Microsoft Entra Domain Services マネージド ドメインで DNS を管理し、条件付きフォワーダーを作成する

Microsoft Entra Domain Services に含まれるドメイン ネーム システム (DNS) サーバーによって、マネージド ドメインの名前が解決されます。 この DNS サーバーには、サービスの実行を可能にする重要なコンポーネントに対する組み込みの DNS レコードと更新プログラムが含まれます。

独自のアプリケーションやサービスを実行するとき、ドメインに参加していないコンピューターの DNS レコードを作成したり、ロード バランサーの仮想 IP アドレスを構成したり、外部 DNS フォワーダーを設定したりすることが必要になる場合があります。 AAD DC Administrators グループに属しているユーザーには、Domain Services マネージド ドメインに対する DNS 管理特権が付与され、カスタム DNS レコードを作成および編集できます。

ハイブリッド環境では、オンプレミスの AD DS 環境など、他の DNS 名前空間内で構成されている DNS ゾーンとレコードは、マネージド ドメインに同期されません。 他の DNS 名前空間で名前付きリソースを解決するには、環境内の既存の DNS サーバーを指す条件付きフォワーダーを作成して使用します。

Domain Services は、通常の操作中に複数の Azure エンドポイントと通信します。 file.core.windows.net や blob.core.windows.net などのゾーンをリダイレクトすると、Domain Services はサポートできない状態になります。

windowsazure.com または core.windows.net に関連する DNS ゾーンのリダイレクトを控える。 DNS リダイレクトが必要な場合は、ゾーンではなく個々のホスト名にリダイレクトを制限します。 たとえば、file.core.windows.net の代わりに server1.file.core.windows.net を使用します。

注

[ルート ヒントの使用] オプションを設定してサーバー レベルの DNS フォワーダーを 168.63.129.16 以外に有効または変更することはサポートされておらず、Entra Domain Services マネージド ドメインに問題が発生します。 テナントの構成がサポートされない可能性があるため、これらの設定は変更しないでください。 サポートされている状態に DNS を構成できない場合は、Microsoft サポートにお問い合わせください。

この記事では、DNS サーバー ツールをインストールし、DNS コンソールを使用してレコードを管理し、Domain Services で条件付きフォワーダーを作成する方法について説明します。

開始する前に

この記事を完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション。
  • Azure サブスクリプションをお持ちでない場合は、 アカウントを作成します。
• ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
  • 必要に応じて、 Microsoft Entra テナントを作成 するか、 Azure サブスクリプションをアカウントに関連付けます。
• Microsoft Entra テナント内の Microsoft Entra Domain Services マネージド ドメインが有効化および構成されています。
  • 必要に応じて、チュートリアルを完了して 、Microsoft Entra Domain Services マネージド ドメインを作成して構成します。
• Domain Services 仮想ネットワークから他の DNS 名前空間がホストされている場所への接続。
  • この接続は、 Azure ExpressRoute または Azure VPN Gateway 接続で提供できます。
• マネージド ドメインに参加している Windows Server 管理 VM。
  • 必要に応じて、チュートリアルを完了して Windows Server VM を作成し、マネージド ドメインに参加させます。
• Microsoft Entra テナントの Microsoft Entra DC 管理者グループのメンバーであるユーザー アカウント。

DNS サーバー ツールのインストール

マネージド ドメインで DNS レコードを作成および変更するには、DNS サーバー ツールをインストールする必要があります。 これらのツールは、Windows Server の機能としてインストールできます。 Windows クライアントに管理ツールをインストールする方法の詳細については、「リモート サーバー管理ツール (RSAT) インストールする」を参照してください。

1. 管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する手順については、「 Windows Server VM への接続」を参照してください。

2. VM にサインインするときに サーバー マネージャー が既定で開かない場合は、[ スタート ] メニューを選択し、[ サーバー マネージャー] を選択します。

3. [サーバー マネージャー] ウィンドウの [ダッシュボード] ウィンドウで、[役割と機能の追加] を選択します。

4. 役割と機能の追加ウィザードの [開始する前に] ページで、[次へ] を選択します。

5. [インストールの種類] で、[役割ベースまたは機能ベースのインストール] オプションをオンのままにして、[次へ] を選択します。

6. [ サーバーの選択] ページで、サーバー プールから現在の VM ( myvm.aaddscontoso.com など) を選択し、[ 次へ] を選択します。

7. [ サーバーの役割] ページで、[ 次へ] をクリックします。

8. [ 機能 ] ページで、[ リモート サーバー管理ツール ] ノードを展開し、[ 役割管理ツール ] ノードを展開します。 役割管理ツールの一覧から [DNS サーバー ツール] 機能を選択します。

   

9. [ 確認 ] ページで、[ インストール] を選択します。 DNS サーバー ツールのインストールには 1 ~ 2 分かかる場合があります。

10. 機能のインストールが完了したら、[ 閉じる ] を選択して 役割と機能の追加 ウィザードを終了します。

DNS 管理コンソールを開いて DNS を管理する

DNS サーバー ツールをインストールすると、マネージド ドメイン上の DNS レコードを管理できます。

注

マネージド ドメインで DNS を管理するには、 AAD DC Administrators グループのメンバーであるユーザー アカウントにサインインしている必要があります。

1. [スタート] 画面で、[管理ツール] 選択します。 前のセクションでインストールした DNS を含む、使用可能な管理ツールの一覧が表示されます。 DNS を選択して DNS 管理コンソールを起動します。

2. [ DNS サーバーへの接続 ] ダイアログで、 次のコンピューターを選択し、マネージド ドメインの DNS ドメイン名 ( aaddscontoso.com など) を入力します。

   

3. DNS コンソールは、指定されたマネージド ドメインに接続します。 [前方参照ゾーン] または [逆引き参照ゾーン] を展開して、必要な DNS エントリを作成するか、必要に応じて既存のレコードを編集します。

   

警告

DNS サーバー ツールを使用してレコードを管理する場合は、Domain Services で使用される組み込みの DNS レコードを削除または変更しないようにしてください。 組み込みの DNS レコードには、ドメイン DNS レコード、ネーム サーバー レコード、および DC の場所に使用されるその他のレコードが含まれます。 これらのレコードを変更すると、仮想ネットワーク上でドメイン サービスが中断されます。

条件付きフォワーダーを作成する

Domain Services DNS ゾーンには、マネージド ドメイン自体のゾーンとレコードのみを含める必要があります。 他の DNS 名前空間の名前付きリソースを解決するために、マネージド ドメインに追加のゾーンを作成しないでください。 代わりに、マネージド ドメインの条件付きフォワーダーを使用して、それらのリソースのアドレスを解決するためにどこに移動するか DNS サーバーに指示します。

条件付きフォワーダーは、クエリを転送する DNS ドメイン ( contoso.com など) を定義できる DNS サーバーの構成オプションです。 ローカル DNS サーバーがそのドメイン内のレコードのクエリを解決する代わりに、DNS クエリはそのドメイン用に構成された DNS に転送されます。 この構成では、これらのリソースを反映するために、マネージド ドメインに重複するレコードを含む DNS ゾーンをローカルに作成しないため、正しい DNS レコードが確実に返されます。

マネージド ドメインに条件付きフォワーダーを作成するには、次の手順を実行します。

1. aaddscontoso.com など、DNS ゾーンを選択します。

2. [条件付きフォワーダー] を選択し、右クリックして [新しい条件付きフォワーダー] を選択します。

3. 他の DNS ドメイン ( contoso.com など) を入力し、次の例に示すように、その名前空間の DNS サーバーの IP アドレスを入力します。

   

4. [この条件付きフォワーダーを Active Directory に保存する] チェック ボックスをオンにし、次のようにレプリケートし、次の例に示すように、このドメイン内のすべての DNS サーバーのオプションを選択します。

   

   重要

   条件付きフォワーダーがドメインではなくフォレストに格納されている場合、条件付きフォワーダーは失敗します。

5. 条件付きフォワーダーを作成するには、[ OK] を選択します。

マネージド ドメインに接続されている VM から他の名前空間内のリソースの名前解決が正しく解決されるようになりました。 条件付きフォワーダーで構成された DNS ドメインのクエリは、関連する DNS サーバーに渡されます。

次のステップ

DNS の管理の詳細については、 TechNet の DNS ツールに関する記事を参照してください。