Я создал простую виртуальную сеть Azure (VN), состоящую из одного контроллера домена и нескольких клиентов. Теперь мне нужно знать, как настроить список DNS-серверов VN. Вот два варианта, которые я пробовал:
Сделайте DC единственным IP-адресом в списке DNS-серверов. Первоначально это кажется наиболее очевидным способом настройки виртуальной сети, но, похоже, он блокирует исходящий DNS, делая Интернет практически недоступным. Из командной строки любой виртуальной машины в виртуальной сети nslookup работает с контроллером домена, но не работает с любым другим DNS-сервером, включая встроенный DNS Azure. По всей видимости, исходящий DNS-сервер заблокирован в этой конфигурации.
Сначала установите IP-адрес контроллера домена в списке, а затем - встроенный DNS Azure. Этот подход позволяет исходящий DNS-сервер на встроенный DNS-сервер Azure с любой виртуальной машины в моей виртуальной сети, но мне кажется странным настраивать мои клиенты с двумя DNS-серверами, один из которых является моим контроллером домена, а другой - внешним по отношению к моей сети. Так должен быть настроен домен?
В идеале я бы хотел, чтобы все виртуальные машины в моей виртуальной сети использовали мой DC для DNS, а DC перенаправлял неизвестные домены на встроенный DNS-сервер Azure, но я не могу найти способ сделать это.
С 8.05.2014 виртуальная сеть Azure больше не блокирует исходящий DNS, поэтому вы можете настроить DNS-серверы пересылки обычным образом.
Я выбрал публичные DNS-серверы из этого списка: http://theos.in/windows-xp/free-fast-public-dns-server-list/
Microsoft рекомендует использовать корневые ссылки с рекурсией (настройки по умолчанию для последних версий Windows Server DNS) вместо явной конфигурации пересылки для DNS-серверов на основе Azure.
Если вы настроили свои контроллеры домена для обслуживания DNS (по умолчанию dcpromo), настройте DNS-серверы виртуальной сети на соответствующие контроллеры домена для клиентов в этой подсети.
Не устанавливайте DNS-адрес, отличный от DC, на клиентах AD. Переход на этот адрес нарушит работу доменных служб (среди прочего, вход в систему и аутентификация).
Прелесть корневых подсказок и рекурсии в том, что вам не нужно ничего делать, кроме как убедиться, что ваши клиенты могут использовать DNS DC.
Хороший вопрос! Из что я вижу, виртуальная сеть - это, по сути, наложение изоляции. Если вы не создадите VPN-туннель между сайтами или не определите доступные DNS-серверы в виртуальной сети, соединение с внешним миром отсутствует. В нашей среде мы туннелируем к локальным контроллерам домена, которые перенаправляют запросы на внешние DNS-серверы. Без этого я бы сказал, что добавление Azure DNS в список серверов VN DNS - ваше решение.