与外部域具有相同域名的 Azure AD DS

与外部域具有相同域名的 Azure AD DS

我们有以下设置:

  • mycompany.com 上的 Office 365
  • AWS Route 53 作为 mycompany.com 的 DNS 服务器
  • Azure 作为托管提供商

我正在 Azure 上创建一组新的服务器,并且我使用了 Azure Active Directory 域服务,以便我们可以使用我们的 Office 365 凭据登录服务器。

mysite.mycompany.com 在 AWS 上设置为 CNAME 记录,以指向 mysite.northeurope.cloudapp.azure.com,并且在 Azure 中使用该名称设置了一个公共 IP 地址,该地址指向一个公共负载均衡器,该均衡器在名为 mysite-web1.mycompany.com 和 mysite-web2.mycompany.com 的两个服务器之间分配流量。

问题是,尽管我可以从外部访问网站 mysite.mycompany.com,但我无法从 Azure 虚拟网络访问它。

我认为这是因为 Azure 虚拟网络仅使用 Azure AD 服务器获取域名,根本不使用 AWS。Azure 虚拟网络上没有名为 mysite.mycompany.com 的服务器

所以我有几个问题:

  • 有办法让它工作吗?我假设我可以将 DNS 名称 mysite.mycompany.com 添加到 AD DS,但我不想重复维护该信息。
  • 这种设置是不是一个坏主意?假设我可以修复它,那么我是否会遇到使用相同名称的内部和外部域的其他问题。

答案1

这是人们在使用非 Azure Active Directory 域服务时面临的相同问题。您不应将 AD 域命名为与外部网站相同的名称,因为 Active Directory 中的 DNS 将提供域控制器的 IP 地址。

这确实不是但是,这意味着您无法使用 Office 365 帐户登录。您的 AD 域名不需要与您的 UPN(用户主体名称)匹配。例如,您的域名可以是,corp.example.com而您的域 NETBIOS 名称可以是corp,但用户仍可以使用[email protected]- 因为example.com是您的 UPN 后缀。

坦率地说,摆脱您目前所处情况的“正确”方法是拆除 Azure ADDS 并使用不同的域名重新开始。唯一的其他选择是进行 DNS 委派以mysite指向您的 Route 53 名称服务器。这意味着为您需要指向其他地方的每个子域创建一个新的委派。

答案2

Vnet 不使用 Azure AD 服务器来获取域名。没有 Azure AD 域服务器(除非您在使用的同一 Vnet 中谈论您自己的域\dns 服务器)。

我认为您需要条件 DNS 转发来处理这种情况。因为您的两个 DNS 服务都“负责”同一个区域。

答案3

缺少几个测试,目前您还无法确定问题所在。

  1. 您可以使用 IP 访问网站吗?
  2. 从 Azure 中使用 ADD DS 的计算机,使用 PowerShell 尝试 Resolve-DNSName 并查看它是否获取正确的 IP 或获取 NS 服务器。

    Resolve-DnsName mysite.mycompany.com
    Resolve-DnsName mysite.mycompany.com -Type CNAME
    Resolve-DnsName mysite.mycompany.com -Type NS
    

    如果是 DNS 问题,这将帮助您了解在哪里纠正 DNS 问题。

希望这可以帮助。

相关内容