Microsoft Azure DNS Zone Kayıt Oluşturma

Merhaba

Azure DNS, Microsoft Azure üzerinde sunulan, yüksek erişilebilirlik ve ölçeklenebilirlik sağlayan bir alan adı sistemi (DNS) barındırma servisidir. Geleneksel DNS sunucuları kurup yönetmek yerine, DNS bölgelerini (zone) ve kayıtlarını (record set) doğrudan Azure altyapısı üzerinden yönetmeye imkân tanır. Bu sayede hem performans hem de güvenilirlik açısından küresel ölçekte optimize edilmiş bir hizmet sunar. Azure DNS kullanarak alan adlarınızı Azure Resource Manager (ARM) tabanlı bir yapıda merkezi olarak yönetebilir, rol tabanlı erişim (RBAC), tag kullanımı, otomasyon ve politika desteği gibi avantajlardan faydalanabilirsiniz. Ayrıca DNS kayıtlarının güncellenmesi saniyeler içinde internet geneline yayılırken, sistem arka planda tam yedekli bir mimari ile hizmet vererek kesintisiz erişim sağlar.

Azure DNS’in Avantajları

• Yüksek Erişilebilirlik ve Dayanıklılık: Azure DNS, Microsoft’un küresel ölçekte dağıtılmış altyapısı üzerinde çalışır. Bu sayede DNS sorgularınız dünya genelinde en yakın noktadan yanıtlanır ve hizmet sürekliliği garanti altına alınır.
• Performans ve Hızlı Çözümleme: Azure’un Anycast tabanlı ağı, DNS sorgularını en hızlı şekilde son kullanıcıya ulaştırır. Kayıt güncellemeleri saniyeler içinde tüm dünyaya yayılır, böylece kesintisiz erişim sağlanır.
• Merkezi Yönetim ve Güvenlik: DNS bölgeleri Azure Resource Manager (ARM) modeli ile yönetilir. Rol tabanlı erişim denetimi (RBAC) sayesinde hangi kullanıcının hangi zone üzerinde yetkiye sahip olduğu kolayca kontrol edilebilir. Ayrıca audit log ve izleme özellikleri ile güvenlik ve denetim ihtiyaçları karşılanır.
• Otomasyon ve Entegrasyon: Azure CLI, PowerShell ve REST API desteği ile DNS yönetimi tam otomasyonla gerçekleştirilebilir. Böylece DevOps süreçlerine kolayca entegre edilir, manuel hata riski minimuma iner.
• Tag Kullanımı ve Maliyet Yönetimi: DNS Zone kaynaklarına eklenebilen tag’ler sayesinde maliyetler proje, ortam veya departman bazında raporlanabilir. Bu da hem şeffaflık hem de bütçe optimizasyonu sağlar.

Daha önceki yazımızda

Azure üzerinde DNS zone yapılandırmasını anlatmıştık.

Bu yazımızda da oluşturmuş olduğumuz bakicubuk.tr alan adının Azure DNS Zone yapısında kayıt oluşturmayı anlatıyor olacağız.

bakicubuk.tr alan adının Azure DNS Zone servisini açıyoruz.

Daha önce oluşturmuş olduğumuz bakicubuk.tr alan adının Azure DNS Zone Overview ekranında ilgili Azure DNS Zone üzerinde gerekli yapılandırmaları görüyoruz.

bakicubuk.tr alan adının Azure DNS Zone Overview ekranında Add Record Sets seçeneğine tıklıyoruz.

Add record set ekranı geliyor karşımıza.

Add record set ekranında bakicubuk.tr alan adının Azure DNS Zone üzerinde DNS kaydı oluşturabilirsiniz.

Add record set ekranında

Günümüzde Azure DNS ve Office 365 gibi servislerle çalışırken DNS kayıtlarının doğru yapılandırılması, hizmetlerin sorunsuz çalışması için kritik bir adımdır. E-posta trafiğinin yönlendirilmesi, kimlik doğrulama, SSL sertifikaları ve güvenlik politikaları gibi birçok işlev DNS kayıtları ile yönetilir. Bu yazıda en çok kullanılan DNS kayıt türlerini teknik olarak açıklıyor ve Azure ile Office 365 üzerinde örneklemeler yapıyorum.

• A Kaydı (Address Record): A (Address) kaydı, bir alan adını IPv4 adresine eşler. Bir kullanıcının tarayıcısına yazdığı www.bakicubuk.tr gibi bir alan adı, A kaydı sayesinde gerçek IP adresine çözülür.

Azure Örneği:

app.bakicubuk.tr → 20.54.10.25

(Azure App Service veya Azure VM üzerinde çalışan bir uygulamanın IP’sine yönlendirme yapılabilir.)

Office 365 Örneği: Office 365 doğrudan A kaydı istemez, ancak özel Outlook Web App URL’si gibi senaryolarda kullanılabilir.

• AAAA Kaydı (IPv6 Address Record): AAAA kaydı, A kaydının IPv6 versiyonudur. IPv6 adresleme sistemine geçen servisler için kullanılır.

Azure Örneği:

app.bakicubuk.tr → 2603:1020:800:1::25

Office 365 Örneği: Microsoft 365 hizmetleri IPv6’yı destekler, fakat kullanıcı tarafında özel AAAA kaydı genelde gerekmez.

• CAA Kaydı (Certification Authority Authorization): CAA (Certification Authority Authorization) kaydı, bir alan adı için hangi sertifika otoritelerinin (CA) SSL/TLS sertifikası yayınlayabileceğini belirtir. Yanlış sertifika çıkarılmasını engelleyerek güvenliği artırır.

Azure Örneği:

bakicubuk.tr CAA 0 issue "digicert.com"

Office 365 Örneği: Microsoft 365 özel bir CAA kaydı istemez. Ancak custom domain için sertifika alınırken kullanılabilir.

• CNAME Kaydı (Canonical Name): CNAME (Alias) kaydı, bir alan adını başka bir alan adına yönlendirir. Örneğin www.bakicubuk.tr adresini, Azure üzerinde barındırılan bakicubuk.azurewebsites.net adresine yönlendirmek için kullanılır.

Azure Örneği:

www.bakicubuk.tr   CNAME   bakicubuk.azurewebsites.net

Office 365 Örneği:

www.bakicubuk.tr   CNAME   bakicubuk.azurewebsites.net

(Outlook Autodiscover servisi için gereklidir.)

• MX Kaydı (Mail Exchange): MX kaydı, bir domain adına gelen e-postaların hangi mail sunucusuna yönlendirileceğini belirtir. Office 365 entegrasyonunun en kritik DNS kaydıdır.

Azure Örneği: Azure DNS üzerinde domain yönetildiğinde aynı MX kaydı eklenir.

Office 365 Örneği:

bakicubuk.tr   MX   0 bakicubuk-com-tr.mail.protection.outlook.com

• NS Kaydı (Name Server): NS (Name Server) kaydı, bir domain’in hangi DNS sunucuları tarafından yönetileceğini belirtir.

Azure Örneği: Azure DNS Zone oluşturulduğunda şu kayıtlar otomatik atanır.

bakicubuk.tr   NS   ns1-08.azure-dns.com
bakicubuk.tr   NS   ns2-08.azure-dns.net

Office 365 Örneği: Office 365 domain doğrulaması için NS kaydı güncellenmez, domain sağlayıcısında kullanılır.

• SRV Kaydı (Service Locator): SRV kaydı, belirli bir servisin hangi host ve port üzerinden çalıştığını tanımlar. Özellikle Skype for Business ve Microsoft Teams servislerinde önemlidir.

Office 365 Örneği:

_sip._tls.bakicubuk.tr SRV 100 1 443 sipdir.online.lync.com
_sipfederationtls._tcp.bakicubuk.tr SRV 100 1 5061 sipfed.online.lync.com

Azure Örneği: Azure Active Directory Domain Services (Azure AD DS) veya özel VoIP çözümlerinde kullanılabilir.

• TXT Kaydı (Text Record): TXT kaydı, alan adına serbest metin eklemeye izin verir. En çok kullanılan örnekleri SPF, DKIM ve DMARC kayıtlarıdır.

Azure Örneği: Domain doğrulama için TXT kaydı:

bakicubuk.tr   TXT   "MS=ms12345678"

Office 365 (SPF Kaydı) Örneği:

bakicubuk.tr   TXT   "v=spf1 include:spf.protection.outlook.com -all"

• PTR Kaydı (Pointer): PTR kaydı, ters DNS çözümlemesidir. Bir IP adresini alan adına çevirir. E-posta sunucuları için kritik bir güvenlik kontrolüdür.

Azure Örneği:

25.10.54.20.in-addr.arpa   PTR   mail.bakicubuk.tr

Office 365 Örneği: Microsoft kendi IP’leri için PTR kaydı yönetir, müşteri tarafında değişiklik yapılamaz.

• DS Kaydı (Delegation Signer): DS kaydı, DNSSEC protokolü için kullanılır. Bir child zone’un güvenliğini üst zone’a devreder.

Azure Örneği: Azure DNS, DNSSEC destekler ve DS kayıtları kullanılabilir.

bakicubuk.tr  DS  12345 8 2 A1B2C3D4...

Office 365 Örneği: Microsoft kendi DNSSEC yapılandırmasını yönetir.

• TLSA Kaydı (TLS Authentication): TLSA kaydı, DANE (DNS-based Authentication of Named Entities) protokolü ile TLS sertifikalarını DNS üzerinden doğrular. Bu kayıt DNSSEC ile birlikte çalışır.

Azure Örneği:

_443._tcp.mail.bakicubuk.tr   TLSA   3 1 1 aabbccddeeff...

Office 365 Örneği: Microsoft kendi sertifika zincirini yönettiğinden müşteri tarafında TLSA kullanılmaz.

DNS kayıtları sadece IP yönlendirme için değil, aynı zamanda e-posta güvenliği (SPF, DKIM, DMARC), SSL sertifikaları (CAA, TLSA) ve hizmet yönlendirmeleri (SRV) için de kritik öneme sahiptir. Özellikle Office 365 entegrasyonu yaparken MX, CNAME, TXT (SPF, DKIM, DMARC) kayıtları doğru yapılandırılmazsa e-posta teslimatı ve güvenliği sorun yaşayabilir. Azure tarafında ise NS, A/AAAA, CNAME, DS, TLSA kayıtları bulut uygulamalarının güvenilirliği için temel bileşenlerdir.

Add record set ekranında bakicubuk.tr alan adının Azure DNS Zone üzerinde herhangi bir DNS kaydı eklemeden Cancel diyerek çıkış yapıyoruz.

bakicubuk.tr alan adının Azure DNS Zone Overview ekranında DNS Management menüsü altında bulunan Recordsets seçeneğine tıklıyoruz.

Recordsets ekranı geliyor karşımıza.

Recordsets ekranında bakicubuk.tr alan adının Azure DNS Zone üzerindeki NS ve SOA kayıtlarını görüyoruz.

NS Kaydı (Name Server Record): NS (Name Server) kaydı, bir alan adının (domain) hangi yetkili DNS sunucuları tarafından yönetildiğini belirtir. Bir domain için sorgu yapıldığında, önce root DNS → TLD (ör. .com.tr) → NS kaydı zinciri üzerinden authoritative DNS sunucusuna ulaşılır.

Teknik Özellikler:

• Bir domainin zone dosyasında en az 2 NS kaydı bulunmalıdır.
• Redundancy için farklı coğrafyalarda konumlanmış DNS sunucuları kullanılır.
• NS kayıtları, domain sağlayıcısı veya bulut DNS servisi tarafından atanır.

bakicubuk.tr Örneği (Azure DNS ile):

bakicubuk.tr   NS   ns1-08.azure-dns.com.
bakicubuk.tr   NS   ns2-08.azure-dns.net.
bakicubuk.tr   NS   ns3-08.azure-dns.org.
bakicubuk.tr   NS   ns4-08.azure-dns.info.

Bu kayıtlar, Azure DNS Zone oluşturulduğunda otomatik atanır.

bakicubuk.tr alan adı için DNS zone yapılandırması tamamlandıktan DNS yönetimi açısında bakicubuk.tr alan adını satın almış olduğumuz firma üzerinde Name Server bilgilerini bu ekrandaki Name server 1, Name server 2, Name server 3, ve Name server 4 ile güncelleştirmeniz gerekmektedir. Bu güncelleştirme sonrasında gerekli yönetim ve kayıt oluşturma işlemleri yapılabilir.

SOA Kaydı (Start of Authority Record): SOA (Start of Authority) kaydı, bir DNS zone’un başlangıç bilgilerini tutar. Her zone dosyasında yalnızca bir adet SOA kaydı bulunur.

Teknik İçerik (SOA Kaydında Yer Alan Alanlar):

1. Primary Nameserver: Zone’u yöneten ana DNS sunucusu.
2. Responsible Person (RNAME): DNS yöneticisinin e-posta adresi (Örnek, hostmaster@bakicubuk.tr, fakat @ yerine . yazılır).
3. Serial Number: Zone dosyası güncellemelerinde artırılır (zone transfer kontrolü için).
4. Refresh: Secondary DNS sunucuların primary sunucudan güncellemeleri ne sıklıkla kontrol edeceği.
5. Retry: Güncelleme başarısız olursa tekrar deneme aralığı.
6. Expire: Secondary sunucu, primary’ye erişemezse zone bilgisini ne kadar süre geçerli tutacak.
7. Minimum TTL: Varsayılan cache süresi.

bakicubuk.tr Örneği (Azure DNS ile):

bakicubuk.tr   SOA   ns1-08.azure-dns.com. hostmaster.bakicubuk.tr 
                          (1         ; serial
                          3600       ; refresh (1 saat)
                          300        ; retry (5 dakika)
                          2419200    ; expire (28 gün)
                          300 )      ; minimum TTL (5 dakika)

Recordsets ekranında Add seçeneğine tıklıyoruz.

Add record set ekranı geliyor karşımıza.

Add record set ekranında bakicubuk.tr alan adının Azure DNS Zone üzerinde DNS kaydı oluşturabilirsiniz.

Add record set ekranında

Günümüzde Azure DNS ve Office 365 gibi servislerle çalışırken DNS kayıtlarının doğru yapılandırılması, hizmetlerin sorunsuz çalışması için kritik bir adımdır. E-posta trafiğinin yönlendirilmesi, kimlik doğrulama, SSL sertifikaları ve güvenlik politikaları gibi birçok işlev DNS kayıtları ile yönetilir. Bu yazıda en çok kullanılan DNS kayıt türlerini teknik olarak açıklıyor ve Azure ile Office 365 üzerinde örneklemeler yapıyorum.

• A Kaydı (Address Record): A (Address) kaydı, bir alan adını IPv4 adresine eşler. Bir kullanıcının tarayıcısına yazdığı www.bakicubuk.tr gibi bir alan adı, A kaydı sayesinde gerçek IP adresine çözülür.

Azure Örneği:

app.bakicubuk.tr → 20.54.10.25

(Azure App Service veya Azure VM üzerinde çalışan bir uygulamanın IP’sine yönlendirme yapılabilir.)

Office 365 Örneği: Office 365 doğrudan A kaydı istemez, ancak özel Outlook Web App URL’si gibi senaryolarda kullanılabilir.

• AAAA Kaydı (IPv6 Address Record): AAAA kaydı, A kaydının IPv6 versiyonudur. IPv6 adresleme sistemine geçen servisler için kullanılır.

Azure Örneği:

app.bakicubuk.tr → 2603:1020:800:1::25

Office 365 Örneği: Microsoft 365 hizmetleri IPv6’yı destekler, fakat kullanıcı tarafında özel AAAA kaydı genelde gerekmez.

• CAA Kaydı (Certification Authority Authorization): CAA (Certification Authority Authorization) kaydı, bir alan adı için hangi sertifika otoritelerinin (CA) SSL/TLS sertifikası yayınlayabileceğini belirtir. Yanlış sertifika çıkarılmasını engelleyerek güvenliği artırır.

Azure Örneği:

bakicubuk.tr CAA 0 issue "digicert.com"

Office 365 Örneği: Microsoft 365 özel bir CAA kaydı istemez. Ancak custom domain için sertifika alınırken kullanılabilir.

• CNAME Kaydı (Canonical Name): CNAME (Alias) kaydı, bir alan adını başka bir alan adına yönlendirir. Örneğin www.bakicubuk.tr adresini, Azure üzerinde barındırılan bakicubuk.azurewebsites.net adresine yönlendirmek için kullanılır.

Azure Örneği:

www.bakicubuk.tr   CNAME   bakicubuk.azurewebsites.net

Office 365 Örneği:

www.bakicubuk.tr   CNAME   bakicubuk.azurewebsites.net

(Outlook Autodiscover servisi için gereklidir.)

• MX Kaydı (Mail Exchange): MX kaydı, bir domain adına gelen e-postaların hangi mail sunucusuna yönlendirileceğini belirtir. Office 365 entegrasyonunun en kritik DNS kaydıdır.

Azure Örneği: Azure DNS üzerinde domain yönetildiğinde aynı MX kaydı eklenir.

Office 365 Örneği:

bakicubuk.tr   MX   0 bakicubuk-com-tr.mail.protection.outlook.com

• NS Kaydı (Name Server): NS (Name Server) kaydı, bir domain’in hangi DNS sunucuları tarafından yönetileceğini belirtir.

Azure Örneği: Azure DNS Zone oluşturulduğunda şu kayıtlar otomatik atanır.

bakicubuk.tr   NS   ns1-08.azure-dns.com
bakicubuk.tr   NS   ns2-08.azure-dns.net

Office 365 Örneği: Office 365 domain doğrulaması için NS kaydı güncellenmez, domain sağlayıcısında kullanılır.

• SRV Kaydı (Service Locator): SRV kaydı, belirli bir servisin hangi host ve port üzerinden çalıştığını tanımlar. Özellikle Skype for Business ve Microsoft Teams servislerinde önemlidir.

Office 365 Örneği:

_sip._tls.bakicubuk.tr SRV 100 1 443 sipdir.online.lync.com
_sipfederationtls._tcp.bakicubuk.ctr SRV 100 1 5061 sipfed.online.lync.com

Azure Örneği: Azure Active Directory Domain Services (Azure AD DS) veya özel VoIP çözümlerinde kullanılabilir.

• TXT Kaydı (Text Record): TXT kaydı, alan adına serbest metin eklemeye izin verir. En çok kullanılan örnekleri SPF, DKIM ve DMARC kayıtlarıdır.

Azure Örneği: Domain doğrulama için TXT kaydı:

bakicubuk.tr   TXT   "MS=ms12345678"

Office 365 (SPF Kaydı) Örneği:

bakicubuk.tr   TXT   "v=spf1 include:spf.protection.outlook.com -all"

• PTR Kaydı (Pointer): PTR kaydı, ters DNS çözümlemesidir. Bir IP adresini alan adına çevirir. E-posta sunucuları için kritik bir güvenlik kontrolüdür.

Azure Örneği:

25.10.54.20.in-addr.arpa   PTR   mail.bakicubuk.tr

Office 365 Örneği: Microsoft kendi IP’leri için PTR kaydı yönetir, müşteri tarafında değişiklik yapılamaz.

• DS Kaydı (Delegation Signer): DS kaydı, DNSSEC protokolü için kullanılır. Bir child zone’un güvenliğini üst zone’a devreder.

Azure Örneği: Azure DNS, DNSSEC destekler ve DS kayıtları kullanılabilir.

bakicubuk.tr.  DS  12345 8 2 A1B2C3D4...

Office 365 Örneği: Microsoft kendi DNSSEC yapılandırmasını yönetir.

• TLSA Kaydı (TLS Authentication): TLSA kaydı, DANE (DNS-based Authentication of Named Entities) protokolü ile TLS sertifikalarını DNS üzerinden doğrular. Bu kayıt DNSSEC ile birlikte çalışır.

Azure Örneği:

_443._tcp.mail.bakicubuk.tr   TLSA   3 1 1 aabbccddeeff...

Office 365 Örneği: Microsoft kendi sertifika zincirini yönettiğinden müşteri tarafında TLSA kullanılmaz.

DNS kayıtları sadece IP yönlendirme için değil, aynı zamanda e-posta güvenliği (SPF, DKIM, DMARC), SSL sertifikaları (CAA, TLSA) ve hizmet yönlendirmeleri (SRV) için de kritik öneme sahiptir. Özellikle Office 365 entegrasyonu yaparken MX, CNAME, TXT (SPF, DKIM, DMARC) kayıtları doğru yapılandırılmazsa e-posta teslimatı ve güvenliği sorun yaşayabilir. Azure tarafında ise NS, A/AAAA, CNAME, DS, TLSA kayıtları bulut uygulamalarının güvenilirliği için temel bileşenlerdir.

Başka bir yazımızda görüşmek dileğiyle…