Verwenden von DNS-Richtlinien für Split-Brain-DNS-Bereitstellung

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Sie können dieses Thema verwenden, um zu erfahren, wie Sie DNS-Richtlinie in Windows Server® 2016 für Split-Brain-DNS-Bereitstellungen konfigurieren, in denen es zwei Versionen einer einzelnen Zone gibt – eine für die internen Benutzer in Ihrem Unternehmensintranet und eine für die externen Benutzer, die in der Regel Benutzer im Internet sind.

Hinweis

Informationen zur Verwendung der DNS-Richtlinie für die Bereitstellung von Split-Brain DNS mit integrierten Active Directory-DNS-Zonen finden Sie unter Verwenden der DNS-Richtlinie für Split-Brain DNS in Active Directory.

Zuvor ist dieses Szenario erforderlich, dass DNS-Administratoren zwei verschiedene DNS-Server verwalten, wobei jede Gruppe von Benutzern, internen und externen Diensten Dienste bereitstellt. Wenn nur wenige Datensätze innerhalb der Zone geteilt wurden oder beide Instanzen der Zone (intern und extern) an dieselbe übergeordnete Domäne delegiert wurden, wurde dies zu einem Verwaltungskonundrum.

Ein weiteres Konfigurationsszenario für die Bereitstellung von Split-Brains ist selektives Rekursion-Steuerelement für die DNS-Namensauflösung. Unter bestimmten Umständen werden die Enterprise DNS-Server voraussichtlich rekursive Auflösung über das Internet für die internen Benutzer ausführen, während sie auch als autoritative Namenserver für externe Benutzer fungieren müssen, und die Rekursion für sie blockieren.

Dieses Thema enthält folgende Abschnitte:

Beispiel für die DNS-Split-Brain-Bereitstellung

Nachfolgend finden Sie ein Beispiel dafür, wie Sie die DNS-Richtlinie verwenden können, um das zuvor beschriebene Szenario von Split-Brain-DNS zu erreichen.

In diesem Abschnitt werden die folgenden Themen behandelt:

In diesem Beispiel wird ein fiktives Unternehmen, Contoso, verwendet, das eine Karrierewebsite bei www.career.contoso.com verwaltet.

Die Website verfügt über zwei Versionen, eine für die internen Benutzer, in denen interne Stellenveröffentlichungen verfügbar sind. Diese interne Website ist unter der lokalen IP-Adresse 10.0.0.39 verfügbar.

Die zweite Version ist die öffentliche Version derselben Website, die unter der öffentlichen IP-Adresse 65.55.39.10 verfügbar ist.

Ohne DNS-Richtlinie muss der Administrator diese beiden Zonen auf separaten Windows Server-DNS-Servern hosten und separat verwalten.

Mithilfe von DNS-Richtlinien können diese Zonen jetzt auf demselben DNS-Server gehostet werden.

In der folgenden Abbildung wird dieses Szenario dargestellt.

Split-Brain DNS Deployment

Funktionsweise der DNS-Split-Brain-Bereitstellung

Wenn der DNS-Server mit den erforderlichen DNS-Richtlinien konfiguriert ist, wird jede Namensauflösungsanforderung anhand der Richtlinien auf dem DNS-Server ausgewertet.

Die Serverschnittstelle wird in diesem Beispiel als Kriterien verwendet, um zwischen den internen und externen Clients zu unterscheiden.

Wenn die Serverschnittstelle, auf der die Abfrage empfangen wird, einer der Richtlinien entspricht, wird der zugeordnete Zonenbereich verwendet, um auf die Abfrage zu antworten.

In unserem Beispiel erhalten die DNS-Abfragen für www.career.contoso.com , die auf der privaten IP (10.0.0.56) empfangen werden, eine DNS-Antwort, die eine interne IP-Adresse enthält; und die DNS-Abfragen, die auf der öffentlichen Netzwerkschnittstelle empfangen werden, erhalten eine DNS-Antwort, die die öffentliche IP-Adresse im Standardzonenbereich enthält (dies entspricht der normalen Abfrageauflösung).

Konfigurieren der DNS-Split-Brain-Bereitstellung

Zum Konfigurieren der DNS-Split-Brain-Bereitstellung mithilfe der DNS-Richtlinie müssen Sie die folgenden Schritte ausführen.

In den folgenden Abschnitten finden Sie detaillierte Konfigurationsanweisungen.

Wichtig

Die folgenden Abschnitte enthalten Beispiel-Windows PowerShell Befehle, die Beispielwerte für viele Parameter enthalten. Stellen Sie sicher, dass Sie Beispielwerte in diesen Befehlen durch Werte ersetzen, die für Ihre Bereitstellung geeignet sind, bevor Sie diese Befehle ausführen.

Erstellen der Zonenbereiche

Ein Zonenbereich ist eine eindeutige Instanz der Zone. Eine DNS-Zone kann mehrere Zonenbereiche haben, wobei jeder Zonenbereich einen eigenen Satz von DNS-Einträgen enthält. Derselbe Datensatz kann in mehreren Bereichen vorhanden sein, mit unterschiedlichen IP-Adressen oder den gleichen IP-Adressen.

Hinweis

Standardmäßig ist ein Zonenbereich in den DNS-Zonen vorhanden. Dieser Zonenbereich hat denselben Namen wie die Zone, und ältere DNS-Vorgänge funktionieren in diesem Bereich. Dieser Standardzonenbereich hostt die externe Version von www.career.contoso.com.

Sie können den folgenden Beispielbefehl verwenden, um den Zonenbereich contoso.com zu partitionieren, um einen internen Zonenbereich zu erstellen. Der interne Zonenbereich wird verwendet, um die interne Version von www.career.contoso.com beizubehalten.

Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "internal"

Weitere Informationen finden Sie unter Add-DnsServerZoneScope

Hinzufügen von Datensätzen zu den Zonenbereichen

Der nächste Schritt besteht darin, die Datensätze hinzuzufügen, die den Webserverhost in den beiden Zonenbereichen darstellen – intern und standard (für externe Clients).

Im Bereich der internen Zone wird der Datensatz www.career.contoso.com mit der IP-Adresse 10.0.0.39 hinzugefügt, die eine private IP ist; und im Standardzonenbereich wird derselbe Datensatz, www.career.contoso.com, mit der IP-Adresse 65.55.39.10 hinzugefügt.

Der Parameter "-ZoneScope " wird in den folgenden Beispielbefehlen bereitgestellt, wenn der Datensatz dem Standardzonenbereich hinzugefügt wird. Dies ähnelt dem Hinzufügen von Datensätzen zu einer Vanillezone.

Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39” -ZoneScope "internal"

Weitere Informationen finden Sie unter Add-DnsServerResourceRecord.

Erstellen der DNS-Richtlinien

Nachdem Sie die Serverschnittstellen für das externe Netzwerk und das interne Netzwerk identifiziert und die Zonenbereiche erstellt haben, müssen Sie DNS-Richtlinien erstellen, die die internen und externen Zonenbereiche verbinden.

Hinweis

In diesem Beispiel wird die Serverschnittstelle als Kriterien verwendet, um zwischen den internen und externen Clients zu unterscheiden. Eine weitere Methode zur Unterscheidung zwischen externen und internen Clients besteht darin, Client-Subnetze als Kriterien zu verwenden. Wenn Sie die Subnetze identifizieren können, zu denen die internen Clients gehören, können Sie DNS-Richtlinie so konfigurieren, dass sie basierend auf dem Client-Subnetz unterschieden wird. Informationen zum Konfigurieren der Datenverkehrsverwaltung mithilfe von Client-Subnetzkriterien finden Sie unter Verwenden der DNS-Richtlinie für Geo-Location basierte Datenverkehrsverwaltung mit primären Servern.

Wenn der DNS-Server eine Abfrage auf der privaten Schnittstelle empfängt, wird die DNS-Abfrageantwort aus dem internen Zonenbereich zurückgegeben.

Hinweis

Für die Zuordnung des Standardzonenbereichs sind keine Richtlinien erforderlich.

Im folgenden Beispielbefehl ist 10.0.0.56 die IP-Adresse auf der privaten Netzwerkschnittstelle, wie in der vorherigen Abbildung dargestellt.

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,10.0.0.56" -ZoneScope "internal,1" -ZoneName contoso.com

Weitere Informationen finden Sie unter Add-DnsServerQueryResolutionPolicy.

Beispiel für dns-selektive Rekursion-Steuerelement

Im Folgenden finden Sie ein Beispiel dafür, wie Sie die DNS-Richtlinie verwenden können, um das zuvor beschriebene Szenario des selektiven Rekursionssteuerelements von DNS auszuführen.

In diesem Abschnitt werden die folgenden Themen behandelt:

In diesem Beispiel wird dasselbe fiktive Unternehmen wie im vorherigen Beispiel Contoso verwendet, das eine Karrierewebsite bei www.career.contoso.com verwaltet.

Im Beispiel für die DNS-Split-Brain-Bereitstellung reagiert derselbe DNS-Server sowohl auf die externen als auch auf interne Clients und bietet ihnen unterschiedliche Antworten.

Einige DNS-Bereitstellungen erfordern möglicherweise denselben DNS-Server, um rekursive Namensauflösung für interne Clients auszuführen, zusätzlich zum autoritativen Namensserver für externe Clients. Dieser Umstand wird als DNS-selektives Rekursionssteuerelement bezeichnet.

In früheren Versionen von Windows Server bedeutete die Aktivierung der Rekursion, dass sie auf dem gesamten DNS-Server für alle Zonen aktiviert wurde. Da der DNS-Server auch externe Abfragen überwacht, wird rekursion sowohl für interne als auch für externe Clients aktiviert, wodurch der DNS-Server ein offener Resolver wird.

Ein DNS-Server, der als offener Resolver konfiguriert ist, kann anfällig für die Ressourcenausschöpfung sein und von böswilligen Clients missbraucht werden, um Spiegelungsangriffe zu erstellen.

Aus diesem Grund möchten Contoso-DNS-Administratoren den DNS-Server für contoso.com nicht rekursive Namensauflösung für externe Clients ausführen. Es ist nur eine Rekursionssteuerung für interne Clients erforderlich, während die Rekursionssteuerung für externe Clients blockiert werden kann.

In der folgenden Abbildung wird dieses Szenario dargestellt.

Selective Recursion Control

Funktionsweise des selektiven Rekursionssteuerelements von DNS

Wenn eine Abfrage, für die der Contoso DNS-Server nicht autoritativ ist, wie z. B. für https://www.microsoft.com, empfangen wird, wird die Namensauflösungsanforderung anhand der Richtlinien auf dem DNS-Server ausgewertet.

Da diese Abfragen nicht unter eine Zone fallen, werden die Zonenebenenrichtlinien (wie im Beispiel für split-brain definiert) nicht ausgewertet.

Der DNS-Server wertet die Rekursionsrichtlinien aus, und die Abfragen, die auf der privaten Schnittstelle empfangen werden, entsprechen der SplitBrainRecursionPolicy. Diese Richtlinie verweist auf einen Rekursionsbereich, in dem rekursion aktiviert ist.

Der DNS-Server führt dann rekursion aus, um die Antwort https://www.microsoft.com aus dem Internet zu erhalten, und speichert die Antwort lokal zwischen.

Wenn die Abfrage auf der externen Schnittstelle empfangen wird, stimmen keine DNS-Richtlinien überein, und die Standardeinstellung für rekursion – in diesem Fall ist deaktiviert – wird angewendet.

Dadurch wird verhindert, dass der Server als offener Resolver für externe Clients fungiert, während er als Zwischenspeicherungslöser für interne Clients fungiert.

Konfigurieren des selektiven Rekursionssteuerelements für DNS

Um die DNS-selektive Rekursionssteuerung mithilfe der DNS-Richtlinie zu konfigurieren, müssen Sie die folgenden Schritte ausführen.

Erstellen von DNS-Rekursionsbereichen

Rekursionsbereiche sind eindeutige Instanzen einer Gruppe von Einstellungen, die die Rekursion auf einem DNS-Server steuern. Ein Rekursionsbereich enthält eine Liste der Weiterleitungen und gibt an, ob rekursion aktiviert ist. Ein DNS-Server kann viele Rekursionsbereiche aufweisen.

Die Einstellung für die Legacy-Rekursion und die Liste der Weiterleitungen wird als Standard rekursionsbereich bezeichnet. Sie können den standardmäßigen Rekursionsbereich nicht hinzufügen oder entfernen, der durch den Namen punkt (".") identifiziert wird.

In diesem Beispiel ist die Standard rekursionseinstellung deaktiviert, während ein neuer Rekursionsbereich für interne Clients erstellt wird, bei dem rekursion aktiviert ist.

Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True

Weitere Informationen finden Sie unter Add-DnsServerRecursionScope

Erstellen von DNS-Rekursionsrichtlinien

Sie können DNS-Server-Rekursionsrichtlinien erstellen, um einen Rekursionsbereich für eine Reihe von Abfragen auszuwählen, die bestimmten Kriterien entsprechen.

Wenn der DNS-Server für einige Abfragen nicht autoritativ ist, können Sie mithilfe von DNS-Server-Rekursionsrichtlinien steuern, wie sie die Abfragen auflösen.

In diesem Beispiel wird der interne Rekursionsbereich mit aktivierter Rekursion der privaten Netzwerkschnittstelle zugeordnet.

Sie können den folgenden Beispielbefehl verwenden, um DNS-Rekursionsrichtlinien zu konfigurieren.

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainRecursionPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.39"

Weitere Informationen finden Sie unter Add-DnsServerQueryResolutionPolicy.

Jetzt ist der DNS-Server mit den erforderlichen DNS-Richtlinien für einen Split-Brain-Namenserver oder einen DNS-Server mit selektiver Rekursionskontrolle für interne Clients konfiguriert.

Sie können Tausende von DNS-Richtlinien gemäß Ihren Anforderungen für die Datenverkehrsverwaltung erstellen, und alle neuen Richtlinien werden dynamisch angewendet – ohne den DNS-Server neu zu starten – auf eingehenden Abfragen.

Weitere Informationen finden Sie im Leitfaden zum DNS-Richtlinienszenario.