Управление DNS и создание условных пересылок в управляемом домене Microsoft Entra Domain Services.
Доменные службы Microsoft Entra включают сервер системы доменных имен (DNS), предоставляющий разрешение имен для управляемого домена. Этот DNS-сервер включает встроенные записи DNS и обновления для ключевых компонентов, которые позволяют службе выполняться.
При запуске собственных приложений и служб может потребоваться создать записи DNS для компьютеров, которые не присоединены к домену, настроить виртуальные IP-адреса для подсистем балансировки нагрузки или настроить внешние серверы пересылки DNS. Пользователи, принадлежащие администраторам контроллера домена AAD, предоставляются права администрирования DNS в управляемом домене доменных служб и могут создавать и изменять пользовательские записи DNS.
В гибридной среде зоны DNS и записи, настроенные в других пространствах имен DNS, таких как локальная среда AD DS, не синхронизируются с управляемым доменом. Чтобы разрешить именованные ресурсы в других пространствах имен DNS, настройте и используйте условные переадресации, указывающие на существующие DNS-серверы в вашей сетевой среде.
Доменные службы взаимодействуют с несколькими конечными точками Azure во время обычных операций. Перенаправление зон, таких как file.core.windows.net или blob.core.windows.net помещает доменные службы в неподдерживаемое состояние.
Воздержаться от перенаправления зон DNS, связанных с windowsazure.com или core.windows.net. Если требуется перенаправление DNS, ограничьте перенаправление отдельными именами узлов вместо зон. Например, используйте server1.file.core.windows.net вместо file.core.windows.net.
Заметка
Создание или изменение корневых подсказок или перенаправления DNS на уровне сервера не поддерживается и вызывает проблемы с управляемым доменом доменных служб.
В этой статье показано, как установить инструменты DNS-сервера, а затем использовать консоль DNS для управления записями и создания условных серверов пересылки в доменных службах.
Перед началом работы
Чтобы завершить эту статью, вам потребуются следующие ресурсы и привилегии:
- Активная подписка Azure.
- Если у вас нет подписки Azure, то создайте учетную запись.
- Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиента Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
- Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости выполните инструкции, чтобы создать и настроить управляемый домен служб Microsoft Entra.
- Подключение из виртуальной сети доменных служб к месту размещения других пространств имен DNS.
- Это подключение может быть установлено с использованием подключения Azure ExpressRoute или подключения шлюза Azure VPN.
- Виртуальная машина управления Windows Server, присоединенная к управляемому домену.
- При необходимости выполните инструкции, чтобы создать виртуальную машину Windows Server и присоединить ее к управляемому домену.
- Учетная запись пользователя, являющаяся членом администраторов контроллера домена Microsoft Entra, в клиенте Microsoft Entra.
Установка средств DNS-сервера
Чтобы создать и изменить записи DNS в управляемом домене, необходимо установить средства DNS-сервера. Эти средства можно установить как функцию в Windows Server. Дополнительные сведения о том, как установить административные средства на клиенте Windows, см. в статье об установке средств удаленного администрирования сервера (RSAT).
Войдите на виртуальную машину управления. Инструкции по подключению с помощью Центра администрирования Microsoft Entra см. в статье Подключение к виртуальной машине Windows Server.
Если Диспетчер серверов по умолчанию не открывается при входе на виртуальную машину, выберите меню "Пуск", затем выберите Диспетчер серверов.
В области панели мониторинга в окне диспетчер сервера выберите Добавить роли и компоненты.
На странице перед началом работымастера добавления ролей и компонентоввыберите Далее.
Для типа установки оставьте флажок на основе ролей или функциональных возможностей и выберите Далее.
На странице выбора сервера выберите текущую виртуальную машину из пула серверов, например, myvm.aaddscontoso.com, а затем выберите Далее.
На странице ролей сервера нажмите кнопку Далее.
На странице функций разверните узел средства удаленного администрирования сервера, а затем разверните узел средства администрирования ролей. Выберите функцию средства сервера DNS из списка средств администрирования ролей.
На странице подтверждения выберите Установить. Для установки средств DNS-сервера может потребоваться несколько минут.
После завершения установки компонентов выберите Закрыть, чтобы выйти из мастера Добавление ролей и компонентов.
Откройте консоль управления DNS для администрирования DNS
С установленными средствами DNS-сервера можно администрировать записи DNS в управляемом домене.
Заметка
Чтобы администрировать DNS в управляемом домене, необходимо войти в учетную запись пользователя, которая входит в группу AAD DC Administrators.
На начальном экране выберите Административные инструменты. Отображается список доступных средств управления, включая DNS, установленных в предыдущем разделе. Выберите DNS, чтобы запустить консоль управления DNS.
В диалоговом окне Подключение к DNS-серверу выберите Следующий компьютер, а затем введите dns-имя домена управляемого домена, например aaddscontoso.com:
Консоль DNS подключается к указанному управляемому домену. Расширьте зоны прямого поиска или зоны обратного поиска, чтобы создать необходимые записи DNS или изменить существующие записи по мере необходимости.
консоль DNS
Предупреждение
При управлении записями с помощью средств DNS-сервера убедитесь, что вы не удаляете или изменяете встроенные записи DNS, используемые доменными службами. Встроенные записи DNS включают записи DNS домена, записи сервера имен и другие записи, используемые для определения местоположения контроллера домена. При изменении этих записей работа доменных служб прерывается в виртуальной сети.
Создание условных пересылок
Зона DNS доменных служб должна содержать только зону и записи для самого управляемого домена. Не создавайте в управляемом домене дополнительные зоны для разрешения именованных ресурсов в других пространствах имен DNS. Вместо этого используйте условные пересылатели в управляемом домене, чтобы указать DNS-серверу, куда обратиться, чтобы разрешить адреса для этих ресурсов.
Условная пересылка — это параметр конфигурации DNS-сервера, который позволяет определить домен DNS для пересылки запросов, например, contoso.com. Вместо локального DNS-сервера, пытающегося разрешить запросы для записей в этом домене, DNS-запросы перенаправляются в настроенный DNS-сервер для этого домена. Эта конфигурация гарантирует, что возвращаются правильные записи DNS, так как вы не создаете локальную зону DNS с повторяющимися записями в управляемом домене, чтобы отразить эти ресурсы.
Чтобы создать условный сервер пересылки в управляемом домене, выполните следующие действия.
Выберите зону DNS, например aaddscontoso.com.
Выберите условные пересылатели, а затем щелкните правой кнопкой мыши и выберите Новый условный пересылатель...
Введите другие DNS-домены, например contoso.com. Затем введите IP-адреса DNS-серверов, соответствующих этому пространству имен, как показано в следующем примере:
Установите флажок для хранения условного сервера пересылки в Active Directory и реплицируйте его следующим образом, а затем выберите параметр все DNS-серверы в этом домене, как показано в следующем примере:
Важный
Если условный форвардер хранится в лесу вместо домена , условный форвардер не работает.
Чтобы создать условный пересылатель, выберите OK.
Разрешение имен ресурсов в других пространствах имен от виртуальных машин, подключенных к управляемому домену, теперь должно выполняться корректно. Запросы dns-домена, настроенного в условном сервере пересылки, передаются соответствующим DNS-серверам.
Дальнейшие действия
Дополнительные сведения об управлении DNS см. в статье средств DNS в Technet.