Microsoft Entra Domain Services マネージド ドメインで DNS を管理し、条件付きフォワーダーを作成する

Microsoft Entra Domain Services に含まれるドメイン ネーム システム (DNS) サーバーによって、マネージド ドメインの名前が解決されます。 この DNS サーバーには、サービスの実行を可能にする重要なコンポーネントに対する組み込みの DNS レコードと更新プログラムが含まれます。

独自のアプリケーションやサービスを実行するとき、ドメインに参加していないコンピューターの DNS レコードを作成したり、ロード バランサーの仮想 IP アドレスを構成したり、外部 DNS フォワーダーを設定したりすることが必要になる場合があります。 "AAD DC 管理者" グループに属するユーザーには、Domain Services マネージド ドメインの DNS 管理者権限が付与され、カスタムの DNS レコードを作成、編集できます。

ハイブリッド環境では、オンプレミスの AD DS 環境など、他の DNS 名前空間内で構成されている DNS ゾーンとレコードは、マネージド ドメインに同期されません。 他の DNS 名前空間で名前付きリソースを解決するには、環境内の既存の DNS サーバーを指す条件付きフォワーダーを作成して使用します。

Domain Services は、通常の操作中に複数の Azure エンドポイントと通信します。 file.core.windows.net や blob.core.windows.net などのゾーンをリダイレクトすると、Domain Services はサポートできない状態になります。

windowsazure.com または core.windows.net に関連する DNS ゾーンのリダイレクトを控えます。 DNS リダイレクトが必要な場合、ゾーンではなく、個々のホスト名にリダイレクトを制限します。 たとえば、file.core.windows.net の代わりに server1.file.core.windows.net を使用します。

Note

ルート ヒントまたはサーバーレベルの DNS フォワーダーの作成または変更はサポートされておらず、Domain Services マネージド ドメインの問題を引き起こします。

この記事では、DNS サーバー ツールをインストールしてから、DNS コンソールを使用して Domain Services でレコードを管理し、条件付きフォワーダーを作成する方法について説明します。

開始する前に

この記事を完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション
  • Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
• ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
  • 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
• Microsoft Entra テナントで有効にされていて、構成されている Microsoft Entra Domain Services マネージド ドメイン。
  • 必要に応じて、Microsoft Entra Domain Services マネージド ドメインを作成して構成するチュートリアルを完了します。
• Domain Services 仮想ネットワークから、他の DNS 名前空間がホストされている場所への接続。
  • この接続は、Azure ExpressRoute または Azure VPN Gateway 接続を使用して提供できます。
• マネージド ドメインに参加している Windows Server 管理 VM。
  • 必要に応じて、Windows Server VM を作成してマネージド ドメインに参加させるチュートリアルを完了します。
• Microsoft Entra テナントの Microsoft Entra DC 管理者グループのメンバーであるユーザー アカウント。

DNS サーバー ツールのインストール

マネージド ドメインに DNS レコードを作成して変更するには、DNS サーバー ツールをインストールする必要があります。 これらのツールは、Windows Server の機能としてインストールできます。 Windows クライアントに管理ツールをインストールする方法の詳細については、リモート サーバー管理ツール (RSAT) のインストールに関するページを参照してください。

1. 管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する方法については、「Windows Server VM に接続する」を参照してください。

2. VM にサインインしたときにサーバー マネージャーが既定で開かない場合は、 [スタート] メニューを選択し、 [サーバー マネージャー] を選択します。

3. [サーバー マネージャー] ウィンドウの [ダッシュボード] ウィンドウで [役割と機能の追加] を選択します。

4. [役割と機能の追加] ウィザードの [開始する前に] ページで [次へ] を選択します。

5. [インストールの種類] で、[役割ベースまたは機能ベースのインストール] オプションが選択された状態にして [次へ] を選択します。

6. [サーバーの選択] ページで、サーバー プールから現在の VM (例: myvm.aaddscontoso.com) を選択し、[次へ] を選択します。

7. [サーバーの役割] ページで、 [次へ] をクリックします。

8. [機能] ページで、 [リモート サーバー管理ツール] ノードを展開し、次に [役割管理ツール] ノードを展開します。 役割管理ツールの一覧から、 [DNS サーバー ツール] 機能を選択します。

   

9. [確認] ページで [インストール] を選択します。 DNS サーバー ツールのインストールには 1 分から 2 分かかる場合があります。

10. 機能のインストールが完了したら、 [閉じる] を選択して [役割と機能の追加] ウィザードを終了します。

DNS 管理コンソールを起動して DNS を管理する

DNS サーバー ツールがインストールされたら、マネージド ドメインの DNS レコードを管理できます。

注意

マネージド ドメインで DNS を管理するには、AAD DC 管理者グループのメンバーであるユーザー アカウントにサインインする必要があります。

1. スタート画面で [管理ツール] を選択します。 前のセクションでインストールした DNS など、利用できる管理ツールの一覧が表示されます。 [DNS] を選択し、DNS 管理コンソールを起動します。

2. [DNS サーバーに接続] ダイアログで、 [次のコンピューター] を選択し、マネージド ドメインの DNS ドメイン名 (例: aaddscontoso.com) を入力します。

   

3. DNS コンソールが、指定したマネージド ドメインに接続されます。 [前方参照ゾーン] または [逆引き参照ゾーン] を展開し、必要な DNS エントリを作成するか、必要であれば、既存のレコードを編集します。

   

警告

DNS サーバー ツールを使用してレコードを管理するとき、Domain Services で使用される組み込み DNS レコードを削除したり、変更したりしないでください。 組み込みの DNS レコードには、ドメインの DNS レコード、ネーム サーバー レコード、および DC の検出に使用されるその他のレコードが含まれます。 これらのレコードを変更すると、仮想ネットワークのドメイン サービスが中断されます。

条件付きフォワーダーを作成する

Domain Services DNS ゾーンには、マネージド ドメイン自体のゾーンとレコードのみを含めます。 他の DNS 名前空間で名前付きリソースを解決するために、マネージド ドメインに追加のゾーンを作成しないでください。 代わりに、マネージド ドメインで条件付きフォワーダーを使用して、これらのリソースのアドレスを解決するために DNS サーバーに移動先を指示します。

条件付きフォワーダーは、DNS サーバーの構成オプションであり、クエリの転送先となる DNS ドメイン (contoso.com など) を定義することができます。 ローカル DNS サーバーでそのドメイン内のレコードに対するクエリを解決しようとする代わりに、DNS クエリがそのドメインの構成済みの DNS に転送されます。 この構成により、これらのリソースを反映するためにマネージド ドメイン内に重複するレコードを含むローカルの DNS ゾーンを作成しないため、確実に正しい DNS レコードが返されるようになります。

マネージド ドメインに条件付きフォワーダーを作成するには、次の手順を行います。

1. DNS ゾーン (aaddscontoso.com など) を選択します。

2. [条件付きフォワーダー] を選択し、右クリックして [新規条件付フォワーダー] を選択します。

3. 次の例に示すように、他の [DNS ドメイン] (contoso.com など) を入力し、その名前空間の DNS サーバーの IP アドレスを入力します。

   

4. 次の例に示すように、 [Store this conditional forwarder in Active Directory, and replicate it as follows](この条件付きフォワーダーを Active Directory に格納してから、次のようにレプリケートする) チェック ボックスをオンにしてから、 [このドメインのすべての DNS サーバー] のオプションを選択します。

   

   重要

   条件付きフォワーダーが "ドメイン" ではなく "フォレスト" に格納されている場合、その条件付きフォワーダーは失敗します。

5. 条件付きフォワーダーを作成するには、 [OK] を選択します。

マネージド ドメインに接続されている VM から、他の名前空間にあるリソースの名前解決が正常に解決されるようになるはずです。 条件付きフォワーダーで構成された DNS ドメインのクエリは、関連する DNS サーバーに渡されます。

次のステップ

DNS の管理の詳細については、 Technet の DNS ツールの記事を参照してください。