Azure DNS для администраторов Exchange (часть 3)

Опубликовано: 11 Марта, 2023
Azure DNS для администраторов Exchange (часть 3)

Портал Azure великолепен, имеет множество функций и очень прост в использовании, однако он не обеспечивает такой же гибкости при использовании PowerShell. Хорошим примером является то, что в настоящее время (по крайней мере, на момент написания этой статьи) мы не можем создать зону с помощью портала Azure, и только эту задачу необходимо выполнить с помощью PowerShell (мы продемонстрировали процесс в первой статье этого руководства). серии). После этого все управление Azure DNS можно будет осуществлять через портал Azure.

Azure DNS основан на модели развертывания Azure Resource Manager, и такая модель использует портал Microsoft Azure для управления своими ресурсами. Войдя в систему как администратор на портале Microsoft Azure (https://azure.microsoft.com), мы можем щелкнуть «Группы ресурсов», и появится список всех групп ресурсов. Щелкните RG-DNS, имя, которое мы определили для группы ресурсов (рис. 01).

Изображение 1972
Рисунок 01

В новом блейде (рис. 02) у нас будет список всех существующих зон DNS в разделе . В этой колонке мы можем делегировать разрешения (элемент 1) и настройки (элемент 2) на уровне группы ресурсов, и эти параметры следующие: журналы аудита, стоимость ресурсов, оповещения, пользователь, теги и т. д. Некоторые из этих настроек у нас также есть на уровне домена, что обеспечивает большую степень детализации.

Изображение 1973
Рисунок 02

Когда мы нажимаем на любой заданный домен из предыдущего блейда, появляется новый блейд с информацией о домене, как показано на рисунке 03. Мы можем создавать, удалять, получать дополнительные настройки для данного домена и обновлять (элемент 1). Мы также можем видеть все серверы имен (NS), которые представляют собой информацию, которую нам нужно изменить в нашем регистраторе доменных имен, чтобы переместить домен в Microsoft Azure.

На том же изображении (Рисунок 03) у нас есть список всех перечисленных записей DNS. Администратор может щелкнуть любую заданную запись (элемент 3), и справа появится новая колонка со свойствами, администратор может изменить/удалить записи.

Изображение 1974
Рисунок 03

Чтобы добавить новую запись, просто нажмите «Добавить» (Рисунок 04), и появится новая колонка с несколькими параметрами (Имя, Тип, TTL и соответствующая информация для типа записи).

Изображение 1975
Рисунок 04

Аудит изменений DNS…

Использование Azure DNS дает несколько преимуществ, но встроенные журналы аудита входят в тройку лучших. Мы можем проверять журналы аудита на уровне группы ресурсов или на уровне домена. В приведенном ниже примере (рис. 05) мы собираемся щелкнуть Все настройки на уровне группы ресурсов, а затем журналы аудита на новом лезвии.

Изображение 1976
Рисунок 05

Журналы аудита содержат обширный набор инструментов, которые помогут администратору и команде безопасности вашей компании. Для начала мы можем отфильтровать всю информацию, нажав «Фильтр» (рис. 06). Графиком, отображающим все события за час, можно управлять с помощью кнопки «Скрыть график».

Изображение 1977
Рисунок 06

Если мы посмотрим прямо под график, мы увидим подробный список всех событий, связанных с DNS. Просто взглянув на него, мы можем увидеть Операцию, Уровень события, статус и время, когда это произошло (Рисунок 07, слева, который представляет собой колонку ). Если мы нажмем на любую запись слева, у нас будет подробная информация о новом лезвии, которое появится справа. Помимо информации о событии у нас есть вызывающий абонент, то есть ответственный за такое изменение.

Изображение 1978
Рисунок 07

В случае ошибки подробная информация (Рисунок 08) может предоставить информацию об ошибке, которая была отображена конечному пользователю. Я тестировал сценарий, и это был результат, который я получил с помощью PowerShell. Еще одна полезная информация — это IP-адрес, с которого было произведено изменение.

Изображение 1979
Рисунок 08

Делегирование администрирования DNS…

Еще одна ключевая функция Microsoft Azure и Azure DNS — возможность делегировать администрирование. Прелесть в том, что в зависимости от того, как настроена ваша интеграция между локальной средой и Microsoft Azure, вы можете использовать SSO (единый вход) или, по крайней мере, использовать один и тот же пароль для разных сред.

Это огромное улучшение безопасности, в настоящее время, когда администратор, который управляет DNS, покидает компанию, его замена должна позвонить регистратору DNS, найти способ сбросить пароль, чтобы управлять общедоступным DNS. Использование Microsoft Azure — это просто вопрос делегирования, и когда текущий владелец отключил свою учетную запись, мы точно знаем, что у этой учетной записи больше не будет доступа к управлению DNS.

Делегирование может выполняться на двух разных уровнях: на уровне , где любая делегированная учетная запись может управлять всеми доменными зонами этой группы ресурсов, или более строгим способом, на уровне , где делегированная учетная запись может управлять записями DNS. только в этой конкретной зоне, а другие зоны даже не будут видны для той же учетной записи.

Чтобы делегировать администрирование нашей доменной зоны пользователю, перейдите в зону, затем нажмите «Все настройки/Настройки», а затем нажмите «Пользователи» в колонке, расположенной справа (Рисунок 09).

Изображение 1980
Рисунок 09

В новой колонке (рис. 10) будет указан список всех существующих пользователей, которые могут управлять текущей зоной. Чтобы создать делегирование, нажмите «Добавить» (пункт 1), затем в новой колонке » сначала нажмите «Выбрать роль» (пункт 2), а в новой колонке » нажмите «Участник зоны DNS » (пункт 3), вернитесь к колонке », нажмите «Добавить пользователей », выберите пользователя из списка и, наконец, нажмите «ОК».

Изображение 1981
Рисунок 10

Конечный результат будет аналогичен рисунку 11, где новый пользователь (в данном случае [email protected]) имеет роль

Изображение 1982
Рисунок 11

Чтобы протестировать только что произошедшее делегирование, выйдите из системы под текущим пользователем и используйте новую делегированную учетную запись. На рисунке 12 мы видим, что у пользователя есть один указанный ресурс, хотя подписка Microsoft Azure содержит множество ресурсов. Пользователь не знает об их существовании из-за наличия делегирования.

Изображение 1983
Рисунок 12

Делегирование на уровне зоны полезно, когда у вас есть тестовые домены и разработчики пробуют что-то новое, и мы можем позволить им управлять нерабочими доменами и экспериментировать с ними.

У пользователя есть роль , и эта роль не может назначать разрешения. Если он попытается (рис. 13), мы заметим, что в колонке нет кнопки для добавления учетных записей.

Изображение 1984
Рисунок 13

Вывод

В этой последней статье нашей серии об Azure DNS для администраторов Exchange мы рассмотрели портал Azure, управляющий зонами DNS, аудитом и делегированием безопасности.

  • Azure DNS для администраторов Exchange (часть 2)
Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023