Verwenden von DNS-Richtlinien für eine auf Geolocation basierende Datenverkehrsverwaltung mit primären und sekundären Bereitstellungen

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Erfahren Sie in diesem Thema, wie Sie eine DNS-Richtlinie für auf dem geografischen Standort basierende Datenverkehrsverwaltung erstellen, wenn Ihre DNS-Bereitstellung sowohl primäre als auch sekundäre DNS-Server umfasst.

Im vorherigen Szenario Verwenden der DNS-Richtlinie für auf dem geografischen Standort basierende Datenverkehrsverwaltung mit primären Servern wurden Anweisungen zum Konfigurieren der DNS-Richtlinie für auf dem geografischen Standort basierende Datenverkehrsverwaltung auf einem primären DNS-Server bereitgestellt. In der Internetinfrastruktur werden die DNS-Server jedoch weitgehend in einem primären/sekundären Modell bereitgestellt, bei dem die beschreibbare Kopie einer Zone auf ausgewählten und sicheren primären Servern gespeichert wird, und sich schreibgeschützte Kopien der Zone auf mehreren sekundären Servern befinden.

Die sekundären Server verwenden die Zonenübertragungsprotokolle für autoritative Übertragung (AXFR) und inkrementelle Zonenübertragung (IXFR), um Zonenupdates anzufordern und zu empfangen, die neue Änderungen an den Zonen auf den primären DNS-Servern enthalten.

Hinweis

Weitere Informationen zu AXFR finden Sie in Request for Comments 5936 der Internet Engineering Task Force (IETF). Weitere Informationen zu IXFR finden Sie in Request for Comments 1995 der Internet Engineering Task Force (IETF).

Beispiel für primäre/sekundäre auf dem geografischen Standort basierende Datenverkehrsverwaltung

Im Folgenden finden Sie ein Beispiel dafür, wie Sie eine DNS-Richtlinie in einer primären/sekundären Bereitstellung verwenden können, um Datenverkehrsumleitung auf der Grundlage des physischen Standorts des Clients zu erreichen, der eine DNS-Abfrage ausführt.

In diesem Beispiel werden zwei fiktive Unternehmen verwendet: Contoso Cloud Services, das Web- und Domänenhostinglösungen bereitstellt, und Woodgrove Food Services, das Lebensmittellieferdienste in mehreren Städten auf der ganzen Welt bereitstellt und über eine Website mit dem Namen woodgrove.com verfügt.

Um sicherzustellen, dass die Kunden von woodgrove.com eine reaktionsfähige Website nutzen können, möchte Woodgrove, dass europäische Kunden an das europäische Rechenzentrum und US-amerikanische Kunden an das US-amerikanische Rechenzentrum weitergeleitet werden. Kunden, die sich an einem anderen Ort auf der Welt befinden, können an eines der beiden Rechenzentren weitergeleitet werden.

Contoso Cloud Services verfügt über zwei Rechenzentren, eines in den USA und eines in Europa, in denen Contoso sein Lebensmittelbestellungsportal für woodgrove.com hostet.

Die DNS-Bereitstellung von Contoso umfasst zwei sekundäre Server: SecondaryServer1 mit der IP-Adresse 10.0.0.2 und SecondaryServer2 mit der IP-Adresse 10.0.0.3. Diese sekundären Server fungieren als Namenserver in den beiden Regionen, wobei sich SecondaryServer1 in Europa und SecondaryServer2 in den USA befindet.

Es gibt eine primäre beschreibbare Zonenkopie auf PrimaryServer (IP-Adresse 10.0.0.1), in der die Zonenänderungen vorgenommen werden. Bei regulären Zonenübertragungen an die sekundären Server sind die sekundären Server immer auf dem neuesten Stand mit neuen Änderungen an der Zone auf PrimaryServer.

Die folgende Abbildung zeigt dieses Szenario.

Primary-Secondary Geo-Location Based Traffic Management Example

Funktionsweise des primären/sekundären DNS-Systems

Wenn Sie auf dem geografischen Standort basierendee Datenverkehrsverwaltung in einer primären/sekundären DNS-Bereitstellung bereitstellen, ist es wichtig zu verstehen, wie normale Übertragungen zwischen primären/sekundären Zonen erfolgen, bevor Sie sich mit Übertragungen auf Zonenbereichsebene vertraut machen. Die folgenden Abschnitte stellen Informationen zu Übertragungen auf Zonen- und Zonenbereichsebene bereit.

Zonenübertragungen in einer primären/sekundären DNS-Bereitstellung

Sie können eine primäre/sekundäre DNS-Bereitstellung erstellen und Zonen mit den folgenden Schritten synchronisieren.

  1. Wenn Sie DNS installieren, wird die primäre Zone auf dem primären DNS-Server erstellt.
  2. Erstellen Sie auf dem sekundären Server die Zonen, und geben Sie die primären Server an.
  3. Auf den primären Servern können Sie die sekundären Server als vertrauenswürdige Sekundärserver in der primären Zone hinzufügen.
  4. Die sekundären Zonen nehmen eine vollständige Zonenübertragungsanforderung (AXFR) vor und empfangen die Kopie der Zone.
  5. Bei Bedarf senden die primären Server Benachrichtigungen zu Zonenupdates an die sekundären Server.
  6. Sekundäre Server geben eine inkrementelle Zonenübertragungsanforderung (IXFR) aus. Aus diesem Grund bleiben die sekundären Server mit dem primären Server synchronisiert.

Übertragungen auf Zonenbereichsebene in einer primären/sekundären DNS-Bereitstellung

Das Szenario für Datenverkehrsverwaltung erfordert zusätzliche Schritte, um die Zonen in verschiedene Zonenbereiche zu partitionieren. Daher sind zusätzliche Schritte erforderlich, um die Daten innerhalb der Zonenbereiche auf die sekundären Server und Richtlinien und DNS-Clientsubnetze auf die sekundären Server zu übertragen.

Nachdem Sie Ihre DNS-Infrastruktur mit primären und sekundären Servern konfiguriert haben, werden Übertragungen auf Zonenbereichsebene automatisch durch DNS unter Verwendung der folgenden Prozesse durchgeführt.

Um die Übertragung auf Zonenbereichsebene sicherzustellen, verwenden DNS-Server die OPT RR-Erweiterungsmechanismen für DNS (EDNS0). Alle Zonenübertragungsanforderungen (AXFR oder IXFR) von Zonen mit Bereichen stammen von einer EDNS0 OPT RR, deren Options-ID standardmäßig auf „65433“ festgelegt ist. Weitere Informationen zu EDNSO finden Sie unter Request for Comments 6891 der IETF.

Der Wert der OPT RR ist der Zonenbereichsname, für den die Anforderung gesendet wird. Wenn ein primärer DNS-Server dieses Paket von einem vertrauenswürdigen sekundären Server empfängt, interpretiert er die Anforderung als für diesen Zonenbereich vorgesehen.

Wenn der primäre Server über diesen Zonenbereich verfügt, antwortet er mit der Übertragung von Daten (XFR) aus diesem Bereich. Die Antwort enthält eine OPT-RR mit derselben Options-ID „65433“ und einen Wert, der auf denselben Zonenbereich festgelegt ist. Die sekundären Server erhalten diese Antwort, rufen die Bereichsinformationen aus der Antwort ab und aktualisieren diesen bestimmten Bereich der Zone.

Nach diesem Prozess verwaltet der primäre Server eine Liste der vertrauenswürdigen Sekundärdateien, die eine solche Zonenbereichsanforderung für Benachrichtigungen gesendet haben.

Bei jeder weiteren Aktualisierung in einem Zonenbereich wird eine IXFR-Benachrichtigung mit derselben OPT RR an die sekundären Server gesendet. Der Zonenbereich, der diese Benachrichtigung empfängt, nimmt die IXFR-Anforderung mit dieser OPT RR und demselben Prozess wie oben beschrieben vor.

Konfigurieren der DNS-Richtlinie für primäre/sekundäre auf dem geografischen Standort basierende Datenverkehrsverwaltung

Bevor Sie beginnen, stellen Sie sicher, dass Sie alle Schritte im Thema Verwenden einer DNS-Richtlinie für auf dem geografischen Standort basierende Datenverkehrsverwaltung mit primären Servern abgeschlossen haben und Ihr primärer DNS-Server mit Zonen, Zonenbereichen, DNS-Clientsubnetzen und DNS-Richtlinien konfiguriert ist.

Hinweis

Die Anweisungen in diesem Thema zum Kopieren von DNS-Clientsubnetzen, Zonenbereichen und DNS-Richtlinien von primären DNS-Servern auf sekundäre DNS-Server dienen der anfänglichen DNS-Einrichtung und -Überprüfung. In Zukunft möchten Sie die DNS-Clientsubnetze, Zonenbereiche und Richtlinieneinstellungen auf dem primären Server möglicherweise ändern. In diesem Fall können Sie Automatisierungsskripts erstellen, um die sekundären Server mit dem primären Server zu synchronisieren.

Zum Konfigurieren der DNS-Richtlinie für primäre/sekundäre auf dem geografischen Standort basierende Abfrageantworten müssen Sie die folgenden Schritte ausführen.

Die folgenden Abschnitte enthalten detaillierte Konfigurationsanweisungen.

Wichtig

Die folgenden Abschnitte enthalten Beispiele für Windows PowerShell-Befehle, die Beispielwerte für viele Parameter enthalten. Achten Sie darauf, dass Sie Beispielwerte in diesen Befehlen durch Werte ersetzen, die für Ihre Bereitstellung geeignet sind, bevor Sie diese Befehle ausführen.

Sie müssen Mitglied der Gruppe DnsAdmins oder einer entsprechenden Gruppe sein, um das folgende Verfahren ausführen zu können.

Erstellen der sekundären Zonen

Sie können die sekundäre Kopie der Zone erstellen, die Sie in SecondaryServer1 und SecondaryServer2 replizieren möchten (vorausgesetzt, die Cmdlets werden remote von einem einzelnen Verwaltungsclient aus ausgeführt).

Sie können beispielsweise die sekundäre Kopie von www.woodgrove.com auf SecondaryServer1 und SecondarySesrver2 erstellen.

Sie können die folgenden Windows PowerShell-Befehle verwenden, um die sekundären Zonen zu erstellen.

Add-DnsServerSecondaryZone -Name "woodgrove.com" -ZoneFile "woodgrove.com.dns" -MasterServers 10.0.0.1 -ComputerName SecondaryServer1
Add-DnsServerSecondaryZone -Name "woodgrove.com" -ZoneFile "woodgrove.com.dns" -MasterServers 10.0.0.1 -ComputerName SecondaryServer2

Weitere Informationen finden Sie unter Add-DnsServerSecondaryZone.

Konfigurieren der Zonenübertragungseinstellungen für die primäre Zone

Sie müssen die Einstellungen für die primäre Zone wie folgt konfigurieren:

  1. Zonenübertragungen vom primären Server zu den angegebenen sekundären Servern sind zulässig.
  2. Zonenupdatebenachrichtigungen werden vom primären Server an die sekundären Server gesendet.

Sie können die folgenden Windows PowerShell-Befehle verwenden, um die Zonenübertragungseinstellungen für die primäre Zone zu konfigurieren.

Hinweis

Im folgenden Beispielbefehl gibt der Parameter -Notify an, dass der primäre Server Benachrichtigungen zu Updates an die Auswahlliste der sekundären Server sendet.

Set-DnsServerPrimaryZone -Name "woodgrove.com" -Notify Notify -SecondaryServers "10.0.0.2,10.0.0.3" -SecureSecondaries TransferToSecureServers -ComputerName PrimaryServer

Weitere Informationen finden Sie unter Set-DnsServerPrimaryZone.

Kopieren der DNS-Clientsubnetze

Sie müssen die DNS-Clientsubnetze vom primären Server auf die sekundären Server kopieren.

Sie können die folgenden Windows PowerShell-Befehle verwenden, um die Subnetze auf die sekundären Server zu kopieren.

Get-DnsServerClientSubnet -ComputerName PrimaryServer | Add-DnsServerClientSubnet -ComputerName SecondaryServer1
Get-DnsServerClientSubnet -ComputerName PrimaryServer | Add-DnsServerClientSubnet -ComputerName SecondaryServer2

Weitere Informationen finden Sie unter Add-DnsServerClientSubnet.

Erstellen der Zonenbereiche auf dem sekundären Server

Sie müssen die Zonenbereiche auf den sekundären Servern erstellen. In DNS beginnen die Zonenbereiche auch, XFRs vom primären Server anzufordern. Bei jeder Änderung der Zonenbereiche auf dem primären Server wird eine Benachrichtigung mit den Zonenbereichsinformationen an die sekundären Server gesendet. Die sekundären Server können dann ihre Zonenbereiche mit der inkrementellen Änderung aktualisieren.

Sie können die folgenden Windows PowerShell-Befehle verwenden, um die Zonenbereiche auf den sekundären Servern zu erstellen.

Get-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName PrimaryServer|Add-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName SecondaryServer1 -ErrorAction Ignore
Get-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName PrimaryServer|Add-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName SecondaryServer2 -ErrorAction Ignore

Hinweis

In diesen Beispielbefehlen ist der Parameter -ErrorAction Ignore enthalten, da für jede Zone ein Standardzonenbereich vorhanden ist. Der Standardzonenbereich kann nicht erstellt oder gelöscht werden. Das Pipelining führt zu einem Versuch, diesen Bereich zu erstellen, der fehlschlägt. Alternativ können Sie die nicht standardmäßigen Zonenbereiche für zwei sekundäre Zonen erstellen.

Weitere Informationen finden Sie unter Add-DnsServerZoneScope.

Konfigurieren der DNS-Richtlinie

Nachdem Sie die Subnetze, die Partitionen (Zonenbereiche) erstellt und Datensätze hinzugefügt haben, müssen Sie Richtlinien erstellen, die die Subnetze und Partitionen verbinden. Wenn eine Abfrage von einer Quelle in einem der DNS-Clientsubnetze stammt, wird die Abfrageantwort dann aus dem richtigen Bereich der Zone zurückgegeben. Zum Zuordnen des Standardzonenbereichs sind keine Richtlinien erforderlich.

Sie können die folgenden Windows PowerShell-Befehle verwenden, um eine DNS-Richtlinie zu erstellen, die die DNS-Clientsubnetze und die Zonenbereiche verknüpft.

$policy = Get-DnsServerQueryResolutionPolicy -ZoneName "woodgrove.com" -ComputerName PrimaryServer
$policy | Add-DnsServerQueryResolutionPolicy -ZoneName "woodgrove.com" -ComputerName SecondaryServer1
$policy | Add-DnsServerQueryResolutionPolicy -ZoneName "woodgrove.com" -ComputerName SecondaryServer2

Weitere Informationen finden Sie unter Add-DnsServerQueryResolutionPolicy.

Jetzt werden die sekundären DNS-Server mit den erforderlichen DNS-Richtlinien konfiguriert, um Datenverkehr basierend auf dem geografischen Standort umzuleiten.

Wenn der DNS-Server Namensauflösungsabfragen empfängt, wertet der DNS-Server die Felder in der DNS-Anforderung anhand der konfigurierten DNS-Richtlinien aus. Wenn die Quell-IP-Adresse in der Namensauflösungsanforderung mit einer der Richtlinien übereinstimmt, wird der zugeordnete Zonenbereich verwendet, um auf die Abfrage zu antworten, und der Benutzer wird an die Ressource weitergeleitet, die ihnen geografisch am nächsten ist.

Sie können Tausende von DNS-Richtlinien für Ihre Anforderungen an die Datenverkehrsverwaltung erstellen. Alle neuen Richtlinien werden bei eingehenden Abfragen dynamisch angewendet – ohne dass der DNS-Server neu gestartet werden muss.