Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a témakör a Windows Server 2016-ban újdonságnak számító DNS-szabályzatot ismerteti. A DNS-szabályzatot használhatja Geo-Location alapú forgalomkezeléshez, a napszakon alapuló intelligens DNS-válaszokhoz, és kezelheti az agyfelosztásra konfigurált egyetlen DNS-kiszolgálót, szűrőket alkalmazhat a DNS-lekérdezésekre stb. Az alábbi elemek részletesebben ismertetik ezeket a képességeket.
Alkalmazás terheléselosztása. Ha egy alkalmazás több példányát helyezte üzembe különböző helyeken, a DNS-szabályzattal kiegyensúlyozhatja a forgalomterhelést a különböző alkalmazáspéldányok között, és dinamikusan oszthatja ki az alkalmazás forgalmi terhelését.
Geo-Location alapú forgalomkezelés. A DNS-szabályzattal engedélyezheti, hogy az elsődleges és másodlagos DNS-kiszolgálók válaszoljanak a DNS-ügyfél lekérdezéseire mind az ügyfél földrajzi helye, mind az az erőforrás alapján, amelyhez az ügyfél csatlakozni próbál, biztosítva az ügyfél számára a legközelebbi erőforrás IP-címét.
Agy DNS-ének felosztása. Osztott agyú DNS esetén a DNS-rekordok különböző zónatartományokra vannak osztva ugyanazon a DNS-kiszolgálón, és a DNS-ügyfelek választ kapnak attól függően, hogy az ügyfelek belső vagy külső ügyfelek-e. Az osztott agyú DNS-t konfigurálhatja az Active Directory integrált zónáihoz vagy a különálló DNS-kiszolgálókon lévő zónákhoz.
Szűrés. A DNS-szabályzatot úgy konfigurálhatja, hogy olyan lekérdezési szűrőket hozzon létre, amelyek a megadott feltételeken alapulnak. A DNS-szabályzat lekérdezésszűrői lehetővé teszik a DNS-kiszolgáló egyéni válaszadását a DNS-lekérdezést küldő DNS-lekérdezés és DNS-ügyfél alapján.
Kriminalisztika. A DNS-szabályzattal átirányíthatja a rosszindulatú DNS-ügyfeleket egy nem létező IP-címre ahelyett, hogy az elérni kívánt számítógépre irányítná őket.
Napszak alapú átirányítás. A DNS-szabályzattal az alkalmazás forgalmát az alkalmazás különböző földrajzilag elosztott példányai között oszthatja el a naptól függő DNS-szabályzatok használatával.
Új fogalmak
A fent felsorolt forgatókönyvek támogatására szolgáló szabályzatok létrehozásához képesnek kell lennie a zónák rekordcsoportjainak, a hálózaton lévő ügyfélcsoportoknak többek között a azonosítására. Ezeket az elemeket a következő új DNS-objektumok jelölik:
Ügyfél-alhálózat: az ügyfél alhálózati objektumai olyan IPv4- vagy IPv6-alhálózatot jelölnek, amelyről a rendszer lekérdezéseket küld egy DNS-kiszolgálónak. Alhálózatokat hozhat létre, amelyekkel később meghatározhatók az alkalmazandó szabályzatok, attól függően, hogy milyen alhálózatról érkeznek a kérések. Például egy osztott agy DNS-forgatókönyvben az olyan nevek megoldására irányuló kérések, mint például awww.microsoft.com , belső IP-címmel válaszolhatók meg a belső alhálózatok ügyfeleinek, valamint egy másik IP-címmel a külső alhálózatok ügyfeleinek.
Rekurziós hatókör: a rekurziós hatókörök a DNS-kiszolgálón a rekurziót vezérlő beállításcsoport egyedi példányai. A rekurziós hatókör a továbbítók listáját tartalmazza, és meghatározza, hogy engedélyezve van-e a rekurzió. A DNS-kiszolgálók számos rekurziós hatókörrel rendelkezhetnek. A DNS-kiszolgáló rekurziós szabályzatai lehetővé teszik a lekérdezések rekurziós hatókörének kiválasztását. Ha a DNS-kiszolgáló bizonyos lekérdezések esetében nem mérvadó, a DNS-kiszolgáló rekurziós szabályzatai lehetővé teszik a lekérdezések feloldásának szabályozását. Megadhatja, hogy mely továbbítókat használja, és hogy használja-e a rekurziót.
Zónahatókörök: a DNS-zónák több zónahatókörrel is rendelkezhetnek, és mindegyik zónahatókör saját DNS-rekordkészletet tartalmaz. Ugyanaz a rekord több hatókörben is jelen lehet, különböző IP-címekkel. A zónaátvitelek a zóna hatókörének szintjén is elvégezhetők. Ez azt jelenti, hogy az elsődleges zónában lévő zóna hatóköréből származó rekordok egy másodlagos zónában ugyanahhoz a zónahatókörhöz lesznek átadva.
Szabályzattípusok
A DNS-szabályzatok szint és típus szerint vannak osztva. A lekérdezésfeloldási szabályzatok segítségével meghatározhatja a lekérdezések feldolgozásának módját, a zónaátviteli szabályzatok pedig a zónaátvitelek menetét. Az egyes szabályzattípusok a kiszolgáló vagy a zóna szintjén alkalmazhatók.
Lekérdezésfeloldási szabályzatok
A DNS-lekérdezésfeloldási szabályzatokkal megadhatja, hogyan kezelik a bejövő feloldó lekérdezéseket egy DNS-kiszolgáló. Minden DNS-lekérdezésfeloldási szabályzat a következő elemeket tartalmazza:
| szakterület | Leírás | Lehetséges értékek |
|---|---|---|
| Név | Szabályzat neve | - Legfeljebb 256 karakter – Bármilyen, fájlnévre érvényes karaktert tartalmazhat |
| Állam | Szabályzat állapota | – Engedélyezés (alapértelmezett) -Fogyatékos |
| Szint | Szabályzatszint | -Kiszolgáló -Övezet |
| Megrendelés feldolgozása | Miután egy lekérdezést szint szerint besorolnak és amelyre alkalmazható, a kiszolgáló megkeresi az első szabályzatot, amelynek feltételeinek megfelel a lekérdezés, és alkalmazza azt a lekérdezésre. | -Számérték – Az azonos szintet tartalmazó és az értékre vonatkozó szabályzatonkénti egyedi érték |
| Akció | A DNS-kiszolgáló által végrehajtandó művelet | - Engedélyezés (zónaszint alapértelmezett beállítása) - Megtagadás (alapértelmezett kiszolgálói szinten) -Semmibe vesz |
| Kritérium | Szabályzatfeltétel (ÉS/VAGY) és a szabályzat alkalmazásához teljesítendő feltétel listája | - Feltétel operátor (ÉS/VAGY) - Feltételek listája (lásd az alábbi feltételtáblát) |
| Hatókör | A zónahatókörök és a hatókörönkénti súlyozott értékek listája. A súlyozott értékek a terheléselosztáshoz használatosak. Ha például ez a lista tartalmazza a datacenter1-et 3-as súllyal és a datacenter2-t 5-ös súllyal, a kiszolgáló nyolc kérelemből háromszor a datacenter1-ből származó rekorddal válaszol. | - Zónahatókörök listája (nevek szerint) és súlyok |
Megjegyzés:
A kiszolgálószintű házirendek műveletként csak az Megtagadás vagy Mellőzés értékeket használhatják.
A DNS-szabályzat feltételmezője két elemből áll:
| Név | Leírás | Mintaértékek |
|---|---|---|
| Ügyfél-alhálózat | Előre definiált ügyfél-alhálózat neve. Annak az alhálózatnak a ellenőrzésére szolgál, amelyről a lekérdezést elküldték. |
-
EQ,Spanyolország,Franciaország – igaznak minősül, ha az alhálózat spanyolországként vagy Franciaországként van azonosítva - NE,Kanada,Mexikó – igaznak bizonyul, ha az ügyfél alhálózata nem Kanada és Mexikó alhálózata |
| Átviteli protokoll | A lekérdezésben használt átviteli protokoll. Lehetséges bejegyzések: UDP és TCP |
-
EQ,TCP - EQ,UDP |
| Internetprotokoll | A lekérdezésben használt hálózati protokoll. Lehetséges bejegyzések: IPv4 és IPv6 |
-
EQ,IPv4 - EQ,IPv6 |
| Kiszolgálói felület IP-címe | A bejövő DNS-kiszolgáló hálózati adapterének IP-címe |
-
EQ,10.0.0.1 - EQ,192.168.1.1 |
| FQDN | A lekérdezésben szereplő rekord teljes tartománya, és lehetőség van helyettesítő kártya használatára |
-
EQ,www.contoso.com – csak akkor igaz, ha a lekérdezés a www.contoso.com teljes tartománynevet próbálja feloldani - EQ,*.contoso.com,*.woodgrove.com – igaz lesz, ha a lekérdezés contoso.com VAGYwoodgrove.com végződésű rekordra vonatkozik |
| Lekérdezés típusa | Lekérdezett rekord típusa (A, SRV, TXT) |
-
EQ,TXT,SRV – igaz lesz, ha a lekérdezés TXT vagy SRV rekordot kér - EQ,MX – igaz lesz, ha a lekérdezés MX rekordot kér |
| Nap időpontja | A lekérdezés fogadásának időpontja | - EQ,10:00-12:00,22:00-23:00 – igaz lesz, ha a lekérdezés 10:00 és dél között vagy 10:00 és 11:00 között érkezik |
A fenti táblázatot kiindulási pontként használva, az alábbi táblázat egy olyan feltétel meghatározására használható, amely bármilyen típusú rekord lekérdezésének egyeztetésére alkalmas, kivéve az SRV-rekordokat a contoso.com tartományban, amikor a lekérdezés egy 10.0.0.0/24-es alhálózati ügyféltől érkezik TCP-n keresztül 20:00 és 22:00 óra között a 10.0.0.3-as interfészen keresztül.
| Név | Érték |
|---|---|
| Ügyfél-alhálózat | EQ,10.0.0.0/24 |
| Átviteli protokoll | EQ,TCP |
| Kiszolgálói felület IP-címe | EQ,10.0.0.3 |
| FQDN | EQ,*.contoso.com |
| Lekérdezés típusa | NE,SRV |
| Nap időpontja | EQ,20:00-22:00 |
Több, azonos szintű lekérdezésfeloldási szabályzatot is létrehozhat, ha a feldolgozási sorrendhez eltérő értékük van. Ha több szabályzat is elérhető, a DNS-kiszolgáló a következő módon dolgozza fel a bejövő lekérdezéseket:
Rekurziós szabályzatok
A rekurziós szabályzatok a kiszolgálószintű szabályzatok speciális típusai . A rekurziós házirendek szabályozzák, hogy a DNS-kiszolgáló hogyan hajtja végre a rekurziót egy lekérdezéshez. A rekurziós szabályzatok csak akkor érvényesek, ha a lekérdezésfeldolgozás eléri a rekurziós útvonalat. A lekérdezések egy csoportjához a DENY vagy az IGNORE értéket is választhatja. Másik lehetőségként a lekérdezések halmazához is választhat továbbítókat.
Rekurziós szabályzatokkal implementálhatja a split-brain DNS-konfigurációt. Ebben a konfigurációban a DNS-kiszolgáló rekurziót hajt végre egy lekérdezés egy ügyfélcsoportja esetében, míg a DNS-kiszolgáló nem hajt végre rekurziót más ügyfelek számára a lekérdezéshez.
A rekurziós szabályzatok ugyanazokat az elemeket tartalmazzák, mint a hagyományos DNS-lekérdezésfeloldási szabályzatok, valamint az alábbi táblázatban szereplő elemeket:
| Név | Leírás |
|---|---|
| Alkalmazás rekurzióra | Ez a házirend csak a rekurzióhoz használható. |
| Rekurziós hatókör | A rekurziós hatókör neve. |
Megjegyzés:
A rekurziós szabályzatok csak a kiszolgáló szintjén hozhatók létre.
Zónaátviteli szabályzatok
A zónaátviteli szabályzatok szabályozzák, hogy a DNS-kiszolgáló engedélyezi-e a zónaátvitelt. A zónaátviteli szabályzatokat a kiszolgáló vagy a zóna szintjén is létrehozhatja. A kiszolgálószintű szabályzatok a DNS-kiszolgálón előforduló összes zónaátviteli lekérdezésre érvényesek. A zónaszintű szabályzatok csak a DNS-kiszolgálón üzemeltetett zónák lekérdezéseire vonatkoznak. A zónaszintű szabályzatok leggyakoribb használata a letiltott vagy biztonságos listák implementálása.
Megjegyzés:
A zónaátviteli szabályzatok csak a DENY vagy a IGNORE parancsot használhatják műveletekként.
Az alábbi kiszolgálószintű zónaátviteli szabályzattal megtagadhatja a contoso.com tartomány zónaátvitelét egy adott alhálózatról:
Add-DnsServerZoneTransferPolicy -Name DenyTransferOfContosoToFabrikam -Zone contoso.com -Action DENY -ClientSubnet "EQ,192.168.1.0/24"
Több, azonos szintű zónaátviteli szabályzatot is létrehozhat, feltéve, hogy eltérő értékkel rendelkeznek a feldolgozási sorrendhez. Ha több szabályzat is elérhető, a DNS-kiszolgáló a következő módon dolgozza fel a bejövő lekérdezéseket:
DNS-szabályzatok kezelése
DNS-szabályzatokat a PowerShell használatával hozhat létre és kezelhet. Az alábbi példák különböző, DNS-szabályzatokkal konfigurálható mintaforgatókönyveket mutatnak be:
Forgalomkezelés
A teljes tartománynév alapján a forgalmat a DNS-ügyfél helyétől függően különböző kiszolgálókra irányíthatja. Az alábbi példa bemutatja, hogyan hozhat létre forgalomkezelési szabályzatokat, amelyek az ügyfeleket egy adott alhálózatról egy észak-amerikai adatközpontba, egy másik alhálózatról pedig egy európai adatközpontba irányítják.
Add-DnsServerClientSubnet -Name "NorthAmericaSubnet" -IPv4Subnet "172.21.33.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "172.17.44.0/24"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "NorthAmericaZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.17.97.97" -ZoneScope "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "NorthAmericaZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "NorthAmericaPolicy" -Action ALLOW -ClientSubnet "eq,NorthAmericaSubnet" -ZoneScope "NorthAmericaZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName contoso.com
A szkript első két sora ügyfél-alhálózati objektumokat hoz létre Észak-Amerika és Európa számára. Az azt követő két sor létrehoz egy zónahatókört a contoso.com tartományon belül, egy-egy régióhoz. Az azt követő két sor minden zónában létrehoz egy rekordot, amely www.contoso.com társít különböző IP-címhez, egyet Európához, egy másikat Észak-Amerikához. Végül a szkript utolsó sorai létrehoznak két DNS-lekérdezésfeloldási szabályzatot, egyet az észak-amerikai alhálózatra, egy másikat az Európai alhálózatra.
Tartomány lekérdezéseinek letiltása
A DNS-lekérdezésfeloldási szabályzattal letilthatja a tartomány lekérdezését. Az alábbi példa az összes lekérdezést letiltja a treyresearch.net:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
Lekérdezések letiltása alhálózatról
Egy adott alhálózatról érkező lekérdezéseket is letilthat. Az alábbi szkript létrehoz egy alhálózatot a 172.0.33.0/24-hez, majd létrehoz egy szabályzatot, amely figyelmen kívül hagyja az alhálózatból érkező összes lekérdezést:
Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06"
Rekurzió engedélyezése belső ügyfelek számára
A rekurziót dns-lekérdezésfeloldási szabályzattal szabályozhatja. Az alábbi minta használható a belső ügyfelek rekurziójának engedélyezésére, míg a külső ügyfelek esetében letiltható osztott agyi forgatókönyv esetén.
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.34"
A szkript első sora megváltoztatja az alapértelmezett rekurziós hatókört, amelyet egyszerűen a "pont" (.) néven jelölnek, a rekurzió letiltásához. A második sor létrehoz egy InternalClients nevű rekurziós hatókört, amelyen engedélyezve van a rekurzió. A harmadik sor pedig létrehoz egy szabályzatot, amely az újonnan létrehozott rekurziós hatókört alkalmazza a 10.0.0.34-es IP-címmel rendelkező kiszolgálói felületen érkező lekérdezésekre.
Kiszolgálószintű zónaátviteli szabályzat létrehozása
A zónaátvitelt részletesebb formában szabályozhatja a DNS-zónaátviteli szabályzatok használatával. Az alábbi mintaszkripttel zónaátviteleket engedélyezhet egy adott alhálózat bármely kiszolgálóján:
Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet"
A szkript első sora létrehoz egy AllowedSubnet nevű alhálózati objektumot a 172.21.33.0/24 IP-blokktal. A második sor létrehoz egy zónaátviteli szabályzatot, amely lehetővé teszi a zónaátvitelt a korábban létrehozott alhálózat bármely DNS-kiszolgálójára.
Zónaszintű zónaátviteli szabályzat létrehozása
Zónaszintű zónaátviteli szabályzatokat is létrehozhat. Az alábbi példa figyelmen kívül hagyja a 10.0.0.33 IP-címmel rendelkező kiszolgálói adapterről érkező contoso.com zónaátviteli kéréseit:
Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "eq,10.0.0.33" -PassThru -ZoneName "contoso.com"
DNS-szabályzatforgatókönyvek
A DNS-szabályzat adott forgatókönyvekhez való használatáról az útmutató alábbi témaköreiből tájékozódhat.
- DNS-szabályzat használata Geo-Location-alapú forgalomkezeléshez elsődleges kiszolgálókkal
- DNS-irányelv használata Geo-Location alapú forgalomirányításhoz a Primary-Secondary telepítéseknél
- DNS-szabályzat használata intelligens DNS-válaszokhoz a nap időpontja alapján
- DNS-válaszok a nap időpontja alapján egy Azure Cloud App Serverrel
- DNS-szabályzat használata Split-Brain DNS-üzembe helyezéshez
- DNS-szabályzat használata Split-Brain DNS-hez az Active Directoryban
- A DNS-szabályzat használata szűrők dns-lekérdezésekre való alkalmazásához
- DNS-szabályzat használata az alkalmazás terheléselosztásához
- DNS-szabályzat használata az alkalmazás terheléselosztásához Geo-Location tudatossággal
DNS-szabályzat használata Read-Only tartományvezérlőkön
A DNS-szabályzat kompatibilis Read-Only tartományvezérlőkkel. Vegye figyelembe, hogy az új DNS-szabályzatok Read-Only tartományvezérlőkre való betöltéséhez a DNS-kiszolgáló szolgáltatás újraindítására van szükség. Írható tartományvezérlők esetén ez nem szükséges.