Membuat kebijakan DNS
Tim infrastruktur di Contoso mengajukan pertanyaan kepada Anda: "Bagaimana DNS Windows Server menangani fakta bahwa kami ingin hasil yang berbeda untuk kueri yang sama agar dikembalikan ke penyelesai DNS berdasarkan lokasinya?" Tim infrastruktur menjelaskan bahwa untuk pengguna di Seattle, kueri untuk FQDN www.Contoso.com harus mengembalikan alamat IP yang berbeda dari pengguna di London.
Skenario untuk menggunakan kebijakan DNS
Anda dapat menggunakan kebijakan DNS untuk memanipulasi cara server DNS mengelola kueri berdasarkan berbagai faktor. Sebagai contoh, Anda dapat membuat kebijakan DNS untuk merespons kueri yang meminta alamat IP server web untuk merespons dengan alamat IP yang berbeda berdasarkan pusat data terdekat dengan klien.
Catatan
Ini berbeda dari pendekatan lain, seperti pemesanan ulang netmask, karena klien tidak memiliki alamat subnet lokal yang sama dengan server web, tetapi server web tertentu lebih dekat daripada yang lain, dari perspektif klien.
Anda dapat membuat beberapa kebijakan DNS bergantung pada kebutuhan. Ada berbagai faktor yang mungkin mendapat manfaat dari pembuatan kebijakan DNS, berdasarkan skenario berikut:
- Ketersediaan tinggi aplikasi. Klien dialihkan ke titik akhir paling sehat untuk aplikasi, di mana "paling sehat" ditentukan oleh faktor ketersediaan tinggi dalam kluster failover.
- Manajemen lalu lintas. Klien dialihkan ke pusat data atau lokasi server terdekat.
- DNS terpisah. Klien menerima respons berdasarkan apakah mereka internal atau eksternal, dan catatan DNS dibagi menjadi cakupan zona yang berbeda.
- Pemfilteran. Kueri DNS diblokir jika berasal dari daftar alamat IP atau FQDN berbahaya.
- Forensik. Klien DNS berbahaya dialihkan ke lubang sink daripada komputer yang ingin dijangkau oleh klien DNS berbahaya.
- Pengalihan berdasarkan waktu. Klien dialihkan ke pusat data berdasarkan waktu.
Objek kebijakan DNS
Untuk menggunakan skenario yang disebutkan sebelumnya guna membuat kebijakan, Anda harus mengidentifikasi grup catatan di zona, grup klien di jaringan, atau elemen lainnya. Anda dapat mengidentifikasi elemen dengan objek kebijakan DNS yang dijelaskan dalam tabel berikut.
| Elemen | Deskripsi |
|---|---|
| Subnet klien | Mewakili subnet IPv4 atau IPv6 tempat kueri dikirim ke server DNS. Anda membuat subnet untuk kemudian menentukan kebijakan yang Anda terapkan berdasarkan subnet yang menghasilkan permintaan. Misalnya, Anda mungkin memiliki skenario DNS terpisah di mana permintaan resolusi nama untuk www.contoso.com dapat dijawab dengan alamat IP internal untuk klien internal, dan alamat IP yang berbeda untuk klien eksternal. |
| Cakupan rekursi | Mewakili instans unik dari sekelompok pengaturan yang mengontrol rekursi server DNS. Cakupan rekursi menyimpan daftar penerus dan menentukan apakah rekursi digunakan. Server DNS dapat memiliki beberapa cakupan rekursi. Anda dapat menggunakan kebijakan rekursi server DNS untuk memilih cakupan rekursi untuk kumpulan kueri tertentu. Jika server DNS tidak otoritatif untuk kueri tertentu, kebijakan rekursi server DNS memungkinkan Anda mengontrol cara menyelesaikan kueri tersebut. Dalam kasus ini, Anda dapat menentukan penerus mana yang akan digunakan dan apakah akan menggunakan rekursi. |
| Cakupan zona | Zona DNS dapat memiliki beberapa cakupan zona, dan setiap cakupan zona dapat berisi kumpulan rekaman sumber daya DNS-nya sendiri. Catatan sumber daya yang sama dapat muncul di beberapa cakupan, dengan alamat IP yang berbeda bergantung pada cakupan. Selain itu, transfer zona dapat terjadi pada tingkat cakupan zona. Ini akan memungkinkan catatan sumber daya dari cakupan zona di zona utama ditransfer ke cakupan zona yang sama di zona sekunder. |