管理 DNS 并在 Microsoft Entra 域服务托管域中创建条件转发器
Microsoft Entra 域服务附带了一个为托管域提供名称解析的域名系统 (DNS) 服务器。 此 DNS 服务器包含使服务能够运行的关键组件的内置 DNS 记录和更新。
运行你自己的应用程序和服务时,你可能需要为未加入域的计算机创建 DNS 记录、为负载均衡器配置虚拟 IP 地址,或者设置外部 DNS 转发器。 属于“AAD DC 管理员”组的用户将被授予对域服务托管域的 DNS 管理权限,并且可以创建和编辑自定义 DNS 记录。
在混合环境中,在其他 DNS 命名空间(如本地 AD DS 环境)中配置的 DNS 区域和记录不会同步到托管域。 若要解析其他 DNS 命名空间中的命名资源,请创建并使用指向环境中的现有 DNS 服务器的条件转发器。
在常规操作期间,域服务可与多个 Azure 终结点进行通信。 重定向像 file.core.chinacloudapi.cn 或 blob.core.chinacloudapi.cn 这样的区域会使域服务处于不可支持状态。
请避免重定向与 azure.cn 或 core.chinacloudapi.cn 相关的 DNS 区域。 如果需要 DNS 重定向,请将重定向限制为单个主机名,而不是区域。 例如,使用 server1.file.core.chinacloudapi.cn,而不是 file.core.chinacloudapi.cn。
注意
不支持创建或更改根提示或服务器级 DNS 转发器,并且会导致域服务托管域出现问题。
本文介绍了如何安装 DNS 服务器工具,然后使用 DNS 控制台来管理记录,并在域服务中创建条件转发器。
准备阶段
需有以下资源和特权才能完成本文:
- 一个有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与订阅关联的 Microsoft Entra 租户,可以与本地目录或仅限云的目录同步。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 请根据需要完成创建并配置 Microsoft Entra 域服务托管域的教程。
- 从域服务虚拟网络到承载其他 DNS 命名空间的位置的连接。
- 可以通过 Azure ExpressRoute 或 Azure VPN 网关连接来提供此连接。
- 已加入托管域的 Windows Server 管理 VM。
- 如果需要,请完成创建 Windows Server VM 并将其加入到托管域的教程。
- 属于 Microsoft Entra 租户中“Microsoft Entra DC 管理员”组的用户帐户。
安装 DNS 服务器工具
若要在托管域中创建和修改 DNS 记录,需要安装 DNS 服务器工具。 这些工具可以作为 Windows Server 中的一项功能进行安装。 有关如何在 Windows 客户端上安装管理工具的详细信息,请参阅安装远程服务器管理工具 (RSAT)。
登录到管理 VM。 有关如何使用 Microsoft Entra 管理中心进行连接的步骤,请参阅连接到 Windows Server VM。
如果在登录 VM 时服务器管理器默认情况下未打开,请选择“开始”菜单,然后选择“服务器管理器”。
在“服务器管理器”窗口的“仪表板”窗格中,选择“添加角色和功能”。
在“添加角色和功能向导”的“准备工作”页上,选择“下一步”。
对于“安装类型”,请保留选中“基于角色或基于功能的安装”选项,然后选择“下一步”。
在“服务器选择”页上,从服务器池中选择当前的 VM(例如 myvm.aaddscontoso.com),然后选择“下一步”。
在“服务器角色”页上,单击“下一步”。
在“功能”页上,依次展开“远程服务器管理工具”节点和“角色管理工具”节点。 从角色管理工具列表中选择“DNS 服务器工具”功能。
在“确认”页上选择“安装”。 安装 DNS 服务器工具可能需要一两分钟。
功能安装完成后,选择“关闭”退出“添加角色和功能”向导。
打开 DNS 管理控制台来管理 DNS
安装 DNS 服务器工具后,你可以管理托管域上的 DNS 记录。
注意
若要管理托管域中的 DNS,必须登录到属于“AAD DC 管理员”组成员的用户帐户。
在“开始”屏幕中选择“管理工具”。 此时会显示可用的管理工具列表,包括上一部分中安装的 DNS。 选择“DNS”以启动 DNS 管理控制台。
在“连接到 DNS 服务器”对话框中,选择“以下计算机”,并输入托管域的 DNS 域名(例如aaddscontoso.com):
DNS 控制台会连接到指定的托管域。 展开“正向查找区域”或“反向查找区域”以创建所需的 DNS 条目,或根据需要编辑现有记录。
警告
使用 DNS 服务器工具来管理记录时,请确保不要删除或修改域服务使用的内置 DNS 记录。 内置 DNS 记录包括域 DNS 记录、名称服务器记录,以及其他用于 DC 定位的记录。 如果修改这些记录,虚拟网络上的域服务会中断。
创建条件转发器
域服务 DNS 区域应该只包含托管域本身的区域和记录。 请勿在托管域中创建其他区域来解析其他 DNS 命名空间中的命名资源。 而应使用托管域中的条件转发器告知 DNS 服务器要前往哪里来解析这些资源的地址。
条件转发器是 DNS 服务器中的一个配置选项,允许你定义要将查询转发到的 DNS 域,例如 contoso.com。 系统会将 DNS 查询转发到为该域配置的 DNS,而不是由本地 DNS 服务器来尝试解析对该域中的记录进行的查询。 此配置可确保返回正确的 DNS 记录,因为你不会创建一个在托管域中包含重复记录的本地 DNS 区域来反映这些资源。
若要在托管域中创建条件转发器,请完成以下步骤:
选择你的 DNS 区域,例如 aaddscontoso.com。
选择“条件转发器”,然后右键单击并选择“新建条件转发器...”
输入你的其他 DNS 域,例如 contoso.com,然后输入该命名空间的 DNS 服务器的 IP 地址,如以下示例所示:
选中“在 Active Directory 中存储此条件转发器,并按如下方式复制它”复选框,然后选择“此域中的所有 DNS 服务器”选项,如以下示例所示:
重要
如果条件转发器存储在林中而不是域中,则条件转发器会失败。
若要创建条件转发器,请选择“确定”。
现在,连接到托管域的 VM 的其他命名空间中的资源的名称解析应能正确进行。 针对条件转发器中配置的 DNS 域的查询会被传递到相关的 DNS 服务器。
后续步骤
有关管理 DNS 的详细信息,请参阅 Technet 上的“DNS 工具”一文。