我有一个使用 Azure VM 和 Google Cloud VM 的多云设置,它们通过站点到站点 VPN(来自 Azure)连接。VPN 连接一切正常,但我现在正尝试将所有(Azure 和 Google)VM 加入 Azure (AADDS) 中托管的同一个域。Azure VM 在对等 Vnet 并调整 DNS 服务器以指向 AADDS 内部 IP 后成功加入,但我被困在 google VM 上。
我有:
- 验证了从谷歌虚拟机到 AADDS 内部 ip 的 VPN 连接,我在两个 ip 上都得到了成功的 ping 回复。
- 使用 DIG 查看 Azure VM 正在使用的 DNS 配置,并尝试将其复制到 Google DNS 区域(私有)。
- 验证我可以从我的谷歌虚拟机 ping 域名(名称)。
考虑到 ping 工作正常,我觉得这是一个 DNS 问题。最初我得到了 SVR 记录丢失错误,所以我添加了一个特定的 SVR 记录 _ldap._tcp.dc._msdcs svr 并尝试了通配符 SVR。但是我在尝试加入时最终出现以下错误:
Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\Windows\debug\dcdiag.txt.
DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain "mydomain.com":
The query was for the SRV record for _ldap._tcp.dc._msdcs.mydomain.com
The following domain controllers were identified by the query:
mydomain.com
However no domain controllers could be contacted.
Common causes of this error include:
- Host (A) or (AAAA) records that map the names of the domain controllers to their IP addresses are missing or contain incorrect addresses.
- Domain controllers registered in DNS are not connected to the network or are not running.
所以我最终想通了。我尝试使用谷歌云 DNS 提供的 DNS 转发,手动更改虚拟机上的 DNS 设置,但没有帮助。最终起作用的是在自定义 Google Cloud DNS 区域上正确(通过反复试验)组合 NS、SVR 和 A 记录。A en SVR 记录本质上同时具有裸域和通配符+域记录。这些记录基于我从登录 AAD DS 服务(在已加入的 VM 上)上的 DNS 服务器获得的信息。
我建议查看 Google VM 上的Netsetup.log 文件,了解可能导致额外故障排除步骤的错误。您还可以运行PortQryUI(Active Directory 测试)来确认您的 Azure VM 和 Google Cloud VM 具有相同的结果。DNS 只是所需的一项服务。