Administrar DNS y crear reenviadores condicionales en un dominio administrado de Microsoft Entra Domain Services

Microsoft Entra Domain Services incluye un servidor de Sistema de nombres de dominio (DNS) que proporciona la resolución de nombres para el dominio administrado. Este servidor DNS incluye registros y actualizaciones de DNS integrados para los componentes clave que permiten la ejecución del servicio.

Cuando ejecute sus propias aplicaciones y servicios, podría tener que crear registros de DNS para las máquinas que no están unidas al dominio, configurar direcciones IP virtuales para los equilibradores de carga o configurar reenviadores DNS externos. A los usuarios que pertenecen al grupo Administradores de controlador de dominio de AAD se les conceden privilegios de administración de DNS en el dominio administrado de Domain Services y se pueden crear y editar registros DNS personalizados.

En un entorno híbrido, las zonas DNS y los registros configurados en otros espacios de nombres DNS, como un entorno de AD DS local, no se sincronizan con el dominio administrado. Para resolver los recursos con nombre en otros espacios de nombres DNS, cree y use reenviadores condicionales que apunten a los servidores DNS existentes de su entorno.

Domain Services se comunica con varios puntos de conexión de Azure durante las operaciones normales. La redirección de zonas como file.core.windows.net o blob.core.windows.net coloca Domain Services en un estado no compatible.

Evite redirigir zonas DNS relacionadas con windowsazure.com o core.windows.net. Si se requiere redirección dns, limite la redirección a nombres de host individuales en lugar de zonas. Por ejemplo, use server1.file.core.windows.net en lugar de file.core.windows.net.

Nota:

No se admite la configuración de la opción "Use Root Hints" (Usar sugerencias de raíz) en Enable (Habilitar) o el cambio del reenviador DNS a nivel de servidor a cualquier otra cosa que no sea 168.63.129.16, lo que causará problemas con los dominios administrados por Entra Domain Services. Evite modificar esta configuración, ya que puede provocar una configuración no admitida para el inquilino. Si tiene dificultades para configurar DNS en un estado admitido, póngase en contacto con el soporte técnico de Microsoft para obtener ayuda.

En este artículo se muestra cómo instalar las herramientas del servidor DNS y, a continuación, usar la consola DNS para administrar registros y crear reenviadores condicionales en Domain Services.

Antes de empezar

Para completar este artículo, necesita los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio local o un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el cliente de Microsoft Entra.
  • Si es necesario, complete el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
• Conectividad desde la red virtual de Domain Services hacia donde están hospedados tus otros espacios de nombres DNS.
  • Esta conectividad se puede proporcionar con una conexión de Azure ExpressRoute o Azure VPN Gateway .
• Una máquina virtual de administración de Windows Server que está unida al dominio administrado.
  • Si es necesario, complete el tutorial para crear una máquina virtual de Windows Server y unirla a un dominio administrado.
• Una cuenta de usuario que sea miembro del Administradores de Microsoft Entra DC grupo en el inquilino de Microsoft Entra.

Instalación de herramientas del servidor DNS

Para crear y modificar registros DNS en un dominio administrado, debe instalar las herramientas del servidor DNS. Estas herramientas se pueden instalar como una característica en Windows Server. Para obtener más información sobre cómo instalar las herramientas administrativas en un cliente de Windows, consulte cómo se instalan las herramientas de administración remota del servidor (RSAT).

1. Inicie sesión en la máquina virtual de administración. Para los pasos sobre cómo conectarse usando el centro de administración de Microsoft Entra, consulte Conectarse a una máquina virtual de Windows Server.

2. Si el Administrador del servidor no se abre de forma predeterminada al iniciar sesión en la máquina virtual, seleccione el menú Inicio y elija Administrador del servidor.

3. En el Panel de información de la ventana Administrador del servidor, seleccione Agregar roles y características.

4. En la página Antes de comenzar del Asistente para agregar roles y características, seleccione Siguiente.

5. En Tipo de instalación, deje activada la opción Instalación basada en características o en roles y seleccione Siguiente.

6. En la página Selección de servidor, elija la máquina virtual actual del grupo de servidores, por ejemplo mivm.aaddscontoso.com, y seleccione Siguiente.

7. En la página Roles de servidor, haga clic en Siguiente.

8. En la página Características , expanda el nodo Herramientas de administración remota del servidor y, a continuación, expanda el nodo Herramientas de administración de roles. Seleccione la característica Herramientas del servidor DNS en la lista de herramientas de administración de roles.

   

9. En la página Confirmación, seleccione Instalar. Las herramientas del servidor DNS pueden tardar un minuto o dos en instalarse.

10. Cuando finalice la instalación de la característica, haga clic en Cerrar para salir del Asistente para Agregar roles y características.

Abra la consola de administración de DNS para administrar DNS.

Con las herramientas del servidor DNS instaladas, puede administrar registros DNS en el dominio administrado.

Nota:

Para administrar DNS en un dominio gestionado, debe iniciar sesión en una cuenta de usuario que sea miembro del grupo AAD DC Administrators.

1. En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles, incluido DNS instalado en la sección anterior. Seleccione DNS para iniciar la consola de administración de DNS.

2. En el cuadro de diálogo Conectar al servidor DNS , seleccione El siguiente equipo y escriba el nombre de dominio DNS del dominio administrado, como aaddscontoso.com:

   

3. La consola DNS se conecta al dominio administrado especificado. Expanda las zonas de búsqueda directa o las zonas de búsqueda inversa para crear las entradas DNS necesarias o editar los registros existentes según sea necesario.

   

Advertencia

Al administrar registros mediante las herramientas del servidor DNS, asegúrese de no eliminar ni modificar los registros DNS integrados que usan Domain Services. Los registros DNS integrados incluyen registros DNS de dominio, registros de servidor de nombres y otros registros usados para la ubicación del controlador de dominio. Si modifica estos registros, los servicios de dominio se interrumpen en la red virtual.

Creación de reenviadores condicionales

Una zona DNS de Domain Services solo debe contener la zona y los registros del propio dominio administrado. No cree zonas adicionales en el dominio administrado para resolver recursos con nombre en otros espacios de nombres DNS. En su lugar, use reenviadores condicionales en el dominio administrado para indicar al servidor DNS dónde ir para resolver las direcciones de esos recursos.

Un reenviador condicional es una opción de configuración en un servidor DNS que permite definir un dominio DNS, como contoso.com, para reenviar consultas. En lugar del servidor DNS local que intenta resolver consultas de registros en ese dominio, las consultas DNS se reenvieron al DNS configurado para ese dominio. Esta configuración garantiza que se devuelvan los registros DNS correctos, ya que no se crea una zona DNS local con registros duplicados en el dominio administrado para reflejar esos recursos.

Para crear un reenviador condicional en el dominio administrado, complete los pasos siguientes:

1. Seleccione la zona DNS, como aaddscontoso.com.

2. Seleccione Reenviadores condicionales, haga clic con el botón derecho y seleccione Nuevo reenviador condicional…

3. Introduce tu otro dominio DNS, como contoso.com. A continuación, introduce las direcciones IP de los servidores DNS para ese espacio de nombres, como se muestra en el ejemplo siguiente:

   

4. Active la casilla de Almacenar este reenviador condicional en Active Directory y repliquelo de la siguiente manera, luego seleccione la opción Todos los servidores DNS de este dominio, como se muestra en el ejemplo siguiente:

   

   Importante

   Si el reenviador condicional se almacena en el bosque en lugar de en el dominio , el reenviador condicional falla.

5. Para crear el reenviador condicional, seleccione Aceptar.

La resolución de nombres de los recursos en otros espacios de nombres de las VM conectadas al dominio administrado deberían resolverse correctamente. Las consultas del dominio DNS configurado en el reenviador condicional se pasan a los servidores DNS pertinentes.

Pasos siguientes

Para más información sobre la administración de DNS, consulte el artículo Herramientas de DNS en TechNet.