Utiliser une stratégie DNS pour la gestion du trafic basée sur la géolocalisation avec des serveurs principaux
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Vous pouvez utiliser cette rubrique pour savoir comment configurer la stratégie DNS pour permettre aux serveurs DNS principaux de répondre aux requêtes client DNS en fonction de l’emplacement géographique du client et de la ressource à laquelle le client tente de se connecter, en fournissant au client l’adresse IP de la ressource la plus proche.
Important
Ce scénario montre comment déployer une stratégie DNS pour la gestion du trafic basée sur la géolocalisation lorsque vous utilisez uniquement des serveurs DNS principaux. Vous pouvez également effectuer une gestion du trafic basée sur la géolocalisation lorsque vous disposez de serveurs DNS principaux et secondaires. Si vous avez un déploiement principal-secondaire, commencez par effectuer les étapes décrites dans cette rubrique, puis suivez les étapes fournies dans la rubrique Utiliser la stratégie DNS pour la gestion du trafic basée sur la géolocalisation avec des déploiements Principal-Secondaire.
Avec de nouvelles stratégies DNS, vous pouvez créer une stratégie DNS qui permet au serveur DNS de répondre à une requête client demandant l’adresse IP d’un serveur Web. Les instances du serveur Web peuvent se trouver dans différents centres de données à différents emplacements physiques. DNS peut évaluer les emplacements du client et du serveur Web, puis répondre à la demande du client en fournissant au client une adresse IP de serveur Web pour un serveur Web physiquement situé plus près du client.
Vous pouvez utiliser les paramètres de stratégie DNS suivants pour contrôler les réponses du serveur DNS aux requêtes des clients DNS.
- Sous-réseau client. Nom d’un sous-réseau client prédéfini. Permet de vérifier le sous-réseau à partir duquel la requête a été envoyée.
- Protocole de transport. Protocole de transport utilisé dans la requête. Les entrées possibles sont UDP et TCP.
- Protocole Internet. Protocole réseau utilisé dans la requête. Les entrées possibles sont IPv4 et IPv6.
- Adresse IP de l’interface serveur. Adresse IP de l’interface réseau du serveur DNS qui a reçu la requête DNS.
- Nom de domaine complet. Nom de domaine complet (FQDN) de l’enregistrement dans la requête, avec la possibilité d’utiliser une carte générique.
- Type de requête. Type d’enregistrement interrogé (A, SRV, TXT, etc.)
- Heure de la journée. Heure de la réception de la requête.
Vous pouvez combiner les critères suivants avec un opérateur logique (AND/OR) pour formuler des expressions de stratégie. Lorsque ces expressions correspondent, les stratégies sont censées effectuer l’une des actions suivantes.
- Ignorer. Le serveur DNS supprime silencieusement la requête.
- Refuser. Le serveur DNS répond à cette requête avec une réponse d’échec.
- Autoriser. Le serveur DNS répond en retour avec une réponse gérée par le trafic.
Exemple de Gestion du trafic basée sur la géolocalisation
Voici un exemple de la façon dont vous pouvez utiliser la stratégie DNS pour obtenir la redirection du trafic sur la base de l’emplacement physique du client qui exécute une requête DNS.
Cet exemple utilise deux sociétés fictives : Contoso Cloud Services, qui fournit des solutions d’hébergement web et d’hébergement de domaine, et Woodgrove Food Services, qui fournit des services de livraison de nourriture dans plusieurs villes à travers le monde, et qui dispose d’un site Web nommé woodgrove.com.
Contoso Cloud Services dispose de deux centres de données, l’un aux États-Unis et l’autre en Europe. Le centre de données européen héberge un portail de commandes alimentaires pour woodgrove.com.
Pour s’assurer que les clients woodgrove.com bénéficient d’une expérience réactive à partir de leur site web, Woodgrove souhaite que les clients européens soient dirigés vers le centre de données européen et les clients américains vers le centre de données américain. Les clients situés ailleurs dans le monde peuvent être dirigés vers l’un des centres de données.
L’illustration suivante représente ce scénario.
Fonctionnement du processus de résolution de noms DNS
Pendant le processus de résolution de noms, l’utilisateur tente de se connecter à www.woodgrove.com. Il en résulte une demande de résolution de noms DNS qui est envoyée au serveur DNS configuré dans les propriétés de connexion réseau sur l’ordinateur de l’utilisateur. En règle générale, il s’agit du serveur DNS fourni par le FAI local agissant en tant que programme de résolution de mise en cache, et est appelé LDNS.
Si le nom DNS n’est pas présent dans le cache local de LDNS, le serveur LDNS transfère la requête au serveur DNS qui fait autorité pour woodgrove.com. Le serveur DNS faisant autorité répond avec l’enregistrement demandé (www.woodgrove.com) au serveur LDNS, qui met à son tour l’enregistrement en cache localement avant de l’envoyer à l’ordinateur de l’utilisateur.
Étant donné que Contoso Cloud Services utilise des stratégies de serveur DNS, le serveur DNS faisant autorité qui héberge contoso.com est configuré pour retourner des réponses gérées du trafic basées sur la géolocalisation. Cela se traduit par la direction des clients européens vers le centre de données européen et la direction des clients américains vers le centre de données américain, comme illustré dans l’illustration.
Dans ce scénario, le serveur DNS faisant autorité voit généralement la demande de résolution de noms provenant du serveur LDNS et, très rarement, de l’ordinateur de l’utilisateur. Pour cette raison, l’adresse IP source dans la demande de résolution de noms, telle que vue par le serveur DNS faisant autorité, est celle du serveur LDNS et non celle de l’ordinateur de l’utilisateur. Toutefois, l’utilisation de l’adresse IP du serveur LDNS lorsque vous configurez des réponses de requête géolocalisée fournit une estimation juste de l’emplacement géographique de l’utilisateur, car l’utilisateur interroge le serveur DNS de son FAI local.
Remarque
Les stratégies DNS utilisent l’adresse IP de l’expéditeur dans le paquet UDP/TCP qui contient la requête DNS. Si la requête atteint le serveur principal via plusieurs tronçons de programme de résolution/LDNS, la stratégie prend uniquement en compte l’adresse IP du dernier programme de résolution à partir duquel le serveur DNS reçoit la requête.
Comment configurer une stratégie DNS pour les réponses de requête basées sur la géolocalisation
Pour configurer la stratégie DNS pour les réponses de requête basées sur la géolocalisation, vous devez effectuer les étapes suivantes.
- Créer les sous-réseaux clients DNS
- Créer les étendues de la zone
- Ajouter des enregistrements aux étendues de zone
- Créer les stratégies
Notes
Vous devez effectuer ces étapes sur le serveur DNS faisant autorité pour la zone que vous souhaitez configurer. L’adhésion à DnsAdmins, ou un équivalent, est nécessaire pour effectuer les procédures suivantes.
Les sections suivantes fournissent des instructions de configuration détaillées.
Important
Les sections suivantes incluent des exemples de commandes Windows PowerShell qui contiennent des exemples de valeurs pour de nombreux paramètres. Veillez à remplacer les exemples de valeurs dans ces commandes par des valeurs appropriées pour votre déploiement avant d’exécuter ces commandes.
Créer les sous-réseaux clients DNS
La première étape consiste à identifier les sous-réseaux ou l’espace d’adressage IP des régions pour lesquelles vous souhaitez rediriger le trafic. Par exemple, si vous souhaitez rediriger le trafic vers les États-Unis et l’Europe, vous devez identifier les sous-réseaux ou les espaces d’adressage IP de ces régions.
Vous pouvez obtenir ces informations à partir de cartes géo-IP. En fonction de ces distributions géo-IP, vous devez créer les « sous-réseaux clients DNS ». Un sous-réseau client DNS est un regroupement logique de sous-réseaux IPv4 ou IPv6 à partir desquels les requêtes sont envoyées à un serveur DNS.
Vous pouvez utiliser les commandes Windows PowerShell suivantes pour créer des sous-réseaux clients DNS.
Add-DnsServerClientSubnet -Name "USSubnet" -IPv4Subnet "192.0.0.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "141.1.0.0/24"
Pour plus d’informations, consultez Add-DnsServerClientSubnet.
Créer des étendues de zone
Une fois les sous-réseaux clients configurés, vous devez partitionner la zone dont vous souhaitez rediriger le trafic dans deux étendues de zone différentes, une étendue pour chacun des sous-réseaux clients DNS que vous avez configurés.
Par exemple, si vous souhaitez rediriger le trafic pour le nom DNS www.woodgrove.com, vous devez créer deux étendues de zone différentes dans la zone woodgrove.com, l’une pour les États-Unis et l’autre pour l’Europe.
Une étendue de zone est une instance unique de la zone. Une zone DNS peut avoir plusieurs étendues de zone, chacune d’elles contenant son propre jeu d’enregistrements DNS. Le même enregistrement peut être présent dans plusieurs étendues, avec différentes adresses IP ou les mêmes adresses IP.
Notes
Par défaut, une étendue de zone existe sur les zones DNS. Cette étendue de zone porte le même nom que la zone, et les opérations DNS héritées fonctionnent sur cette étendue.
Vous pouvez utiliser les commandes Windows PowerShell suivantes pour créer des étendues de zone.
Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "USZoneScope"
Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "EuropeZoneScope"
Pour plus d’informations, consultez Add-DnsServerZoneScope.
Ajouter des enregistrements aux étendues de zone
Vous devez maintenant ajouter les enregistrements représentant l’hôte du serveur web dans les deux étendues de zone.
Par exemple, USZoneScope et EuropeZoneScope. Dans USZoneScope, vous pouvez ajouter l’enregistrement www.woodgrove.com avec l’adresse IP 192.0.0.1, qui se trouve dans un centre de données américain ; et dans EuropeZoneScope, vous pouvez ajouter le même enregistrement (www.woodgrove.com) avec l’adresse IP 141.1.0.1 dans le centre de données européen.
Vous pouvez utiliser les commandes Windows PowerShell suivantes pour ajouter des enregistrements aux étendues de zone.
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1" -ZoneScope "USZoneScope"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "EuropeZoneScope"
Dans cet exemple, vous devez également utiliser les commandes Windows PowerShell suivantes pour ajouter des enregistrements dans l’étendue de zone par défaut afin que le reste du monde puisse toujours accéder au serveur web woodgrove.com à partir de l’un des deux centres de données.
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1"
Le paramètre ZoneScope n’est pas inclus lorsque vous ajoutez un enregistrement dans l’étendue par défaut. Cela équivaut à ajouter des enregistrements à une zone DNS standard.
Pour plus d’informations, consultez Add-DnsServerResourceRecord.
Créer les stratégies
Après avoir créé les sous-réseaux, les partitions (étendues de zone) et ajouté des enregistrements, vous devez créer des stratégies qui connectent les sous-réseaux et les partitions, de sorte que lorsqu’une requête provient d’une source dans l’un des sous-réseaux clients DNS, la réponse à la requête est retournée à partir de l’étendue correcte de la zone. Aucune stratégie n’est requise pour le mappage de l’étendue de zone par défaut.
Vous pouvez utiliser les commandes Windows PowerShell suivantes pour créer une stratégie DNS qui lie les sous-réseaux du client DNS et les étendues de zone.
Add-DnsServerQueryResolutionPolicy -Name "USPolicy" -Action ALLOW -ClientSubnet "eq,USSubnet" -ZoneScope "USZoneScope,1" -ZoneName "woodgrove.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName "woodgrove.com"
Pour plus d’informations, consultez Add-DnsServerQueryResolutionPolicy.
À présent, le serveur DNS est configuré avec les stratégies DNS requises pour rediriger le trafic en fonction de l’emplacement géographique.
Lorsque le serveur DNS reçoit des requêtes de résolution de noms, le serveur DNS évalue les champs de la requête DNS par rapport aux stratégies DNS configurées. Si l’adresse IP source dans la demande de résolution de noms correspond à l’une des stratégies, l’étendue de zone associée est utilisée pour répondre à la requête et l’utilisateur est dirigé vers la ressource qui est géographiquement la plus proche d’elle.
Vous pouvez créer des milliers de stratégies DNS en fonction de vos exigences de gestion du trafic, et toutes les nouvelles stratégies sont appliquées dynamiquement, sans redémarrer le serveur DNS, sur les requêtes entrantes.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour