Implementieren des DNS in Hybridumgebungen

  • 9 Minuten

Derzeit verwendet Contoso Windows Server-VMs in seinem lokalen Rechenzentrum für die Implementierung des DNS. Als Lead System Engineer müssen Sie entscheiden, ob Azure DNS implementiert werden soll, um die Funktionalität dieser lokalen Workloads zu ersetzen, oder das DNS in Windows Server-VMs.

Es gibt eine Reihe von Szenarios, in denen Contoso sich möglicherweise entschließt, das DNS mit Windows Server-IaaS zu implementieren, entweder zusätzlich zu Azure DNS oder stattdessen. Zu diesen Szenarios gehören beispielsweise die folgenden:

  • Konfigurieren der Namensauflösung zwischen VMs in verschiedenen VNETs
  • Konfigurieren der Namensauflösung für Azure-Hostnamen von lokalen Computern
  • Implementieren einer bedingten Weiterleitung
  • Implementieren von DNS-Zonenübertragungen

Übersicht über Azure DNS

Sie können Ihre DNS-Zonen in Azure DNS hosten. Genauer gesagt bietet dieser Dienst autoritative DNS-Dienste für seine Zonen. Damit DNS-Abfragen für Ressourcen in der Domäne Ihrer Organisation Azure DNS erreichen, müssen Sie diese Domäne von der übergeordneten Domäne an Azure DNS delegieren.

DNS-Zonen, die Sie zu Azure DNS migrieren, werden in einem globalen Netzwerk von DNS-Servern in Azure gehostet. Da Azure DNS Anycast-Kommunikation verwendet, werden DNS-Abfragen von Ihrer Organisation an den nächstgelegenen Azure DNS-Server weitergeleitet, was zu einer guten Leistung und Hochverfügbarkeit dieses wichtigen Infrastrukturdiensts beiträgt. Sie können die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwenden, um auszuwählen, welche Ihrer Benutzer Ihre Azure DNS-Domänen verwalten können.

Einschränkungen von und Überlegungen zu Azure DNS

Azure DNS ist eine sich stetig weiterentwickelnde Plattform, der ständig neue Features und Funktionen hinzugefügt werden. Derzeit verfügt Azure DNS jedoch über einige Einschränkungen.

  • Sie können nur ein bestimmtes VNET mit einer privaten DNS-Zone verknüpfen.
  • Reverse-DNS (manchmal auch als Inverse-DNS bezeichnet) funktioniert nur für den privaten IP-Adressraum im verknüpften VNET.
  • Die bedingte Weiterleitung wird derzeit nicht unterstützt.
  • Azure DNS unterstützt derzeit keine DNS-Sicherheitserweiterungen (Domain Name System Security Extensions, DNSSEC).
  • Azure DNS unterstützt keine Zonenübertragungen.
  • Es gibt einige Einschränkungen für die Anzahl der Zonen und Einträge pro Abonnement bei der Verwendung von öffentlichen DNS-Zonen.

Privates Azure-DNS

Azure DNS unterstützt öffentliches und privates DNS, wie in der folgenden Tabelle beschrieben.

DNS-Dienst BESCHREIBUNG
Öffentliches Azure-DNS Dieser Dienst bietet Namensauflösung für DNS-Domänen mit Internetzugriff. Mit dem öffentlichen Azure-DNS können Sie die DNS-Domänen Ihrer Organisation hosten.
Privates Azure DNS Dieser Dienst bietet Namensauflösung für VMs in einem VNET und zwischen VNETs. Hiermit können Sie Zonennamen mit einer Split-Horizon-Ansicht konfigurieren. Dies ermöglicht die Verwendung desselben Zonennamens für eine private und eine öffentliche DNS-Zone.

Damit die Einträge einer privaten DNS-Zone in Ihrem VNET aufgelöst werden können, müssen Sie das VNET mit der Zone verknüpfen. Verknüpfte VNETs verfügen über Vollzugriff und können alle in der privaten Zone veröffentlichten DNS-Einträge auflösen. Außerdem können Sie für VNET-Verknüpfungen die automatische Registrierung aktivieren. Wenn Sie die automatische Registrierung aktivieren, werden die DNS-Einträge für die VMs in diesem VNET in der privaten Zone registriert. Darüber hinaus aktualisiert Azure DNS die Zoneneinträge, immer wenn eine VM erstellt, ihre IP-Adresse geändert oder die VM gelöscht wird.

In der folgenden Tabelle werden die Features des privaten Azure-DNS beschrieben.

Funktion BESCHREIBUNG
Ermöglicht automatische Registrierung von VMs aus einem VNET, das Sie mit einer privaten Zone verknüpfen Ihre VMs werden bei Ihrer privaten Zone als Hosteinträge (A-Einträge) registriert, die in die privaten IP-Adressen der VMs aufgelöst werden. Wenn Sie die automatische Registrierung aktiviert haben, entfernt Azure DNS beim Löschen einer VM in einem VNET automatisch den entsprechenden DNS-Eintrag aus der verknüpften privaten Zone.
Azure unterstützt Forward-DNS-Auflösung in VNETs, die Sie mit Ihrer privaten Zone verknüpfen. Wenn Sie VNET-übergreifende DNS-Namensauflösung implementieren, ist ein Peering Ihrer VNETs nicht zwingend erforderlich. Möglicherweise sollten Sie jedoch aus anderen Gründen ein Peering für VNETs durchführen, die nicht mit dem DNS in Zusammenhang stehen.
Azure unterstützt Reverse-DNS-Lookup innerhalb des VNET-Bereichs. Ein Reverse-DNS-Lookup für eine private IP-Adresse innerhalb eines VNET, das Sie einer privaten Zone zuweisen, gibt den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Hosts zurück, der den Host-/Eintragsnamen und den Zonennamen als Suffix enthält.

Implementieren des DNS mit Azure-IaaS-VMs

Windows Server-DNS-Server, die an ein VNET angefügt sind, können DNS-Abfragen an die rekursiven Konfliktlöser in Azure weiterleiten. Dadurch können Sie Hostnamen innerhalb dieses VNET auflösen.

Das IT-Team von Contoso stellt z. B. eine Domänencontroller-VM bereit, die auch die DNS-Serverrolle in Azure ausführt. In diesem Fall könnte die VM auf DNS-Abfragen für die lokale Domäne antworten. Sie könnte auch alle anderen Abfragen an Azure weiterleiten. Durch die Weiterleitung von Abfragen können die VMs von Contoso sowohl auf die lokalen Ressourcen (über den Domänencontroller) als auch auf von Azure bereitgestellte Hostnamen (über die Weiterleitung) zugreifen.

Hinweis

Azure bietet über die virtuelle IPv4-Adresse 168.63.129.16 Zugriff auf die rekursiven DNS-Konfliktlöser.

Sie können die DNS-Weiterleitung für Folgendes verwenden:

  • Ermöglichen der DNS-Auflösung zwischen VNETs
  • Ermöglichen der Auflösung von Azure bereitgestellter Hostnamen mit Ihren lokalen Computern

Tipp

Damit der Hostname einer VM aufgelöst werden kann, müssen Sie Ihren DNS-Server so konfigurieren, dass Hostnamenabfragen an Azure weitergeleitet werden.

Da das DNS-Suffix in jedem VNET anders ist, verwenden Sie bedingte Weiterleitungsregeln, um DNS-Abfragen zur Auflösung an das richtige VNET zu senden.

Hinweis

Wenn Sie eigene DNS-Server verwenden, bietet Azure die Möglichkeit, für jedes VNET mehrere DNS-Server anzugeben.

Das folgende Diagramm zeigt zwei VNETs und ein lokales Netzwerk. Die DNS-Auflösung erfolgt zwischen den VNETs mit Weiterleitung.

Diagramm mit einem lokalen Netzwerk und zwei VNets, von denen jedes mit seinem eigenen DNS-Server konfiguriert ist. Abfragen an VNet1 und VNet2 von lokalen Clients werden an diese DNS-Server weitergeleitet. Abfragen werden dann zwischen diesen beiden DNS-Servern sowie an das Azure DNS weitergeleitet.

Zusätzliche Lektüre

Weitere Informationen finden Sie in den folgenden Artikeln: