Uso de directiva DNS para la administración del tráfico basada en la ubicación geográfica con servidores principales
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Puede usar este tema para obtener información sobre cómo configurar la directiva DNS para permitir que los servidores DNS principales respondan a las consultas de cliente DNS en función de la ubicación geográfica del cliente y del recurso al que el cliente intenta conectarse, lo que proporciona al cliente la dirección IP del recurso más cercano.
Importante
En este escenario se muestra cómo implementar la directiva DNS para la administración del tráfico basada en la ubicación geográfica cuando se usan solo servidores DNS principales. También puede realizar la administración del tráfico basada en la ubicación geográfica cuando tiene servidores DNS principales y secundarios. Si tiene una implementación principal-secundaria, complete primero los pasos de este tema y, a continuación, complete los pasos que se proporcionan en el tema Uso de directiva DNS para la administración del tráfico basada en la ubicación geográfica con implementaciones primarias-secundarias.
Con las nuevas directivas DNS, puede crear una directiva DNS que permita al servidor DNS responder a una consulta de cliente que solicite la dirección IP de un servidor web. Las instancias del servidor web pueden encontrarse en diferentes centros de datos en ubicaciones físicas distintas. DNS puede evaluar las ubicaciones de cliente y servidor web y, a continuación, responder a la solicitud del cliente proporcionando al cliente una dirección IP del servidor web para un servidor web que se encuentra físicamente más cerca del cliente.
Puede usar los siguientes parámetros de la directiva DNS para controlar las respuestas del servidor DNS a las consultas de los clientes DNS.
- Subred de cliente. Nombre de una subred de cliente predefinida. Se usa para comprobar la subred desde la que se envió la consulta.
- Protocolo de transporte. Protocolo de transporte usado en la consulta. Las entradas posibles son UDP y TCP.
- Protocolo de Internet. Protocolo de red usado en la consulta. Las posibles entradas son IPv4 e IPv6.
- Dirección IP de la interfaz del servidor. Dirección IP de la interfaz de red del servidor DNS que recibió la solicitud DNS.
- FQDN. Nombre de dominio completo (FQDN) del registro en la consulta, con la posibilidad de usar un carácter comodín.
- Tipo de consulta. Tipo de registro que se consulta (A, SRV, TXT, etc.).
- Hora del día. Hora del día en la que se recibe la consulta.
Puede combinar los siguientes criterios con un operador lógico (AND/OR) para formular expresiones de directiva. Cuando estas expresiones coinciden, se espera que las directivas realicen una de las siguientes acciones.
- Ignore. El servidor DNS quita silenciosamente la consulta.
- Denegar El servidor DNS responde a esa consulta con una respuesta de error.
- Permitir El servidor DNS responde con la respuesta administrada por el tráfico.
Ejemplo de administración del tráfico basada en la ubicación geográfica
A continuación se muestra un ejemplo de cómo puede usar la directiva DNS para lograr el redireccionamiento del tráfico en función de la ubicación física del cliente que realiza una consulta de DNS.
En este ejemplo se usan dos empresas ficticias: Contoso Cloud Services, que proporciona soluciones de hospedaje de sitios web y dominios, y Woodgrove Food Services, que proporciona servicios de entrega de alimentos en varias ciudades de todo el mundo y que tiene un sitio web llamado woodgrove.com.
Contoso Cloud Services tiene dos centros de datos, uno en EE. UU. y otro en Europa. El centro de datos europeo hospeda un portal de pedidos de comida para woodgrove.com.
Para asegurarse de que los clientes de woodgrove.com obtienen una experiencia dinámica desde su sitio web, Woodgrove quiere que los clientes europeos vayan dirigidos al centro de datos europeo y los clientes estadounidenses al centro de datos de EE. UU. Los clientes ubicados en otros lugares del mundo pueden ir dirigidos a cualquiera de los dos.
En la ilustración siguiente se muestra este escenario.
Funcionamiento del proceso de resolución de nombres DNS
Durante el proceso de resolución de nombres, el usuario intenta conectarse a www.woodgrove.com. Esto da como resultado una solicitud de resolución de nombres DNS que se envía al servidor DNS configurado en las propiedades de Conexión de red en el equipo del usuario. Normalmente, este es el servidor DNS proporcionado por el ISP local que actúa como solucionador de almacenamiento en caché, y se conoce como LDNS.
Si el nombre DNS no está presente en la caché local de LDNS, el servidor LDNS reenvía la consulta al servidor DNS que es relevante para woodgrove.com. El servidor DNS relevante responde con el registro solicitado (www.woodgrove.com) al servidor LDNS, que a su vez almacena en caché el registro localmente antes de enviarlo al equipo del usuario.
Dado que Contoso Cloud Services usa directivas de servidor DNS, el servidor DNS relevante que hospeda contoso.com está configurado para devolver respuestas administradas por tráfico basado en la ubicación geográfica. Esto ofrece como resultado la dirección de los clientes europeos para centro de datos europeo y la dirección de los clientes estadounidenses para centro de datos de EE. UU., como se muestra en la ilustración.
En este escenario, el servidor DNS relevante normalmente ve la solicitud de resolución de nombres procedente del servidor LDNS y, en ocasiones muy raras, del equipo del usuario. Por este motivo, la dirección IP de origen de la solicitud de resolución de nombres tal como la ve el servidor DNS relevante es la del servidor LDNS y no la del equipo del usuario. Sin embargo, el uso de la dirección IP del servidor LDNS al configurar respuestas de consulta basadas en la ubicación geográfica proporciona una estimación justa de la ubicación geográfica del usuario, ya que el usuario está consultando el servidor DNS de su ISP local.
Nota
Las directivas DNS usan la dirección IP del remitente en el paquete UDP/TCP que contiene la consulta de DNS. Si la consulta llega al servidor principal a través de varios saltos de resolución o LDNS, la directiva solo tendrá en cuenta la dirección IP del último solucionador desde el que el servidor DNS recibe la consulta.
Configuración de la directiva DNS para las respuestas de consulta basadas en la ubicación geográfica
Para configurar la directiva DNS para las respuestas a consultas basadas en la ubicación geográfica, debe seguir estos pasos.
- Creación de las subredes de cliente DNS
- Creación de los ámbitos de zona
- Incorporación de registros a los ámbitos de zona
- Creación de las directivas
Nota
Debe realizar estos pasos en el servidor DNS que sea autoritativo para la zona que desea configurar. Se requiere pertenencia a DnsAdmins, o una categoría equivalente, para realizar los siguientes procedimientos.
En las secciones siguientes se proporcionan instrucciones de configuración detalladas.
Importante
En las secciones siguientes se incluyen comandos de ejemplo Windows PowerShell que contienen valores de ejemplo para muchos parámetros. Asegúrese de reemplazar los valores de ejemplo de estos comandos por los valores adecuados para la implementación antes de ejecutar estos comandos.
Creación de las subredes de cliente DNS
El primer paso es identificar las subredes o el espacio de direcciones IP de las regiones para las que desea redirigir el tráfico. Por ejemplo, si desea redirigir el tráfico de EE. UU. y Europa, debe identificar las subredes o los espacios de direcciones IP de estas regiones.
Puede obtener esta información en los mapas de geolocalización por IP. En función de estas distribuciones de geolocalización por IP, debe crear las "subredes de cliente DNS". Una subred de cliente DNS es una agrupación lógica de subredes IPv4 o IPv6 desde las que se envían consultas a un servidor DNS.
Puede usar los siguientes comandos de Windows PowerShell para crear subredes de cliente DNS.
Add-DnsServerClientSubnet -Name "USSubnet" -IPv4Subnet "192.0.0.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "141.1.0.0/24"
Para más información, consulte Add-DnsServerClientSubnet.
Creación de los ámbitos de zona
Una vez configuradas las subredes de cliente, debe particionar la zona cuyo tráfico desea redirigir a dos ámbitos de zona diferentes, un ámbito para cada una de las subredes de cliente DNS que ha configurado.
Por ejemplo, si desea redirigir el tráfico para el nombre DNS www.woodgrove.com, debe crear dos ámbitos de zona diferentes en la zona de woodgrove.com, uno para EE. UU. y otro para Europa.
Un ámbito de zona es una instancia única de la zona. Una zona DNS puede tener varios ámbitos de zona, cada uno de los cuales con su propio conjunto de registros DNS. El mismo registro puede estar presente en varios ámbitos, con diferentes direcciones IP o las mismas direcciones IP.
Nota
De forma predeterminada, existe un ámbito de zona en las zonas DNS. Este ámbito de zona tiene el mismo nombre que la zona y las operaciones DNS heredadas funcionan en este ámbito.
Puede usar los siguientes comandos de Windows PowerShell para crear ámbitos de zona.
Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "USZoneScope"
Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "EuropeZoneScope"
Para más información, consulte Add-DnsServerZoneScope.
Incorporación de registros a los ámbitos de zona
Ahora debe agregar los registros que representan el host del servidor web en dos ámbitos de zona.
Por ejemplo, USZoneScope y EuropeZoneScope. En USZoneScope, puede agregar el registro www.woodgrove.com con la dirección IP 192.0.0.1, que se encuentra en un centro de datos de EE. UU.; y en EuropeZoneScope puede agregar el mismo registro (www.woodgrove.com) con la dirección IP 141.1.0.1 en el centro de datos europeo.
Puede usar los siguientes comandos de Windows PowerShell para agregar registros a los ámbitos de zona.
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1" -ZoneScope "USZoneScope"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "EuropeZoneScope"
En este ejemplo, también debe usar los siguientes comandos de Windows PowerShell para agregar registros al ámbito de zona predeterminado para asegurarse de que el resto del mundo todavía puede acceder al servidor web de woodgrove.com desde cualquiera de los dos centros de datos.
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1"
El parámetro ZoneScope no se incluye al agregar un registro en el ámbito predeterminado. Es lo mismo que agregar registros a una zona DNS estándar.
Para más información, consulte Add-DnsServerResourceRecord.
Creación de las directivas
Una vez que haya creado las subredes, las particiones (ámbitos de zona) y haya agregado registros, debe crear directivas que conecten las subredes y las particiones, de modo que, cuando una consulta proceda de un origen en una de las subredes del cliente DNS, la respuesta de consulta se devuelva desde el ámbito correcto de la zona. No se requieren directivas para asignar el ámbito de zona predeterminado.
Puede usar los siguientes comandos de Windows PowerShell para crear una directiva DNS que vincule las subredes de cliente DNS y los ámbitos de zona.
Add-DnsServerQueryResolutionPolicy -Name "USPolicy" -Action ALLOW -ClientSubnet "eq,USSubnet" -ZoneScope "USZoneScope,1" -ZoneName "woodgrove.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName "woodgrove.com"
Para más información, consulte Add-DnsServerQueryResolutionPolicy.
Ahora, el servidor DNS está configurado con las directivas DNS necesarias para redirigir el tráfico en función de la ubicación geográfica.
Cuando el servidor DNS recibe consultas de resolución de nombres, el servidor DNS evalúa los campos de la solicitud DNS con respecto a las directivas DNS configuradas. Si la dirección IP de origen de la solicitud de resolución de nombres coincide con cualquiera de las directivas, el ámbito de zona asociado se usa para responder a la consulta y el usuario se dirige al recurso que esté más cercano geográficamente.
Puede crear miles de directivas DNS según los requisitos de administración del tráfico y todas las directivas nuevas se aplicarán dinámicamente, sin reiniciar el servidor DNS, en las consultas entrantes.