Развертывание разделенной системы DNS с помощью политики DNS
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
С помощью этого раздела вы узнаете, как настроить политику DNS в Windows Server® 2016 для развертываний DNS с разделением мозга, где существует две версии одной зоны — одна для внутренних пользователей в интрасети организации и одна для внешних пользователей, которые обычно являются пользователями в Интернете.
Примечание.
Сведения о том, как использовать политику DNS для развертывания DNS с разделением мозга с интегрированными зонами DNS Active Directory, см. в статье "Использование политики DNS для разбиения мозга DNS в Active Directory".
Ранее этот сценарий требовал, чтобы администраторы DNS поддерживали два разных DNS-сервера, каждый из которых предоставляет службы для каждого набора пользователей, внутренних и внешних. Если только несколько записей внутри зоны были разделены мозгом или оба экземпляра зоны (внутренние и внешние) были делегированы одному родительскому домену, это стало запутано управлением.
Другой сценарий конфигурации для развертывания разбиения мозга — выборочное управление рекурсией для разрешения DNS-имен. В некоторых случаях dns-серверы Enterprise должны выполнять рекурсивное разрешение через Интернет для внутренних пользователей, в то время как они также должны выступать в качестве доверенных серверов имен для внешних пользователей и блокировать рекурсию для них.
Эта тема описана в следующих разделах.
Пример развертывания разделенного мозга DNS
Ниже приведен пример использования политики DNS для выполнения ранее описанного сценария разделенного мозга DNS.
Этот раздел содержит следующие подразделы.
В этом примере используется одна вымышленная компания Contoso, которая поддерживает веб-сайт карьеры на www.career.contoso.com.
Сайт имеет две версии, один для внутренних пользователей, где доступны внутренние публикации заданий. Этот внутренний сайт доступен по локальному IP-адресу 10.0.0.39.
Вторая версия — это общедоступная версия того же сайта, которая доступна по общедоступному IP-адресу 65.55.39.10.
В отсутствие политики DNS администратор должен разместить эти две зоны на отдельных DNS-серверах Windows Server и управлять ими отдельно.
Теперь с помощью политик DNS эти зоны можно разместить на одном DNS-сервере.
На следующем рисунке показан этот сценарий.
Как работает развертывание разделенного мозга DNS
Если DNS-сервер настроен с необходимыми политиками DNS, каждый запрос разрешения имен вычисляется по политикам на DNS-сервере.
Интерфейс сервера используется в этом примере в качестве критериев для различения внутренних и внешних клиентов.
Если интерфейс сервера, на котором получен запрос, соответствует любой из политик, связанная зона область используется для реагирования на запрос.
Таким образом, в нашем примере DNS-запросы для www.career.contoso.com, полученных на частном IP-адресе (10.0.0.56), получают DNS-ответ, содержащий внутренний IP-адрес, а запросы DNS, полученные на общедоступном сетевом интерфейсе, получают DNS-ответ, содержащий общедоступный IP-адрес в зоне по умолчанию область (это то же самое, что и обычное разрешение запросов).
Настройка развертывания разбиения DNS в мозг
Чтобы настроить развертывание разбиения DNS в мозг с помощью политики DNS, необходимо выполнить следующие действия.
В следующих разделах приведены подробные инструкции по настройке.
Внимание
В следующих разделах приведены примеры команд Windows PowerShell, которые содержат примеры значений для многих параметров. Перед выполнением этих команд замените примеры значений в этих командах значениями, подходящими для развертывания.
Создание областей зоны
Зона область является уникальным экземпляром зоны. Зона DNS может иметь несколько область зоны, при этом каждая зона область содержит собственный набор записей DNS. Одна и та же запись может присутствовать в нескольких область с разными IP-адресами или одинаковыми IP-адресами.
Примечание.
По умолчанию область зоны существуют в зонах DNS. Эта зона область имеет то же имя, что и зона, а устаревшие операции DNS работают над этим область. Эта зона по умолчанию область будет размещать внешнюю версию www.career.contoso.com.
Следующую команду можно использовать для секционирования зоны область contoso.com для создания внутренней зоны область. Внутренняя зона область будет использоваться для хранения внутренней версии www.career.contoso.com.
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "internal"
Дополнительные сведения см. в разделе Add-DnsServerZoneScope
Добавление записей в области зоны
Следующим шагом является добавление записей, представляющих узел веб-сервера, в две зоны область — внутренние и стандартные (для внешних клиентов).
В область внутренней зоны запись www.career.contoso.com добавляется с IP-адресом 10.0.0.39, который является частным IP-адресом, а в зоне по умолчанию область той же записи, www.career.contoso.com, добавляется с IP-адресом 65.55.39.10.
Параметр -ZoneScope указан в следующих примерах команд при добавлении записи в зону по умолчанию область. Это аналогично добавлению записей в зону ванили.
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39” -ZoneScope "internal"
Дополнительные сведения см. в разделе Add-DnsServerResourceRecord.
Создание политик DNS
После определения интерфейсов сервера для внешней сети и внутренней сети и создания область зоны необходимо создать политики DNS, которые подключают внутренние и внешние область зоны.
Примечание.
В этом примере интерфейс сервера используется в качестве критериев для различения внутренних и внешних клиентов. Другой способ различать внешние и внутренние клиенты — использовать подсети клиента в качестве критерия. Если можно определить подсети, к которым принадлежат внутренние клиенты, можно настроить политику DNS для различения на основе подсети клиента. Сведения о настройке управления трафиком с помощью условий подсети клиента см. в статье "Использование политики DNS для управления трафиком на основе геолокации с основными серверами".
Когда DNS-сервер получает запрос в частном интерфейсе, ответ DNS-запроса возвращается из внутренней зоны область.
Примечание.
Для сопоставления зоны по умолчанию область не требуются политики.
В следующем примере команды 10.0.0.56 является IP-адресом частного сетевого интерфейса, как показано на предыдущем рисунке.
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,10.0.0.56" -ZoneScope "internal,1" -ZoneName contoso.com
Дополнительные сведения см. в разделе Add-DnsServerQueryResolutionPolicy.
Пример элемента управления выборочной рекурсии DNS
Ниже приведен пример использования политики DNS для выполнения ранее описанного сценария выборочного рекурсии DNS.
Этот раздел содержит следующие подразделы.
- Как работает элемент управления выборочной рекурсии DNS
- Настройка элемента управления выборочной рекурсии DNS
В этом примере используется та же вымышленная компания, что и в предыдущем примере Contoso, которая поддерживает веб-сайт карьеры на www.career.contoso.com.
В примере развертывания разделенного мозга DNS один и тот же DNS-сервер отвечает как на внешние, так и внутренние клиенты и предоставляет им различные ответы.
Для некоторых развертываний DNS может потребоваться тот же DNS-сервер для рекурсивного разрешения имен для внутренних клиентов в дополнение к роли доверенного сервера имен для внешних клиентов. Это обстоятельство называется элементом управления выборочной рекурсии DNS.
В предыдущих версиях Windows Server включение рекурсии означает, что она была включена на всем DNS-сервере для всех зон. Так как DNS-сервер также прослушивает внешние запросы, рекурсия включена как для внутренних, так и для внешних клиентов, что делает DNS-сервер открытым сопоставителя.
DNS-сервер, настроенный как открытый сопоставитель, может быть уязвим к исчерпанию ресурсов и может быть злоупотреблять вредоносными клиентами для создания атак отражения.
Из-за этого администраторы DNS Contoso не хотят, чтобы DNS-сервер contoso.com выполнять рекурсивное разрешение имен для внешних клиентов. Существует только необходимость в управлении рекурсией для внутренних клиентов, а управление рекурсией может быть заблокировано для внешних клиентов.
На следующем рисунке показан этот сценарий.
Как работает элемент управления выборочной рекурсии DNS
Если получен запрос, для которого DNS-сервер Contoso не является доверенным, например https://www.microsoft.comдля, то запрос разрешения имен вычисляется по политикам на DNS-сервере.
Так как эти запросы не попадают в любую зону, политики уровня зоны (как определено в примере с разделением мозга) не оцениваются.
DNS-сервер оценивает политики рекурсии, а запросы, полученные в частном интерфейсе, соответствуют SplitBrainRecursionPolicy. Эта политика указывает на рекурсию область, где включена рекурсия.
Затем DNS-сервер выполняет рекурсию, чтобы получить ответ https://www.microsoft.com из Интернета и кэширует ответ локально.
Если запрос получен во внешнем интерфейсе, политики DNS не совпадают, а параметр рекурсии по умолчанию , который в данном случае отключен, применяется.
Это запрещает серверу выступать в качестве открытого сопоставителя для внешних клиентов, хотя он выступает в качестве сопоставителя кэширования для внутренних клиентов.
Настройка элемента управления выборочной рекурсии DNS
Чтобы настроить элемент управления выборочной рекурсией DNS с помощью политики DNS, необходимо выполнить следующие действия.
Создание областей рекурсии DNS
Область рекурсии — это уникальные экземпляры группы параметров, которые управляют рекурсией на DNS-сервере. Рекурсия область содержит список пересылки и указывает, включена ли рекурсия. DNS-сервер может иметь множество рекурсий область.
Устаревший параметр рекурсии и список пересылки называются область рекурсии по умолчанию. Невозможно добавить или удалить область рекурсии по умолчанию, определяемую точкой имени (".").
В этом примере параметр рекурсии по умолчанию отключен, а новый область рекурсии для внутренних клиентов создается, где включена рекурсия.
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Дополнительные сведения см. в разделе Add-DnsServerRecursionScope
Создание политик рекурсии DNS
Политики рекурсии DNS-сервера можно создать для выбора рекурсии область для набора запросов, соответствующих определенным критериям.
Если DNS-сервер не является доверенным для некоторых запросов, политики рекурсии DNS-сервера позволяют управлять разрешением запросов.
В этом примере внутренняя рекурсия область с включенной рекурсией связана с частным сетевым интерфейсом.
Для настройки политик рекурсии DNS можно использовать следующую команду.
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainRecursionPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.39"
Дополнительные сведения см. в разделе Add-DnsServerQueryResolutionPolicy.
Теперь DNS-сервер настраивается с необходимыми политиками DNS для сервера имен разбиения мозга или DNS-сервера с выборочным элементом управления рекурсией, включенным для внутренних клиентов.
Вы можете создавать тысячи политик DNS в соответствии с требованиями к управлению трафиком, и все новые политики применяются динамически , не перезапуская DNS-сервер в входящих запросах.
Дополнительные сведения см . в руководстве по сценарию политики DNS.