невозможно запросить управляемые субдомены, которые размещены на AWS Маршрут 53
On-prem (Брандмауэр, который действует как служба DNS от имени Azure ADDS instance) ----> через vpn Шлюз от ---> до Azure, за которым размещается экземпляр Azuer ADDS. Теперь клиенты присоединяются к Azure AD через inte rnet, в то же время выполняет запрос DNS через frirwall, когда они находятся в сети onprem. вопрос в том, что когда пользователь хочет запросить любой неуправляемый домен, брандмауэр позволяет ему получить доступ к этому неуправляемому домену directky по inte rnet, но когда дело доходит до управляемого домена, запрос DNS будет перенаправлять запрос на брандмауэр, а затем на Firwall. запрашивает Azure ADDS DNS Service, если запись не найдена, тогда пользователи не смогут получить доступ к домену.
Например: допустим, у меня есть домен с именем ab c .com, который зарегистрирован в Azure в качестве пользовательского домена, а также несколько открытых c записей DNS, размещенных на AWS Маршруте S3, например vpn.ab c .com, blog.ab c .com и так далее. в соответствии с вышеупомянутым сценарием, когда пользователь запрашивает какой-либо сторонний веб-сайт, например example.com, брандмауэр позволяет трафику c до go узнать в int enet, где, как если бы запрос был vpn.ab c .com затем отправляет dns req в Azure ADDS DNS Service через firwall через vpn, и если там нет записей, пользователь не сможет получить доступ к выделенному домену vpn.ab c .com.
некоторые говорят, что условная пересылка работает, а некоторые говорят, что использование делагнации домена работает, но каков правильный подход к этому сценарию.