Verwalten von DNS und Erstellen von bedingten Weiterleitungen in einer verwalteten Domäne von Microsoft Entra Domain Services

Microsoft Entra Domain Services umfasst einen DNS (Domain Name System)-Server, der die Namensauflösung für die verwaltete Domäne bereitstellt. Dieser DNS-Server enthält integrierte DNS-Einträge und Updates für die wichtigsten Komponenten, die die Ausführung des Dienstes ermöglichen.

Wenn Sie Ihre eigenen Anwendungen und Dienste ausführen, müssen Sie unter Umständen DNS-Einträge für nicht in die Domäne eingebundene Computer erstellen, virtuelle IP-Adressen für Load Balancer konfigurieren oder externe DNS-Weiterleitungen einrichten. Benutzern, die zur Gruppe "AAD DC-Administratoren " gehören, werden DNS-Verwaltungsberechtigungen für die verwaltete Domäne der Domänendienste gewährt und können benutzerdefinierte DNS-Einträge erstellen und bearbeiten.

In einer Hybridumgebung werden in anderen DNS-Namespaces (z. B. in einer lokalen AD DS-Umgebung) konfigurierte DNS-Zonen und DNS-Einträge nicht mit der verwalteten Domäne synchronisiert. Um benannte Ressourcen in anderen DNS-Namespaces aufzulösen, erstellen und verwenden Sie bedingte Weiterleitungen, die auf vorhandene DNS-Server in Ihrer Umgebung verweisen.

Domänendienste kommunizieren bei normalen Vorgängen mit mehreren Azure-Endpunkten. Umleitungszonen wie file.core.windows.net oder blob.core.windows.net versetzt Domänendienste in einen nicht unterstützten Zustand.

Vermeiden Sie die Umleitung von DNS-Zonen im Zusammenhang mit windowsazure.com oder core.windows.net. Wenn die DNS-Umleitung erforderlich ist, beschränken Sie die Umleitung auf einzelne Hostnamen anstelle von Zonen. Verwenden Sie z. B. server1.file.core.windows.net anstelle von file.core.windows.net.

Hinweis

Das Erstellen oder Ändern von Stammhinweisen oder DNS-Weiterleitungen auf Serverebene wird nicht unterstützt und verursacht Probleme für die verwaltete Domäne der Domänendienste.

In diesem Artikel erfahren Sie, wie Sie die DNS-Servertools installieren und dann die DNS-Konsole verwenden, um Datensätze zu verwalten und bedingte Weiterleitungen in Domänendiensten zu erstellen.

Bevor Sie anfangen

Um diesen Artikel abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Eine verwaltete Domäne von Microsoft Entra Domain Services ist in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert.
  • Führen Sie bei Bedarf das Lernprogramm aus, um eine verwaltete Domäne von Microsoft Entra Domain Services zu erstellen und zu konfigurieren.
• Konnektivität von Ihrem virtuellen Netzwerk für Domänendienste mit dem Ort, an dem Ihre anderen DNS-Namespaces gehostet werden.
  • Diese Verbindung kann mit einer Azure ExpressRoute - oder Azure VPN-Gatewayverbindung bereitgestellt werden.
• Eine Windows Server-Verwaltungs-VM, die der verwalteten Domäne beigetreten ist.
  • Führen Sie bei Bedarf das Lernprogramm aus, um einen virtuellen Windows Server-Computer zu erstellen und ihn mit einer verwalteten Domäne zu verbinden.
• Ein Benutzerkonto, das Mitglied der Microsoft Entra DC-Administratorgruppe in Ihrem Microsoft Entra-Mandanten ist.

Installieren von DNS-Servertools

Um DNS-Einträge in einer verwalteten Domäne zu erstellen und zu ändern, müssen Sie die DNS-Servertools installieren. Diese Tools können als Feature in Windows Server installiert werden. Weitere Informationen zum Installieren der Verwaltungstools auf einem Windows-Client finden Sie unter "Remote Server Administration Tools (RSAT)".

1. Melden Sie sich bei Ihrer Verwaltungs-VM an. Schritte zum Herstellen einer Verbindung mit dem Microsoft Entra Admin Center finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.

2. Wenn der Server-Manager nicht standardmäßig geöffnet wird, wenn Sie sich bei der VM anmelden, wählen Sie das Startmenü und dann den Server-Manager aus.

3. Wählen Sie im Dashboardbereich des Fensters "Server-Manager " die Option "Rollen und Features hinzufügen" aus.

4. Wählen Sie auf der Seite "Bevor Sie beginnen" des Assistenten zum Hinzufügen von Rollen und FunktionenWeiter aus.

5. Lassen Sie für den Installationstyp die Option " Rollenbasierte oder featurebasierte Installation " aktiviert, und wählen Sie "Weiter" aus.

6. Wählen Sie auf der Seite "Serverauswahl " den aktuellen virtuellen Computer aus dem Serverpool aus, z. B. myvm.aaddscontoso.com, und wählen Sie dann "Weiter" aus.

7. Klicken Sie auf der Seite "Serverrollen " auf "Weiter".

8. Erweitern Sie auf der Seite "Features " den Knoten " Remoteserver-Verwaltungstools ", und erweitern Sie dann den Knoten "Rollenverwaltungstools ". Wählen Sie das Feature DNS-Servertools in der Liste der Rollenverwaltungstools aus.

   

9. Wählen Sie auf der Seite "Bestätigung " die Option "Installieren" aus. Es kann eine oder zwei Minuten dauern, bis die DNS-Servertools installiert werden.

10. Wenn die Featureinstallation abgeschlossen ist, wählen Sie "Schließen " aus, um den Assistenten zum Hinzufügen von Rollen und Features zu beenden.

Öffnen der DNS-Verwaltungskonsole zum Verwalten von DNS

Wenn die DNS-Servertools installiert sind, können Sie DNS-Einträge in der verwalteten Domäne verwalten.

Hinweis

Um DNS in einer verwalteten Domäne zu verwalten, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe "AAD DC-Administratoren " ist.

1. Wählen Sie auf dem Startbildschirm " Verwaltungstools" aus. Eine Liste der verfügbaren Verwaltungstools wird angezeigt, einschließlich des im vorherigen Abschnitt installierten DNS . Wählen Sie DNS aus, um die DNS-Verwaltungskonsole zu starten.

2. Wählen Sie im Dialogfeld "Mit DNS-Server verbinden " den folgenden Computer aus, und geben Sie dann den DNS-Domänennamen der verwalteten Domäne ein, z. B. aaddscontoso.com:

   

3. Die DNS-Konsole stellt eine Verbindung mit der angegebenen verwalteten Domäne bereit. Erweitern Sie die Forward Lookup Zones oder Reverse Lookup Zones , um Ihre erforderlichen DNS-Einträge zu erstellen oder vorhandene Einträge nach Bedarf zu bearbeiten.

   

Warnung

Wenn Sie Einträge mithilfe der DNS-Servertools verwalten, stellen Sie sicher, dass Sie die integrierten DNS-Einträge, die von Domänendiensten verwendet werden, nicht löschen oder ändern. Zu den integrierten DNS-Einträgen zählen Domänen-DNS-Einträge, Namenservereinträge sowie weitere für den DC-Standort verwendete Einträge. Wenn Sie diese Einträge ändern, werden Domänendienste im virtuellen Netzwerk unterbrochen.

Erstellen bedingter Weiterleitungen

Eine DNS-Zone der Domänendienste sollte nur die Zone und Einträge für die verwaltete Domäne selbst enthalten. Erstellen Sie keine zusätzlichen Zonen in der verwalteten Domäne, um benannte Ressourcen in anderen DNS-Namespaces aufzulösen. Verwenden Sie stattdessen bedingte Weiterleitungen in der verwalteten Domäne, um dem DNS-Server mitzuteilen, wo er gehen soll, um Adressen für diese Ressourcen aufzulösen.

Eine bedingte Weiterleitung ist eine Konfigurationsoption in einem DNS-Server, mit der Sie eine DNS-Domäne definieren können, z. B. contoso.com, um Abfragen weiterzuleiten. Anstatt dass der lokale DNS-Server versucht, Abfragen für Einträge in dieser Domäne aufzulösen, werden DNS-Abfragen an das konfigurierte DNS für diese Domäne weitergeleitet. Diese Konfiguration stellt sicher, dass die richtigen DNS-Einträge zurückgegeben werden, da Sie keine lokale DNS-Zone mit doppelten Einträgen in der verwalteten Domäne erstellen, um diese Ressourcen widerzuspiegeln.

Führen Sie die folgenden Schritte aus, um eine bedingte Weiterleitung in Ihrer verwalteten Domäne zu erstellen:

1. Wählen Sie Ihre DNS-Zone aus, z. B. aaddscontoso.com.

2. Wählen Sie „Bedingte Weiterleitungen“ aus, rechtsklicken Sie darauf und wählen Sie „Neue bedingte Weiterleitung…“ aus.

3. Geben Sie Ihre andere DNS-Domäne ein, z. B. contoso.com, und geben Sie dann die IP-Adressen der DNS-Server für diesen Namespace ein, wie im folgenden Beispiel gezeigt:

   

4. Aktivieren Sie das Kontrollkästchen für Speichern Sie diese bedingte Weiterleitung in Active Directory und replizieren Sie sie wie folgt, und wählen Sie dann die Option für Alle DNS-Server in dieser Domäne, wie im folgenden Beispiel gezeigt:

   

   Von Bedeutung

   Wenn die bedingte Weiterleitung in der Gesamtstruktur anstelle der Domäne gespeichert wird, führt sie zu einem Fehler.

5. Um die bedingte Weiterleitung zu erstellen, wählen Sie "OK" aus.

Die Namensauflösung der Ressourcen in anderen Namespaces von VMs, die mit der verwalteten Domäne verbunden sind, sollte jetzt ordnungsgemäß erfolgen. Abfragen für die in der bedingten Weiterleitung konfigurierte DNS-Domäne werden an die relevanten DNS-Server übergeben.

Nächste Schritte

Weitere Informationen zum Verwalten von DNS finden Sie im Artikel zu DNS-Tools auf TechNet.