本主題說明如何設定 DNS 轉送,讓來自Google Cloud 授權網路的查詢,順利找到位於其他網域的 Active Directory 資源。
背景資訊
使用已加入 Managed Microsoft AD 的虛擬機器網域時,如果嘗試查詢不在同一虛擬私有雲網路中的使用者或物件,搜尋作業就會失敗。 Google Cloud 因為預設 Windows 設定不會將查詢轉送至 Managed Microsoft AD 網域,所以會失敗。而是使用 VM 所在 VPC 的 DNS 伺服器。這個 DNS 伺服器沒有 VPC 網路外部的 Managed Microsoft AD 使用者和物件資訊,因此查詢會失敗。
如果您需要從 Google Cloud解析虛擬私有雲網路外部的資源,DNS 轉送就非常實用。舉例來說,如果 Managed Microsoft AD 網域與目標網域有信任關係,就必須進行這項設定。
事前準備
開始之前,請先確認下列設定。
Google Cloud VM 必須加入 Managed Microsoft AD 網域。
可從您的虛擬私有雲網路連線到轉送目標的名稱伺服器。您可以按照下列步驟測試是否可連線:
控制台
開始前,請先確認已啟用Network Management API。
前往 Google Cloud 控制台的「Connectivity Tests」頁面。
前往「Connectivity Tests」頁面使用下列值建立及執行連線能力測試:
- 通訊協定:TCP
- 來源:來自 Google Cloud 虛擬私有雲的 IP 位址
- 目的地:地端部署 DNS 伺服器的 IP 位址
- 目標通訊埠:53
進一步瞭解如何建立及執行Connectivity Tests。
PowerShell
在 Windows PowerShell 中執行下列指令:
nslookup domain-name dns-server-ip
進一步瞭解
nslookup。
如果目標是地端部署網域,請確認下列防火牆設定。
- 防火牆必須設為允許 Managed Microsoft AD 網域的使用者存取地端部署資源。瞭解如何設定防火牆,以便存取地端部署資源。
如果您使用私人 DNS 轉送,還需要滿足幾項額外先決條件。
地端部署防火牆必須傳遞來自 Cloud DNS 的查詢。如要允許這項操作,請設定防火牆,允許從 35.199.192.0/19 IP 位址範圍,透過 UDP 通訊埠 53 或 TCP 通訊埠 53 傳送 Cloud DNS 查詢。如果您使用多個 Cloud Interconnect 連線或 VPN 通道,請務必確認防火牆允許所有連線或通道的流量。
您的地端部署網路必須具有將傳送至 35.199.192.0/19 的流量導回虛擬私有雲網路的路徑。
目標網域不在虛擬私有雲網路上
如要從 Google Cloud 將 DNS 查詢轉送至不在虛擬私有雲網路上的地端部署網域,請使用轉送區域。瞭解 DNS 轉送區域。
如要建立轉送區域,將地端部署 DNS 名稱解析為地端部署 DNS 伺服器的 IP 位址,請完成下列步驟。
控制台
前往Google Cloud 控制台的「Cloud DNS」頁面。
前往 Cloud DNS 頁面使用下列值建立 DNS 區域:
- 區域類型:私人
- DNS 名稱:目標 DNS 名稱
- 選項:「將查詢轉寄到其他伺服器」
- 目的地 DNS 伺服器:目標 DNS 伺服器的 IP 位址
進一步瞭解如何建立 DNS 轉送區域。
gcloud
如要建立新的代管私人轉送區域,請使用 dns managed-zones create 指令:
gcloud dns managed-zones create name \
--description=description \
--dns-name=on-premises-dns-name \
--forwarding-targets=on-premises-dns-ip-addresses \
--visibility=private
進一步瞭解如何建立 DNS 轉送區域。
目標網域位於 VPC 網路上
如要將 DNS 從 Google Cloud 轉送至虛擬私有雲網路上的自行管理網域,請按照 Cloud DNS 的步驟操作,這些步驟與您的設定相關。