Использование политики DNS для DNS с разделением мозга в Active Directory

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Этот раздел можно использовать для использования возможностей управления трафиком политик DNS для развертываний с разделением мозга с интегрированными зонами DNS Active Directory в Windows Server 2016.

В Windows Server 2016 поддержка политик DNS распространяется на интегрированные зоны DNS Active Directory. Интеграция Active Directory предоставляет возможности высокого уровня доступности с несколькими узлами на DNS-сервере.

Ранее этот сценарий требовал, чтобы администраторы DNS поддерживали два разных DNS-сервера, каждый из которых предоставляет службы для каждого набора пользователей, внутренних и внешних. Если только несколько записей внутри зоны были разделены мозгом или оба экземпляра зоны (внутренние и внешние) были делегированы одному родительскому домену, это стало запутано управлением.

Примечание.

• Развертывания DNS — это разделение мозга, если существует две версии одной зоны, одна версия для внутренних пользователей в интрасети организации и одна версия для внешних пользователей, которые обычно являются пользователями в Интернете.
• В разделе "Использование политики DNS для развертывания DNS с разделением мозга" объясняется, как использовать политики DNS и область зоны для развертывания системы DNS с разделением мозга на одном DNS-сервере Windows Server 2016.

Пример DNS с разделением мозга в Active Directory

В этом примере используется одна вымышленная компания Contoso, которая поддерживает веб-сайт карьеры на www.career.contoso.com.

Сайт имеет две версии, один для внутренних пользователей, где доступны внутренние публикации заданий. Этот внутренний сайт доступен по локальному IP-адресу 10.0.0.39.

Вторая версия — это общедоступная версия того же сайта, которая доступна по общедоступному IP-адресу 65.55.39.10.

В отсутствие политики DNS администратор должен разместить эти две зоны на отдельных DNS-серверах Windows Server и управлять ими отдельно.

Теперь с помощью политик DNS эти зоны можно разместить на одном DNS-сервере.

Если DNS-сервер для contoso.com интегрирован в Active Directory и прослушивает два сетевых интерфейса, служба Contoso DNS Администратор istrator может выполнить действия, описанные в этом разделе, чтобы добиться развертывания разбиения мозга.

DNS-Администратор istrator настраивает интерфейсы DNS-сервера со следующими IP-адресами.

• Сетевой адаптер, подключенный к Интернету, настроен с общедоступным IP-адресом 208.84.0.53 для внешних запросов.
• Сетевой адаптер для интрасети настроен с частным IP-адресом 10.0.0.56 для внутренних запросов.

На следующем рисунке показан этот сценарий.

Как работает политика DNS для dns с разделением мозга в Active Directory

Если DNS-сервер настроен с необходимыми политиками DNS, каждый запрос разрешения имен вычисляется по политикам на DNS-сервере.

Интерфейс сервера используется в этом примере в качестве критериев для различения внутренних и внешних клиентов.

Если интерфейс сервера, на котором получен запрос, соответствует любой из политик, связанная зона область используется для реагирования на запрос.

Таким образом, в нашем примере DNS-запросы для www.career.contoso.com, полученных на частном IP-адресе (10.0.0.56), получают DNS-ответ, содержащий внутренний IP-адрес, а запросы DNS, полученные на общедоступном сетевом интерфейсе, получают DNS-ответ, содержащий общедоступный IP-адрес в зоне по умолчанию область (это то же самое, что и обычное разрешение запросов).

Поддержка обновлений динамических DNS (DDNS) и очистки поддерживается только в область зоны по умолчанию. Так как внутренние клиенты обслуживаются область зоны по умолчанию, dns-Администратор istratorы Contoso могут продолжать использовать существующие механизмы (динамические DNS или статические) для обновления записей в contoso.com. Для область зон, отличных от по умолчанию (например, внешних область в этом примере), поддержка DDNS или очистки недоступна.

Высокий уровень доступности политик

Политики DNS не интегрированы в Active Directory. Из-за этого политики DNS не реплика на другие DNS-серверы, на которых размещена та же интегрированная зона Active Directory.

Политики DNS хранятся на локальном DNS-сервере. Политики DNS можно легко экспортировать с одного сервера на другой с помощью следующих примеров команд Windows PowerShell.

$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies |  Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02

Дополнительные сведения см. в следующих справочных разделах Windows PowerShell.

• Get-DnsServerQueryResolutionPolicy
• Add-DnsServerQueryResolutionPolicy

Настройка политики DNS для DNS с разделением мозга в Active Directory

Чтобы настроить развертывание dns split-Brain с помощью политики DNS, необходимо использовать следующие разделы, в которых приведены подробные инструкции по настройке.

Добавление интегрированной зоны Active Directory

Для добавления интегрированной зоны contoso.com Active Directory на DNS-сервер можно использовать следующую команду.

Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru

Дополнительные сведения см. в разделе Add-DnsServerPrimaryZone.

Создание областей зоны

Этот раздел можно использовать для секционирования contoso.com зоны для создания область внешней зоны.

Зона область является уникальным экземпляром зоны. Зона DNS может иметь несколько область зоны, при этом каждая зона область содержит собственный набор записей DNS. Одна и та же запись может присутствовать в нескольких область с разными IP-адресами или одинаковыми IP-адресами.

Так как вы добавляете эту новую зону область в интегрированной зоне Active Directory, зона область и записи внутри нее будут реплика te через Active Directory на другие серверы реплика в домене.

По умолчанию в каждой зоне DNS существует область зоны. Эта зона область имеет то же имя, что и зона, а устаревшие операции DNS работают над этим область. Эта зона по умолчанию область будет размещать внутреннюю версию www.career.contoso.com.

Следующую команду можно использовать для создания зоны область на DNS-сервере.

Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"

Дополнительные сведения см. в разделе Add-DnsServerZoneScope.

Добавление записей в области зоны

Следующим шагом является добавление записей, представляющих узел веб-сервера, в две зоны область- внешние и стандартные (для внутренних клиентов).

В область внутренней зоны по умолчанию запись www.career.contoso.com добавляется с IP-адресом 10.0.0.39, который является частным IP-адресом; и в внешней зоне область, то же запись (www.career.contoso.com) добавляется с общедоступным IP-адресом 65.55.39.10.

Записи (как в внутренней зоне по умолчанию область, так и во внешней зоне область) автоматически реплика te по всему домену с соответствующими область зоны.

Следующую команду можно использовать для добавления записей в область зоны на DNS-сервере.

Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”

Примечание.

Параметр –ZoneScope не включается при добавлении записи в зону по умолчанию область. Это действие аналогично добавлению записей в обычную зону.

Дополнительные сведения см. в разделе Add-DnsServerResourceRecord.

Создание политик DNS

После определения интерфейсов сервера для внешней сети и внутренней сети и создания область зоны необходимо создать политики DNS, которые подключают внутренние и внешние область зоны.

Примечание.

В этом примере интерфейс сервера (параметр -ServerInterface в приведенном ниже примере команды) используется в качестве критерия для разделения внутренних и внешних клиентов. Другой способ различать внешние и внутренние клиенты — использовать подсети клиента в качестве критерия. Если можно определить подсети, к которым принадлежат внутренние клиенты, можно настроить политику DNS для различения на основе подсети клиента. Сведения о настройке управления трафиком с помощью условий подсети клиента см. в статье "Использование политики DNS для управления трафиком на основе геолокации с основными серверами".

После настройки политик при получении DNS-запроса в общедоступном интерфейсе ответ возвращается из внешней область зоны.

Примечание.

Для сопоставления внутренних зон по умолчанию область не требуются политики.

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com

Примечание.

208.84.0.53 — это IP-адрес в общедоступном сетевом интерфейсе.

Дополнительные сведения см. в разделе Add-DnsServerQueryResolutionPolicy.

Теперь DNS-сервер настроен с необходимыми политиками DNS для сервера имен с разделением мозга с интегрированной зоной DNS Active Directory.

Вы можете создавать тысячи политик DNS в соответствии с требованиями к управлению трафиком, и все новые политики применяются динамически , не перезапуская DNS-сервер в входящих запросах.