DNS-integrering för Azure Stack Hub-datacenter
För att kunna komma åt Azure Stack Hub-slutpunkter som portalen, adminportal, managementoch administration utanför Azure Stack Hub måste du integrera Azure Stack Hub DNS-tjänsterna med DE DNS-servrar som är värdar för de DNS-zoner som du vill använda i Azure Stack Hub.
Dns-namnrymd för Azure Stack Hub
Du måste ange viktig information som rör DNS när du distribuerar Azure Stack Hub.
| Fält | Beskrivning | Exempel |
|---|---|---|
| Region | Den geografiska platsen för din Azure Stack Hub-distribution. | east |
| Externt domännamn | Namnet på den zon som du vill använda för din Azure Stack Hub-distribution. | cloud.fabrikam.com |
| Internt domännamn | Namnet på den interna zon som används för infrastrukturtjänster i Azure Stack Hub. Det är Katalogtjänstintegrerad och privat (kan inte nås utanför Azure Stack Hub-distributionen). | azurestack.local |
| DNS-vidarebefordrare | DNS-servrar som används för att vidarebefordra DNS-frågor, DNS-zoner och poster som finns utanför Azure Stack Hub, antingen på företagets intranät eller på offentligt Internet. Du kan redigera DNS-vidarebefordrarens värde med Set-AzSDnsForwarder cmdlet efter distributionen. | |
| Namngivningsprefix (valfritt) | Det namngivningsprefix som du vill att datornamnen för din Azure Stack Hub-infrastrukturrollinstans ska ha. Om det inte anges är standardvärdet azs. |
azs |
Det fullständigt kvalificerade domännamnet (FQDN) för din Azure Stack Hub-distribution och dina slutpunkter är kombinationen av parametern Region och parametern Externt domännamn. Med hjälp av värdena från exemplen i föregående tabell skulle FQDN för den här Azure Stack Hub-distributionen vara följande namn:
east.cloud.fabrikam.com
Därför skulle exempel på några av slutpunkterna för den här distributionen se ut som följande URL:er:
https://portal.east.cloud.fabrikam.com
https://management.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com
https://adminmanagement.east.cloud.fabrikam.com
Om du vill använda det här exemplet dns-namnrymd för en Azure Stack Hub-distribution krävs följande villkor:
- Zonen
fabrikam.comär registrerad antingen med en domänregistrator, en intern DNS-server för företag eller båda, beroende på dina krav på namnmatchning. - Den underordnade domänen
cloud.fabrikam.comfinns under zonenfabrikam.com. - DE DNS-servrar som är värdar för zonerna
fabrikam.comochcloud.fabrikam.comkan nås från Azure Stack Hub-distributionen.
För att kunna lösa DNS-namn för Azure Stack Hub-slutpunkter och instanser utanför Azure Stack Hub måste du integrera de DNS-servrar som är värd för den externa DNS-zonen för Azure Stack Hub med de DNS-servrar som är värd för den överordnade zonen du vill använda.
DNS-namnetiketter
Azure Stack Hub har stöd för att lägga till en DNS-namnetikett till en offentlig IP-adress för att tillåta namnmatchning för offentliga IP-adresser. DNS-etiketter är ett bekvämt sätt för användare att nå appar och tjänster som finns i Azure Stack Hub med namn. DNS-namnetiketten använder ett något annorlunda namnområde än infrastrukturslutpunkterna. Efter föregående exempelnamnområde visas namnområdet för DNS-namnetiketter på följande sätt:
*.east.cloudapp.cloud.fabrikam.com
Om en klientorganisation anger ett värde Myapp i fältet DNS-namnetikett för en offentlig IP-adressresurs skapas därför en A-post för myapp i zonen east.cloudapp.cloud.fabrikam.com på den externa DNS-servern i Azure Stack Hub. Det resulterande fullständigt kvalificerade domännamnet visas på följande sätt:
myapp.east.cloudapp.cloud.fabrikam.com
Om du vill använda den här funktionen och namnområdet måste du integrera de DNS-servrar som är värdar för den externa DNS-zonen för Azure Stack Hub med de DNS-servrar som är värdar för den överordnade zonen som du vill använda. Det här namnområdet skiljer sig från namnområdet för Azure Stack Hub-tjänstslutpunkterna, så du måste skapa en annan delegerings- eller regel för villkorlig vidarebefordran.
Mer information om hur DNS-namnetiketten fungerar finns i Använda DNS i Azure Stack Hub.
Lösning och delegering
Det finns två typer av DNS-servrar:
- En auktoritativ DNS-server är värd för DNS-zoner. Den svarar endast på DNS-frågor för poster i dessa zoner.
- En rekursiv DNS-server är inte värd för DNS-zoner. Den besvarar alla DNS-frågor genom att anropa auktoritativa DNS-servrar för att samla in de data som behövs.
Azure Stack Hub innehåller både auktoritativa och rekursiva DNS-servrar. Rekursiva servrar används för att matcha namn på allt förutom den interna privata zonen och den externa offentliga DNS-zonen för den Azure Stack Hub-distributionen.
Lösa externa DNS-namn från Azure Stack Hub
För att matcha DNS-namn för slutpunkter utanför Azure Stack Hub (till exempel www.bing.com) måste du ange DNS-servrar som Azure Stack Hub kan använda för att vidarebefordra DNS-begäranden som Azure Stack Hub inte är auktoritativt för. För distribution krävs DNS-servrar som Azure Stack Hub vidarebefordrar begäranden till i distributionsförslaget (i fältet DNS-vidarebefordrare). Ange minst två servrar i det här fältet för feltolerans. Utan dessa värden misslyckas Azure Stack Hub-distributionen. Du kan redigera DNS-vidarebefordrarens värden med cmdleten Set-AzSDnsForwarder efter distributionen.
Om de externa DNS-vidarebefordrarservrarna inte kan lösa en DNS-begäran som vidarebefordras från Azure Stack Hub försöker den interna DNS-rekursiva upplösningstjänsten som standard kontakta DNS-rottipsservrar. Det här återgångsbeteendet överensstämmer med DNS-serverns namnupplösningsstandarder. Internet-rottipsservrarna används för att lösa DNS-adressinformation när DNS-vidaresändarna inte kan besvara frågan från en lokal värdbaserad zon eller från DNS-servercachen.
Om du vill hantera DNS-rottips-inställningen för den interna DNS-namnupplösningstjänsten i Azure Stack Hub använder du cmdleten Get-AzSDnsServerSettings för att visa den aktuella konfigurationen. Standardinställningen är aktiverad. Cmdleten Set-AzSDnsServerSettings aktiverar eller inaktiverar –UseRootHint konfiguration av de interna DNS-servrarna.
Not
För scenarier där Azure Stack Hub inte kan kontakta internet-DNS-root-hints-servrar, där UDP-port 53 (DNS) till exempel är blockerad eller när nätverksåtkomsten är permanent blockerad eller helt frånkopplad/luft-gapped, rekommenderas att inaktivera inställningen -UseRootHint för att förhindra utökade tidsgränser vid DNS-namnupplösning. Använd cmdleten Set-AzSDnsServerSettings för att styra den här inställningen.
Konfigurera villkorlig DNS-vidarebefordran
Viktig
Detta gäller endast för en AD FS-distribution.
Om du vill aktivera namnmatchning med din befintliga DNS-infrastruktur konfigurerar du villkorlig vidarebefordran.
Om du vill lägga till en villkorlig vidarebefordrare måste du använda den privilegierade slutpunkten.
För den här proceduren använder du en dator i ditt datacenternätverk som kan kommunicera med den privilegierade slutpunkten i Azure Stack Hub.
Öppna en upphöjd Windows PowerShell-session (kör som administratör) och anslut till IP-adressen för den privilegierade slutpunkten. Använd autentiseringsuppgifterna för CloudAdmin-autentisering.
$cred=Get-Credential Enter-PSSession -ComputerName <IP Address of ERCS> -ConfigurationName PrivilegedEndpoint -Credential $credNär du har anslutit till den privilegierade slutpunkten kör du följande PowerShell-kommando. Ersätt de exempelvärden som anges med domännamnet och IP-adresserna för de DNS-servrar som du vill använda.
Register-CustomDnsServer -CustomDomainName "contoso.com" -CustomDnsIPAddresses "192.168.1.1","192.168.1.2"
Lösa DNS-namn för Azure Stack Hub utanför Azure Stack Hub
Auktoritativa servrar är de som innehåller information om den externa DNS-zonen och alla användarskapade zoner. Integrera med dessa servrar för att aktivera zondelegering eller villkorsstyrd vidarebefordran för att lösa DNS-namn för Azure Stack Hub utanför Azure Stack Hub.
Hämta extern slutpunktsinformation för DNS Server
För att integrera din Azure Stack Hub-distribution med DNS-infrastrukturen behöver du följande information:
- FQDN för DNS-servrar
- IP-adresser för DNS-server
FQDN:erna för Azure Stack Hub DNS-servrarna har följande format:
<NAMINGPREFIX>-ns01.<REGION>.<EXTERNALDOMAINNAME>
<NAMINGPREFIX>-ns02.<REGION>.<EXTERNALDOMAINNAME>
Om du använder exempelvärdena är FQDN:erna för DNS-servrarna:
azs-ns01.east.cloud.fabrikam.com
azs-ns02.east.cloud.fabrikam.com
Den här informationen skapas också i slutet av alla Azure Stack Hub-distributioner i en fil med namnet AzureStackStampInformation.json. Den här filen finns i mappen C:\CloudDeployment\logs för den virtuella distributionsdatorn. Om du inte är säker på vilka värden som användes för din Azure Stack Hub-distribution kan du hämta värdena härifrån.
Om den virtuella distributionsdatorn inte längre är tillgänglig eller inte är tillgänglig kan du hämta värdena genom att ansluta till den privilegierade slutpunkten och köra Get-AzureStackStampInformation PowerShell-cmdleten. Mer information finns i privilegierad slutpunkt.
Konfigurera villkorlig vidarebefordran till Azure Stack Hub
Det enklaste och säkraste sättet att integrera Azure Stack Hub med DIN DNS-infrastruktur är att göra villkorlig vidarebefordran av zonen från den server som är värd för den överordnade zonen. Den här metoden rekommenderas om du har direkt kontroll över DE DNS-servrar som är värdar för den överordnade zonen för ditt externa DNS-namnområde i Azure Stack Hub.
Om du inte är bekant med hur du vidarebefordrar villkorsstyrd vidarebefordran med DNS kan du läsa följande TechNet-artikel: Tilldela en villkorlig vidarebefordrare för ett domännamneller dokumentationen som är specifik för din DNS-lösning.
I scenarier där du har angett din externa Azure Stack Hub DNS-zon så att den ser ut som en underordnad domän för företagets domännamn kan villkorlig vidarebefordran inte användas. DNS-delegering måste konfigureras.
Exempel:
- Företagets DNS-domännamn:
contoso.com - Externt DNS-domännamn för Azure Stack Hub:
azurestack.contoso.com
Redigera IP-adresser för DNS-vidarebefordrare
IP-adresser för DNS-vidarebefordrare anges under distributionen av Azure Stack Hub. Men om vidarebefordrarens IP-adresser behöver uppdateras av någon anledning kan du redigera värdena genom att ansluta till den privilegierade slutpunkten och köra Get-AzSDnsForwarder- och Set-AzSDnsForwarder [[-IPAddress] <IPAddress[]>] PowerShell-cmdletar. Mer information finns i privilegierad slutpunkt.
Delegera den externa DNS-zonen till Azure Stack Hub
För att DNS-namn ska kunna matchas utanför en Azure Stack Hub-distribution måste du konfigurera DNS-delegering.
Varje registrator har sina egna DNS-hanteringsverktyg för att ändra namnserverposterna för en domän. På registratorns DNS-hanteringssida redigerar du NS-posterna och ersätter NS-posterna för zonen med dem i Azure Stack Hub.
De flesta DNS-registratorer kräver att du tillhandahåller minst två DNS-servrar för att slutföra delegeringen.