DNS-Integration in ein Azure Stack Hub-Rechenzentrum
Um von außerhalb eines Azure Stack Hub-Rechenzentrums auf Azure Stack Hub-Endpunkte wie portal, adminportal, management und adminmanagement zugreifen zu können, müssen Sie die Azure Stack Hub-DNS-Dienste in die DNS-Server integrieren, die die DNS-Zonen hosten, die Sie in Azure Stack Hub verwenden möchten.
DNS-Namespace von Azure Stack Hub
Sie müssen einige wichtige Informationen zum DNS angeben, wenn Sie Azure Stack Hub bereitstellen.
| Feld | BESCHREIBUNG | Beispiel |
|---|---|---|
| Region | Der geografische Standort Ihrer Azure Stack Hub-Bereitstellung. | east |
| Externer Domänenname | Der Name der Zone, die Sie für Ihre Azure Stack Hub-Bereitstellung verwenden möchten. | cloud.fabrikam.com |
| Interner Domänenname | Der Name der internen Zone, die für die Infrastrukturdienste in Azure Stack Hub verwendet wird. Sie ist in den Verzeichnisdienst integriert und privat (nicht von außerhalb der Azure Stack Hub-Bereitstellung erreichbar). | azurestack.local |
| DNS-Weiterleitungen | DNS-Server, die zum Weiterleiten von DNS-Abfragen verwendet werden, DNS-Zonen und -Einträge, die außerhalb von Azure Stack Hub gehostet werden – entweder im Unternehmensintranet oder im öffentlichen Internet. Sie können den Wert für die DNS-Weiterleitung nach der Bereitstellung mit dem Set-AzSDnsForwarder-Cmdlet bearbeiten. | |
| Namenspräfix (optional) | Das Namenspräfix, das die Computernamen der Rolleninstanz Ihrer Azure Stack Hub-Infrastruktur aufweisen sollen. Wenn dieses nicht angegeben wird, lautet der Standardwert azs. |
azs |
Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) Ihrer Azure Stack Hub-Bereitstellung und -Endpunkte ist die Kombination aus den Parametern „Region“ und „externer Domänenname“. Wenn die Werte aus den Beispielen der vorherigen Tabelle verwendet werden, lautet der vollqualifizierte Domänenname für diese Azure Stack Hub-Bereitstellung folgendermaßen:
east.cloud.fabrikam.com
Beispiele für einige Endpunkte dieser Bereitstellung würden wie folgende URLs aussehen:
https://portal.east.cloud.fabrikam.com
https://management.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
https://adminmanagement.east.cloud.fabrikam.com
Für die Verwendung dieses DNS-Beispielnamespace für eine Azure Stack Hub-Bereitstellung gelten die folgenden Bedingungen:
- Die Zone
fabrikam.comist entweder mit einer Domänenregistrierungsstelle, einem internen DNS-Unternehmensserver oder beidem registriert. Dies ist abhängig von Ihren Anforderungen für die Namensauflösung. - Die untergeordnete Domäne
cloud.fabrikam.comist in der Zonefabrikam.comvorhanden. - Die DNS-Server, die die Zonen
fabrikam.comundcloud.fabrikam.comhosten, sind von der Azure Stack Hub-Bereitstellung aus erreichbar.
Damit Sie die DNS-Namen für Azure Stack Hub-Endpunkte und -Instanzen von außerhalb von Azure Stack Hub auflösen können, müssen Sie die DNS-Server zum Hosten der externen DNS-Zonen für Azure Stack Host mit den DNS-Servern integrieren, die die zu verwendende übergeordnete Zone hosten.
DNS-Namensbezeichnungen
Azure Stack Hub unterstützt das Hinzufügen einer DNS-Namensbezeichnung zu einer öffentlichen IP-Adresse, um eine Namensauflösung für öffentliche IP-Adressen zu ermöglichen. Benutzer können DNS-Bezeichnungen als bequeme Möglichkeit nutzen, um in Azure Stack Hub gehostete Apps und Dienste anhand des Namens zu erreichen. Die DNS-Namensbezeichnung verwendet einen etwas anderen Namespace als die Infrastrukturendpunkte. Gemäß dem vorherigen Beispiel-Namespace sieht der Namespace für DNS-Namensbezeichnungen wie folgt aus:
*.east.cloudapp.cloud.fabrikam.com
Wenn ein Mandant daher den Wert Myapp im Feld für die DNS-Namensbezeichnung einer öffentlichen IP-Adresse angibt, wird auf dem externen DNS-Server von Azure Stack Hub ein A-Eintrag für myapp in der Zone east.cloudapp.cloud.fabrikam.com erstellt. Daraus ergibt sich der folgende voll qualifizierte Domänenname:
myapp.east.cloudapp.cloud.fabrikam.com
Wenn Sie diese Funktionalität und diesen Namespace verwenden möchten, müssen Sie die DNS-Server, die die externe DNS-Zone für Azure Stack Hub hosten, in die DNS-Server integrieren, die die übergeordnete Zone hosten, die Sie verwenden möchten. Dieser Namespace unterscheidet sich vom Namespace für die Azure Stack Hub-Dienstendpunkte. Daher müssen Sie eine andere Delegierungs- oder bedingte Weiterleitungsregel erstellen.
Weitere Informationen zur Funktionsweise der DNS-Namensbezeichnung finden Sie unter Verwenden von DNS in Azure Stack Hub.
Auflösung und Delegierung
Es gibt zwei Arten von DNS-Server:
- Ein autoritativer DNS-Server hostet DNS-Zonen. Er antwortet nur auf DNS-Abfragen nach Einträgen für diese Zonen.
- Ein rekursiver DNS-Server hostet keine DNS-Zonen. Er reagiert auf alle DNS-Abfragen durch Aufrufen der autoritativen DNS-Server, um die benötigten Daten zu erfassen.
Azure Stack Hub enthält autoritative und rekursive DNS-Server. Die rekursiven Server werden verwendet, um alle Namen außer denen der internen privaten Zone und der externen öffentlichen DNS-Zone für diese Azure Stack Hub-Bereitstellung aufzulösen.
Auflösen von externen DNS-Namen in Azure Stack Hub
Um DNS-Namen für Endpunkte außerhalb von Azure Stack Hub aufzulösen (z. B. www.bing.com), müssen Sie DNS-Server bereitstellen, die Azure Stack Hub zum Weiterleiten von DNS-Anforderungen verwenden kann, für die Azure Stack Hub nicht autoritativ ist. Für die Bereitstellung sind DNS-Server, an die Azure Stack Hub Anforderungen weiterleitet, im Bereitstellungsarbeitsblatt (im Feld DNS-Weiterleitung ) erforderlich. Geben Sie für die Fehlertoleranz mindestens zwei Server in diesem Feld an. Ohne diese Werte kommt es bei der Azure Stack Hub-Bereitstellung zu Fehlern. Sie können die DNS-Weiterleitungswerte mit dem Cmdlet nach der Set-AzSDnsForwarder Bereitstellung bearbeiten.
Wenn die externen DNS-Weiterleitungsserver eine von Azure Stack Hub weitergeleitete DNS-Anforderung nicht auflösen können, versucht der interne rekursive DNS-Resolverdienst standardmäßig, die DNS-Stammhinweisserver zu kontaktieren. Dieses Fallbackverhalten entspricht den DNS-Servernamenauflösungsstandards. Die Internetstammhinweisserver werden verwendet, um DNS-Adressinformationen aufzulösen, wenn die DNS-Weiterleitungsserver die Abfrage nicht lokal aus einer gehosteten Zone oder dem DNS-Servercache auflösen können.
Verwenden Sie zum Verwalten der EINSTELLUNG DNS-Stammhinweise für den internen DNS-Namensauflösungsdienst in Azure Stack Hub das Get-AzSDnsServerSettings Cmdlet, um die aktuelle Konfiguration anzuzeigen. Die Standardeinstellung ist aktiviert. Das Set-AzSDnsServerSettings Cmdlet aktiviert oder deaktiviert die -UseRootHint-Konfiguration der internen DNS-Server.
Hinweis
In Szenarien, in denen Azure Stack Hub keine Verbindung mit den Internet-DNS-Stammhinweisservern herstellen kann, z. B. UDP-Port 53 (DNS), bei denen der Netzwerkzugriff dauerhaft blockiert oder vollständig getrennt/air-gaped ist, wird empfohlen, die Einstellung zu deaktivieren, um erweiterte Timeouts bei der -UseRootHint DNS-Namensauflösung zu verhindern. Verwenden Sie das Set-AzSDnsServerSettings Cmdlet, um diese Einstellung zu steuern.
Konfigurieren der bedingten DNS-Weiterleitung
Wichtig
Diese Informationen gelten nur für eine AD FS-Bereitstellung.
Um die Namensauflösung mit Ihrer vorhandenen DNS-Infrastruktur zu ermöglichen, konfigurieren Sie eine bedingte Weiterleitung.
Zum Hinzufügen einer bedingten Weiterleitung müssen Sie den privilegierten Endpunkt verwenden.
Verwenden Sie für diesen Vorgang einen Computer in Ihrem Rechenzentrumsnetzwerk, der mit dem privilegierten Endpunkt in Azure Stack Hub kommunizieren kann.
Öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Rechten (Als Administrator ausführen), und stellen Sie eine Verbindung zur IP-Adresse des privilegierten Endpunkts her. Verwenden Sie die Anmeldeinformationen für die CloudAdmin-Authentifizierung.
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $credNachdem Sie eine Verbindung mit dem privilegierten Endpunkt hergestellt haben, führen Sie folgenden PowerShell-Befehl aus. Ersetzen Sie die bereitgestellten Beispielwerte durch Ihren Domänennamen und die IP-Adressen des DNS-Servers, den Sie verwenden möchten.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Auflösen von Azure Stack Hub-DNS-Namen von außerhalb von Azure Stack Hub
Die autoritativen Server enthalten die Informationen zu externen DNS-Zonen und zu allen vom Benutzer erstellten Zonen. Integrieren Sie diese Server, um die Zonendelegierung oder die bedingte Weiterleitung für das Auflösen von Azure Stack Hub-DNS-Namen von außerhalb von Azure Stack Hub zu aktivieren.
Erhalten der externen Endpunktinformationen des DNS-Servers
Sie benötigen folgende Informationen, um Ihre Azure Stack Hub-Bereitstellung in Ihre DNS-Infrastruktur zu integrieren:
- Vollqualifizierte Domänennamen des DNS-Servers
- IP-Adressen des DNS-Servers
Die vollqualifizierten Domänennamen für die Azure Stack Hub-DNS-Server weisen folgendes Format auf:
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
Wenn Sie die Beispielwerte verwenden, sind die FQDNs für die DNS-Server:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Diese Informationen werden nach Abschluss aller Azure Stack Hub-Bereitstellungen in einer Datei namens AzureStackStampInformation.json erfasst. Diese Datei befindet sich im Ordner C:\CloudDeployment\logs des virtuellen Computers der Bereitstellung. Wenn Sie nicht sicher sind, welche Werte für Ihre Azure Stack Hub-Bereitstellung verwendet werden, können Sie die Werte hier nachsehen.
Wenn der virtuelle Computer für die Bereitstellung nicht mehr verfügbar ist oder nicht darauf zugegriffen werden kann, können Sie die Werte erhalten, indem Sie eine Verbindung mit dem privilegierten Endpunkt herstellen und das PowerShell-Cmdlet Get-AzureStackStampInformation ausführen. Weitere Informationen finden Sie unter Privilegierter Endpunkt.
Einrichten der bedingten Weiterleitung an Azure Stack Hub
Der einfachste und sicherste Weg, um Azure Stack Hub in Ihre DNS-Infrastruktur zu integrieren, ist die bedingte Weiterleitung der Zone von dem Server aus, der die übergeordnete Zone hostet. Dieser Ansatz wird empfohlen, wenn Sie die direkte Kontrolle über die DNS-Server besitzen, die die übergeordnete Zone für Ihren externen DNS-Namespace von Azure Stack Hub hosten.
Wenn Sie nicht mit der bedingten Weiterleitung mit DNS vertraut sind, finden Sie weitere Informationen im TechNet-Artikel Assign a Conditional Forwarder for a Domain Name (Zuweisen einer bedingten Weiterleitung für einen Domänennamen) oder in der spezifischen Dokumentation für Ihre DNS-Lösung.
In Szenarien, in denen Sie angegeben haben, dass Ihre externe Azure Stack Hub-DNS-Zone wie die untergeordnete Domäne des Namens Ihrer Unternehmensdomäne aussehen soll, kann die bedingte Weiterleitung nicht verwendet werden. Die DNS-Delegierung muss konfiguriert werden.
Beispiel:
- Name der DNS-Unternehmensdomäne:
contoso.com - Externer Azure Stack Hub-DNS-Domänenname:
azurestack.contoso.com
Bearbeiten von IP-Adressen der DNS-Weiterleitung
DNS-Weiterleitungs-IPs werden während der Bereitstellung von Azure Stack Hub festgelegt. Wenn die Weiterleitungs-IPs jedoch aus irgendeinem Grund aktualisiert werden müssen, können Sie die Werte bearbeiten, indem Sie eine Verbindung mit dem privilegierten Endpunkt herstellen und die Get-AzSDnsForwarder PowerShell-Cmdlets und Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] ausführen. Weitere Informationen finden Sie unter Privilegierter Endpunkt.
Delegieren der externen DNS-Zone an Azure Stack Hub
Damit DNS-Namen von außerhalb einer Azure Stack Hub-Bereitstellung auflösbar sind, müssen Sie eine DNS-Delegierung einrichten.
Jede Registrierungsstelle hat seine eigenen DNS-Verwaltungstools, um die Namenservereinträge für eine Domäne zu ändern. Bearbeiten Sie auf der DNS-Verwaltungsseite der Registrierungsstelle die NS-Einträge, und ersetzen Sie die NS-Einträge für die Zone durch die in Azure Stack Hub erstellten Einträge.
Die meisten DNS-Registrierungsstellen erfordern, dass Sie mindestens zwei DNS-Server angeben, um die Delegierung abzuschließen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für