Menyelesaikan kueri untuk objek yang tidak berada di Microsoft AD Terkelola

Topik ini menunjukkan cara mengonfigurasi penerusan DNS agar kueri dari Google Cloud jaringan resmi untuk resource Active Directory yang berada di domain lain berhasil.

Konteks

Saat menggunakan Google Cloud domain VM yang tergabung ke Managed Microsoft AD, jika Anda mencoba mencari pengguna atau objek yang tidak berada di jaringan VPC yang sama, penelusuran akan gagal. Tindakan ini gagal karena konfigurasi Windows default tidak meneruskan kueri ke Managed Microsoft AD domain. Sebagai gantinya, VM tersebut menggunakan server DNS untuk VPC tempat VM berada. Server DNS ini tidak memiliki informasi tentang pengguna dan objek Managed Microsoft AD di luar jaringan VPC, sehingga pencarian gagal.

Penerusan DNS berguna jika Anda perlu me-resolve resource yang berada di luar jaringan VPC dari Google Cloud. Misalnya, jika domain Microsoft AD Terkelola memiliki hubungan kepercayaan dengan domain target, konfigurasi ini diperlukan.

Sebelum memulai

Sebelum memulai, verifikasi konfigurasi berikut.

• Google Cloud VM harus bergabung dengan domain ke domain Microsoft AD Terkelola.

• Server nama target penerusan dapat dijangkau dari dalam jaringan VPC Anda. Anda dapat menguji apakah server dapat dijangkau dengan langkah-langkah berikut:

  Konsol

  Sebelum memulai, pastikan Network Management API diaktifkan.

  1. Buka halaman Connectivity Tests di Google Cloud console.
     Buka halaman Uji Konektivitas

  2. Buat dan jalankan Uji Konektivitas dengan nilai berikut:

     • Protokol: TCP
     • Sumber: Alamat IP dari Google Cloud VPC Anda
     • Tujuan: Alamat IP server DNS lokal Anda
     • Port tujuan: 53

  Pelajari lebih lanjut cara membuat dan menjalankan Uji Konektivitas Jaringan.

  PowerShell

  Di Windows PowerShell, jalankan perintah berikut:

  nslookup domain-name dns-server-ip
  

  Pelajari nslookup lebih lanjut.

Jika target Anda adalah domain lokal, verifikasi konfigurasi firewall berikut.

• Firewall harus dikonfigurasi untuk mengizinkan pengguna dari domain Managed Microsoft AD mengakses resource lokal. Pelajari konfigurasi firewall untuk mengakses resource lokal.

Jika Anda menggunakan penerusan DNS pribadi, ada beberapa prasyarat tambahan.

• Firewall lokal Anda harus meneruskan kueri dari Cloud DNS. Untuk mengizinkan hal ini, konfigurasikan firewall untuk mengizinkan kueri Cloud DNS dari rentang alamat IP 35.199.192.0/19 di port UDP 53 atau port TCP 53. Jika Anda menggunakan beberapa koneksi Cloud Interconnect atau tunnel VPN, pastikan firewall mengizinkan traffic untuk semuanya.

• Jaringan lokal Anda harus memiliki rute yang mengarahkan traffic yang ditujukan ke 35.199.192.0/19 kembali ke jaringan VPC Anda.

Domain target tidak berada di jaringan VPC

Untuk mengonfigurasi penerusan DNS dari Google Cloud ke domain lokal yang tidak berada di jaringan VPC, Anda harus menggunakan zona penerusan. Pelajari zona penerusan DNS.

Untuk membuat zona penerusan yang me-resolve nama DNS lokal ke alamat IP server DNS lokal, selesaikan langkah-langkah berikut.

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Domain target berada di jaringan VPC

Untuk mengonfigurasi penerusan DNS dari Google Cloud ke domain yang dikelola sendiri yang berada di jaringan VPC, ikuti langkah-langkah untuk Cloud DNS yang relevan untuk konfigurasi Anda.