Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jeśli pracujesz dla dostawcy usług w chmurze (CSP) lub przedsiębiorstwa, które planuje wdrożyć programową sieć zdefiniowaną przez oprogramowanie (SDN) w systemie Windows Server, możesz zapewnić usługi DNS dla hostowanych obciążeń dzierżawy przy użyciu wewnętrznego systemu DNS (iDNS), który jest zintegrowany z siecią SDN.
Hostowane maszyny wirtualne i aplikacje wymagają, aby system DNS komunikował się w ich własnych sieciach i z zasobami zewnętrznymi w Internecie. Dzięki sieci iDNS można udostępniać dzierżawcom usługi rozpoznawania nazw DNS dla ich izolowanej, lokalnej przestrzeni nazw i zasobów internetowych.
Ponieważ usługa iDNS nie jest dostępna z sieci wirtualnych dzierżawy, poza serwerem proxy iDNS, serwer nie jest narażony na złośliwe działania w sieciach dzierżawy.
Kluczowe funkcje
Poniżej przedstawiono najważniejsze funkcje sieci iDNS.
- Udostępnia usługi rozpoznawania nazw DNS dla obciążeń najemcy
- Autorytatywne usługi DNS na potrzeby rozpoznawania nazw i rejestracji DNS w przestrzeni nazw dzierżawy
- Rekursywna usługa DNS do rozwiązywania nazw internetowych z maszyn wirtualnych należących do dzierżawcy.
- W razie potrzeby można skonfigurować jednoczesne udostępnianie nazw sieci i klientów
- Ekonomiczne rozwiązanie DNS — dzierżawcy nie muszą wdrażać własnej infrastruktury DNS
- Wysoka dostępność z integracją usługi Active Directory, która jest wymagana.
Oprócz tych funkcji, jeśli martwisz się o to, że zintegrowane serwery DNS AD są dostępne z Internetu, możesz wdrożyć serwery iDNS za innym serwerem rekursywnym w sieci granicznej.
Ponieważ iDNS jest scentralizowanym serwerem dla wszystkich zapytań DNS, dostawca CSP lub Enterprise może również implementować zapory tenantowe DNS, stosować filtry, wykrywać złośliwe działania i audytować transakcje w centralnej lokalizacji
Infrastruktura iDNS
Infrastruktura iDNS obejmuje serwery iDNS i serwer proxy iDNS.
Serwery iDNS
IDNS zawiera zestaw serwerów DNS przechowujących dane specyficzne dla dzierżawy, takie jak rekordy DNS zasobów wirtualnej maszyny (VM).
Serwery iDNS są autorytatywnymi serwerami dla stref DNS wewnętrznych, a także działają jako resolver dla nazw publicznych, gdy maszyny wirtualne należące do dzierżawców próbują nawiązać połączenie z zasobami zewnętrznymi.
Wszystkie nazwy hostów maszyn wirtualnych w sieciach wirtualnych są przechowywane jako rekordy zasobów DNS w tej samej strefie. Jeśli na przykład wdrożysz iDNS dla strefy o nazwie contoso.local, rekordy zasobów DNS dla maszyn wirtualnych w tej sieci są przechowywane w strefie contoso.local.
W pełni kwalifikowane nazwy domen (FQDN) maszyn wirtualnych dzierżawcy składają się z nazwy komputera i ciągu sufiksu DNS dla sieci wirtualnej w formacie GUID. Jeśli na przykład masz maszynę wirtualną dzierżawy o nazwie TENANT1, która znajduje się w sieci wirtualnej contoso,lokalnie, nazwa FQDN maszyny wirtualnej jest TENANT1. vn-guid.contoso.local, gdzie vn-guid jest ciągiem sufiksu DNS dla sieci wirtualnej.
Note
Jeśli jesteś administratorem sieci szkieletowej, możesz użyć infrastruktury CSP lub Enterprise DNS jako serwerów iDNS zamiast wdrażać nowe serwery DNS specjalnie do użycia jako serwery iDNS. Niezależnie od tego, czy wdrażasz nowe serwery dla sieci iDNS, czy używasz istniejącej infrastruktury, usługa iDNS korzysta z usługi Active Directory w celu zapewnienia wysokiej dostępności. W związku z tym serwery iDNS muszą być zintegrowane z usługą Active Directory.
Serwer proxy iDNS
Usługa iDNS proxy to serwis systemu Windows, który działa na każdym hoście i przekazuje ruch DNS z wirtualnej sieci dzierżawcy do serwera iDNS.
Poniższa ilustracja przedstawia ścieżki ruchu DNS z sieci wirtualnych dzierżawców przez serwer proxy iDNS do serwera iDNS i Internetu.
Jak wdrożyć iDNS
Podczas wdrażania sieci SDN w systemie Windows Server 2016 przy użyciu skryptów system iDNS jest automatycznie dołączany do wdrożenia.
Aby uzyskać więcej informacji, zobacz następujące tematy:
Opis kroków wdrażania sieci iDNS
W tej sekcji można poznać sposób instalowania i konfigurowania sieci IDNS podczas wdrażania sieci SDN przy użyciu skryptów.
Poniżej przedstawiono podsumowanie kroków wymaganych do wdrożenia sieci iDNS.
Note
Jeśli wdrożyłeś SDN przy użyciu skryptów, nie musisz wykonywać żadnych z tych kroków. Kroki te są udostępniane tylko w celach informacyjnych i rozwiązywania problemów.
Krok 1. Wdrażanie systemu DNS
Serwer DNS można wdrożyć przy użyciu następującego przykładowego polecenia programu Windows PowerShell.
Install-WindowsFeature DNS -IncludeManagementTools
Krok 2. Konfigurowanie informacji o sieci iDNS w kontrolerze sieci
Ten segment skryptu jest wywołaniem REST, które jest wykonywane przez administratora do kontrolera sieci, informując o konfiguracji strefy iDNS — takich jak adres IP iDNSServer i strefa używana do hostowania nazw iDNS.
Url: https://<url>/networking/v1/iDnsServer/configuration
Method: PUT
{
"properties": {
"connections": [
{
"managementAddresses": [
"10.0.0.9"
],
"credential": {
"resourceRef": "/credentials/iDnsServer-Credentials"
},
"credentialType": "usernamePassword"
}
],
"zone": "contoso.local"
}
}
Note
Jest to fragment sekcji Configuration ConfigureIDns in SDNExpress.ps1. Aby uzyskać więcej informacji, zobacz Wdrażanie infrastruktury sieci zdefiniowanej programowo przy użyciu skryptów.
Krok 3. Konfigurowanie usługi serwera proxy iDNS
Usługa serwera proxy iDNS działa na każdym z hostów Hyper-V, zapewniając most między wirtualnymi sieciami najemców a siecią fizyczną, w której znajdują się serwery iDNS. Na każdym hoście Hyper-V należy utworzyć następujące klucze rejestru.
Port DNS: Stały port 53
- Klucz rejestru = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
- NazwaWartości = "Port"
- WartośćDanych = 53
- TypWartości = "Dword"
Port serwera proxy DNS: Stały port 53
- Klucz rejestru = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
- ValueName = "ProxyPort"
- WartośćDanych = 53
- TypWartości = "Dword"
Adres IP DNS: Stały adres IP skonfigurowany w interfejsie sieciowym, jeśli dzierżawa wybierze użycie usługi iDNS
- Klucz rejestru = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService"
- ValueName = "IP"
- ValueData = "169.254.169.254"
- ValueType = "Ciąg"
Adres Mac: Adres kontroli dostępu do multimediów serwera DNS
- Klucz rejestru = HKLM\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService
- ValueName = "MAC"
- ValueData = "aa-bb—cc-aa—bb-cc"
- ValueType = "Ciąg"
Adres serwera iDNS: Lista serwerów iDNS rozdzielona przecinkami.
- Klucz rejestru: HKLM\SYSTEM\CurrentControlSet\Services\DNSProxy\Parameters
- ValueName = "przesyłania dalej"
- ValueData = "10.0.0.9"
- ValueType = "Ciąg"
Note
Jest to fragment sekcji Configuration ConfigureIDnsProxy w SDNExpress.ps1. Aby uzyskać więcej informacji, zobacz Wdrażanie infrastruktury sieci zdefiniowanej programowo przy użyciu skryptów.
Krok 4. Ponowne uruchamianie usługi agenta hosta kontrolera sieci
Aby ponownie uruchomić usługę agenta hosta kontrolera sieci, możesz użyć następującego polecenia programu Windows PowerShell.
Restart-Service nchostagent -Force
Aby uzyskać więcej informacji, zobacz Restart-Service (Ponowne uruchamianie usługi).
Włączanie reguł zapory dla usługi serwera proxy DNS
Możesz użyć następującego polecenia programu Windows PowerShell, aby utworzyć regułę zapory, która zezwala na wyjątki dla serwera proxy w celu komunikacji z maszyną wirtualną i serwerem iDNS.
Enable-NetFirewallRule -DisplayGroup 'DNS Proxy Firewall'
Aby uzyskać więcej informacji, zobacz Enable-NetFirewallRule.
Weryfikowanie usługi iDNS
Aby zweryfikować usługę iDNS, należy przeprowadzić wdrożenie przykładowego obciążenia klienta.
Aby uzyskać więcej informacji, zobacz Utwórz maszynę wirtualną i połącz się z siecią wirtualną dzierżawy lub siecią VLAN.
Jeśli chcesz, aby maszyna wirtualna najemcy korzystała z usługi iDNS, pozostaw konfigurację serwera DNS jej interfejsów sieciowych pustą i zezwól interfejsom na korzystanie z DHCP.
Po zainicjowaniu maszyny wirtualnej z takim interfejsem sieciowym automatycznie otrzymuje konfigurację, która umożliwia maszynie wirtualnej używanie sieci iDNS, a maszyna wirtualna natychmiast rozpoczyna rozpoznawanie nazw przy użyciu usługi iDNS.
Jeśli skonfigurujesz maszynę wirtualną dzierżawy do korzystania z usługi iDNS, pozostawiając puste informacje o serwerze DNS i alternatywnym serwerze DNS na interfejsie sieciowym, Kontroler sieciowy udziela maszynie wirtualnej adresu IP i rejestruje nazwę DNS w imieniu maszyny wirtualnej na serwerze iDNS.
Kontroler sieci informuje również serwer proxy iDNS o maszynie wirtualnej oraz o wymaganych szczegółach niezbędnych do przeprowadzenia rozpoznawania nazw dla tej maszyny wirtualnej.
Gdy maszyna wirtualna inicjuje zapytanie DNS, serwer proxy działa jako przekaznik zapytania z sieci wirtualnej do usługi iDNS.
Serwer proxy DNS zapewnia również, że zapytania maszyny wirtualnej należącej do najemcy są izolowane. Jeśli serwer iDNS jest autorytatywny dla zapytania, serwer iDNS odpowiada autorytatywną odpowiedzią. Jeśli serwer iDNS nie jest autorytatywny dla zapytania, wykonuje rekursję DNS w celu rozpoznawania nazw internetowych.
Note
Te informacje znajdują się w sekcji Configuration AttachToVirtualNetwork w SDNExpressTenant.ps1. Aby uzyskać więcej informacji, zobacz Wdrażanie infrastruktury sieci zdefiniowanej programowo przy użyciu skryptów.