我已经设置了一个简单的 Azure 虚拟网络 (VN),由一个域控制器和几个客户端组成。现在我需要知道如何配置 VN 的 DNS 服务器列表。以下是我尝试过的两个选项:
使 DC 成为 DNS 服务器列表中的唯一 IP。最初,这似乎是配置 VN 最明显的方式,但它似乎会阻止出站 DNS,从而使 Internet 基本上无法访问。从 VN 中任何 VM 的命令行,nslookup 都可以针对 DC 运行,但无法针对任何其他 DNS 服务器(包括 Azure 的内置 DNS)运行。出于所有意图和目的,此配置中的出站 DNS 似乎都被阻止了。
首先在列表中设置 DC 的 IP,然后设置 Azure 的内置 DNS。这种方法允许从我的 VN 中的任何 VM 将 DNS 传出到 Azure 的内置 DNS,但为我的客户端设置两个 DNS 服务器感觉很奇怪,其中一个是我的 DC,另一个是我的网络外部的。这是域的配置方式吗?
理想情况下,我希望我的 VN 中的所有 VM 都使用我的 DC 作为 DNS,并让 DC 将未知域转发到 Azure 的内置 DNS 服务器,但我似乎找不到这样做的方法。
答案1
自 2014 年 5 月 8 日起,Azure 虚拟网络不再阻止传出 DNS,因此您可以正常设置 DNS 转发器。
我从此列表中选择了公共 DNS 服务器: http://theos.in/windows-xp/free-fast-public-dns-server-list/
答案2
好问题!来自我所看到的,虚拟网络基本上是一个隔离覆盖。除非您创建站点到站点 VPN 隧道或在虚拟网络中定义可访问的 DNS 服务器,否则无法连接到外部。在我们的环境中,我们通过隧道连接到本地 DC,然后将查询转发到外部 DNS 服务器。如果没有这些,我会说将 Azure DNS 添加到您的 VN DNS 服务器列表中是您的解决方案。
答案3
Microsoft 建议使用带有递归的根提示(最新 Windows Server DNS 版本的默认设置),而不是基于 Azure 的 DNS 服务器的显式转发器配置。
如果您将 DC 配置为也提供 DNS(dcpromo 默认值),请将虚拟网络 DNS 服务器设置为该子网上客户端的适当 DC。
不要在 AD 客户端上设置非 DC DNS 地址。故障转移到该地址将破坏域服务(包括登录和身份验证)。
根提示和递归的优点在于您无需执行任何操作,只需确保您的客户端可以使用 DC 的 DNS。