Azure DNS для администраторов Exchange (часть 1)

Опубликовано: 12 Марта, 2023
Azure DNS для администраторов Exchange (часть 1)

  • Azure DNS для администраторов Exchange (часть 3)

Введение

Сервер Exchange в значительной степени зависит от DNS для внутренней связи с Active Directory, поддержки внутренних клиентов, а также от общедоступного DNS, который отвечает за поддержку потока почты внешних клиентов с внешних серверов, расположенных в Интернете.

Microsoft Azure может размещать общедоступные домены DNS, а имя службы — Azure DNS. Компании могут воспользоваться преимуществами инфраструктуры Microsoft Azure и переместить свои общедоступные зоны DNS. Использование Azure вместо обычного поставщика DNS дает несколько преимуществ, например: такая же проверка подлинности, которая уже используется в Microsoft Azure для управления DNS. Все DNS-запросы будут выполняться на ближайшем доступном DNS-сервере в инфраструктуре Azure, чтобы избежать единой точки отказа, когда служба обеспечивает высокую доступность и отказоустойчивость.

В настоящее время Azure DNS находится в предварительной версии, что означает, что его не рекомендуется использовать для рабочих нагрузок. Как только служба будет переведена в общедоступную версию, на нее можно будет перенести все рабочие нагрузки. Если вы еще этого не сделали, следите за блогами MSExchange.org, как только сервис станет доступен, мы опубликуем его в блоге.

В текущей предварительной версии Azure DNS служба поддерживает наиболее распространенные типы записей, включая A, AAAA, CNAME, MX, NS, SOA, SRV и TXT. С точки зрения администратора Exchange/Skype для бизнеса, служба может предоставить все ресурсы, необходимые для поддержки Exchange и Skype для бизнеса.

Обзор сценария…

При управлении общедоступным DNS администратор биржи должен перенаправить ряд записей, чтобы разрешить клиентам подключаться к системе обмена сообщениями, внешним SMTP-серверам для отправки сообщений и регулярной защите (SPF, DKIM и т. д.).

Цель этой серии статей — наработать мышечную память для управления DNS с помощью Azure DNS, и мы будем использовать зону под названием infralab.org. Мы будем использовать простой сценарий (рис. 01) с основными записями DNS, которые необходимы для работы этого домена. На протяжении всей этой статьи мы будем использовать поддельные IP-адреса (10.10.10.10, 20.20.20.20 и т. д.), и цель состоит в том, чтобы управлять записями DNS, а не самими данными, поэтому не беспокойтесь о добавляемых IP-адресах, но сосредоточьтесь на них. на процессе, чтобы получить их там.

Изображение 2030
Рисунок 01

Перенос вашего домена в Microsoft Azure…

Microsoft Azure предлагает две модели развертывания, доступные для облачных администраторов: модель управления службами, также известную как классическая, и развертывание диспетчера ресурсов (ARM). Azure DNS поддерживает только развертывание Resource Manager, а для новых служб, таких как предварительная версия Azure DNS, обычно сначала используется интерфейс PowerShell, а затем функция появляется на портале Azure.

Прежде чем начать наше путешествие по PowerShell, нам нужно установить Microsoft Azure PowerShell, и это рекомендуемые шаги для выполнения такой задачи.

  1. Откройте https://azure.microsoft.com, перейдите в самый низ и нажмите «Загрузки».
  2. На новой странице перейдите в раздел и нажмите «Установить Windows», расположенный в столбце PowerShell.
  3. Скачайте и запустите приложение. Появится следующая страница (Рисунок 02), нажмите «Установить» и следуйте процессу установки, используя настройки по умолчанию. Весь процесс может занять несколько минут

Изображение 2031
Рисунок 02

Чтобы подключиться к Microsoft Azure и управлять Azure DNS, откройте сеанс PowerShell от имени администратора и запустите командлет Login-AzureRMAccount. В новом окне введите учетные данные для доступа к услуге/подписке, как показано на рисунке 03.

Изображение 2032
Рисунок 03

Azure DNS поддерживается в модели развертывания Resource Manager, и по этой причине все командлеты будут иметь префикс для имени существительного командлета.

Теперь, когда мы подключены к Microsoft Azure, наш первый шаг — создать группу ресурсов, в которой мы разместим все зоны DNS для службы Azure DNS. Во время создания группы ресурсов мы можем определить имя и расположение Azure (рис. 04).

Изображение 2033
Рисунок 04

Наличие группы ресурсов только для DNS дает много преимуществ. На этом уровне мы можем использовать RBAC (управление доступом на основе ролей) для выставления счетов только за DNS и осуществлять мониторинг/аудит на уровне группы ресурсов. Однако группа ресурсов — это просто контейнер для будущих зон DNS, которые мы добавим в Azure DNS.

Чтобы создать новую зону, можно использовать следующий командлет, как показано на рис. 05. После этого мы перечисляем все существующие зоны во вновь созданной .

Изображение 2034
Рисунок 05

После создания первой зоны в Azure DNS нам необходимо определить серверы, на которых будет размещаться эта новая зона в инфраструктуре Microsoft Azure, и эти серверы назначаются при создании зоны. Информация, расположенная в строке (рис. 06), необходима нам для выполнения делегирования DNS (перенос зоны с вашего текущего провайдера на Azure DNS).

Изображение 2035
Рисунок 06

На данный момент в игре у нас есть группа ресурсов, созданная в Microsoft Azure, и первая зона DNS. Наш следующий шаг — перейти к регистратору DNS и изменить серверы имен на серверы, на которых размещена наша новая зона в Azure DNS.

В этом текущем провайдере у нас есть возможность редактировать серверы имен, и мы добавим все имена, предоставленные Azure DNS, как показано на рисунке 07. Нажмите «Сохранить» и подождите несколько часов для распространения этой информации. По сути, с этого момента все запросы к этому общедоступному домену будут направляться в Azure DNS, что означает, что Azure DNS находится в производстве для этой конкретной зоны.

Изображение 2036
Рисунок 07

После выполнения изменения DNS мы можем использовать nslookup или любую страницу, которая выполняет DNS-запросы в Интернете, чтобы узнать, установлены ли новые настройки. Используя nslookup, мы можем запустить следующие команды (рис. 08), перечисленные ниже, которые будут использовать Google DNS Resolvers для проверки информации.

Изображение 2037
Рисунок 08

После этого все изменения, которые мы вносим в Azure DNS, будут доступны для этого домена. В следующей статье этой серии мы начнем управлять записями DNS с помощью PowerShell.

Импорт и экспорт зон DNS…

В этой статье мы создаем новую зону с нуля, однако мы можем захотеть переместить существующие рабочие зоны DNS в Azure DNS. Есть несколько способов сделать это, а именно:

  • : просто создайте копию текущей зоны и реплицируйте информацию в Azure DNS. Этот процесс должен быть выполнен до делегирования DNS.
  • , в этом случае мы можем использовать Azure CLI (интерфейс командной строки), который доступен для Windows, Linux и Mac и позволяет играть с процессом импорта/экспорта зоны (хотя некоторые регистраторы DNS не используют тот же формат и нам нужно изменить файл перед импортом)

Поскольку процесс требует только возможности управлять записями DNS, и мы подробно рассмотрим это во второй статье этой серии, но сейчас мы сосредоточимся на процессе импорта/экспорта с использованием Azure CLI.

Чтобы установить Azure CLI, мы откроем уже установленный установщик веб-платформы Microsoft. Мы добавим кроссплатформенные инструменты командной строки Microsoft Azure, после чего нажмите «Установить», чтобы начать процесс установки, используйте значения по умолчанию для завершения установки.

Изображение 2038
Рисунок 09

После установки откройте командную строку и выполните следующие команды, чтобы выполнить аутентификацию и изменить модель развертывания на arm.

Используя вашего текущего провайдера DNS, экспортируйте зону в локальный файл (большинство провайдеров DNS делают это, если не открывают тикет с ними). В нашем примере мы сохраним зону в файле . Чтобы импортировать файл, выполните следующую команду, как показано на рисунке 11.

Примечание:
— это имя группы ресурсов, а — это имя зоны в Azure DNS (мы использовали другую зону только для этого процесса импорта).

Изображение 2039
Рисунок 10

В некоторых случаях мы можем захотеть экспортировать зону для целей резервного копирования, в этом случае можно использовать следующую команду (рис. 12), и экспортированный файл будет показан на том же изображении.

Изображение 2040
Рисунок 11

Вывод

В этой первой статье нашей серии об Azure DNS мы рассмотрели процесс перемещения общедоступного домена в Microsoft Azure с помощью PowerShell. Имейте в виду, что зона DNS, созданная в Azure DNS, не будет завершена, пока мы не настроим записи DNS (делегирование DNS), указывающие на серверы Microsoft Azure, в этом смысле мы можем создать любую зону в нашей подписке Azure DNS, но она станет только действителен для внешнего мира после завершения делегирования DNS.

В нашей следующей статье мы рассмотрим процесс управления Azure DNS с помощью PowerShell, который будет включать управление записями A, MX, TXT и т. д.

  • Azure DNS для администраторов Exchange (часть 3)