Table of contents
TOC
目次を折りたたむ
目次を展開する

内部のDNSサービス(Idn) SDNの

James McIllece|最終更新日: 2017/03/10
|
1 投稿者

適用対象: Windows Server 2016

クラウド サービス プロバイダーの作業している場合(CSP)または定義されているソフトウェアのネットワーク展開を計画しているエンタープライズ(SDN)、Windows Server 2016でするDNSサービスを提供する、ホストされているテナント ワークロード内部DNSを使用して(Idn)、SDNと統合されています。

仮想マシン ホストされている(Vm)アプリケーションは、インターネット上の外部のリソースと、独自のネットワーク内の通信にDNSを必要とします。 Idnで、分離された、ローカルの名前空間とインターネット リソースに、DNS名解像度のサービスとテナントを提供できます。

Idnサービスはテナント仮想ネットワークからアクセスすることはないため以外Idnプロキシを経由、サーバーができないテナント ネットワークで悪意のあるアクティビティに対して脆弱になります。

主な機能

Idnの主要な機能を次に示します。

  • 共有のDNS名ワークロードのテナントの解像度のサービスを提供します。
  • 権限のDNSサービスの名前解決およびテナント名前空間内のDNS登録
  • テナントVmからインターネット名の解像度の再帰DNSサービスです。
  • 必要な場合は、同時ファブリックとテナントの名前をホストしているを構成することができます。
  • 優れたDNSソリューションが独自のDNSインフラストラクチャを展開するテナントは必要はありません。
  • Active Directoryの統合により、これは必須の高可用性。

これらの機能に加えDNSサーバーがインターネットに開く統合された広告を維持することについて懸念する場合、分離ネットワークの境界に別の再帰リゾルバーIdnサーバーを展開することができます。

IdnはすべてのDNSクエリを一元的なサーバーであるため、CSPまたはEnterpriseもとを実装するテナントDNSファイアウォール、フィルターを適用する、悪意のあるアクティビティを検出場所に集約トランザクションの監査

Idnインフラストラクチャ

IdnサーバーとプロキシのIdn Idnインフラストラクチャが含まれます。

Idnサーバー

Idnには、VM DNSリソース レコードなど、テナント固有のデータをホストしているDNSサーバーのセットが含まれています。

Idnサーバーは公開名リゾルバーとしても機能、権限のある、内部dnsサーバーと外部のリソースに接続しようとVmをテナントします。

すべての仮想ネットワークでVmがホスト名は、同じゾーンの下DNSリソース レコードとして格納されます。 たとえば、ゾーンcontoso.localという名前のIdnを展開する場合は、Vmそのネットワーク上のリソース レコードをDNSがcontoso.localゾーンに格納されます。

VM完全修飾ドメイン名のテナント(Fqdn) GUIDの形式で、仮想ネットワークのコンピューター名とDNSサフィックス文字列で構成されます。 たとえば、仮想ネットワークcontoso、ローカル コンピューター上にあるTENANT1という名前のVM、テナントがある場合、VMのFQDNはTENANT1です。バーチャル ネットワークguid. contoso.local、どこバーチャル ネットワークguid DNSサフィックス文字列の仮想ネットワークです。

メモ

ファブリック管理者の方は場合、専用の新しいDNSサーバーの展開ではなくIdnサーバーでは、サーバーをIdnとしてに使用CSPまたはエンタープライズDNSインフラストラクチャを使用することができます。 新しいIdnサーバーを展開するか、既存のインフラストラクチャを使用する、かIdnは高可用性を提供するActive Directoryに依存します。 Idnサーバーは、Active Directoryしたがって統合する必要があります。

Idnプロキシ

Idnプロキシは、すべてのホストで実行されると、Idnサーバーへの仮想ネットワークDNSトラフィック テナントに転送されるWindowsサービスです。

次の図は、IdnサーバーにIdnプロキシを通じてテナント仮想ネットワークとインターネットのDNSトラフィック パスを示しています。

Idnインフラストラクチャ

展開Idnする方法

スクリプトを使用して、Windows Server 2016でSDNを展開するときに、展開でIdnが自動的に含まれます。

詳しくは、次のトピックを参照してください。

Idn展開の手順を理解します。

このセクションを使用すると、IdnをインストールおよびSDNスクリプトを使用してを展開するときに構成する方法について理解します。

Idnの展開に必要な手順の概要を次に示します。

メモ

スクリプトを使ってSDNを展開した場合は、いずれかの手順を実行する必要はありません。 手順については、情報とトラブルシューティングの目的でのみ提供されます。

手順1: DNSを展開します。

次の例では、Windows PowerShellコマンドを使用してDNSサーバーを展開することができます。

Install-WindowsFeature DNS -IncludeManagementTools

手順2: ネットワーク コント ローラーでIdn情報を構成します。

このスクリプト セグメントは、残りの部分が呼び出されるに対するが管理者によって、ネットワークのコント ローラー、iDNSServerとホストIdn名に使われるゾーンのIPアドレスなどのIdnゾーン構成を知らせることです。

    Url: https://<url>/networking/v1/iDnsServer/configuration
Method: PUT
{
      "properties": {
        "connections": [
          {
            "managementAddresses": [
              "10.0.0.9"
            ],
            "credential": {
              "resourceRef": "/credentials/iDnsServer-Credentials"
            },
            "credentialType": "usernamePassword"
          }
        ],
        "zone": "contoso.local"
      }
    }
メモ

これは、セクションからの抜粋構成ConfigureIDns SDNExpress.ps1にします。 詳しくは、次を参照してください。スクリプトを使用してソフトウェア定義されているネットワーク インフラストラクチャを展開します。

手順3: Idnプロキシ サービスを構成します。

テナントの仮想ネットワークとIdnサーバーが配置されている物理ネットワーク間のブリッジを提供する、HYPER-VホストのそれぞれでIdnプロキシ サービスが実行されます。 次のレジストリ キーは、すべてのHYPER-Vホストで作成する必要があります。

DNSポート:ポート53を固定

  • レジストリ キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService ="
  • 値名 =「ポート」
  • セグ = 53
  • ValueType ="Dword"

DNSプロキシ ポート:ポート53を固定

  • レジストリ キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService ="
  • 値名 ="ProxyPort"
  • セグ = 53
  • ValueType ="Dword"

DNS ipアドレス: Idnサービスを使用する、テナントが選択した場合、ネットワーク インターフェイスに構成されている固定IPアドレスです。

  • レジストリ キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService ="
  • 値名 ="IP"
  • セグ =「169.254.169.254」
  • ValueType =「文字列」

Macアドレス: DNSサーバーのアドレスをメディア アクセス制御

  • レジストリ キー = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NcHostAgent\Parameters\Plugins\Vnet\InfraServices\DnsProxyService
  • 値名 ="MAC"
  • セグ ="aa-bb-cc-aa-bb-cc"
  • ValueType =「文字列」

サーバーのアドレスをIDN: Idnサーバーのコンマ区切り一覧。

  • レジストリ キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSProxy\Parameters
  • 値名 =「フォワーダー」
  • セグ =「10.0.0.9」
  • ValueType =「文字列」
メモ

これは、セクションからの抜粋構成ConfigureIDnsProxy SDNExpress.ps1にします。 詳しくは、次を参照してください。スクリプトを使用してソフトウェア定義されているネットワーク インフラストラクチャを展開します。

手順4: ネットワーク コント ローラーのホスト エージェント サービスを再起動します。

次のWindows PowerShellコマンドを使用して、ネットワーク コント ローラーのホスト エージェント サービスを再起動することができます。

Restart-Service nchostagent -Force

詳しくは、次を参照してください。再起動サービスします。

プロキシのDNSサービスのファイアウォール規則を有効にします。

次のWindows PowerShellコマンドを使用して、VMとIdnサーバーと通信するプロキシの例外を許可するファイアウォール規則を作成することができます。

Enable-NetFirewallRule -DisplayGroup 'DNS Proxy Service'

詳しくは、次を参照してください。有効NetFirewallRuleします。

DnsProxyサービスを開始して、自動

次のWindows PowerShellコマンドを使用して、DnsProxyサービスを起動し、自動的にスタートアップの種類を変更することができます。

Set-Service -Name "DnsProxy" -StartupType Automatic
Restart-Service -Name "DnsProxy" -force

詳しくは、次を参照してください。セット サービス再起動サービスします。

Idnサービスを検証します。

Idnサービスを検証するには、サンプルのテナントのワークロードを展開する必要があります。

詳しくは、次を参照してください。VMとテナントの仮想ネットワークまたはVLANへの接続を作成します。

テナントVM Idnサービスを使用する場合は、VMネットワーク インターフェイスDNSサーバーの構成を空白のままにし、DHCPを使用するインターフェイスを許可する必要があります。

このようなネットワーク インターフェイスを備えたVMが開始されると後、VM Idnを使用することができる、構成を自動的に受信し、VMがIdnサービスを使用して、名前解決の実行を開始してすぐにします。

テナントVMネットワーク インターフェイスのDNSサーバーとDNSサーバーの代替の情報を空白にゆだねてIdnサービスを使用するように構成する場合、ネットワークのコント ローラーは、IPアドレス、VMを提供し、IdnサーバーでVMに代わってDNS名の登録を実行します。

また、ネットワークのコント ローラーは、VMの名前の解像度を実行するには、VMおよび、必要な詳細についてIdnプロキシを通知します。

VMでは、DNSクエリを開始したときに、プロキシは、仮想ネットワークからIdnサービスへのクエリのフォワーダーとして機能します。

DNSプロキシは、テナントVMクエリが分離ことも保証されます。 Idnサーバーが、クエリの権限がある場合は、権限のある応答とIdnサーバーが応答します。 Idnサーバーに、クエリの権限がない場合は、インターネット名を解決するのには、DNS再帰を実行します。

メモ

この情報は、セクションに含まれる構成AttachToVirtualNetwork SDNExpressTenant.ps1にします。 詳しくは、次を参照してください。スクリプトを使用してソフトウェア定義されているネットワーク インフラストラクチャを展開します。

© 2017 Microsoft