Questo argomento mostra come configurare il forwarding DNS in modo che le query da una rete autorizzata di Google Cloud per le risorse Active Directory situate in un altro dominio vadano a buon fine.
Contesto
Quando utilizzi una VM Google Cloud associata al dominio di Managed Microsoft AD, se provi a cercare utenti o oggetti che non si trovano nella stessa rete VPC, la ricerca non va a buon fine. Non va a buon fine perché la configurazione predefinita di Windows non inoltra la query al dominio Microsoft Active Directory gestito. Utilizza invece il server DNS per la VPC in cui si trova la VM. Questo server DNS non contiene informazioni sugli utenti e sugli oggetti di Microsoft AD gestiti al di fuori della rete VPC, pertanto la ricerca non va a buon fine.
Il reindirizzamento DNS è utile in tutti i casi in cui devi risolvere le risorse situate all'esterno della rete VPC da Google Cloud. Ad esempio, se il dominio Microsoft AD gestito ha una relazione di attendibilità con il dominio di destinazione, questa configurazione è obbligatoria.
Prima di iniziare
Prima di iniziare, verifica le seguenti configurazioni.
La VM Google Cloud deve essere unita al dominio Microsoft AD gestito.
Il server dei nomi di destinazione dell'inoltro sia raggiungibile dalla rete VPC. Per verificare che sia raggiungibile, segui questi passaggi:
Console
Prima di iniziare, verifica che l'API Network Management sia abilitata.
Vai alla pagina Test di connettività nella console Google Cloud.
Vai a Connectivity Tests di connettivitàCrea ed esegui un test di connettività con i seguenti valori:
- Protocollo: TCP
- Origine: indirizzo IP del tuo VPC Google Cloud
- Destinazione: indirizzo IP del server DNS on-premise
- Porta di destinazione: 53
Scopri di più sulla creazione e sull'esecuzione di test di connettività di rete.
PowerShell
In Windows PowerShell, esegui il seguente comando:
nslookup domain-name dns-server-ip
Scopri di più su
nslookup.
Se il target è un dominio on-premise, verifica la seguente configurazione del firewall.
- Il firewall deve essere configurato per consentire agli utenti del dominio Microsoft AD gestito di accedere alle risorse on-premise. Scopri di più sulle configurazioni del firewall per accedere alle risorse on-premise.
Se utilizzi l'inoltro DNS privato, sono necessari alcuni prerequisiti aggiuntivi.
Il firewall on-premise deve trasmettere le query da Cloud DNS. Per consentire questo, configura il firewall in modo da consentire le query Cloud DNS dall'intervallo di indirizzi IP 35.199.192.0/19 sulla porta UDP 53 o sulla porta TCP 53. Se utilizzi più connessioni Cloud Interconnect o tunnel VPN, assicurati che il firewall consenta il traffico per tutti.
La tua rete on-premise deve avere una route che indirizzi il traffico destinato a 35.199.192.0/19 alla tua rete VPC.
Il dominio di destinazione non si trova su una rete VPC
Per configurare l'inoltro DNS da Google Cloud a un dominio on-premise che non si trova su una rete VPC, devi utilizzare una zona di inoltro. Scopri di più sulle zone di inoltro DNS.
Per creare una zona di inoltro che risolva il nome DNS on-premise negli indirizzi IP dei server DNS on-premise, completa i seguenti passaggi.
Console
Vai alla pagina Cloud DNS nella console Google Cloud.
Vai alla pagina Cloud DNSCrea una zona DNS con i seguenti valori:
- Tipo di zona: Privata
- Nome DNS: nome DNS di destinazione
- Opzioni: Inoltra le query a un altro server
- Server DNS di destinazione: indirizzi IP dei server DNS di destinazione
Scopri di più sulla creazione di zone di inoltro DNS.
gcloud
Per creare una nuova zona di inoltro privato gestita, devi utilizzare il comando dns managed-zones create:
gcloud dns managed-zones create name \
--description=description \
--dns-name=on-premises-dns-name \
--forwarding-targets=on-premises-dns-ip-addresses \
--visibility=private
Scopri di più sulla creazione di zone di inoltro DNS.
Il dominio di destinazione si trova in una rete VPC
Per configurare il reindirizzamento DNS da Google Cloud a un dominio autonomo su una rete VPC, segui i passaggi per Cloud DNS pertinenti per la tua configurazione.