Поделиться через


Администратор стер DNS и создание условных пересылки в управляемом домене доменных служб Microsoft Entra

Доменные службы Microsoft Entra включают сервер системы доменных имен (DNS), предоставляющий разрешение имен для управляемого домена. Этот DNS-сервер содержит встроенные записи DNS и обновления для ключевых компонентов, обеспечивающих функционирование службы.

Если вы используете собственные приложения и службы, вам может потребоваться создать записи DNS для компьютеров, не присоединенных к домену, настроить виртуальные IP-адреса для подсистем балансировки нагрузки или внешние DNS-серверы пересылки. Пользователи, принадлежащие группе контроллера домена AAD Администратор istrator, получают права администрирования DNS в управляемом домене доменных служб и могут создавать и изменять пользовательские записи DNS.

В гибридной среде зоны и записи DNS, настроенные в других пространствах имен DNS, например в локальной среде AD DS, не синхронизируются с управляемым доменом. Чтобы разрешить именованные ресурсы в других пространствах имен DNS, создайте и используйте серверы условной пересылки, указывающие на существующие DNS-серверы в вашей среде.

Доменные службы взаимодействуют с несколькими конечными точками Azure во время обычных операций. Перенаправление зон, таких как file.core.windows.net или blob.core.windows.net помещает доменные службы в неподдерживаемое состояние.

Воздержаться от перенаправления зон DNS, связанных с windowsazure.com или core.windows.net. Если требуется перенаправление DNS, ограничьте перенаправление отдельными именами узлов вместо зон. Например, используйте server1.file.core.windows.net вместо file.core.windows.net.

Примечание.

Создание или изменение корневых подсказок или перенаправления DNS на уровне сервера не поддерживается и вызывает проблемы с управляемым доменом доменных служб.

В этой статье показано, как установить инструменты DNS-сервера, а затем использовать консоль DNS для управления записями и создания условных серверов пересылки в доменных службах.

Подготовка к работе

Для работы с этой статьей требуются следующие ресурсы и разрешения:

Установка средств DNS-сервера

Чтобы создать и изменить записи DNS в управляемом домене, необходимо установить средства DNS-сервера. Их можно установить как компонент Windows Server. Подробнее об установке средств администрирования на клиенте Windows см. в статье об установке средств удаленного администрирования сервера (RSAT).

  1. Войдите на виртуальную машину управления. Инструкции по подключению с помощью Центра администрирования Microsoft Entra см. в Подключение виртуальной машине Windows Server.

  2. Если диспетчер сервера не открывается по умолчанию при входе в виртуальную машину, откройте меню Пуск, а затем выберите Диспетчер сервера.

  3. На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.

  4. На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.

  5. В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.

  6. На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aaddscontoso.com, и щелкните Далее.

  7. На странице Роли сервера нажмите кнопку Далее.

  8. На странице Компоненты разверните узел Средства удаленного администрирования сервера, а затем узел Средства администрирования ролей. Из списка средств администрирования ролей выберите компонент Средства DNS-сервера.

    Choose to install the DNS Server Tools from the list of available role administration tools

  9. На странице Подтверждение щелкните Установить. Установка средств DNS- сервера может занять одну или две минуты.

  10. Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.

Вызов консоли управления DNS для администрирования DNS

После установки средств DNS-сервера можно приступать к администрированию записей DNS в управляемом домене.

Примечание.

Для администрирования DNS в управляемом домене необходимо войти в учетную запись пользователя, принадлежащую к группе Администраторы контроллера домена AAD.

  1. На начальном экране выберите Администрирование. Отобразится список доступных средств управления, включая DNS, установленные в предыдущем разделе. Выберите DNS, чтобы запустить консоль управления DNS.

  2. В диалоговом окне Подключение к DNS-серверу выберите пункт Указанный ниже компьютер и введите DNS-имя управляемого домена, например aaddscontoso.com.

    Connect to the managed domain in the DNS console

  3. Консоль DNS подключится к указанному управляемому домену. Разверните пункт Зоны прямого просмотра или Зоны обратного просмотра, чтобы создать необходимые записи DNS или изменить существующие записи по мере необходимости.

    DNS Console - administer domain

Предупреждение

При управлении записями с помощью средств DNS-сервера убедитесь, что вы не удаляете или изменяете встроенные записи DNS, используемые доменными службами. Встроенные записи DNS включают в себя записи DNS домена, записи сервера имен и другие записи, используемые для обнаружения контроллера домена. Изменение этих записей приведет к нарушению работы доменных служб в виртуальной сети.

Создание серверов условной пересылки

Зона DNS доменных служб должна содержать только зону и записи для самого управляемого домена. Не создавайте дополнительные зоны в управляемом домене для разрешения именованных ресурсов в других пространствах имен DNS. Вместо этого используйте серверы условной пересылки в управляемом домене, чтобы указать DNS-серверу, куда следует обращаться за разрешением адресов этих ресурсов.

Сервер условной пересылки — это параметр конфигурации DNS-сервера, который позволяет задать домен DNS, например contoso.com, к которому будут пересылаться запросы. Вместо локального DNS-сервера, пытающегося разрешать запросы записей в этом домене, запросы DNS перенаправляются в службу DNS, настроенную для этого домена. Эта конфигурация обеспечивает возвращение правильных записей DNS, так как вы не создаете в управляемом домене локальную зону DNS с дублирующимися записями, чтобы отразить эти ресурсы.

Чтобы создать сервер условной пересылки в управляемом домене, выполните следующие действия.

  1. Выберите зону DNS, например aaddscontoso.com.

  2. Выберите Серверы условной пересылки, щелкните правой кнопкой мыши и нажмите Создать сервер условной пересылки.

  3. Укажите другой DNS-домен, например contoso.com, а затем введите IP-адреса DNS-серверов для этого пространства имен, как показано в следующем примере:

    Add and configure a conditional forwarder for the DNS server

  4. Установите флажок Сохранять условную пересылку в Active Directory и реплицировать ее следующим образом:, а затем выберите параметр Все DNS-серверы в этом домене, как показано в следующем примере:

    DNS Console - select All DNS servers in this domain

    Важно!

    Если сервер условной пересылки хранится в лесу, а не в домене, его работа будет завершаться ошибкой.

  5. Чтобы создать сервер условной пересылки, нажмите кнопку ОК.

Теперь имена ресурсов в других пространствах имен с виртуальных машин, подключенных к управляемому домену, должны разрешаться правильно. Запросы для домена DNS, настроенного на сервере условной пересылки, передаются соответствующим DNS-серверам.

Следующие шаги

Дополнительные сведения об управлении DNS см. в статье о средствах DNS на сайте TechNet.