Как сделать dns windows server

Преобразователь Azure DNS

Эта функция отсутствовала в Azure очень долгое время и наконец доступна в предварительной версии. Вы можете спросить, с какой стати что-то настолько элементарное длится. Возможно, как и в настройках AWS и GCP, вы считаете это фреймворком (входящие, исходящие конечные точки и тому подобное). Дело в том, что внутренний DNS в облаке не является «сервером» как обычно в onprem. Представьте себе огромные проблемы с масштабируемостью, которые могут возникнуть. Также учитывайте доступность — 60 регионов, многие из них в разной степени доступности, плюс огромное количество заказов. Поэтому облачные игроки распространяют эту услугу напрямую на хост — на каждом из миллионов физических серверов есть служба DNS. Вот почему его IP-адрес — 168.63.129.16 в Azure, 169.254.169.253 в AWS и 169.254.169.254 в GCP. Это (с точки зрения физической сети) локально значимый адрес — знаете ли вы, какие таблицы можно использовать в мультитенантном режиме (каждый частный DNS-клиент имеет «ссылку» на виртуальную сеть, которая является уникальной? идентификатор арендатора/VNET). Вот именно с этим и связана сложность. Вы не можете направлять свою переадресацию на этот адрес из onprem, и вы также не можете отправлять переадресацию на другие с этого адреса. Итак, мы хотим создать конечные точки в клиентской виртуальной сети (по сути, виртуальные машины или контейнеры для конкретного клиента, управляемого каким-либо провайдером), через которые служба Azure DNS может перенаправлять запросы на локальную (исходящую конечную точку), а также на входящую конечную точку на который служба будет отвечать на запросы, пересылаемые как из локальной сети, так и из распределенной сети. В общем, все три облака указывали на одно и то же.

Читайте также:  Как создать загрузочную флешку windows 7 под ubuntu

Когда пользовательский DNS все еще имеет смыслЕ™еЎенГ

Внутренний DNS в облаке — это не какой-то суперсервер, где можно легко манипулировать запросами. Так что не ожидайте, что кто-то будет умным от внутреннего облачного DNS. Итак, вот несколько причин, которые я заметил на практике, когда вы захотите иметь свой собственный DNS-сервер в облаке:

  • В классическом мире Windows вы можете захотеть расширить Windows DNS до облака с хостом — хост-компьютером, службами DNS и настроить все это через GPO. Такой вариант имеет определенные преимущества в консолидации и в том, что он известен — так почему бы его не использовать и не поставить в посадочной зоне ряд Windows-серверов?
  • Некоторые учреждения, особенно банки, могут использовать сложные DNS-серверы со специальными функциями безопасности. Возможно, они выполняют запросы мониторинга, чтобы предотвратить туннелирование DNS, используя авторитетные службы (известные вредоносные полные доменные имена, такие как серверы управления и контроля), или хотят внести в черный список или подробный мониторинг DNS. Простая служба Azure Private DNS в настоящее время не предлагает этого.
  • Некоторые компании имеют беспорядочную среду, полную обходных путей после различных приобретений и подобных событий, и используют F5 в качестве DNS-сервера, на котором они создают очень сложные правила для исправления DNS с помощью iRules. Например, по историческим причинам они используют внутренние публичные IP-адреса, которыми не владеют (да — такое тоже может случиться на практике в крупной международной компании — они уж точно узнали друг друга, так что извиняюсь за их пример: )) и если DNS возвращает что-то конфликтующее, так оно и есть. Другая возможность заключается в том, что их политики пересылки значительно сложнее, чем обычные, разделенные по файлам (например, нужно в одном файле, напримерmojedomena.cz, отправляйте запросы о списках, начинающихся с буквы «а», на другой сервер, чем остальные — если мне это кажется странным, то знайте, что если у вас около 50 000 сотрудников, то за 20 лет довольно много таких странных вещей произошло).
Читайте также:  Как убрать пароль на windows 10 при установке

Кстати, когда я говорю о своем собственном сервере, я имею в виду сервер в облаке, а не в том случае, если облако находится на локальном сервере. При этом мы спрашиваем о сложности подключения, задержка и доступность облака зависят от подключенного VPN или Express Route (количество приложений, которые будут находиться в облаке и приносить пользу пользователям и клиентам даже без VPN, будет от с точки зрения тенденции, она, безусловно, может увеличиваться, а не наоборот).

Практическое развертывание гибридного производства электроэнергии

Я попробовал следующую сцену™ и обернул все в шаблон Bicep, который вы также можете скачать и развернуть здесь

Давайте создадим виртуальную глобальную сеть Azure с концентратором, один из которых предназначен для общих служб (поместите туда преобразователь DNS) и один луч. Мы моделируем Onprem в Azure как еще одну виртуальную сеть и вместо VPN просто перенаправляем ее в сеть служб. Мы создадим по одной виртуальной машине в каждой сети, а также настроим DNS-сервер в локальной сети, где будет Bind9 (в нашем примере — локальный DNS-сервер). В Azure мы создадим зону Private DNS для серверов (azure.mydomain.demo), связанных со всеми лучами (чтобы каждая виртуальная машина в этой зоне регистрировала себя). Резолвер будет перенаправлять запросы в локальный домен (onprem.mydomain.demo) через исходящий интерфейс, а запросы от локального DNS-сервера и отдельных распределенных сетей будут направляться к нему через входящий интерфейс (это сделано для того, чтобы мы могли имеют системы централизованного управления частными конечными точками служб PaaS, и они также были доступны из локальной сети).

Всего›выглядит так:

После развертывания шаблона мы можем взглянуть на графический интерфейс преобразователя. Политики направляют запросы к onprem.mydomain.demo на IP-адрес локального DNS-сервера (10.99.1.10)

Читайте также:  Как правильно устанавливать windows 10 на ноутбук

.

Вот установка Bind9 в onprem. По сути, это очень простая конфигурация: сервер хранит записи для onprem.mydomain.demo и перенаправляет запросы к azure.mydomain.demo на преобразователь входящих DNS-серверов в Azure.

Из onprem, который использует локальный DNS-сервер 10.99.1.10, у меня все в порядке как на cloudvm.azure.mydomain.demo, так и на частной конечной точке.

Аналогичным образом, когда я переключаюсь с сети Spoke, которая использует входящий интерфейс пересылки Azure DNS в качестве DNS-сервера, я получаю доступ как к частным зонам Azure, включая частную конечную точку, так и к onpremvm.onprem.mydomain.demo, который живет на моем DNS-сервере ©m onprem.

Я думаю, что количество команд для этой службы было довольно большим, потому что гибридный DNS нужен почти каждый раз. Конечно, если у вас есть особые требования к обработке запросов, вы используете супербезопасную сеть или подробный мониторинг DNS или просто хотите иметь централизованно управляемые роли Windows DNS во всех средах, вы также можете использовать dľl. Но вы должны позаботиться об этом — это включает в себя высокую доступность, исправление, кто имеет доступ к серверу и как… где это возможно, я бы предпочел преобразователь Azure DNS, и у меня нет проблем ни с чем из этого.

Поделиться с друзьями
ОС советы