Gambaran Umum Kebijakan DNS
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Anda dapat menggunakan topik ini untuk mempelajari tentang Kebijakan DNS, yang baru di Windows Server 2016. Anda dapat menggunakan Kebijakan DNS untuk manajemen lalu lintas berbasis Lokasi Geografis, respons DNS cerdas berdasarkan waktu hari, untuk mengelola satu server DNS yang dikonfigurasi untuk penyebaran split-brain, menerapkan filter pada kueri DNS, dan banyak lagi. Item berikut memberikan detail selengkapnya tentang kemampuan ini.
Penyeimbangan Beban Aplikasi. Ketika Anda telah menyebarkan beberapa instans aplikasi di lokasi yang berbeda, Anda dapat menggunakan kebijakan DNS untuk menyeimbangkan beban lalu lintas antara instans aplikasi yang berbeda, secara dinamis mengalokasikan beban lalu lintas untuk aplikasi.
Manajemen Lalu Lintas Berbasis Lokasi Geografis. Anda dapat menggunakan Kebijakan DNS untuk mengizinkan server DNS primer dan sekunder merespons kueri klien DNS berdasarkan lokasi geografis klien dan sumber daya tempat klien mencoba menyambungkan, menyediakan alamat IP klien dari sumber daya terdekat.
Pisahkan DNS Otak. Dengan DNS split-brain, rekaman DNS dibagi menjadi Cakupan Zona yang berbeda di server DNS yang sama, dan klien DNS menerima respons berdasarkan apakah klien adalah klien internal atau eksternal. Anda dapat mengonfigurasi DNS split-brain untuk zona terintegrasi Direktori Aktif atau untuk zona di server DNS mandiri.
Pemfilteran. Anda bisa mengonfigurasi kebijakan DNS untuk membuat filter kueri yang didasarkan pada kriteria yang Anda berikan. Filter kueri dalam kebijakan DNS memungkinkan Anda mengonfigurasi server DNS untuk merespons dengan cara kustom berdasarkan kueri DNS dan klien DNS yang mengirim kueri DNS.
Forensik. Anda dapat menggunakan kebijakan DNS untuk mengalihkan klien DNS berbahaya ke alamat IP yang tidak ada alih-alih mengarahkannya ke komputer yang coba mereka jangkau.
Pengalihan berbasis waktu hari. Anda dapat menggunakan kebijakan DNS untuk mendistribusikan lalu lintas aplikasi di berbagai instans aplikasi yang didistribusikan secara geografis dengan menggunakan kebijakan DNS yang didasarkan pada waktu sehari.
Konsep Baru
Untuk membuat kebijakan untuk mendukung skenario yang tercantum di atas, perlu untuk dapat mengidentifikasi grup rekaman di zona, grup klien di jaringan, di antara elemen lainnya. Elemen-elemen ini diwakili oleh objek DNS baru berikut:
Subnet klien: objek subnet klien mewakili subnet IPv4 atau IPv6 tempat kueri dikirimkan ke server DNS. Anda dapat membuat subnet untuk menentukan kebijakan yang akan diterapkan nanti berdasarkan subnet asal permintaan. Misalnya, dalam skenario DNS otak terpisah, permintaan resolusi untuk nama seperti www.microsoft.com dapat dijawab dengan alamat IP internal kepada klien dari subnet internal, dan alamat IP yang berbeda untuk klien di subnet eksternal.
Cakupan rekursi: cakupan rekursi adalah instans unik dari sekelompok pengaturan yang mengontrol rekursi di server DNS. Cakupan rekursi berisi daftar penerus dan menentukan apakah rekursi diaktifkan. Server DNS dapat memiliki banyak cakupan rekursi. Kebijakan rekursi server DNS memungkinkan Anda memilih cakupan rekursi untuk sekumpulan kueri. Jika server DNS tidak otoritatif untuk kueri tertentu, kebijakan rekursi server DNS memungkinkan Anda mengontrol cara mengatasi kueri tersebut. Anda dapat menentukan penerus mana yang akan digunakan dan apakah akan menggunakan rekursi.
Cakupan zona: zona DNS dapat memiliki beberapa cakupan zona, dengan setiap cakupan zona yang berisi kumpulan rekaman DNS mereka sendiri. Rekaman yang sama dapat ada dalam beberapa cakupan, dengan alamat IP yang berbeda. Selain itu, transfer zona dilakukan di tingkat cakupan zona. Itu berarti bahwa rekaman dari cakupan zona di zona utama akan ditransfer ke cakupan zona yang sama di zona sekunder.
Jenis Kebijakan
Kebijakan DNS dibagi berdasarkan tingkat dan jenis. Anda dapat menggunakan Kebijakan Resolusi Kueri untuk menentukan bagaimana kueri diproses, dan Kebijakan Transfer Zona untuk menentukan bagaimana transfer zona terjadi. Anda dapat menerapkan Setiap jenis kebijakan di tingkat server atau tingkat zona.
Kebijakan Resolusi Kueri
Anda bisa menggunakan Kebijakan Resolusi Kueri DNS untuk menentukan bagaimana kueri resolusi masuk ditangani oleh server DNS. Setiap Kebijakan Resolusi Kueri DNS berisi elemen berikut:
| Bidang | Deskripsi | Nilai yang dapat dipakai |
|---|---|---|
| Nama | Nama Azure Policy | - Hingga 256 karakter - Dapat berisi karakter apa pun yang valid untuk nama file |
| Status | Status Kebijakan | - Aktifkan (default) -Tamu penyandang cacat |
| Level | Tingkat kebijakan | -Server -Zona |
| Urutan pemrosesan | Setelah kueri diklasifikasikan berdasarkan tingkat dan berlaku, server menemukan kebijakan pertama yang kuerinya cocok dengan kriteria dan menerapkannya ke kueri | - Nilai numerik - Nilai unik per kebijakan yang berisi tingkat yang sama dan berlaku pada nilai |
| Tindakan | Tindakan yang akan dilakukan oleh server DNS | - Izinkan (default untuk tingkat zona) - Tolak (default pada tingkat server) -Mengabaikan |
| Kriteria | Kondisi kebijakan (AND/OR) dan daftar kriteria yang akan dipenuhi agar kebijakan diterapkan | - Operator kondisi (AND/OR) - Daftar kriteria (lihat tabel kriteria di bawah) |
| Cakupan | Daftar cakupan zona dan nilai tertimbang per cakupan. Nilai tertimbang digunakan untuk distribusi penyeimbangan beban. Misalnya, jika daftar ini mencakup pusat data1 dengan berat 3 dan pusat data2 dengan berat 5 server akan merespons dengan catatan dari pusat data1 tiga kali dari delapan permintaan | - Daftar cakupan zona (berdasarkan nama) dan bobot |
Catatan
Kebijakan tingkat server hanya dapat memiliki nilai Tolak atau Abaikan sebagai tindakan.
Bidang kriteria kebijakan DNS terdiri dari dua elemen:
| Nama | Deskripsi | Contoh nilai |
|---|---|---|
| Subnet Klien | Nama subnet klien yang telah ditentukan sebelumnya. Digunakan untuk memverifikasi subnet tempat kueri dikirim. | - EQ,Spanyol,Prancis - menentukan ke true jika subnet diidentifikasi sebagai Spanyol atau Prancis - NE,Kanada,Meksiko - memutuskan untuk benar jika subnet klien adalah subnet apa pun selain Kanada dan Meksiko |
| Protokol Transportasi | Protokol transportasi yang digunakan dalam kueri. Entri yang mungkin adalah UDP dan TCP | - EQ,TCP - EQ,UDP |
| Internet Protocol | Protokol jaringan yang digunakan dalam kueri. Kemungkinan entri adalah IPv4 dan IPv6 | - EQ,IPv4 - EQ,IPv6 |
| Alamat IP Antarmuka Server | Alamat IP untuk antarmuka jaringan server DNS masuk | - EQ,10.0.0.1 - EQ,192.168.1.1 |
| FQDN | FQDN rekaman dalam kueri, dengan kemungkinan menggunakan wild card | - EQ,www.contoso.com - menyelesaikan ke true hanya jika kueri mencoba menyelesaikan www.contoso.com FQDN - EQ,*.contoso.com,*.woodgrove.com - diselesaikan ke true jika kueri adalah untuk rekaman apa pun yang berakhiran contoso.comATAUwoodgrove.com |
| Tipe Kueri | Jenis rekaman yang sedang dikueri (A, SRV, TXT) | - EQ,TXT,SRV - diselesaikan ke true jika kueri meminta catatan TXT ATAU SRV - EQ,MX - diselesaikan ke true jika kueri meminta catatan MX |
| Waktu Hari Ini | Waktu hari kueri diterima | - EQ,10:00-12:00,22:00-23:00 - diselesaikan ke true jika kueri diterima antara pukul 10.00 dan siang, ATAU antara pukul 22.00 dan 22.00 |
Menggunakan tabel di atas sebagai titik awal, tabel di bawah ini dapat digunakan untuk menentukan kriteria yang digunakan untuk mencocokkan kueri untuk semua jenis rekaman tetapi catatan SRV di domain contoso.com berasal dari klien di subnet 10.0.0.0/24 melalui TCP antara pukul 20.00 dan 21.00 melalui antarmuka 10.0.0.3:
| Nama | Nilai |
|---|---|
| Subnet Klien | EQ,10.0.0.0/24 |
| Protokol Transportasi | EQ,TCP |
| Alamat IP Antarmuka Server | EQ,10.0.0.3 |
| FQDN | EQ,*.contoso.com |
| Jenis Kueri | NE,SRV |
| Waktu Hari Ini | EQ,20:00-22:00 |
Anda dapat membuat beberapa kebijakan resolusi kueri dengan tingkat yang sama, selama mereka memiliki nilai yang berbeda untuk urutan pemrosesan. Saat beberapa kebijakan tersedia, server DNS memproses kueri masuk dengan cara berikut:
Kebijakan Rekursi
Kebijakan rekursi adalah jenis kebijakan tingkat server khusus. Kebijakan rekursi mengontrol bagaimana server DNS melakukan rekursi untuk kueri. Kebijakan rekursi hanya berlaku saat pemrosesan kueri mencapai jalur rekursi. Anda dapat memilih nilai TOLAK atau ABAIKAN untuk rekursi untuk sekumpulan kueri. Atau, Anda dapat memilih sekumpulan penerus untuk sekumpulan kueri.
Anda dapat menggunakan kebijakan rekursi untuk menerapkan konfigurasi DNS Split-brain. Dalam konfigurasi ini, server DNS melakukan rekursi untuk sekumpulan klien untuk kueri, sementara server DNS tidak melakukan rekursi untuk klien lain untuk kueri tersebut.
Kebijakan rekursi berisi elemen yang sama yang berisi kebijakan resolusi kueri DNS reguler, bersama dengan elemen dalam tabel di bawah ini:
| Nama | Deskripsi |
|---|---|
| Terapkan pada rekursi | Menentukan bahwa kebijakan ini hanya boleh digunakan untuk rekursi. |
| Cakupan Rekursi | Nama cakupan rekursi. |
Catatan
Kebijakan rekursi hanya dapat dibuat di tingkat server.
Kebijakan Transfer Zona
Kebijakan transfer zona mengontrol apakah transfer zona diizinkan atau tidak oleh server DNS Anda. Anda dapat membuat kebijakan untuk transfer zona di tingkat server atau tingkat zona. Kebijakan tingkat server berlaku pada setiap kueri transfer zona yang terjadi di server DNS. Kebijakan tingkat zona hanya berlaku pada kueri pada zona yang dihosting di server DNS. Penggunaan yang paling umum untuk kebijakan tingkat zona adalah menerapkan daftar yang diblokir atau aman.
Catatan
Kebijakan transfer zona hanya dapat menggunakan DENY atau IGNORE sebagai tindakan.
Anda dapat menggunakan kebijakan transfer zona tingkat server di bawah ini untuk menolak transfer zona untuk domain contoso.com dari subnet tertentu:
Add-DnsServerZoneTransferPolicy -Name DenyTransferOfContosoToFabrikam -Zone contoso.com -Action DENY -ClientSubnet "EQ,192.168.1.0/24"
Anda dapat membuat beberapa kebijakan transfer zona dengan tingkat yang sama, selama kebijakan tersebut memiliki nilai yang berbeda untuk urutan pemrosesan. Saat beberapa kebijakan tersedia, server DNS memproses kueri masuk dengan cara berikut:
Mengelola Kebijakan DNS
Anda dapat membuat dan mengelola Kebijakan DNS dengan menggunakan PowerShell. Contoh di bawah ini membahas berbagai skenario sampel yang dapat Anda konfigurasi melalui Kebijakan DNS:
Manajemen Lalu Lintas
Anda dapat mengarahkan lalu lintas berdasarkan FQDN ke server yang berbeda tergantung pada lokasi klien DNS. Contoh di bawah ini menunjukkan cara membuat kebijakan manajemen lalu lintas untuk mengarahkan pelanggan dari subnet tertentu ke pusat data Amerika Utara n dan dari subnet lain ke pusat data Eropa.
Add-DnsServerClientSubnet -Name "NorthAmericaSubnet" -IPv4Subnet "172.21.33.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "172.17.44.0/24"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "NorthAmericaZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.17.97.97" -ZoneScope "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "NorthAmericaZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "NorthAmericaPolicy" -Action ALLOW -ClientSubnet "eq,NorthAmericaSubnet" -ZoneScope "NorthAmericaZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName contoso.com
Dua baris pertama skrip membuat objek subnet klien untuk Amerika Utara dan Eropa. Dua baris setelah itu membuat cakupan zona dalam domain contoso.com, satu untuk setiap wilayah. Dua baris setelah itu membuat rekaman di setiap zona yang mengaitkan www.contoso.com ke alamat IP yang berbeda, satu untuk Eropa, satu lagi untuk Amerika Utara. Terakhir, baris terakhir skrip membuat dua Kebijakan Resolusi Kueri DNS, satu untuk diterapkan ke subnet Amerika Utara, yang lain ke subnet Eropa.
Memblokir kueri untuk domain
Anda bisa menggunakan Kebijakan Resolusi Kueri DNS untuk memblokir kueri ke domain. Contoh di bawah ini memblokir semua kueri untuk treyresearch.net:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
Memblokir kueri dari subnet
Anda juga dapat memblokir kueri yang berasal dari subnet tertentu. Skrip di bawah ini membuat subnet untuk 172.0.33.0/24 lalu membuat kebijakan untuk mengabaikan semua kueri yang berasal dari subnet tersebut:
Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06"
Izinkan rekursi untuk klien internal
Anda bisa mengontrol rekursi dengan menggunakan Kebijakan Resolusi Kueri DNS. Sampel di bawah ini dapat digunakan untuk mengaktifkan rekursi untuk klien internal, sambil menonaktifkannya untuk klien eksternal dalam skenario otak terpisah.
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.34"
Baris pertama dalam skrip mengubah cakupan rekursi default, hanya dinamai "." (titik) untuk menonaktifkan rekursi. Baris kedua membuat cakupan rekursi bernama InternalClients dengan rekursi diaktifkan. Dan baris ketiga membuat kebijakan untuk menerapkan cakupan rekursi yang baru dibuat ke kueri apa pun yang masuk melalui antarmuka server yang memiliki 10.0.0.34 sebagai alamat IP.
Membuat kebijakan transfer zona tingkat server
Anda dapat mengontrol transfer zona dalam bentuk yang lebih terperinci dengan menggunakan kebijakan Transfer Zona DNS. Contoh skrip di bawah ini dapat digunakan untuk mengizinkan transfer zona untuk server apa pun pada subnet tertentu:
Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet"
Baris pertama dalam skrip membuat objek subnet bernama AllowedSubnet dengan blok IP 172.21.33.0/24. Baris kedua membuat kebijakan transfer zona untuk memungkinkan transfer zona ke server DNS apa pun pada subnet yang dibuat sebelumnya.
Membuat kebijakan transfer zona tingkat zona
Anda juga dapat membuat kebijakan transfer zona tingkat zona. Contoh di bawah ini mengabaikan permintaan transfer zona untuk contoso.com masuk dari antarmuka server yang memiliki alamat IP 10.0.0.33:
Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "eq,10.0.0.33" -PassThru -ZoneName "contoso.com"
Skenario Kebijakan DNS
Untuk informasi tentang cara menggunakan kebijakan DNS untuk skenario tertentu, lihat topik berikut dalam panduan ini.
- Menggunakan Kebijakan DNS untuk Manajemen Lalu Lintas Berbasis Lokasi Geografis dengan Server Utama
- Menggunakan Kebijakan DNS untuk Manajemen Lalu Lintas Berbasis Lokasi Geografis dengan Penyebaran Primer-Sekunder
- Menggunakan Kebijakan DNS untuk Respons DNS Cerdas Berdasarkan Waktu Hari Ini
- Respons DNS Berdasarkan Waktu Hari dengan Azure Cloud App Server
- Menggunakan Kebijakan DNS untuk Penyebaran DNS Split-Brain
- Menggunakan Kebijakan DNS untuk DNS Split-Brain di Direktori Aktif
- Menggunakan Kebijakan DNS untuk Menerapkan Filter pada Kueri DNS
- Menggunakan Kebijakan DNS untuk Penyeimbangan Beban Aplikasi
- Gunakan Kebijakan DNS untuk Penyeimbangan Beban Aplikasi Dengan Kesadaran Lokasi Geografis
Menggunakan Kebijakan DNS pada Pengontrol Domain Baca-Saja
Kebijakan DNS kompatibel dengan Pengontrol Domain Baca-Saja. Perhatikan bahwa menghidupkan ulang layanan Server DNS diperlukan agar Kebijakan DNS baru dimuat di Pengontrol Domain Baca-Saja. Ini tidak diperlukan pada pengontrol domain bisa-tulis.