はじめに
Azure DNS Private Resolver を利用してAzure AD DSのドメインに参加する方法を紹介します。
DNSの設定なしにはVNETピアリング越しではAzure AD DSに到達することができません。しかしこれをシンプルにAzureマネージドサービスでは実現できません。
そこでマネージドサービスのDNS Private Resolver を利用し無理やり通す方法を紹介します。
DNS Private Resolverはプレビューです。仕様の変更の可能性もあるので注意してください。
構成
下記のような構成になります。構成自体はシンプルです。
Azure AD DS、DNS Private Resolver、VNET、DNS転送ルールセットの作成は割愛します。
ルールセットのリンクはドメインに参加するサーバーがあるVNETと行う必要があります。
作成については下記を参考にしてください。
-
-
Azure DNS Private Resolver を利用してDNS転送を行う - 技術的な何か。
はじめに Azure DNS Private Resolver を利用してDNS転送を行う方法を紹介していきます。前回はProxyとして利用する方法を紹介しましたがDNS転送(Forwarding)を
level69.net
ここで重要になってくるのがDNS転送ルールセットのルールです。
ルールの設定
DNS転送ルールセットは以下のように設定します。Azure ADDSのプライベートIPを指定するだけです。
あとはドメインに参加するだけです。
問題点
冒頭で書いた通り、これは無理やりです。contoso.comとルールを設定しているため。ドメイン参加していない仮想マシンからは *.contoso.comで名前を引けなくなります。サブドメインをDNS ドメイン名にするなど解決できるかもしれません。
また、DNSプライベートゾーンにSRVレコードを書いて利用しようとしてもうまくいきませんでした。これも解決方法はあるかもしれません。もう少し調査してみます。
まとめ
DNS Private Resolverを利用してドメインに参加する方法を考えてみました。現状はあまり現実的ではないかもしれません。
DNSプライベートゾーンのSRVレコードで対応できればオンプレでもAzure ADDSへのドメイン参加を実現できると思ったのですが、まだまだ道が遠そうです。もう少し突き詰めていきたいと思います。