DNS-szabályzat használata Split-Brain DNS-hez az Active Directoryban

Ez a témakör a DNS-szabályzatok forgalomkezelési képességeit használhatja fel osztott agyú üzemelő példányokhoz az Active Directory integrált DNS-zónáival a Windows Server 2016-ban.

A Windows Server 2016-ban a DNS-szabályzatok támogatása kiterjeszthető az Active Directory integrált DNS-zónáira. Az Active Directory-integráció több főkiszolgálós magas rendelkezésre állási képességeket biztosít a DNS-kiszolgáló számára.

Korábban ez a forgatókönyv megkövetelte, hogy a DNS-rendszergazdák két különböző DNS-kiszolgálót tartsanak fenn, amelyek mindegyike szolgáltatásokat nyújt az egyes felhasználók számára, belső és külső felhasználók számára. Ha a zónán belül csak néhány rekord volt szétválasztott állapotú, vagy a zóna mindkét példánya (belső és külső) ugyanahhoz a szülőtartományhoz lett delegálva, ez felügyeleti problémát okozott.

Megjegyzés:

• A DNS-telepítések kettős-környezetűek, amikor egy zónának két verziója létezik: egy verzió a belső felhasználók számára a szervezet intranetén, és egy verzió a külső felhasználók számára – akik jellemzően az internet használói.
• A DNS-szabályzat használata Split-Brain DNS-üzembe helyezéshez című témakör bemutatja, hogyan helyezhet üzembe egy osztott agyú DNS-rendszert egyetlen Windows Server 2016 DNS-kiszolgálón a DNS-szabályzatok és zónatartományok használatával.

Példa Split-Brain DNS-ről az Active Directoryban

Ez a példa egy fiktív vállalatot, a Contoso-t használja, amely egy karrierwebhelyet tart fenn a .www.career.contoso.com

A webhely két verzióval rendelkezik, az egyik a belső felhasználók számára, ahol belső feladat-közzétételek érhetők el. Ez a belső webhely a 10.0.0.39 helyi IP-címen érhető el.

A második verzió ugyanannak a webhelynek a nyilvános verziója, amely a 65.55.39.10 nyilvános IP-címen érhető el.

DNS-szabályzat hiányában a rendszergazdának külön Windows Server DNS-kiszolgálókon kell üzemeltetnie ezt a két zónát, és külön kell kezelnie őket.

A DNS-szabályzatok használatával ezek a zónák mostantól ugyanazon a DNS-kiszolgálón üzemeltethetők.

Ha a contoso.com DNS-kiszolgálója Active Directory-vel integrált, és két hálózati interfészen hallgat, a Contoso DNS-rendszergazdája követheti a jelen témakör lépéseit, hogy elérje a split-brain megvalósítást.

A DNS-rendszergazda az alábbi IP-címekkel konfigurálja a DNS-kiszolgálói adaptereket.

• Az internetkapcsolattal rendelkező hálózati adapter 208.84.0.53 nyilvános IP-címmel van konfigurálva külső lekérdezésekhez.
• Az intranetes hálózati adapter 10.0.0.56-os privát IP-címmel van konfigurálva belső lekérdezésekhez.

Az alábbi ábra ezt a forgatókönyvet mutatja be.

A DNS-szabályzat működése Split-Brain DNS-hez az Active Directoryban

Ha a DNS-kiszolgáló a szükséges DNS-szabályzatokkal van konfigurálva, a rendszer minden névfeloldási kérést kiértékel a DNS-kiszolgálón lévő szabályzatok alapján.

Ebben a példában a kiszolgálói felületet használjuk a belső és a külső ügyfelek megkülönböztetésére szolgáló feltételekként.

Ha az a kiszolgálói felület, amelyre a lekérdezés érkezett, megfelel valamelyik szabályzatnak, a társított zóna hatóköre a lekérdezésre való válaszadásra szolgál.

A példánkban tehát a magánhálózati IP-címen (10.0.0.56) fogadott DNS-lekérdezések www.career.contoso.com egy belső IP-címet tartalmazó DNS-választ kapnak, a nyilvános hálózati adapteren érkező DNS-lekérdezések pedig olyan DNS-választ kapnak, amely az alapértelmezett zónatartományban tartalmazza a nyilvános IP-címet (ez megegyezik a normál lekérdezésfeloldással).

A dinamikus DNS (DDNS) frissítések és a megtisztítás támogatása csak az alapértelmezett zóna hatókörében érhető el. Mivel a belső ügyfeleket az alapértelmezett zóna hatóköre kiszolgálja, a Contoso DNS-rendszergazdák továbbra is használhatják a meglévő mechanizmusokat (dinamikus DNS vagy statikus) a contoso.com rekordjainak frissítéséhez. Nem alapértelmezett zónahatókörök (például a jelen példában a külső hatókör) esetében a DDNS vagy a törlési támogatás nem érhető el.

Szabályzatok magas rendelkezésre állása

A DNS-szabályzatok nem integrálva vannak az Active Directoryban. Emiatt a DNS-szabályzatok nem replikálódnak a többi olyan DNS-kiszolgálóra, amelyek ugyanazt az Active Directory integrált zónát üzemeltetik.

A DNS-szabályzatok a helyi DNS-kiszolgálón vannak tárolva. Az alábbi példa Windows PowerShell-parancsokkal egyszerűen exportálhat DNS-szabályzatokat az egyik kiszolgálóról a másikra.

$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies |  Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02

További információkért tekintse meg az alábbi Windows PowerShell-referenciatémaköröket.

• Get-DnsServerQueryResolutionPolicy
• Add-DnsServerQueryResolutionPolicy

DNS-szabályzat konfigurálása Split-Brain DNS-hez az Active Directoryban

A DNS-Split-Brain üzembe helyezésének DNS-házirend használatával történő konfigurálásához a következő szakaszokat kell használnia, amelyek részletes konfigurációs utasításokat nyújtanak.

Az Active Directory integrált zónájának hozzáadása

Az alábbi példaparancs használatával hozzáadhatja az Active Directory integrált contoso.com zónát a DNS-kiszolgálóhoz.

Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru

További információ: Add-DnsServerPrimaryZone.

A zóna hatóköreinek létrehozása

Ez a szakasz lehetővé teszi a zóna contoso.com particionálását a külső zóna hatókör létrehozásához.

A zóna hatóköre a zóna egyedi példánya. A DNS-zónák több zónahatókörrel is rendelkezhetnek, és mindegyik zónatartomány saját DNS-rekordokat tartalmaz. Ugyanaz a rekord több hatókörben is jelen lehet, különböző IP-címekkel vagy ugyanazokkal az IP-címekkel.

Mivel ezt az új zónahatókört egy integrált Active Directory-zónában veszi fel, a zóna hatóköre és a benne lévő rekordok az Active Directoryn keresztül replikálódnak a tartomány más replikakiszolgálóira.

Alapértelmezés szerint minden DNS-zónában létezik zónahatókör. Ez a zónahatókör neve megegyezik a zónáéval, és az örökölt DNS-műveletek ezen a hatókörön működnek. Ez az alapértelmezett zónahatókör a következő belső verzióját fogja üzemeltetni www.career.contoso.com: .

Az alábbi példaparancs használatával létrehozhatja a zóna hatókörét a DNS-kiszolgálón.

Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"

További információ: Add-DnsServerZoneScope.

Rekordok hozzáadása a zóna hatóköreihez

A következő lépés a webkiszolgáló-gazdagépet képviselő rekordok hozzáadása a két zónatartományhoz: külső és alapértelmezett (belső ügyfelek esetén).

Az alapértelmezett belső zóna hatókörében a rendszer hozzáadja a rekordot www.career.contoso.com a 10.0.0.39 IP-címmel, amely egy privát IP-cím; a külső zóna hatókörében pedig ugyanaz a rekord (www.career.contoso.com) lesz hozzáadva a 65.55.39.10 nyilvános IP-címmel.

A rekordok (mind az alapértelmezett belső zónatartományban, mind a külső zóna hatókörében) automatikusan replikálódnak a tartományon a megfelelő zónahatókörökkel.

Az alábbi példaparancs használatával rekordokat adhat hozzá a DNS-kiszolgáló zónatartományaihoz.

Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”

Megjegyzés:

A –ZoneScope paraméter nem szerepel, ha a rekord hozzá van adva az alapértelmezett zóna hatóköréhez. Ez a művelet megegyezik a rekordok normál zónához való hozzáadásával.

További információ: Add-DnsServerResourceRecord.

A DNS-szabályzatok létrehozása

Miután azonosította a külső hálózat és a belső hálózat kiszolgálói adaptereit, és létrehozta a zóna hatóköreit, létre kell hoznia a belső és külső zóna hatóköreit összekötő DNS-szabályzatokat.

Megjegyzés:

Ez a példa a kiszolgálói felületet (az alábbi példaparancs -ServerInterface paraméterét) használja a belső és a külső ügyfelek megkülönböztetéséhez. A külső és belső ügyfelek megkülönböztetésére másik módszer az ügyfélalhálózatok kritériumként való használata. Ha azonosítani tudja azokat az alhálózatokat, amelyekhez a belső ügyfelek tartoznak, konfigurálhatja a DNS-szabályzatot úgy, hogy az ügyfél alhálózata alapján különbséget tegyen. A forgalomkezelés ügyfél-alhálózati feltételekkel való konfigurálásáról további információt a DNS-szabályzat használata Geo-Location elsődleges kiszolgálókon alapuló forgalomkezeléshez című témakörben talál.

A szabályzatok konfigurálása után, amikor egy DNS-lekérdezés érkezik a nyilvános felületen, a rendszer a zóna külső hatóköréből adja vissza a választ.

Megjegyzés:

Az alapértelmezett belső zóna hatókörének leképezéséhez nincs szükség szabályzatokra.

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com

Megjegyzés:

A 208.84.0.53 a nyilvános hálózati adapter IP-címe.

További információ: Add-DnsServerQueryResolutionPolicy.

Most a DNS-kiszolgáló konfigurálva van a szükséges DNS-szabályzatokkal egy osztott agyú névkiszolgálóhoz egy Integrált Active Directory DNS-zónával.

A forgalomkezelési követelményeknek megfelelően több ezer DNS-szabályzatot hozhat létre, és minden új szabályzat dinamikusan lesz alkalmazva – a DNS-kiszolgáló újraindítása nélkül – a bejövő lekérdezéseken.