Verwalten von DNS und Erstellen bedingter Weiterleitungen in einer verwalteten Microsoft Entra Domain Services-Domäne
Microsoft Entra Domain Services umfasst einen DNS (Domain Name System)-Server, der die Namensauflösung für die verwaltete Domäne bereitstellt. Dieser DNS-Server enthält integrierte DNS-Einträge und Updates für die wichtigsten Komponenten, die die Ausführung des Dienstes ermöglichen.
Wenn Sie Ihre eigenen Anwendungen und Dienste ausführen, müssen Sie unter Umständen DNS-Einträge für nicht in die Domäne eingebundene Computer erstellen, virtuelle IP-Adressen für Load Balancer konfigurieren oder externe DNS-Weiterleitungen einrichten. Benutzern, die zur Gruppe AAD DC-Administratoren gehören, werden DNS-Administratorrechte in der von Domain Services verwalteten Domäne gewährt, und sie können benutzerdefinierte DNS-Einträge erstellen und bearbeiten.
In einer Hybridumgebung werden in anderen DNS-Namespaces (z. B. in einer lokalen AD DS-Umgebung) konfigurierte DNS-Zonen und DNS-Einträge nicht mit der verwalteten Domäne synchronisiert. Um benannte Ressourcen in anderen DNS-Namespaces aufzulösen, erstellen und verwenden Sie bedingte Weiterleitungen, die auf vorhandene DNS-Server in Ihrer Umgebung verweisen.
Domain Services kommunizieren während des normalen Betriebs mit mehreren Azure-Endpunkten. Umleitungszonen wie file.core.windows.net oder blob.core.windows.net versetzen Domain Services in einen nicht unterstützten Zustand.
Vermeiden Sie die Umleitung von DNS-Zonen im Zusammenhang mit windowsazure.com oder core.windows.net. Wenn eine DNS-Umleitung erforderlich ist, beschränken Sie den Grenzwert für die Umleitung auf einzelne Hostnamen statt auf Zonen. Verwenden Sie z. B. server1.file.core.windows.net anstelle von file.core.windows.net.
Hinweis
Das Erstellen oder Ändern von Stammhinweisen oder DNS-Weiterleitungen auf Serverebene wird nicht unterstützt und führt zu Problemen für die von Domain Services verwaltete Domäne.
In diesem Artikel erfahren Sie, wie Sie die DNS-Servertools installieren und dann die DNS-Konsole zur Verwaltung von Einträgen und zum Erstellen bedingter Weiterleitungen in Domain Services verwenden.
Voraussetzungen
Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
- Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
- Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
- Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
- Bearbeiten Sie bei Bedarf das Tutorial Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.
- Konnektivität zwischen Ihrem virtuellen Domain Services-Netzwerk zum Ort, an dem Ihre anderen DNS-Namespaces gehostet werden.
- Diese Konnektivität kann über eine Azure ExpressRoute- oder Azure VPN Gateway-Verbindung bereitgestellt werden.
- Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domäne eingebunden ist.
- Führen Sie bei Bedarf die Schritte im Tutorial zum Erstellen einer Windows Server-VM und Einbinden der VM in eine verwaltete Domäne aus.
- Ein Benutzerkonto, das Mitglied der Gruppe Microsoft Entra DC-Administratoren in Ihrem Microsoft Entra-Mandanten ist.
Installieren von DNS-Servertools
Zum Erstellen und Ändern von DNS-Einträgen in einer verwalteten Domäne müssen Sie die DNS-Servertools installieren. Diese Tools können als Feature in Windows Server installiert werden. Weitere Informationen zum Installieren der Verwaltungstools auf einem Windows-Client finden Sie unter Installieren der Remoteserver-Verwaltungstools (RSAT).
Melden Sie sich bei Ihrer Verwaltungs-VM an. Die Schritte zur Verbindungsherstellung mit dem Microsoft Entra Admin Center finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.
Wenn Server-Manager bei der Anmeldung beim virtuellen Computer nicht standardmäßig geöffnet wird, wählen Sie das Startmenü und dann Server-Manager aus.
Wählen Sie im Bereich Dashboard des Fensters Server-Manager die Option Rollen und Features hinzufügen aus.
Klicken Sie auf der Seite Vorbereitung des Assistenten zum Hinzufügen von Rollen und Features auf Weiter.
Lassen Sie für Installationstyp die Option Rollenbasierte oder featurebasierte Installation aktiviert, und wählen Sie Weiter aus.
Wählen Sie auf der Seite Serverauswahl den aktuellen virtuellen Computer aus dem Serverpool aus (z. B. myvm.aaddscontoso.com), und wählen Sie dann Weiter aus.
Klicken Sie auf der Seite Serverrollen auf Weiter.
Erweitern Sie auf der Seite Features den Knoten Remote Server-Verwaltungstools und anschließend den Knoten Rollenverwaltungstools. Wählen Sie das Feature DNS-Servertools in der Liste der Rollenverwaltungstools aus.
Wählen Sie auf der Seite Bestätigung die Option Installieren aus. Die Installation der DNS-Servertools kann ein bis zwei Minuten dauern.
Wenn die Installation des Features abgeschlossen ist, wählen Sie Schließen aus, um den Assistenten zum Hinzufügen von Rollen und Features zu beenden.
Öffnen der DNS-Verwaltungskonsole zum Verwalten von DNS
Nach der Installation der DNS-Servertools können Sie DNS-Einträge für die verwaltete Domäne verwalten.
Hinweis
Um DNS in einer verwalteten Domäne verwalten zu können, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administratoren ist.
Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, einschließlich DNS, das im vorherigen Abschnitt installiert wurde. Wählen Sie DNS aus, um die DNS-Verwaltungskonsole zu starten.
Wählen Sie im Dialogfeld Verbindung mit DNS-Server herstellen die Option Folgender Computer aus, und geben Sie dann den DNS-Domänennamen der verwalteten Domäne (z. B. aaddscontoso.com) ein:
Die DNS-Konsole stellt eine Verbindung mit der angegebenen verwalteten Domäne her. Erweitern Sie die Forward-Lookup-Zonen oder Reverse-Lookup-Zonen, um Ihre gewünschten DNS-Einträge zu erstellen oder bestehende Einträge nach Bedarf zu bearbeiten.
Warnung
Wenn Sie Einträge mit den DNS-Servertools verwalten, stellen Sie sicher, dass Sie die integrierten DNS-Einträge, die von Domain Services verwendet werden, nicht löschen oder ändern. Zu den integrierten DNS-Einträgen zählen Domänen-DNS-Einträge, Namenservereinträge sowie weitere für den DC-Standort verwendete Einträge. Wenn Sie diese Einträge ändern, werden die Domänendienste im virtuellen Netzwerk unterbrochen.
Erstellen bedingter Weiterleitungen
Eine Domain Services-DNS-Zone sollte nur die Zone und die Einträge für die verwaltete Domäne selbst enthalten. Erstellen Sie keine zusätzlichen Zonen in der verwalteten Domäne, um benannte Ressourcen in anderen DNS-Namespaces aufzulösen. Verwenden Sie stattdessen bedingte Weiterleitungen in der verwalteten Domäne, um dem DNS-Server mitzuteilen, wo er Adressen für diese Ressourcen auflösen kann.
Eine bedingte Weiterleitung ist eine Konfigurationsoption auf einem DNS-Server, mit der Sie eine DNS-Domäne wie contoso.com zum Weiterleiten von Abfragen definieren können. Es wird also nicht versucht, mithilfe des lokalen DNS-Servers Abfragen für Einträge in dieser Domäne aufzulösen, sondern DNS-Abfragen werden an das konfigurierte DNS für diese Domäne weitergeleitet. Mit dieser Konfiguration wird sichergestellt, dass die richtigen DNS-Einträge zurückgegeben werden, da Sie keine lokale DNS-Zone mit doppelten Einträgen in der verwalteten Domäne erstellen, um diese Ressourcen widerzuspiegeln.
Führen Sie die folgenden Schritte aus, um eine bedingte Weiterleitung in Ihrer verwalteten Domäne zu erstellen:
Wählen Sie Ihre DNS-Zone (z. B. aaddscontoso.com) aus.
Wählen Sie Bedingte Weiterleitungen aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann Neue bedingte Weiterleitung aus.
Geben Sie Ihre andere DNS-Domäne (z. B. contoso.com) und dann die IP-Adressen der DNS-Server für diesen Namespace wie im folgenden Beispiel gezeigt ein:
Aktivieren Sie das Kontrollkästchen Diese bedingte Weiterleitung in Active Directory speichern und wie folgt replizieren, und wählen Sie dann die Option Alle DNS-Server in dieser Domänen aus, wie im folgenden Beispiel gezeigt:
Wichtig
Wenn die bedingte Weiterleitung in der Gesamtstruktur anstelle der Domäne gespeichert wird, führt sie zu einem Fehler.
Wählen Sie zum Erstellen der bedingten Weiterleitung OK aus.
Die Namensauflösung der Ressourcen in anderen Namespaces von VMs, die mit der verwalteten Domäne verbunden sind, sollte jetzt ordnungsgemäß erfolgen. Abfragen für die in der bedingten Weiterleitung konfigurierte DNS-Domäne werden an die entsprechenden DNS-Server übergeben.
Nächste Schritte
Weitere Informationen zur DNS-Verwaltung finden Sie im Technet-Artikel zu DNS-Tools.