在 Microsoft Entra Domain Services 受控網域中管理 DNS 並建立條件式轉寄站
Microsoft Entra Domain Services 包含網域名稱系統 (DNS) 伺服器,可為受控網域提供名稱解析。 此 DNS 伺服器包含內建 DNS 記錄以及允許服務執行的主要元件更新。
當您執行自己的應用程式和服務時,可能需要為未加入網域的機器建立 DNS 記錄、設定負載平衡器的虛擬 IP 位址,或設定外部 DNS 轉寄站。 屬於 AAD DC 系統管理員群組的使用者,會獲授與 Domain Services 受控網域的 DNS 系統管理權限,並可建立和編輯自訂 DNS 記錄。
在混合式環境中,其他 DNS 命名空間中設定的 DNS 區域和記錄 (例如內部部署 AD DS 環境) 不會同步處理至受控網域。 若要解析其他 DNS 命名空間中的具名資源,請建立並使用指向您環境中現有 DNS 伺服器的條件式轉寄站。
Domain Services 會在一般作業期間與多個 Azure 端點通訊。 重新導向區域,例如 file.core.windows.net 或 blob.core.windows.net,會將 Domain Services 置於不支援的狀態。
避免重新導向與 windowsazure.com 或 core.windows.net 相關的 DNS 區域。 如果需要 DNS 重新導向,請將重新導向限制為個別主機名稱,而不是區域。 例如,使用 server1.file.core.windows.net,而不是使用 file.core.windows.net。
注意
不支援建立或變更根目錄提示或伺服器層級 DNS 轉寄站,而且會造成 Domain Services 受控網域的問題。
本文說明如何安裝 DNS 伺服器工具,然後使用 DNS 主控台來管理記錄,並在 Domain Services 中建立條件式轉寄站。
開始之前
若要完成本文章,您需要下列資源和權限:
- 有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶,請先建立帳戶。
- 與訂用帳戶相關聯的 Microsoft Entra 租用戶,且其已與內部部署目錄或僅限雲端目錄同步。
- 在 Microsoft Entra 租用戶中已啟用和設定的 Microsoft Entra Domain Services 受控網域。
- 如有需要,請完成教學課程,以建立和設定 Microsoft Entra Domain Services 受控網域。
- 從您的 Domain Services 虛擬網路到裝載其他 DNS 命名空間位置的連線。
- 您可以透過 Azure ExpressRoute 或 Azure VPN 閘道連線來進行上述連線。
- 已加入受控網域的 Windows Server 管理 VM。
- 如有需要,請完成教學課程,了解如何建立 Windows Server VM 並將它加入受控網域。
- 為 Microsoft Entra 租用戶中 Microsoft Entra DC 系統管理員群組成員的使用者帳戶。
安裝 DNS 伺服器工具
若要在受控網域中建立和修改 DNS 記錄,您需要安裝 DNS 伺服器工具。 這些工具能安裝為 Windows Server 中的功能。 如需詳細了解如何在 Windows 用戶端上安裝系統管理工具,請參閱遠端伺服器管理工具 (RSAT)。
登入您的管理 VM。 如需了解使用 Microsoft Entra 系統管理中心進行連線的步驟,請參閱 連線至 Windows Server VM。
如果 [伺服器管理員] 在您登入 VM 時並未預設為開啟狀態,請選取 [開始] 功能表,然後選擇 [伺服器管理員]。
在 [伺服器管理員] 視窗的 [儀表板] 窗格內,選取 [新增角色及功能]。
在 [新增角色及功能精靈] 的 [開始之前] 頁面上,選取 [下一步]。
針對 [安裝類型],保持勾選 [角色型或功能型安裝] 選項,然後選取 [下一步]。
在 [伺服器選擇] 頁面上,從伺服器集區中選擇目前的 VM,例如 myvm.aaddscontoso.com,然後選取 [下一步]。
在 [伺服器角色] 頁面上,按 [下一步]。
在 [功能] 頁面上,展開 [遠端伺服器管理工具] 節點,然後展開 [角色管理工具] 節點。 從角色管理工具清單中,選取 [DNS 伺服器工具] 功能。
選取 [確認] 頁面上的 [安裝]。 安裝 DNS 伺服器工具可能需要一到兩分鐘的時間。
完成功能安裝時,請選取 [關閉] 以結束 [新增角色及功能] 精靈。
開啟 DNS 管理主控台來管理 DNS
安裝 DNS 伺服器工具後,您可以在受控網域上管理 DNS 記錄。
注意
若要管理受控網域中的 DNS,您必須登入 AAD DC 系統管理員群組成員的使用者帳戶。
從 [開始] 畫面中,選取 [系統管理工具]。 系統會顯示可用的管理工具清單,當中包含上一節安裝的 DNS。 選取 [DNS] 即可啟動 DNS 管理主控台。
在 [連線到 DNS 伺服器] 對話方塊中,選取 [下列電腦],然後輸入受控網域的 DNS 網域名稱,例如 aaddscontoso.com:
DNS 主控台會連線到指定受控網域。 展開 [正向對應區域] 或 [反向對應區域],以建立所需的 DNS 項目;如有需要,也可編輯現有的記錄。
警告
使用 DNS 伺服器工具管理記錄時,切勿刪除或修改 Domain Services 使用的內建 DNS 記錄。 內建 DNS 記錄包括網域 DNS 記錄、名稱伺服器記錄和其他用於 DC 位置的記錄。 如果您修改這些記錄,虛擬網路上的網域服務會中斷。
建立條件式轉寄站
Domain Services DNS 區域應該只包含受控網域本身的區域和記錄。 請勿在受控網域中建立其他區域來解析其他 DNS 命名空間中的已命名資源。 如要解析這些資源的位址,請改使用受控網域中的條件式轉寄站向 DNS 伺服器告知目標。
條件式轉寄站是 DNS 伺服器中的設定選項,可讓您定義要轉寄查詢的 DNS 網域,例如 contoso.com。 這種方法不會使本機 DNS 伺服器嘗試解析該網域中針對記錄所做的查詢,而是會將 DNS 查詢轉寄到該網域中已設定的 DNS。 這種設定可確保系統傳回正確的 DNS 記錄,因為您不會在受控網域中建立具有重複記錄的本機 DNS 區域來反映這些資源。
若要在受控網域中建立條件式轉寄站,請完成下列步驟:
選取您的 DNS 區域,例如 [aaddscontoso.com]。
選取 [條件式轉寄站],然後以滑鼠右鍵按一下並選擇 [新增條件式轉寄站...]
輸入其他 DNS 網域,例如 contoso.com,然後輸入該命名空間的 DNS 伺服器 IP 位址,如下列範例所示:
勾選 [在 Active Directory 中儲存此條件式轉寄站,並複寫如下] 方塊,然後選取 [此網域中的所有 DNS 伺服器] 選項,如下列範例所示:
重要
如果條件式轉寄站儲存在「樹系」中,而不是「網域」中,條件式轉寄站就會失敗。
若要建立條件式轉寄站,請選取 [確定]。
至此,系統應該會在連線到受控網域的 VM 中,正確解析其他命名空間的資源名稱。 在條件式轉寄站中設定的 DNS 網域查詢會傳遞至相關的 DNS 伺服器。
下一步
如需管理 DNS 的詳細資訊,請參閱 Technet 上的 DNS 工具文章。