Azure AD DS外部ドメインと同じドメイン名
次の設定があります。
- Mycompany.comのOffice365
- Mycompany.comのDNSサーバーとしてのAWSRoute 53
- ホスティングプロバイダーとしてのAzure
Azureで新しいサーバーのセットを作成し、Azure Active Directoryドメインサービスを使用して、Office365の資格情報を使用してサーバーにログインできるようにしました。
mysite.mycompany.comは、mysite.northeurope.cloudapp.Azure.comを指すようにAWSでCNAMEレコードとして設定され、Azureには、その名前で設定されたパブリックIPアドレスがあります。これは、 mysite-web1.mycompany.comとmysite-web2.mycompany.comという2つのサーバー間のトラフィック。
問題は、外部からアクセスできても、Azure仮想ネットワークからWebサイトmysite.mycompany.comにアクセスできないことです。
これは、Azure仮想ネットワークがAzure ADサーバーを使用してドメイン名を取得するだけで、AWSにはまったくアクセスしないためだと思います。 Azure仮想ネットワーク上にmysite.mycompany.comというサーバーはありません
だから私はいくつかの質問があります:
- それを機能させる方法はありますか? DNS名mysite.mycompany.comをAD DSに追加するだけでよいと思いますが、その情報を二重に維持したくはありません。
- これは悪い考えですか?私がそれを修正できると仮定すると、内部ドメインと外部ドメインに同じ名前を使用して他の問題が発生するだけです。
これは、Azure ActiveDirectoryドメインサービス以外で人々が直面する問題と同じです。 Active DirectoryのDNSがドメインコントローラーのIPアドレスを提供するため、ADドメインに外部Webサイトと同じ名前を付けないでください。
ただし、これはnotは、Office365アカウントでログインできないことを意味します。 ADドメイン名はUPN(ユーザープリンシパル名)と一致する必要はありません。たとえば、ドメイン名はcorp.example.com、ドメインNETBIOS名はcorpですが、[email protected]はUPNサフィックスであるため、ユーザーはexample.comでログインします。
率直に言って、現在の状況から「正しい」方法で、そのAzure ADDSを破棄し、別のドメイン名の使用を再開します。他の唯一のオプションは、mysiteのDNS委任を実行して、Route53ネームサーバーを指すことです。つまり、他の場所を指す必要があるすべてのサブドメインに対して新しい委任を作成することを意味します。
Vnetは、ドメイン名の取得にAzureADサーバーを使用しません。 Azure ADドメインサーバーはありません(使用しているのと同じvnet内の独自のドメイン\ dnsサーバーについて話している場合を除く)。
このシナリオを処理するには、条件付きDNS転送が必要だと思います。両方のDNSサービスが同じゾーンに対して「責任がある」からです。
いくつかのテストが欠落していますが、現時点では問題を特定していません。
- IPを使用してWebサイトにアクセスできますか?
ADD DSを使用しているAzureのマシンから、PowerShellを使用してResolve-DNSNameを試し、正しいIPに到達するか、NSサーバーを取得するかどうかを確認します。
Resolve-DnsName mysite.mycompany.com Resolve-DnsName mysite.mycompany.com -Type CNAME Resolve-DnsName mysite.mycompany.com -Type NSこれは、DNSの問題である場合、DNSの問題を修正する場所を理解するのに役立ちます。
お役に立てれば。