Microsoft Entra 域服务附带了一个为托管域提供名称解析的域名系统 (DNS) 服务器。 此 DNS 服务器包含使服务能够运行的关键组件的内置 DNS 记录和更新。
运行你自己的应用程序和服务时,你可能需要为未加入域的计算机创建 DNS 记录、为负载均衡器配置虚拟 IP 地址,或者设置外部 DNS 转发器。 属于 AAD DC 管理员 组的用户在域服务托管域上被授予 DNS 管理权限,并且可以创建和编辑自定义 DNS 记录。
在混合环境中,在其他 DNS 命名空间(如本地 AD DS 环境)中配置的 DNS 区域和记录不会同步到托管域。 若要解析其他 DNS 命名空间中的命名资源,请创建并使用指向环境中的现有 DNS 服务器的条件转发器。
域服务在正常操作期间与多个 Azure 终结点通信。 重定向 file.core.windows.net 或 blob.core.windows.net 等区域会使域服务处于不可支持状态。
不要重定向与 windowsazure.com 或 core.windows.net 相关的 DNS 区域。 如果需要 DNS 重定向,请将重定向限制为单个主机名,而不是区域。 例如,使用 server1.file.core.windows.net 而不是 file.core.windows.net。
注释
不支持将“使用根提示”选项设置为“启用”或将服务器级 DNS 转发器更改为除 168.63.129.16 以外的其他地址,这将导致 Entra Domain Services 托管域出现问题。 避免修改这些设置,因为它可能会导致不受支持的租户配置。 如果在将 DNS 配置为受支持的状态时遇到问题,请联系Microsoft支持人员获取帮助。
本文介绍如何安装 DNS 服务器工具,然后使用 DNS 控制台管理记录并在域服务中创建条件转发器。
在您开始之前
若要完成本文,需要以下资源和权限:
- 有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与您的订阅关联的 Microsoft Entra 租户,可以是与本地目录同步的,也可以是仅限于云端的目录。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 请根据需要完成创建并配置 Microsoft Entra 域服务托管域的教程。
- 从您的域服务虚拟网络到其他 DNS 命名空间托管位置的连接方式。
- 可以使用 Azure ExpressRoute 或 Azure VPN 网关 连接提供此连接。
- 加入托管域的 Windows Server 管理虚拟机。
- 如果需要,请完成创建 Windows Server VM 并将其加入到托管域的教程。
- 属于 Microsoft Entra 租户中“Microsoft Entra DC 管理员”组的用户帐户。
安装 DNS 服务器工具
若要在托管域中创建和修改 DNS 记录,需要安装 DNS 服务器工具。 这些工具可以作为 Windows Server 中的一项功能进行安装。 有关如何在 Windows 客户端上安装管理工具的详细信息,请参阅安装远程服务器管理工具 (RSAT)。
登录到管理 VM。 有关如何使用 Microsoft Entra 管理中心进行连接的步骤,请参阅连接到 Windows Server VM。
如果在登录 VM 时服务器管理器默认情况下未打开,请选择“开始”菜单,然后选择“服务器管理器”。
在服务器管理器窗口的仪表板窗格中,选择添加角色和功能。
在添加角色和功能向导的准备工作页上,选择下一步。
对于安装类型,请选中基于角色或基于功能的安装选项,然后选择下一步。
在服务器选择页上,从服务器池中选择当前的 VM(例如 myvm.aaddscontoso.com),然后选择下一步。
在服务器角色页上,单击下一步。
在 “功能 ”页上,展开 “远程服务器管理工具” 节点,然后展开 “角色管理工具” 节点。 从角色管理工具列表中选择 DNS 服务器工具 功能。
在“确认”页上选择“安装”。 安装 DNS 服务器工具可能需要一两分钟的时间。
功能安装完成后,选择关闭退出添加角色和功能向导。
打开 DNS 管理控制台以管理 DNS
安装 DNS 服务器工具后,可以在托管域上管理 DNS 记录。
注释
若要管理托管域中的 DNS,必须登录到属于 AAD DC 管理员 组成员的用户帐户。
在“开始”屏幕中选择“管理工具”。 将显示可用管理工具的列表,包括上一部分中安装的 DNS 。 选择 DNS 以启动 DNS 管理控制台。
在“ 连接到 DNS 服务器 ”对话框中,选择 以下计算机,然后输入托管域的 DNS 域名,例如 aaddscontoso.com:
DNS 控制台连接到指定的托管域。 展开 “正向查找区域 ”或 “反向查找区域 ”以创建所需的 DNS 条目或根据需要编辑现有记录。
警告
使用 DNS 服务器工具管理记录时,请确保不要删除或修改域服务使用的内置 DNS 记录。 内置 DNS 记录包括域 DNS 记录、名称服务器记录以及用于 DC 位置的其他记录。 如果修改这些记录,则虚拟网络上的域服务会中断。
创建条件转发器
域服务 DNS 区域应仅包含托管域本身的区域和记录。 不要在托管域中创建其他区域,以解析其他 DNS 命名空间中的命名资源。 而应使用托管域中的条件转发器告知 DNS 服务器要前往哪里来解析这些资源的地址。
条件转发器是 DNS 服务器中的配置选项,可用于定义 DNS 域,例如 contoso.com,以便将查询转发到该域。 而不是由本地 DNS 服务器尝试解析该域中记录的查询,DNS 查询将被转发到为该域配置的 DNS。 此配置可确保返回正确的 DNS 记录,因为不会在托管域中创建具有重复记录的本地 DNS 区域,以反映这些资源。
若要在托管域中创建条件转发器,请完成以下步骤:
选择 DNS 区域,例如 aaddscontoso.com。
选择 条件转发器,然后右键单击并选择 “新建条件转发器...”
输入你的其他 DNS 域,例如 contoso.com,然后输入该命名空间的 DNS 服务器的 IP 地址,如以下示例所示:
选中“在 Active Directory 中存储此条件转发器,并按如下方式复制它”复选框,然后选择“此域中的所有 DNS 服务器”选项,如以下示例所示:
重要
如果条件转发器存储在林中而不是域中,则条件转发器会失败。
若要创建条件转发器,请选择“确定”。
连接到托管域的虚拟机现在应能正确解析来自其他命名空间的资源名称。 条件转发器中配置的 DNS 域的查询将传递给相关的 DNS 服务器。
后续步骤
有关管理 DNS 的详细信息,请参阅 TechNet 上的 DNS 工具文章。