Azure AD DS с тем же именем домена, что и внешний домен
У нас есть следующая настройка:
- Office 365 на mycompany.com
- AWS Route 53 в качестве DNS сервер для mycompany.com
- Azure в качестве хостинг-провайдера
Я создаю новый набор серверов в Azure и использую доменные службы Azure Active Directory, чтобы мы могли входить на серверы, используя наши учетные данные Office 365.
mysite.mycompany.com настроен как запись CNAME на AWS, указывающая на mysite.northeurope.cloudapp.azure.com, и в Azure настроен общедоступный IP-адрес с этим именем, указывающий на общедоступный балансировщик нагрузки. который распределяет трафик между двумя серверами, которые называются mysite-web1.mycompany.com и mysite-web2.mycompany.com.
Проблема в том, что я не могу получить доступ к веб-сайту mysite.mycompany.com из виртуальной сети Azure, хотя у меня есть доступ к нему извне.
Я предполагаю, что это связано с тем, что виртуальная сеть Azure просто использует серверы Azure AD для получения имени домена и вообще не обращается к AWS. В виртуальной сети Azure нет сервера под названием mysite.mycompany.com
Итак, у меня есть ряд вопросов:
- Есть ли способ заставить его работать? Я предполагаю, что могу просто добавить DNS-имя mysite.mycompany.com в AD DS, но я бы предпочел не поддерживать эту информацию дважды.
- Это плохая идея? Предполагая, что я могу это исправить, я просто столкнусь с другими проблемами, используя одно и то же имя для внутреннего и внешнего доменов.
Это та же проблема, с которой люди сталкиваются с доменными службами, отличными от Azure Active Directory. Вы не должны называть свой домен AD таким же, как внешний веб-сайт, потому что DNS в вашей Active Directory будет обслуживать IP-адреса контроллеров домена.
Это , а не означает, что вы не можете войти в систему с однако ваши учетные записи Office 365. Ваше доменное имя AD не обязательно должно совпадать с вашим UPN (основным именем пользователя). Например, ваше доменное имя может быть corp.example.com , а ваше имя NETBIOS домена - corp , но пользователи все равно входят в систему с (скрытым) - потому что example.com - это ваш суффикс UPN.
Откровенно говоря, «правильный» выход из ситуации, в которой вы находитесь сейчас, - разорвать этот Azure ADDS и начать снова, используя другое доменное имя. Единственный другой вариант - сделать DNS-делегирование mysite , чтобы указать на ваши серверы имен Route 53. Это означает создание нового делегирования для каждого поддомена, который необходимо указать в другом месте.
Виртуальная сеть не использует серверы Azure AD для получения имени домена. Серверы домена Azure AD отсутствуют (если вы не говорите о ваших собственных серверах domain \ dns в той же vnet, которую вы используете).
Я думаю, что для обработки этого сценария вам потребуется условная переадресация DNS. Потому что обе ваши DNS-службы "ответственны" за одну и ту же зону.
Отсутствуют несколько тестов, на данный момент вы не идентифицировали проблему.
- Можно ли получить доступ к веб-сайту с помощью IP-адреса?
С компьютера в Azure, который использует ADD DS, с помощью PowerShell попробуйте Resolve-DNSName и посмотрите, попадет ли он на правильный IP-адрес или получит NS сервер.
Resolve-DnsName mysite.mycompany.com Resolve-DnsName mysite.mycompany.com -Type CNAME Resolve-DnsName mysite.mycompany.com -Type NSЭто поможет вам понять, где исправить проблему с DNS, если это Проблема с DNS.
Надеюсь, это поможет.