Verwenden von DNS-Richtlinien für eine auf Geolocation basierende Datenverkehrsverwaltung mit Primärservern
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Erfahren Sie in diesem Thema, wie Sie die DNS-Richtlinie so konfigurieren, dass primäre DNS-Server auf DNS-Clientabfragen auf der Grundlage des geografischen Standorts des Clients und der Ressource, zu der der Client eine Verbindung herzustellen versucht, antworten und dem Client die IP-Adresse der nächstgelegenen Ressource mitteilen.
Wichtig
In diesem Szenario wird veranschaulicht, wie Sie eine DNS-Richtlinie für auf dem geografischen Standort basierende Datenverkehrsverwaltung bereitstellen, wenn Sie nur primäre DNS-Server verwenden. Sie können auch auf dem geografischen Standort basierende Datenverkehrsverwaltung verwenden, wenn Sie sowohl über primäre als auch über sekundäre DNS-Server verfügen. Wenn Sie über eine primäre/sekundäre Bereitstellung verfügen, führen Sie zunächst die Schritte in diesem Thema aus, und führen Sie dann die Schritte aus, die im Thema Verwenden einer DNS-Richtlinie für auf dem geografischen Standort basierende Datenverkehrsverwaltung mit primären/sekundären Bereitstellungen beschrieben werden.
Mit neuen DNS-Richtlinien können Sie eine DNS-Richtlinie erstellen, die es dem DNS-Server ermöglicht, auf eine Clientabfrage zu antworten, die nach der IP-Adresse eines Webservers fragt. Instanzen des Webservers befinden sich möglicherweise in verschiedenen Rechenzentren an verschiedenen physischen Standorten. DNS kann die Client- und Webserverspeicherorte bewerten und dann auf die Clientanforderung reagieren, indem dem Client eine Webserver-IP-Adresse für einen Webserver bereitgestellt wird, der sich physisch in größerer Nähe zum Client befindet.
Sie können die folgenden DNS-Richtlinienparameter verwenden, um die Antworten des DNS-Servers auf Abfragen von DNS-Clients zu steuern.
- Clientsubnetz. Name eines vordefinierten Clientsubnetzes. Wird verwendet, um das Subnetz zu überprüfen, von dem die Abfrage gesendet wurde.
- Transportprotokoll. In der Abfrage verwendete Transportprotokoll. Mögliche Einträge sind UDP und TCP.
- Internetprotokoll. Das in der Abfrage verwendete Transportprotokoll. Mögliche Einträge sind IPv4 und IPv6.
- IP-Adresse der Serverschnittstelle. Die IP-Adresse der Netzwerkschnittstelle des DNS-Servers, der die DNS-Anforderung empfangen hat.
- FQDN Der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Eintrags in der Abfrage mit der Möglichkeit, einen Platzhalterwert zu verwenden.
- Abfragetyp. Der Typ des abgefragten Eintrags (A, SRV, TXT usw.).
- Tageszeit. Die Tageszeit, zu der die Abfrage empfangen wird.
Sie können die folgenden Kriterien mit einem logischen Operator (AND/OR) kombinieren, um Richtlinienausdrücke zu formulieren. Wenn diese Ausdrücke übereinstimmen, wird erwartet, dass die Richtlinien eine der folgenden Aktionen ausführen.
- Ignore (Ignorieren): Der DNS-Server löscht die Abfrage ohne Benutzereingriff.
- Verweigern. Der DNS-Server antwortet auf diese Abfrage mit einer Fehlerantwort.
- Zulassen. Der DNS-Server antwortet mit einer vom Datenverkehr verwalteten Antwort.
Beispiel für auf dem geografischen Standort basierende Datenverkehrsverwaltung
Im Folgenden finden Sie ein Beispiel dafür, wie Sie eine DNS-Richtlinie verwenden können, um Datenverkehrsumleitung auf der Grundlage des physischen Standorts des Clients zu erreichen, der eine DNS-Abfrage ausführt.
In diesem Beispiel werden zwei fiktive Unternehmen verwendet: Contoso Cloud Services, das Web- und Domänenhostinglösungen bereitstellt, und Woodgrove Food Services, das Lebensmittellieferdienste in mehreren Städten auf der ganzen Welt bereitstellt und über eine Website mit dem Namen woodgrove.com verfügt.
Contoso Cloud Services verfügt über zwei Rechenzentren: eines in den USA und eines in Europa. Das europäische Rechenzentrum hostet ein Lebensmittelbestellungsportal für woodgrove.com.
Um sicherzustellen, dass die Kunden von woodgrove.com eine reaktionsfähige Website nutzen können, möchte Woodgrove, dass europäische Kunden an das europäische Rechenzentrum und US-amerikanische Kunden an das US-amerikanische Rechenzentrum weitergeleitet werden. Kunden, die sich an einem anderen Ort auf der Welt befinden, können an eines der beiden Rechenzentren weitergeleitet werden.
Die folgende Abbildung zeigt dieses Szenario.
Funktionsweise des DNS-Namensauflösungsprozesses
Während des Namensauflösungsprozesses versucht der Benutzer, eine Verbindung mit www.woodgrove.com herzustellen. Dies führt zu einer DNS-Namensauflösungsanforderung, die an den DNS-Server gesendet wird, der in den Netzwerkverbindungseigenschaften auf dem Computer des Benutzers konfiguriert ist. In der Regel ist dies der DNS-Server, der vom lokalen ISP bereitgestellt wird, der als Cachekonfliktlöser fungiert und als LDNS bezeichnet wird.
Wenn der DNS-Name nicht im lokalen Cache von LDNS vorhanden ist, leitet der LDNS-Server die Abfrage an den DNS-Server weiter, der für woodgrove.com autorisierend ist. Der autorisierende DNS-Server antwortet dem LDNS-Server mit dem angeforderten Eintrag (www.woodgrove.com), der wiederum den Eintrag lokal zwischenspeichert, bevor er an den Computer des Benutzers gesendet wird.
Weil Contoso Cloud Services DNS-Serverrichtlinien verwendet, ist der autorisierende DNS-Server, der contoso.com hostet, so konfiguriert, dass auf dem geografischen Standort basierende, vom Datenverkehr verwaltete Antworten zurückgegeben werden. Dies führt dazu, dass europäische Kunden an das europäischen Rechenzentrum und US-amerikanische Kunden an das US-amerikanische Rechenzentrum weitergeleitet werden, wie in der Abbildung gezeigt wird.
In diesem Szenario sieht der autorisierende DNS-Server normalerweise die Namensauflösungsanforderung vom LDNS-Server und in absoluten Ausnahmefällen vom Computer des Benutzers. Aus diesem Grund ist die IP-Quelladresse in der Namensauflösungsanforderung, die vom autorisierenden DNS-Server gesehen wird, die Adresse des LDNS-Servers und nicht die Adresse des Computers des Benutzers. Die Verwendung der IP-Adresse des LDNS-Servers bei der Konfiguration von auf dem geografischen Standort basierenden Abfrageantworten liefert jedoch eine angemessene Schätzung des geografischen Standorts des Benutzers, da der Benutzer den DNS-Server seines lokalen ISP abfragt.
Hinweis
DNS-Richtlinien verwenden die IP-Adresse des Absenders im UDP/TCP-Paket, das die DNS-Abfrage enthält. Wenn die Abfrage den primären Server über mehrere Konfliktlöser-/LDNS-Hops erreicht, berücksichtigt die Richtlinie nur die IP-Adresse des letzten Konfliktlösers, von dem der DNS-Server die Abfrage empfängt.
Konfigurieren der DNS-Richtlinie für auf dem geografischen Standort basierende Abfrageantworten
Zum Konfigurieren der DNS-Richtlinie für auf dem geografischen Standort basierende Abfrageantworten müssen Sie die folgenden Schritte ausführen.
- Erstellen der DNS-Clientsubnetze
- Erstellen der Bereiche der Zone
- Hinzufügen von Einträgen zu den Zonenbereichen
- Erstellen der Richtlinien
Hinweis
Sie müssen diese Schritte auf dem DNS-Server ausführen, der für die Zone, die Sie konfigurieren möchten, autoritativ ist. Sie müssen Mitglied der Gruppe DnsAdmins oder einer entsprechenden Gruppe sein, um das folgende Verfahren ausführen zu können.
Die folgenden Abschnitte enthalten detaillierte Konfigurationsanweisungen.
Wichtig
Die folgenden Abschnitte enthalten Beispiele für Windows PowerShell-Befehle, die Beispielwerte für viele Parameter enthalten. Achten Sie darauf, dass Sie Beispielwerte in diesen Befehlen durch Werte ersetzen, die für Ihre Bereitstellung geeignet sind, bevor Sie diese Befehle ausführen.
Erstellen der DNS-Clientsubnetze
Der erste Schritt besteht darin, die Subnetze oder den IP-Adressraum der Regionen zu identifizieren, für die Sie Datenverkehr umleiten möchten. Wenn Sie beispielsweise Datenverkehr für die USA und Europa umleiten möchten, müssen Sie die Subnetze oder IP-Adressräume dieser Regionen identifizieren.
Sie können diese Informationen über geografische IP-Zuordnungen abrufen. Basierend auf diesen geografischen IP-Verteilungen müssen Sie die „DNS-Clientsubnetze“ erstellen. Ein DNS-Clientsubnetz ist eine logische Gruppierung von IPv4- oder IPv6-Subnetzen, aus denen Abfragen an einen DNS-Server gesendet werden.
Sie können die folgenden Windows PowerShell-Befehle verwenden, um DNS-Clientsubnetze zu erstellen.
Add-DnsServerClientSubnet -Name "USSubnet" -IPv4Subnet "192.0.0.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "141.1.0.0/24"
Weitere Informationen finden Sie unter Add-DnsServerClientSubnet.
Erstellen von Zonenbereichen
Nachdem die Clientsubnetze konfiguriert wurden, müssen Sie die Zone, deren Datenverkehr Sie umleiten möchten, in zwei unterschiedliche Zonenbereiche partitionieren – einen Bereich für jedes konfigurierte DNS-Clientsubnetz.
Wenn Sie beispielsweise Datenverkehr für den DNS-Namen www.woodgrove.com umleiten möchten, müssen Sie zwei verschiedene Zonenbereiche in der Zone woodgrove.com erstellen: einen Bereich für die USA und einen Bereich für Europa.
Ein Zonenbereich ist eine eindeutige Instanz der Zone. Eine DNS-Zone kann mehrere Zonenbereiche umfassen, wobei jeder Zonenbereich eigene DNS-Einträge enthält. Ein und derselbe Eintrag kann in mehreren Bereichen mit unterschiedlichen oder denselben IP-Adressen vorhanden sein.
Hinweis
Standardmäßig ist ein Zonenbereich in den DNS-Zonen vorhanden. Dieser Zonenbereich weist denselben Namen wie die Zone auf, und DNS-Legacyvorgänge funktionieren in diesem Bereich.
Sie können die folgenden Windows PowerShell Befehle verwenden, um Zonenbereiche zu erstellen.
Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "USZoneScope"
Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "EuropeZoneScope"
Weitere Informationen finden Sie unter Add-DnsServerZoneScope.
Hinzufügen von Einträgen zu den Zonenbereichen
Jetzt müssen Sie die Einträge, die den Webserverhost darstellen, in den beiden Zonenbereichen hinzufügen.
Beispiel : USZoneScope und EuropeZoneScope. In USZoneScope können Sie den Eintrag www.woodgrove.com mit der IP-Adresse 192.0.0.1 hinzufügen, die sich in einem US-Rechenzentrum befindet. In EuropeZoneScope können Sie denselben Eintrag (www.woodgrove.com) mit der IP-Adresse 141.1.0.1 im europäischen Rechenzentrum hinzufügen.
Sie können die folgenden Windows PowerShell-Befehle verwenden, um den Zonenbereichen Einträge hinzuzufügen.
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1" -ZoneScope "USZoneScope"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "EuropeZoneScope"
In diesem Beispiel müssen Sie auch die folgenden Windows PowerShell-Befehle verwenden, um dem Standardzonenbereich Einträge hinzuzufügen, um sicherzustellen, dass der Rest der Welt weiterhin von einem der beiden Rechenzentren aus auf den woodgrove.com-Webserver zugreifen kann.
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1"
Der ZoneScope-Parameter ist nicht enthalten, wenn Sie einen Eintrag im Standardbereich hinzufügen. Dies entspricht dem Hinzufügen von Einträgen zu einer DNS-Standardzone.
Weitere Informationen finden Sie unter Add-DnsServerResourceRecord.
Erstellen der Richtlinien
Nachdem Sie die Subnetze, die Partitionen (Zonenbereiche) erstellt und Einträge hinzugefügt haben, müssen Sie Richtlinien erstellen, die die Subnetze und Partitionen verbinden. Wenn eine Abfrage von einer Quelle in einem der DNS-Clientsubnetze stammt, wird die Abfrageantwort dann aus dem richtigen Bereich der Zone zurückgegeben. Zum Zuordnen des Standardzonenbereichs sind keine Richtlinien erforderlich.
Sie können die folgenden Windows PowerShell-Befehle verwenden, um eine DNS-Richtlinie zu erstellen, die die DNS-Clientsubnetze und die Zonenbereiche verknüpft.
Add-DnsServerQueryResolutionPolicy -Name "USPolicy" -Action ALLOW -ClientSubnet "eq,USSubnet" -ZoneScope "USZoneScope,1" -ZoneName "woodgrove.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName "woodgrove.com"
Weitere Informationen finden Sie unter Add-DnsServerQueryResolutionPolicy.
Jetzt wird der DNS-Server mit den erforderlichen DNS-Richtlinien konfiguriert, um Datenverkehr basierend auf dem geografischen Standort umzuleiten.
Wenn der DNS-Server Namensauflösungsabfragen empfängt, wertet der DNS-Server die Felder in der DNS-Anforderung anhand der konfigurierten DNS-Richtlinien aus. Wenn die Quell-IP-Adresse in der Namensauflösungsanforderung mit einer der Richtlinien übereinstimmt, wird der zugeordnete Zonenbereich verwendet, um auf die Abfrage zu antworten, und der Benutzer wird an die Ressource weitergeleitet, die ihnen geografisch am nächsten ist.
Sie können Tausende von DNS-Richtlinien für Ihre Anforderungen an die Datenverkehrsverwaltung erstellen. Alle neuen Richtlinien werden bei eingehenden Abfragen dynamisch angewendet – ohne dass der DNS-Server neu gestartet werden muss.