DNS-integrering för Azure Stack Hub-datacenter
För att kunna komma åt Azure Stack Hub-slutpunkter som portal, administratörsportal, hantering och administratörshantering utanför Azure Stack Hub måste du integrera Azure Stack Hub DNS-tjänsterna med de DNS-servrar som är värdar för de DNS-zoner som du vill använda i Azure Stack Hub.
Dns-namnrymd för Azure Stack Hub
Du måste ange viktig information om DNS när du distribuerar Azure Stack Hub.
| Fält | Beskrivning | Exempel |
|---|---|---|
| Region | Den geografiska platsen för din Azure Stack Hub-distribution. | east |
| Externt domännamn | Namnet på den zon som du vill använda för din Azure Stack Hub-distribution. | cloud.fabrikam.com |
| Internt domännamn | Namnet på den interna zon som används för infrastrukturtjänster i Azure Stack Hub. Det är Katalogtjänstintegrerad och privat (kan inte nås utanför Azure Stack Hub-distributionen). | azurestack.local |
| DNS-vidarebefordrare | DNS-servrar som används för att vidarebefordra DNS-frågor, DNS-zoner och poster som finns utanför Azure Stack Hub, antingen på företagets intranät eller offentligt Internet. Du kan redigera dns-vidarebefordrarens värde med cmdleten Set-AzSDnsForwarder efter distributionen. | |
| Namngivningsprefix (valfritt) | Det namngivningsprefix som du vill att datornamnen för din Azure Stack Hub-infrastrukturrollinstans ska ha. Om inget anges är azsstandardvärdet . |
azs |
Det fullständigt kvalificerade domännamnet (FQDN) för din Distribution och slutpunkter för Azure Stack Hub är kombinationen av parametern Region och parametern Externt domännamn. Med hjälp av värdena från exemplen i föregående tabell skulle FQDN för den här Azure Stack Hub-distributionen vara följande namn:
east.cloud.fabrikam.com
Därför skulle exempel på några av slutpunkterna för den här distributionen se ut som följande URL:er:
https://portal.east.cloud.fabrikam.com
https://management.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
https://adminmanagement.east.cloud.fabrikam.com
Om du vill använda det här DNS-exempelnamnområdet för en Azure Stack Hub-distribution krävs följande villkor:
- Zonen
fabrikam.comregistreras antingen med en domänregistrator, en intern DNS-server för företaget eller båda, beroende på dina namnmatchningskrav. - Den underordnade domänen
cloud.fabrikam.comfinns under zonenfabrikam.com. - DE DNS-servrar som är värdar för zonerna
fabrikam.comochcloud.fabrikam.comsom kan nås från Azure Stack Hub-distributionen.
För att kunna matcha DNS-namn för Azure Stack Hub-slutpunkter och instanser utanför Azure Stack Hub måste du integrera DNS-servrarna som är värdar för den externa DNS-zonen för Azure Stack Hub med de DNS-servrar som är värdar för den överordnade zonen som du vill använda.
DNS-namnetiketter
Azure Stack Hub har stöd för att lägga till en DNS-namnetikett till en offentlig IP-adress för att tillåta namnmatchning för offentliga IP-adresser. DNS-etiketter är ett bekvämt sätt för användare att nå appar och tjänster som hanteras i Azure Stack Hub efter namn. DNS-namnetiketten använder ett något annorlunda namnområde än infrastrukturslutpunkterna. Efter föregående exempelnamnområde visas namnområdet för DNS-namnetiketter på följande sätt:
*.east.cloudapp.cloud.fabrikam.com
Om en klientorganisation anger värdet Myapp i fältet DNS-namnetikett för en offentlig IP-adressresurs skapas därför en A-post för myapp i zonen east.cloudapp.cloud.fabrikam.com på den externa DNS-servern i Azure Stack Hub. Det resulterande fullständigt kvalificerade domännamnet visas på följande sätt:
myapp.east.cloudapp.cloud.fabrikam.com
Om du vill använda den här funktionen och namnområdet måste du integrera DNS-servrarna som är värdar för den externa DNS-zonen för Azure Stack Hub med de DNS-servrar som är värdar för den överordnade zonen som du vill använda. Det här namnområdet skiljer sig från namnområdet för Azure Stack Hub-tjänstslutpunkterna, så du måste skapa en annan delegerings- eller villkorlig vidarebefordringsregel.
Mer information om hur DNS-namnetiketten fungerar finns i Använda DNS i Azure Stack Hub.
Matchning och delegering
Det finns två typer av DNS-servrar:
- En auktoritativ DNS-server är värd för DNS-zoner. Den svarar på DNS-frågor om poster i just dessa zoner.
- En rekursiv DNS-server är inte värd för DNS-zoner. Den svarar på alla DNS-frågor genom att anropa auktoritativa DNS-servrar för att samla in de data som den behöver.
Azure Stack Hub innehåller både auktoritativa och rekursiva DNS-servrar. De rekursiva servrarna används för att matcha namn på allt förutom den interna privata zonen och den externa offentliga DNS-zonen för den Azure Stack Hub-distributionen.
Matcha externa DNS-namn från Azure Stack Hub
För att matcha DNS-namn för slutpunkter utanför Azure Stack Hub (till exempel: www.bing.com) måste du ange DNS-servrar som Azure Stack Hub kan använda för att vidarebefordra DNS-begäranden som Azure Stack Hub inte är auktoritativ för. För distribution krävs DNS-servrar som Azure Stack Hub vidarebefordrar begäranden till i distributionskalkylbladet (i fältet DNS-vidarebefordrare ). Ange minst två servrar i det här fältet för feltolerans. Utan dessa värden misslyckas Azure Stack Hub-distributionen. Du kan redigera DNS-vidarebefordrarens värden med cmdleten Set-AzSDnsForwarder efter distributionen.
Om de externa DNS-vidarebefordrarservrarna inte kan matcha en DNS-begäran som vidarebefordras från Azure Stack Hub försöker den interna DNS-rekursiva matchningstjänsten som standard kontakta DNS-rottipsservrarna. Det här återställningsbeteendet överensstämmer med DNS-serverns namnmatchningsstandarder. Internet-rottipsservrarna används för att lösa DNS-adressinformation när DNS-vidarebefordrarservrarna inte kan matcha frågan lokalt från en värdbaserad zon eller DNS-servercachen.
Om du vill hantera INSTÄLLNINGEN DNS-rottips för den interna DNS-namnmatchningstjänsten i Azure Stack Hub använder du cmdleten Get-AzSDnsServerSettings för att visa den aktuella konfigurationen. Standardinställningen är aktiverad. Cmdleten Set-AzSDnsServerSettings aktiverar eller inaktiverar -UseRootHint-konfigurationen för de interna DNS-servrarna.
Anteckning
För scenarier där Azure Stack Hub inte kan kontakta internet-DNS-rottipsservrar, till exempel UDP-port 53 (DNS), där nätverksåtkomst blockeras permanent eller är helt frånkopplad/luftgapad, rekommenderar vi att du inaktiverar -UseRootHint inställningen för att förhindra utökade tidsgränser i DNS-namnmatchning. Använd cmdleten Set-AzSDnsServerSettings för att styra den här inställningen.
Konfigurera villkorlig DNS-vidarebefordring
Viktigt
Detta gäller endast för en AD FS-distribution.
Om du vill aktivera namnmatchning med din befintliga DNS-infrastruktur konfigurerar du villkorsstyrd vidarebefordran.
Om du vill lägga till en villkorlig vidarebefordrare måste du använda den privilegierade slutpunkten.
För den här proceduren använder du en dator i ditt datacenternätverk som kan kommunicera med den privilegierade slutpunkten i Azure Stack Hub.
Öppna en upphöjd Windows PowerShell session (kör som administratör) och anslut till IP-adressen för den privilegierade slutpunkten. Använd autentiseringsuppgifterna för CloudAdmin-autentisering.
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $credNär du har anslutit till den privilegierade slutpunkten kör du följande PowerShell-kommando. Ersätt exempelvärdena med domännamnet och IP-adresserna för de DNS-servrar som du vill använda.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Matcha DNS-namn i Azure Stack Hub utanför Azure Stack Hub
De auktoritativa servrarna är de som innehåller den externa DNS-zoninformationen och alla användarskapade zoner. Integrera med dessa servrar för att aktivera zondelegering eller villkorsstyrd vidarebefordran för att matcha DNS-namn i Azure Stack Hub utanför Azure Stack Hub.
Hämta information om extern slutpunkt för DNS-server
Om du vill integrera din Azure Stack Hub-distribution med DIN DNS-infrastruktur behöver du följande information:
- FQDN för DNS-server
- IP-adresser för DNS-server
FQDN:erna för Azure Stack Hub DNS-servrarna har följande format:
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
Om du använder exempelvärdena är FQDN:erna för DNS-servrarna:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Den här informationen skapas också i slutet av alla Azure Stack Hub-distributioner i en fil med namnet AzureStackStampInformation.json. Den här filen finns i mappen för C:\CloudDeployment\logs den virtuella distributionsdatorn. Om du inte är säker på vilka värden som användes för din Azure Stack Hub-distribution kan du hämta värdena härifrån.
Om den virtuella distributionsdatorn inte längre är tillgänglig eller inte är tillgänglig kan du hämta värdena genom att ansluta till den privilegierade slutpunkten och köra PowerShell-cmdleten Get-AzureStackStampInformation . Mer information finns i Privilegierad slutpunkt.
Konfigurera villkorsstyrd vidarebefordran till Azure Stack Hub
Det enklaste och säkraste sättet att integrera Azure Stack Hub med din DNS-infrastruktur är att göra villkorlig vidarebefordran av zonen från den server som är värd för den överordnade zonen. Den här metoden rekommenderas om du har direkt kontroll över DE DNS-servrar som är värdar för den överordnade zonen för ditt externa DNS-namnområde i Azure Stack Hub.
Om du inte är bekant med hur du vidarebefordrar villkorsstyrd vidarebefordran med DNS kan du läsa följande TechNet-artikel: Tilldela en villkorlig vidarebefordrare för ett domännamn eller den dokumentation som är specifik för din DNS-lösning.
I scenarier där du har angett att din externa Azure Stack Hub DNS-zon ska se ut som en underordnad domän i företagets domännamn kan inte villkorsstyrd vidarebefordring användas. DNS-delegering måste konfigureras.
Exempel:
- Företagets DNS-domännamn:
contoso.com - Externt DNS-domännamn för Azure Stack Hub:
azurestack.contoso.com
Redigera IP-adresser för DNS-vidarebefordrare
IP-adresser för DNS-vidarebefordrare anges under distributionen av Azure Stack Hub. Men om ip-adresserna för vidarebefordraren behöver uppdateras av någon anledning kan du redigera värdena genom att ansluta till den privilegierade slutpunkten och köra Get-AzSDnsForwarder PowerShell-cmdletarna och Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] . Mer information finns i Privilegierad slutpunkt.
Delegera den externa DNS-zonen till Azure Stack Hub
För att DNS-namn ska kunna matchas utanför en Azure Stack Hub-distribution måste du konfigurera DNS-delegering.
Varje registrator har sina egna DNS-hanteringsverktyg för att ändra namnserverposterna för en domän. På registratorns DNS-hanteringssida redigerar du NS-posterna och ersätter NS-posterna för zonen med dem i Azure Stack Hub.
De flesta DNS-registratorer kräver att du tillhandahåller minst två DNS-servrar för att slutföra delegeringen.