Zelfstudie: DNS-failover instellen met behulp van privé-resolvers

In dit artikel wordt beschreven hoe u een Single Point of Failure in uw on-premises DNS-services kunt elimineren met behulp van twee of meer privé-resolvers van Azure DNS die zijn geïmplementeerd in verschillende regio's. DNS-failover wordt ingeschakeld door een lokale resolver toe te wijzen als uw primaire DNS en de resolver in een aangrenzende regio als secundaire DNS. Als de primaire DNS-server niet reageert, proberen DNS-clients het automatisch opnieuw met behulp van de secundaire DNS-server.

In deze zelfstudie leert u het volgende:

• Los Azure Privé-DNS-zones op met behulp van on-premises voorwaardelijke fowarders en privé-resolvers van Azure DNS.
• Schakel on-premises DNS-failover in voor uw Azure Privé-DNS-zones.

In het volgende diagram ziet u het failoverscenario dat in dit artikel wordt besproken.

In dit scenario hebt u verbindingen van twee on-premises locaties met twee Azure Hub-vnet's.

• In de regio Oost is het primaire pad naar de hub vnet oost. U hebt een secundaire verbinding met de hub West. De regio West is omgekeerd geconfigureerd.
• Vanwege een probleem met de internetverbinding wordt de verbinding met één vnet (west) tijdelijk verbroken.
• De service wordt in beide regio's onderhouden vanwege het redundante ontwerp.

Het DNS-omzettingspad is:

1. Redundante on-premises DNS-voorwaardelijke doorstuurservers verzenden DNS-query's naar binnenkomende eindpunten.
2. Binnenkomende eindpunten ontvangen DNS-query's van on-premises.
3. Uitgaande eindpunten en DNS-doorstuurregelsets verwerken DNS-query's en retourneren antwoorden naar uw on-premises resources.

Uitgaande eindpunten en DNS-doorstuurregelsets zijn niet nodig voor het failoverscenario, maar worden hier voor de volledigheid opgenomen. Regelsets kunnen worden gebruikt om on-premises domeinen op te lossen vanuit Azure. Zie Azure DNS Private Resolver-eindpunten en -regelsets enAzure- en on-premises domeinen oplossen voor meer informatie.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• Twee virtuele Azure-netwerken in twee regio's
• Een VPN - of ExpressRoute-koppeling van on-premises naar elk virtueel netwerk
• Een Azure DNS Private Resolver in elk virtueel netwerk
• Een privé-DNS-zone van Azure die is gekoppeld aan elk virtueel netwerk
• Een on-premises DNS-server

Notitie

In deze zelfstudieazure.contoso.com is een privé-DNS-zone van Azure. Vervang door azure.contoso.com de naam van uw privé-DNS-zone.

Aanmelden bij Azure

Meld u aan bij de Azure-portal.

IP-adressen van binnenkomend eindpunt bepalen

Noteer de IP-adressen die zijn toegewezen aan de binnenkomende eindpunten van uw persoonlijke DNS-resolvers. De IP-adressen worden gebruikt voor het configureren van on-premises DNS-doorstuurservers.

In dit voorbeeld zijn er twee virtuele netwerken in twee regio's:

• myeastvnet bevindt zich in de regio VS - oost, waaraan de adresruimte 10.10.0.0/16 is toegewezen
• mywestvnet bevindt zich in de regio VS - west-centraal, waaraan de adresruimte 10.20.0.0/16 is toegewezen

1. Zoek naar DNS Private Resolvers en selecteer uw privé-resolver in de eerste regio. Bijvoorbeeld: myeastresolver.

2. Selecteer onder Instellingende optie Binnenkomende eindpunten en noteer de ip-adresinstelling . Bijvoorbeeld: 10.10.0.4.

   

3. Ga terug naar de lijst met DNS Private Resolvers en selecteer een resolver uit een andere regio. Bijvoorbeeld: mywestresolver.

4. Selecteer onder Instellingende optie Binnenkomende eindpunten en noteer de IP-adresinstelling van deze resolver. Bijvoorbeeld: 10.20.0.4.

Privézonekoppelingen controleren

Als u DNS-records in een privézone van Azure DNS wilt omzetten, moet de zone worden gekoppeld aan het virtuele netwerk. In dit voorbeeld is de zone azure.contoso.com gekoppeld aan myeastvnet en mywestvnet. Koppelingen naar andere vnets kunnen ook aanwezig zijn.

1. Zoek Privé-DNS zones en selecteer uw privézone. Bijvoorbeeld: azure.contoso.com.

2. Selecteer onder Instellingende optie Koppelingen voor virtueel netwerk en controleer of de vnets die u in de vorige procedure voor binnenkomende eindpunten hebt gebruikt, ook worden vermeld onder Virtueel netwerk. Bijvoorbeeld: myeastvnet en mywestvnet.

   

3. Als een of meer vnets nog niet zijn gekoppeld, kunt u deze hier toevoegen door Toevoegen te selecteren, een koppelingsnaam op te geven, uw abonnement te kiezen en vervolgens het virtuele netwerk te kiezen.

Tip

U kunt peering ook gebruiken om records in privé-DNS-zones om te zetten. Zie Eindpunten en regelsets van Azure DNS Private Resolver voor meer informatie.

Azure DNS-omzetting controleren

Controleer of DE DNS-instellingen voor uw virtuele netwerken zijn ingesteld op Standaard (door Azure opgegeven).

1. Zoek naar Virtuele netwerken en selecteer het eerste Vnet. Bijvoorbeeld: myeastvnet.

2. Selecteer onder Instellingende optie DNS-servers en controleer of Standaard (door Azure opgegeven) is gekozen.

3. Selecteer het volgende VNet (bijvoorbeeld : mywestvnet) en controleer of Standaard (door Azure opgegeven) is gekozen.

   Notitie

   Aangepaste DNS-instellingen kunnen ook worden gemaakt om te werken, maar dit valt niet binnen het bereik van het huidige scenario.

4. Zoek naar Privé-DNS zones en selecteer de naam van uw privézone. Bijvoorbeeld: azure.contoso.com.

5. Maak een testrecord in de zone door + Recordset te selecteren en een nieuwe A-record toe te voegen. Bijvoorbeeld: test.

   

6. Open een opdrachtprompt met behulp van een on-premises client en gebruik nslookup om uw testrecord op te zoeken met behulp van het eerste IP-adres van de persoonlijke resolver dat u hebt opgeschreven (bijvoorbeeld: 10.10.0.4). Zie het volgende voorbeeld:

   nslookup test.azure.contoso.com 10.10.0.4
   

   De query moet het IP-adres retourneren dat u hebt toegewezen aan uw testrecord.

7. Herhaal deze nslookup-query met behulp van het IP-adres dat u hebt geschreven voor de tweede persoonlijke resolver (bijvoorbeeld 10.20.0.4).

   

   Notitie

   Als DNS-omzetting voor de privézone niet werkt, controleert u of uw on-premises koppelingen met de Azure Vnets zijn verbonden.

On-premises DNS-doorsturen configureren

Nu DNS-omzetting van on-premises naar Azure werkt met behulp van twee verschillende privé-resolvers van Azure DNS, kunnen we doorsturen configureren voor het gebruik van beide adressen. Hierdoor wordt redundantie ingeschakeld als een van de verbindingen met Azure wordt onderbroken. De procedure voor het configureren van doorstuurservers is afhankelijk van het type DNS-server dat u gebruikt. In het volgende voorbeeld wordt een Windows Server gebruikt die de functieservice DNS-server uitvoert en een IP-adres van 10.100.0.2 heeft.

Notitie

De DNS-server die u gebruikt om doorsturen te configureren, moet een server zijn die clientapparaten in uw netwerk gebruiken voor DNS-omzetting. Als de server die u configureert niet de standaardserver is, moet u rechtstreeks een query uitvoeren op het IP-adres (bijvoorbeeld nslookup test.azure.contoso.com 10.100.0.2) nadat doorsturen is geconfigureerd.

1. Open een verhoogde Windows PowerShell prompt en voer de volgende opdracht uit. Vervang azure.contoso.com door de naam van uw privézone en vervang de onderstaande IP-adressen door de IP-adressen van uw persoonlijke resolvers.

   Add-DnsServerConditionalForwarderZone -Name "azure.contoso.com" -MasterServers 10.20.0.4,10.10.0.4
   

2. Indien gewenst kunt u ook de DNS-console gebruiken om voorwaardelijke doorstuurservers in te voeren. Zie het volgende voorbeeld:

   

3. Nu doorsturen is ingesteld, kunt u dezelfde DNS-query uitvoeren die u in de vorige procedure hebt gebruikt. Voer deze keer echter geen doel-IP-adres in voor de query. De query maakt gebruik van de standaard-DNS-server van de client.

   

Tolerantie demonstreren (optioneel)

U kunt nu aantonen dat DNS-omzetting werkt wanneer een van de verbindingen wordt verbroken.

1. Onderbreek de connectiviteit van on-premises naar een van uw Vnets door de interface uit te schakelen of de verbinding te verbreken. Controleer of de verbinding niet automatisch opnieuw verbinding maakt op aanvraag.

2. Voer de nslookup-query uit met behulp van de persoonlijke resolver vanuit het VNet dat niet meer is verbonden en controleer of deze mislukt (zie hieronder).

3. Voer de nslookup-query uit met behulp van uw standaard-DNS-server (geconfigureerd met doorstuurservers) en controleer of deze nog steeds werkt vanwege de redundantie die u hebt ingeschakeld.

   

Volgende stappen

• Bekijk onderdelen, voordelen en vereisten voor Azure DNS Private Resolver.
• Meer informatie over het maken van een Azure DNS Private Resolver met behulp van Azure PowerShell of Azure Portal.
• Meer informatie over het oplossen van Azure- en on-premises domeinen met behulp van de Azure DNS Private Resolver.
• Meer informatie over eindpunten en regelsets van Azure DNS Private Resolver.
• Meer informatie over het configureren van hybride DNS met behulp van privé-resolvers.
• Informatie over enkele van de andere belangrijke netwerkmogelijkheden van Azure.
• Learn-module: Inleiding tot Azure DNS.