פתרון שאילתות לגבי אובייקטים שאינם מנוהלים ב-Microsoft AD

במאמר הזה מוסבר איך להגדיר העברת DNS כדי ששאילתות מGoogle Cloud רשת מורשית למשאבי Active Directory שנמצאים בדומיין אחר יצליחו.

הקשר

כשמשתמשים במכונה וירטואלית Google Cloud שצורפה לדומיין לשירות מנוהל ל-Microsoft AD, אם מנסים לחפש משתמשים או אובייקטים שלא נמצאים באותה רשת VPC, החיפוש נכשל. היא נכשלת כי הגדרת ברירת המחדל של Windows לא מעבירה את השאילתה לדומיין המנוהל של Microsoft AD. במקום זאת, הוא משתמש בשרת ה-DNS של ה-VPC שבו ממוקם המכונה הווירטואלית. לשרת ה-DNS הזה אין מידע על משתמשים ואובייקטים של שירות מנוהל ל-Microsoft AD מחוץ לרשת ה-VPC, ולכן החיפוש נכשל.

הפניית DNS שימושית בכל מקרה שבו צריך לפתור משאבים שנמצאים מחוץ לרשת ה-VPC מ- Google Cloud. לדוגמה, אם לשירות מנוהל ל-Microsoft AD יש יחסי אמון עם דומיין היעד, נדרש לבצע את ההגדרה הזו.

לפני שמתחילים

לפני שמתחילים, חשוב לוודא את ההגדרות הבאות.

  • ‫ Google Cloud VM צריך להיות מצורף לדומיין לדומיין המנוהל של Microsoft AD.

  • אפשר להגיע לשרת השמות של יעד ההעברה מתוך רשת ה-VPC. כדי לבדוק שאפשר להגיע אליו, פועלים לפי השלבים הבאים:

    המסוף

    לפני שמתחילים, צריך לוודא ש-Network Management API מופעל.

    1. נכנסים לדף בדיקות קישוריות במסוף Google Cloud .
      כניסה לדף בדיקות קישוריות

    2. יוצרים ומריצים בדיקת קישוריות עם הערכים הבאים:

      • פרוטוקול: TCP
      • מקור: כתובת ה-IP מרשת ה-VPC Google Cloud
      • יעד: כתובת ה-IP של שרת ה-DNS המקומי
      • יציאת יעד: 53

    מידע נוסף על יצירה והפעלה של בדיקות קישוריות לרשת

    PowerShell

    ב-Windows PowerShell, מריצים את הפקודה הבאה:

    nslookup domain-name dns-server-ip

    מידע נוסף על nslookup

אם היעד הוא דומיין מקומי, צריך לאמת את הגדרת חומת האש הבאה.

אם אתם משתמשים בהעברת DNS פרטי, יש כמה דרישות מוקדמות נוספות.

  • חומת האש המקומית צריכה להעביר שאילתות מ-Cloud DNS. כדי לאפשר זאת, צריך להגדיר את חומת האש כך שתאפשר שאילתות Cloud DNS מטווח כתובות ה-IP‏ ‎35.199.192.0/19 ביציאת UDP מספר 53 או ביציאת TCP מספר 53. אם אתם משתמשים בכמה חיבורי Cloud Interconnect או במנהרות VPN, ודאו שחומת האש מאפשרת תנועה לכולם.

  • ברשת המקומית שלכם צריך להיות נתיב שמפנה תנועה שמיועדת ל-35.199.192.0/19 בחזרה לרשת ה-VPC שלכם.

דומיין היעד לא נמצא ברשת VPC

כדי להגדיר העברת DNS מ- Google Cloud לדומיין מקומי שלא נמצא ברשת VPC, צריך להשתמש באזור העברה. מידע נוסף על אזורי העברה של DNS

כדי ליצור אזור העברה שמבצע המרה של שם ה-DNS המקומי לכתובות ה-IP של שרתי ה-DNS המקומיים, צריך לבצע את השלבים הבאים.

המסוף

  1. עוברים לדף Cloud DNS במסוףGoogle Cloud .
    כניסה לדף Cloud DNS

  2. יוצרים תחום DNS עם הערכים הבאים:

    • סוג האזור: פרטי
    • שם DNS: שם DNS של היעד
    • אפשרויות: העברת שאילתות לשרת אחר
    • שרתי DNS של היעד: כתובות ה-IP של שרתי ה-DNS של היעד

מידע נוסף על יצירת אזורי העברה ב-DNS

gcloud

כדי ליצור אזור חדש של העברה פרטית מנוהלת, צריך להשתמש בפקודה dns managed-zones create:

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

מידע נוסף על יצירת אזורי העברה ב-DNS

דומיין היעד נמצא ברשת VPC

כדי להגדיר העברת DNS מ Google Cloud לדומיין בניהול עצמי שנמצא ברשת VPC,צריך לבצע את השלבים שרלוונטיים להגדרה שלכם ב-Cloud DNS.