本主題說明如何設定 DNS 轉送,讓來自Google Cloud 授權網路的查詢可成功連線至位於其他網域的 Active Directory 資源。
背景資訊
使用 Google Cloud VM 加入 Managed Microsoft AD 的網域時,如果您嘗試查詢不在同一個 VPC 網路中的使用者或物件,搜尋作業就會失敗。這是因為預設的 Windows 設定不會將查詢轉送至 Managed Microsoft AD 網域。而是使用 VM 所在 VPC 的 DNS 伺服器。這個 DNS 伺服器沒有 VPC 網路外部受管理 Microsoft AD 使用者和物件的相關資訊,因此查詢失敗。
在需要從 Google Cloud解析位於虛擬私有雲網路外的資源時,DNS 轉送功能就非常實用。舉例來說,如果 Managed Microsoft AD 網域與目標網域有信任關係,就必須進行這項設定。
事前準備
開始之前,請確認下列設定。
Google Cloud VM 必須加入 Managed Microsoft AD 網域。
可從您的虛擬私有雲端網路連線到轉送目標的名稱伺服器。您可以按照下列步驟測試是否可連線:
主控台
開始前,請確認已啟用 Network Management API。
前往 Google Cloud 控制台的「Connectivity Tests」頁面。
前往「Connectivity Tests」頁面使用下列值建立及執行連線能力測試:
- 通訊協定:TCP
- 來源: Google Cloud VPC 中的 IP 位址
- 目的地:內部部署 DNS 伺服器的 IP 位址
- 目的地通訊埠:53
進一步瞭解如何建立及執行網路連線能力測試。
PowerShell
在 Windows PowerShell 中執行下列指令:
nslookup domain-name dns-server-ip
進一步瞭解
nslookup。
如果目標是內部部署網域,請確認下列防火牆設定。
- 防火牆必須設為允許受管理 Microsoft AD 網域的使用者存取內部部署資源。瞭解用於存取內部資源的防火牆設定。
如果您使用私人 DNS 轉送,則需要符合其他幾個先決條件。
內部部署防火牆必須傳送來自 Cloud DNS 的查詢。如要允許這項功能,請設定防火牆,允許從 35.199.192.0/19 IP 位址範圍透過 UDP 通訊埠 53 或 TCP 通訊埠 53 傳送 Cloud DNS 查詢。如果您使用多個 Cloud Interconnect 連線或 VPN 通道,請務必確保防火牆允許所有連線的流量。
您的內部部署網路必須具有將傳送至 35.199.192.0/19 的流量導回虛擬私人雲端網路的路徑。
目標網域不在虛擬私有雲網路中
如要將 DNS 轉送從 Google Cloud 轉送至不在 VPC 網路中的內部部署網域,您應使用轉送區域。瞭解 DNS 轉送區域。
如要建立轉送可用區,將內部部署 DNS 名稱解析為內部部署 DNS 伺服器的 IP 位址,請完成下列步驟。
主控台
前往Google Cloud 控制台的「Cloud DNS」頁面。
前往 Cloud DNS 頁面使用下列值建立 DNS 區域:
- 區域類型:私人
- DNS 名稱:目標 DNS 名稱
- 選項:將查詢轉送至其他伺服器
- 目的地 DNS 伺服器:目標 DNS 伺服器的 IP 位址
進一步瞭解如何建立 DNS 轉送區域。
gcloud
如要建立新的代管私人轉送區域,請使用 dns managed-zones create 指令:
gcloud dns managed-zones create name \
--description=description \
--dns-name=on-premises-dns-name \
--forwarding-targets=on-premises-dns-ip-addresses \
--visibility=private
進一步瞭解如何建立 DNS 轉送區域。
目標網域位於虛擬私有雲網路
如要設定從 Google Cloud 轉送至 VPC 網路中自管網域的 DNS 轉送,請按照 Cloud DNS 相關步驟設定。