在 Microsoft Entra Domain Services 受控網域中管理 DNS 並建立條件式轉寄站

發行項
03/13/2025

Microsoft Entra Domain Services 包含域名系統（DNS）伺服器，可提供受控網域的名稱解析。此 DNS 伺服器包含內建的 DNS 記錄，以及允許服務執行的主要元件更新。

當您執行自己的應用程式和服務時，您可能需要為未加入網域的機器建立 DNS 記錄、設定負載平衡器的虛擬 IP 位址，或設定外部 DNS 轉寄站。屬於 AAD DC 系統管理員 群組的使用者，會獲授與 Domain Services 受控網域上的 DNS 系統管理許可權，並可建立和編輯自定義 DNS 記錄。

在混合式環境中，其他 DNS 命名空間中設定的 DNS 區域和記錄，例如內部部署 AD DS 環境，不會同步處理至受控網域。若要解析其他 DNS 命名空間中的具名資源，請建立並使用指向您環境中現有 DNS 伺服器的條件式轉寄站。

Domain Services 會在一般作業期間與多個 Azure 端點通訊。重新導向區域，例如 file.core.windows.net 或 blob.core.windows.net 會將 Domain Services 置於不支援的狀態。

避免重新導向與 windowsazure.com 或 core.windows.net 相關的 DNS 區域。如果需要 DNS 重新導向，請將重新導向限制為個別主機名，而不是區域。例如，使用 server1.file.core.windows.net，而不是 file.core.windows.net。

注意

不支援建立或變更根提示或伺服器層級的 DNS 轉寄站，並且這樣做會對 Domain Services 受控網域造成問題。

本文說明如何安裝 DNS 伺服器工具，然後使用 DNS 控制台來管理記錄，並在網域服務中建立條件式轉寄站。

開始之前

若要完成本文，您需要下列資源和許可權：

作用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶，建立帳戶。
與您的訂用帳戶相關聯的 Microsoft Entra 租用戶，會同步到內部部署目錄或僅限雲端的目錄之一。
- 如有需要，建立 Microsoft Entra 租戶或將 Azure 訂閱與您的帳戶關聯。
在您的 Microsoft Entra 租用戶中啟用並設定 Microsoft Entra Domain Services 受控網域。
- 如有需要，請完成建立及設定 Microsoft Entra Domain Services 受控網域的教學課程，。
從您的網域服務虛擬網路連接到其他 DNS 命名空間所託管的位置。
- 此連線可透過 Azure ExpressRoute 或 Azure VPN 閘道連線來提供。
已加入受控網域的 Windows Server 管理 VM。
- 如有需要，請完成教學課程以建立 Windows Server VM，並將它加入受控網域。
用戶帳戶是您 Microsoft Entra 租戶中 Microsoft Entra DC 管理員 群組的成員。

安裝 DNS 伺服器工具

若要在受控網域中建立和修改 DNS 記錄，您需要安裝 DNS 伺服器工具。這些工具可以安裝為 Windows Server 中的功能。如需如何在 Windows 用戶端上安裝管理工具的詳細資訊，請參閱安裝遠端伺服器管理工具（RSAT）。

登入您的管理 VM。如需如何使用 Microsoft Entra 系統管理中心進行連線的步驟，請參閱連線到 Windows Server VM。
如果您登入 VM 時預設不會開啟 伺服器管理員，請選取 [開始 ] 選單，然後選擇 [伺服器管理員]。
在 [伺服器管理員] 視窗的 [儀錶板] 窗格中，選取 [新增角色和功能]。
在 [新增角色與功能精靈]的 [開始之前] 頁面上，選取 [下一步]。
針對 [安裝類型]，保持勾選 [角色型或功能型安裝] 選項，然後選取 [下一步]。
在 [伺服器選取] 頁面上，從伺服器集區選擇目前的 VM，例如 [myvm.aaddscontoso.com]，然後選取 [下一步]。
在 [伺服器角色] 頁面上，按兩下 [下一步]。
在 [功能] 頁面上，展開 [遠端伺服器管理工具] 節點，然後展開 [角色管理工具] 節點。從角色管理工具清單中選取 [DNS 伺服器工具 功能]。
在 [確認] 頁面上，選取 [安裝]。安裝 DNS 伺服器工具可能需要一兩分鐘的時間。
當功能安裝完成時，請選取關閉，以結束 新增角色和功能 精靈。

開啟 DNS 管理主控台以管理 DNS

安裝 DNS 伺服器工具後，您可以在受控網域上管理 DNS 記錄。

注意

若要管理受控網域中的 DNS，您必須登入屬於 AAD DC 系統管理員 群組成員的用戶帳戶。

從 [開始] 畫面，選取 [系統管理工具] 。顯示可用的管理工具清單，包括上一節中安裝的 DNS。選取 [DNS]，以啟動 DNS 管理控制台。
在 [連線到 DNS 伺服器] 對話框中，選取 [下列計算機]，然後輸入受控網域的 DNS 網域名稱，例如 aaddscontoso.com：
DNS 主控台會連線到指定的受控網域。展開 正向查詢區域 或 反向查詢區域，以建立所需的 DNS 條目，或視需要編輯現有的條目。

警告

當您使用 DNS 伺服器工具來管理記錄時，請確定您不會刪除或修改網域服務所使用的內建 DNS 記錄。內建 DNS 記錄包括網域 DNS 記錄、名稱伺服器記錄，以及其他用於 DC 位置的記錄。如果您修改這些記錄，則虛擬網路上的網域服務會中斷。

建立條件式轉寄站

Domain Services DNS 區域應該只包含受控網域本身的區域和記錄。請勿在受控網域中建立其他區域，以解析其他 DNS 命名空間中的具名資源。請改用受控網域中的條件式轉寄站，告訴 DNS 伺服器要去哪裡，以便解析這些資源的位址。

條件式轉寄站是 DNS 伺服器中的組態選項，可讓您定義 DNS 網域，例如 contoso.com，以將查詢轉送至。與其讓本地 DNS 伺服器嘗試解析該網域中記錄的查詢，DNS 查詢會轉送至為該網域設定的 DNS 伺服器。此組態可確保傳回正確的 DNS 記錄，因為您不會在受控網域中建立具有重複記錄的本機 DNS 區域，以反映這些資源。

若要在受控網域中建立條件式轉寄站，請完成下列步驟：

選取您的 DNS 區域，例如 aaddscontoso.com。
選取 條件式轉寄站，然後滑鼠右鍵點擊，選擇 新增條件式轉寄站...
輸入其他 DNS 網域，例如 contoso.com，然後輸入該命名空間 DNS 伺服器的 IP 位址，如下列範例所示：
核取 [在 Active Directory 中儲存此條件式轉寄站，並按照如下復寫] 的方塊，然後選取 [此網域中所有 DNS 伺服器] 的選項，如下列範例所示：

重要

如果條件式轉寄站儲存在 樹系中， 而不是網域，條件式轉寄站就會失敗。
若要建立條件式轉寄站，請選取 [確定]。

從連線到受控網域的 VM 中，其他命名空間中資源的名稱解析現在應該會正確解析。條件式轉寄站中所設定 DNS 網域的查詢會傳遞至相關的 DNS 伺服器。

後續步驟

如需管理 DNS 的詳細資訊，請參閱 Technet 上的DNS 工具一文。

共用方式為