowerShell, ejecuta el siguiente comando:
nslookup domain-name dns-server-ip
Si tu destino es un dominio local, verifica la siguiente configuración del firewall.
- El firewall debe configurarse para permitir que los usuarios del dominio de Microsoft AD gestionado accedan a los recursos locales. Consulta información sobre las configuraciones de firewall para acceder a recursos locales.
Si usas el reenvío de DNS privado, hay algunos requisitos adicionales.
Tu cortafuegos local debe aceptar las consultas de Cloud DNS. Para permitirlo, configura el cortafuegos para que permita las consultas de Cloud DNS desde el intervalo de direcciones IP 35.199.192.0/19 en el puerto UDP 53 o en el puerto TCP 53. Si usas varias conexiones de Cloud Interconnect o túneles VPN, asegúrate de que el cortafuegos permita el tráfico de todos ellos.
Tu red local debe tener una ruta que dirija el tráfico destinado a 35.199.192.0/19 de vuelta a tu red de VPC.
El dominio de destino no está en una red de VPC
Para configurar la redirección de DNS de Google Cloud a un dominio local que no esté en una red VPC, debes usar una zona de reenvío. Consulta información sobre las zonas de reenvío de DNS.
Para crear una zona de reenvío que resuelva el nombre de DNS local en las direcciones IP de los servidores DNS locales, sigue estos pasos.
Consola
Ve a la página Cloud DNS de la consola.Google Cloud
Ir a la página de Cloud DNSCrea una zona DNS con los siguientes valores:
- Tipo de zona: Privada
- Nombre de DNS: nombre de DNS de destino.
- Opciones: Reenviar consultas a otro servidor
- Servidores DNS de destino: direcciones IP de los servidores DNS de destino.
gcloud
Para crear una zona de reenvío privada gestionada, debe usar el comando dns managed-zones create:
gcloud dns managed-zones create name \
--description=description \
--dns-name=on-premises-dns-name \
--forwarding-targets=on-premises-dns-ip-addresses \
--visibility=private
El dominio de destino está en una red VPC
Para configurar el reenvío de DNS desde Google Cloud a un dominio autogestionado que esté en una red de VPC, sigue los pasos de Cloud DNS que sean relevantes para tu configuración.