はじめに
Azreu DNS Private ResolverでDNSへのルートを制御することで様々な利用方法が考えられます。
過去の記事ではAzure AD DSへのドメイン参加をVNETをまたいで参加させる方法を紹介しました。
-
-
Azure DNS Private Resolver を利用してAzure AD DSのドメインに参加する - 技術的な何か。
はじめに Azure DNS Private Resolver を利用してAzure AD DSのドメインに参加する方法を紹介します。 DNSの設定なしにはVNETピアリング越しではAzure AD
level69.net
ただしこの方法では他の名前解決を考慮していませんでした。
今回はこれらを考慮した構成を考えて行きたいと思います。
DNS Private Resolverはプレビューです。仕様の変更の可能性もあるので注意してください。
前提条件
Azureの基本設定やリソースの作成については割愛します。
構成
全体の構成は以下になります。
ここでは3つのドメインを管理しています。
- Azure AD DS ドメイン(azureadds.com)
- VNET用ドメイン(contoso.com) 10.0.0.0/16にリンク済み
- VNET用ドメイン(fabrikam.com) 10.1.0.0/16にリンク済み
全てのドメインをazureadds.comで固定したい場合は、VNET用ドメインにはサブドメインを指定する必要があります。
これはサーバー②からシームレスにADDS、VNET用ドメインへの名前解決を行えるよう構成しています。
DNS転送ルールセットを利用してDNSを制御しているためVNETへのカスタムDNSの設定は行う必要がありません。
また、ドメイン毎に問い合わせるプライベートDNSを変更されます。
DNS転送ルールセットには下記のようにルールを適用しています。ルールはロンゲストマッチです。
| ルール名 | ドメイン名 | 接続先IP:ポート |
| rulw1 | azureadds.com. | 10.0.1.4:53 10.0.1.5:53 |
| rule2 | contoso.com. | 10.0.253.4:53 |
azureadds.comはAzure AD DSを指定しています。contoso.comはプライベートDNSとリンクされたVNET(10.0.0.0/16)に作成されたDNS Private ResolverのInboud Endpointを指定します。通常はVNET(10.1.0.0/16)にリンクすれば解決できます。
注意事項してはazureadds.comも同様にInboud Endpointを指定すればよいと思いますが、その場合ドメインへの参加が行えませんでした。原因SRVレコードあたりにあります。
contoso.comはInboud Endpoint利用することで参照されます。fabrikam.comはVNET内のVMからは名前解決できるため設定は必要ありません。
構成後には確認しましょう。
まとめ
DNS Private Resolverを利用すると設定を一括に管理することができることもメリットの一つです。AWSではありましたがAzureにはAzure AD DSがあるためDNS Private Resolverの利用方法はいろいろと考えることができます。