與外部域具有相同域名的 Azure AD DS
我們有以下設置:
- mycompany.com 上的 Office 365
- AWS Route 53 作為 mycompany.com 的 DNS 伺服器
- Azure 作為託管提供商
我在 Azure 上創建了一組新伺服器,並使用了 Azure Active Directory 域服務,以便我們可以使用我們的 Office 365 憑據登錄伺服器。
mysite.mycompany.com 在 AWS 上設置為 CNAME 記錄以指向 mysite.northeurope.cloudapp.azure.com 並且在 Azure 中設置了一個使用該名稱的公共 IP 地址,該地址指向一個公共負載均衡器,該負載均衡器分發名為 mysite-web1.mycompany.com 和 mysite-web2.mycompany.com 的兩台伺服器之間的流量。
問題是我無法從 Azure 虛擬網路訪問網站 mysite.mycompany.com,即使我可以從外部訪問它。
我假設這是因為 Azure 虛擬網路只是使用 Azure AD 伺服器來獲取域名,根本不去 AWS。Azure 虛擬網路上沒有名為 mysite.mycompany.com 的伺服器
所以我有幾個問題:
- 有沒有辦法讓它工作?我假設我可以將 DNS 名稱 mysite.mycompany.com 添加到 AD DS,但我不想重複維護該資訊。
- 這是一個壞主意嗎?假設我可以修復它,我只是會在內部和外部域使用相同的名稱時遇到其他問題。
這是人們在使用非 Azure Active Directory 域服務時面臨的相同問題。您不應將 AD 域命名為與外部網站相同的名稱,因為 Active Directory 中的 DNS 將為您的域控制器的 IP 地址提供服務。
但是,這並不意味著您無法使用 Office 365 帳戶登錄。您的 AD 域名不需要與您的 UPN(使用者主體名稱)匹配。例如,您的域名可能是
corp.example.com和您的域 NETBIOS 名稱是corp,但使用者仍然登錄amy.smith@example.com- 因為example.com是您的 UPN 後綴。坦率地說,擺脫您現在所處的情況的“正確”方法是拆除該 Azure ADDS 並使用不同的域名重新開始。唯一的其他選擇是執行 DNS 委派
mysite以指向您的 Route 53 名稱伺服器。這意味著為您需要指向其他地方的每個子域創建一個新的委託。