非マネージド Microsoft AD オブジェクトのクエリを解決する

このトピックでは、別のドメインにある Active Directory リソース用の Google Cloud 承認済みネットワークからのクエリが成功するように DNS 転送を構成する方法について説明します。

コンテキスト

マネージド Microsoft AD に参加した Google Cloud VM ドメインを使用する場合、同じ VPC ネットワーク上にないユーザーやオブジェクトを検索しようとすると、その検索は失敗します。デフォルトの Windows 構成ではマネージド Microsoft AD ドメインにクエリが転送されないため、失敗します。代わりに、VM が配置されている VPC の DNS サーバーが使用されます。この DNS サーバーに VPC ネットワークの外部にあるマネージド Microsoft AD のユーザーとオブジェクトに関する情報がないため、ルックアップは失敗します。

DNS 転送は、VPC ネットワークの外部にあるリソースを Google Cloud から解決する必要がある場合に役立ちます。たとえば、マネージド Microsoft AD ドメインがターゲット ドメインと信頼関係がある場合、この構成が必要になります。

始める前に

始める前に、次の構成を確認してください。

  • Google Cloud VM は Managed Microsoft AD ドメインにドメイン参加している必要があります。

  • 転送先ネームサーバーが VPC ネットワーク内から到達可能である。以下の手順で到達可能かどうかをテストできます。

    コンソール

    始める前に、Network Management API が有効であることを確認します。

    1. Google Cloud コンソールの [接続テスト] ページに移動します。
      [接続テストページ] に移動

    2. 次の値を使用して接続テストを作成して実行します。

      • プロトコル: TCP
      • ソース: Google Cloud VPC からの IP アドレス
      • 宛先: オンプレミス DNS サーバーの IP アドレス
      • 宛先ポート: 53

    ネットワーク接続テストの詳細を確認する。

    PowerShell

    Windows PowerShell で、次のコマンドを実行します。

    nslookup domain-name dns-server-ip
    

    詳細については、nslookup についてをご覧ください。

ターゲットがオンプレミス ドメインの場合は、次のファイアウォール構成を確認します。

プライベート DNS 転送を使用している場合は、追加の前提条件があります。

  • オンプレミス ファイアウォールは Cloud DNS からクエリを渡す必要があります。これを許可するには、UDP ポート 53 または TCP ポート 53 で IP アドレス範囲(35.199.192.0/19)からの Cloud DNS クエリを許可するようにファイアウォールを構成します。複数の Cloud Interconnect 接続または VPN トンネルを使用する場合は、ファイアウォールでそれらすべてのトラフィックが許可されている必要があります。

  • オンプレミス ネットワークには、35.199.192.0/19 を宛先とするトラフィックを VPC ネットワークに戻すルートが必要です。

ターゲット ドメインが VPC ネットワーク上にない

Google Cloud から VPC ネットワークにないオンプレミス ドメインへの DNS 転送を構成するには、転送ゾーンを使用する必要があります。詳しくは、DNS 転送ゾーンをご覧ください。

次の手順で、オンプレミス DNS 名をオンプレミス DNS サーバーの IP アドレスに解決する転送ゾーンを作成します。

コンソール

  1. Google Cloud コンソールで [Cloud DNS] ページに移動します。
    [Cloud DNS] ページに移動します。

  2. 次の値で DNS ゾーンを作成します。

    • ゾーンのタイプ: 限定公開
    • DNS 名: ターゲットの DNS 名
    • オプション: クエリを別のサーバーに転送する
    • 宛先 DNS サーバー: ターゲット DNS サーバーの IP アドレス

詳しくは、DNS 転送ゾーンの作成をご覧ください。

gcloud

新しい限定公開マネージド ゾーンを作成するには、dns managed-zones create コマンドを使用する必要があります。

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

詳しくは、DNS 転送ゾーンの作成をご覧ください。

ターゲット ドメインが VPC ネットワーク上にある

Google Cloud から VPC ネットワーク上のマネージド ドメインへの DNS 転送を構成するには、構成に関連するCloud DNS の手順に従います