DNS-integratie van Azure Stack Hub-datacenter
Als u toegang wilt krijgen tot Azure Stack Hub-eindpunten zoals portal, adminportal, beheeren beheerbeheer van buiten Azure Stack Hub, moet u de Azure Stack Hub DNS-services integreren met de DNS-servers die de DNS-zones hosten die u wilt gebruiken in Azure Stack Hub.
DNS-naamruimte van Azure Stack Hub
U moet belangrijke informatie opgeven met betrekking tot DNS wanneer u Azure Stack Hub implementeert.
| Veld | Beschrijving | Voorbeeld |
|---|---|---|
| Regio | De geografische locatie van uw Azure Stack Hub-implementatie. | east |
| Externe domeinnaam | De naam van de zone die u wilt gebruiken voor uw Azure Stack Hub-implementatie. | cloud.fabrikam.com |
| Interne domeinnaam | De naam van de interne zone die wordt gebruikt voor infrastructuurservices in Azure Stack Hub. De directoryservice is geïntegreerd en privé (niet bereikbaar van buiten de Azure Stack Hub-implementatie vandaan). | azurestack.local |
| DNS-doorstuurservers | DNS-servers die worden gebruikt voor het doorsturen van DNS-query's, DNS-zones en records die buiten Azure Stack Hub worden gehost, hetzij op het intranet van het bedrijf of op het openbare internet. U kunt de waarde van de DNS-doorstuurserver bewerken met de Set-AzSDnsForwarder cmdlet na de implementatie. | |
| Naamgevingsvoorvoegsel (optioneel) | Het naamgevingsvoorvoegsel dat u wilt gebruiken voor de machinenamen van uw Azure Stack Hub-infrastructuurrolinstantie. Als deze niet is opgegeven, wordt de standaardwaarde azs. |
azs |
De FQDN (Fully Qualified Domain Name) van uw Azure Stack Hub-implementatie en -eindpunten is de combinatie van de parameter Regio en de parameter Externe domeinnaam. Met behulp van de waarden uit de voorbeelden in de vorige tabel is de FQDN voor deze Azure Stack Hub-implementatie de volgende naam:
east.cloud.fabrikam.com
Als zodanig zien voorbeelden van enkele eindpunten voor deze implementatie eruit als de volgende URL's:
https://portal.east.cloud.fabrikam.com
https://management.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
https://adminmanagement.east.cloud.fabrikam.com
Als u deze voorbeeld-DNS-naamruimte wilt gebruiken voor een Azure Stack Hub-implementatie, zijn de volgende voorwaarden vereist:
- De zone
fabrikam.comis geregistreerd bij een domeinregistrar, een interne DNS-server voor bedrijven of beide, afhankelijk van uw vereisten voor naamomzetting. - Het kinderdomein
cloud.fabrikam.combestaat binnen de zonefabrikam.com. - De DNS-servers waarop de zones
fabrikam.comencloud.fabrikam.comworden gehost, kunnen worden bereikt vanuit de Azure Stack Hub-implementatie.
Als u DNS-namen voor Azure Stack Hub-eindpunten en -exemplaren van buiten Azure Stack Hub wilt omzetten, moet u de DNS-servers die de externe DNS-zone van Azure Stack Hub hosten, integreren met de DNS-servers die de bovenliggende zone hosten die u wilt gebruiken.
DNS-naamlabels
Azure Stack Hub ondersteunt het toevoegen van een DNS-naamlabel aan een openbaar IP-adres om naamomzetting voor openbare IP-adressen toe te staan. DNS-labels zijn een handige manier voor gebruikers om apps en services te bereiken die op naam worden gehost in Azure Stack Hub. Het DNS-naamlabel maakt gebruik van een iets andere naamruimte dan de infrastructuureindpunten. Na de vorige voorbeeldnaamruimte wordt de naamruimte voor DNS-naamlabels als volgt weergegeven:
*.east.cloudapp.cloud.fabrikam.com
Als een tenant daarom een waarde aangeeft Myapp in het veld DNS-naamlabel van een openbare IP-adresresource, wordt er een A-record gemaakt voor myapp- in de zone east.cloudapp.cloud.fabrikam.com op de externe DNS-server van Azure Stack Hub. De resulterende volledig gekwalificeerde domeinnaam wordt als volgt weergegeven:
myapp.east.cloudapp.cloud.fabrikam.com
Als u deze functionaliteit en naamruimte wilt gebruiken, moet u de DNS-servers integreren die als host fungeren voor de externe DNS-zone voor Azure Stack Hub met de DNS-servers die als host fungeren voor de bovenliggende zone die u wilt gebruiken. Deze naamruimte verschilt van de naamruimte voor de Azure Stack Hub-service-eindpunten, dus u moet een andere overdrachts- of voorwaardelijke doorstuurregel maken.
Zie DNS gebruiken in Azure Stack Hubvoor meer informatie over de werking van het DNS-naamlabel.
Resolutie en delegatie
Er zijn twee typen DNS-servers:
- Een gezaghebbende DNS-server beherbergt DNS-zones. Het antwoord beantwoordt ALLEEN DNS-query's voor records in deze zones.
- Een recursieve DNS-server host geen DNS-zones. Het beantwoordt alle DNS-query's door gezaghebbende DNS-servers aan te roepen om de benodigde gegevens te verzamelen.
Azure Stack Hub bevat zowel gezaghebbende als recursieve DNS-servers. De recursieve servers worden gebruikt om namen van alles op te lossen, met uitzondering van de interne privézone en de externe openbare DNS-zone voor die Azure Stack Hub-implementatie.
Externe DNS-namen omzetten vanuit Azure Stack Hub
Als u DNS-namen wilt omzetten voor eindpunten buiten Azure Stack Hub (bijvoorbeeld: www.bing.com), moet u DNS-servers opgeven die Azure Stack Hub kan gebruiken om DNS-aanvragen door te sturen waarvoor Azure Stack Hub niet gemachtigd is. Voor implementatie zijn DNS-servers waarnaar aanvragen door Azure Stack Hub worden doorgestuurd, vereist in het implementatiewerkblad (in het veld DNS-doorstuur server). Geef ten minste twee servers in dit veld op voor fouttolerantie. Zonder deze waarden mislukt de implementatie van Azure Stack Hub. U kunt de waarden van de DNS-doorstuurserver bewerken met de cmdlet Set-AzSDnsForwarder na de implementatie.
Als de externe DNS-doorstuurservers geen DNS-aanvraag kunnen omzetten die is doorgestuurd vanuit Azure Stack Hub, probeert de interne DNS recursieve resolver-service standaard contact op te maken met de DNS-hoofdtipservers. Dit terugvalgedrag is consistent met dns-servernaamomzettingsstandaarden. De internethoofdtipservers worden gebruikt om DNS-adresgegevens op te lossen wanneer de DNS-doorstuurservers de query niet lokaal kunnen omzetten vanuit een gehoste zone of de DNS-servercache.
Als u de DNS-basishints wilt beheren instelling voor de interne DNS-naamomzettingsservice in Azure Stack Hub, gebruikt u de Get-AzSDnsServerSettings-cmdlet om de huidige configuratie weer te geven; de standaardinstelling is ingeschakeld. De cmdlet Set-AzSDnsServerSettings schakelt de configuratie van de interne DNS-serversUseRootHint in of uit.
Notitie
Voor scenario's waarin Azure Stack Hub geen contact kan maken met de internet-DNS-hoofdtipservers, zoals UDP-poort 53 (DNS), waarin netwerktoegang permanent wordt geblokkeerd of volledig is verbroken/air-gapped, wordt u aangeraden de -UseRootHint instelling uit te schakelen om uitgebreide time-outs in DNS-naamomzetting te voorkomen. Gebruik de cmdlet Set-AzSDnsServerSettings om deze instelling te beheren.
Voorwaardelijke DNS-doorsturen configureren
Belangrijk
Dit geldt alleen voor een AD FS-implementatie.
Als u naamomzetting wilt inschakelen met uw bestaande DNS-infrastructuur, configureert u voorwaardelijk doorsturen.
Als u een voorwaardelijke doorstuurserver wilt toevoegen, moet u het bevoegde eindpunt gebruiken.
Gebruik voor deze procedure een computer in uw datacenternetwerk die kan communiceren met het bevoegde eindpunt in Azure Stack Hub.
Open een Windows PowerShell-sessie met verhoogde bevoegdheid (als administrator uitvoeren) en maak verbinding met het IP-adres van het bevoegde eindpunt. Gebruik de inloggegevens voor CloudAdmin-verificatie.
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $credNadat u verbinding hebt gemaakt met het bevoegde eindpunt, voert u de volgende PowerShell-opdracht uit. Vervang de voorbeeldwaarden die zijn opgegeven met uw domeinnaam en IP-adressen van de DNS-servers die u wilt gebruiken.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
DNS-namen van Azure Stack Hub oplossen van buiten Azure Stack Hub
De gezaghebbende servers zijn de servers die de informatie over de externe DNS-zone en alle door de gebruiker gemaakte zones bevatten. Integreer met deze servers om zonedelegering of voorwaardelijk doorsturen in te schakelen om DNS-namen van Azure Stack Hub van buiten Azure Stack Hub op te lossen.
Externe eindpuntgegevens van DNS-server ophalen
Als u uw Azure Stack Hub-implementatie wilt integreren met uw DNS-infrastructuur, hebt u de volgende informatie nodig:
- FQDN's voor DNS-server
- IP-adressen van DNS-server
De FQDN's voor de DNS-servers van Azure Stack Hub hebben de volgende indeling:
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
Als u de voorbeeldwaarden gebruikt, zijn de FQDN's voor de DNS-servers:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Deze informatie wordt ook gemaakt aan het einde van alle Azure Stack Hub-implementaties in een bestand met de naam AzureStackStampInformation.json. Dit bestand bevindt zich in de map C:\CloudDeployment\logs van de virtuele implementatiemachine. Als u niet zeker weet welke waarden zijn gebruikt voor uw Azure Stack Hub-implementatie, kunt u de waarden hier ophalen.
Als de virtuele implementatiemachine niet meer beschikbaar is of niet toegankelijk is, kunt u de waarden verkrijgen door verbinding te maken met het bevoegde eindpunt en de Get-AzureStackStampInformation PowerShell-cmdlet uit te voeren. Zie geprivilegieerd eindpuntvoor meer informatie.
Voorwaardelijk doorsturen naar Azure Stack Hub instellen
De eenvoudigste en veiligste manier om Azure Stack Hub te integreren met uw DNS-infrastructuur is door middel van voorwaardelijk doorsturen van de zone vanaf de server die als host fungeert voor de bovenliggende zone. Deze methode wordt aanbevolen als u directe controle hebt over de DNS-servers die als host fungeren voor de bovenliggende zone voor uw externe DNS-naamruimte van Azure Stack Hub.
Als u niet bekend bent met het uitvoeren van voorwaardelijk doorsturen met DNS, raadpleegt u het volgende TechNet-artikel: Een voorwaardelijke doorstuurserver toewijzen voor een domeinnaamof de documentatie die specifiek is voor uw DNS-oplossing.
In scenario's waarin u uw externe Azure Stack Hub DNS-zone hebt opgegeven om eruit te zien als een onderliggend domein van uw bedrijfsdomein, kan voorwaardelijk doorsturen niet worden gebruikt. DNS-delegering moet worden geconfigureerd.
Voorbeeld:
- Bedrijfs-DNS-domeinnaam:
contoso.com - Externe DNS-domeinnaam van Azure Stack Hub:
azurestack.contoso.com
IP-adressen van DNS-doorstuurservers bewerken
IP-adressen van DNS-doorstuurservers worden ingesteld tijdens de implementatie van Azure Stack Hub. Als de ip-adressen van de doorstuurserver om welke reden dan ook moeten worden bijgewerkt, kunt u de waarden bewerken door verbinding te maken met het bevoegde eindpunt en de Get-AzSDnsForwarder en Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell-cmdlets uit te voeren. Voor meer informatie, zie bevoorrecht eindpunt.
De externe DNS-zone delegeren aan Azure Stack Hub
Als u wilt dat DNS-namen kunnen worden omgezet van buiten een Azure Stack Hub-implementatie, moet u DNS-delegering instellen.
Elke registrar heeft zijn eigen DNS-beheerprogramma's om de naamserverrecords voor een domein te wijzigen. Bewerk de NS-records op de pagina DNS-beheer van de registrar en vervang de NS-records voor de zone door de records in Azure Stack Hub.
Voor de meeste DNS-registrars moet u minimaal twee DNS-servers opgeven om de overdracht te voltooien.