Menggunakan Kebijakan DNS untuk DNS Split-Brain di Direktori Aktif
Anda dapat menggunakan topik ini untuk memanfaatkan kemampuan manajemen lalu lintas kebijakan DNS untuk penyebaran split-brain dengan zona DNS terintegrasi Direktori Aktif di Windows Server 2016.
Di Windows Server 2016, dukungan kebijakan DNS diperluas ke zona DNS terintegrasi Direktori Aktif. Integrasi Direktori Aktif menyediakan kemampuan ketersediaan tinggi multi-master ke server DNS.
Sebelumnya, skenario ini mengharuskan administrator DNS mempertahankan dua server DNS yang berbeda, masing-masing menyediakan layanan untuk setiap set pengguna, internal, dan eksternal. Jika hanya beberapa rekaman di dalam zona yang dipisahkan atau kedua instans zona (internal dan eksternal) yang didelegasikan ke domain induk yang sama, ini menjadi konundrum manajemen.
Catatan
- Penyebaran DNS adalah split-brain ketika ada dua versi zona tunggal, satu versi untuk pengguna internal pada intranet organisasi, dan satu versi untuk pengguna eksternal - yang, biasanya, pengguna di Internet.
- Topik Menggunakan Kebijakan DNS untuk Penyebaran DNS Split-Brain menjelaskan bagaimana Anda dapat menggunakan kebijakan DNS dan cakupan zona untuk menyebarkan sistem DNS split-brain pada satu server DNS Windows Server 2016.
Contoh DNS Split-Brain di Direktori Aktif
Contoh ini menggunakan satu perusahaan fiktif, Contoso, yang mempertahankan situs Web karier di www.career.contoso.com.
Situs ini memiliki dua versi, satu untuk pengguna internal tempat posting pekerjaan internal tersedia. Situs internal ini tersedia di alamat IP lokal 10.0.0.39.
Versi kedua adalah versi publik dari situs yang sama, yang tersedia di alamat IP publik 65.55.39.10.
Dengan tidak adanya kebijakan DNS, administrator diperlukan untuk menghosting kedua zona ini di server DNS Windows Server terpisah dan mengelolanya secara terpisah.
Menggunakan kebijakan DNS, zona ini sekarang dapat dihosting di server DNS yang sama.
Jika server DNS untuk contoso.com terintegrasi dengan Active Directory, dan mendengarkan di dua antarmuka jaringan, Administrator DNS Contoso dapat mengikuti langkah-langkah dalam topik ini untuk mencapai penyebaran split-brain.
Administrator DNS mengonfigurasi antarmuka server DNS dengan alamat IP berikut.
- Adaptor jaringan yang menghadap Internet dikonfigurasi dengan alamat IP publik 208.84.0.53 untuk kueri eksternal.
- Adaptor jaringan yang menghadap Intranet dikonfigurasi dengan alamat IP privat 10.0.0.56 untuk kueri internal.
Ilustrasi berikut menggambarkan skenario ini.
Cara Kerja Kebijakan DNS untuk DNS Split-Brain di Direktori Aktif
Saat server DNS dikonfigurasi dengan kebijakan DNS yang diperlukan, setiap permintaan resolusi nama dievaluasi terhadap kebijakan di server DNS.
Antarmuka server digunakan dalam contoh ini sebagai kriteria untuk membedakan antara klien internal dan eksternal.
Jika antarmuka server tempat kueri diterima cocok dengan salah satu kebijakan, cakupan zona terkait digunakan untuk merespons kueri.
Jadi, dalam contoh kami, kueri DNS untuk www.career.contoso.com yang diterima pada IP privat (10.0.0.56) menerima respons DNS yang berisi alamat IP internal; dan kueri DNS yang diterima di antarmuka jaringan publik menerima respons DNS yang berisi alamat IP publik di cakupan zona default (ini sama dengan resolusi kueri normal).
Dukungan untuk pembaruan dan pemulungan DNS Dinamis (DDNS) hanya didukung pada cakupan zona default. Karena klien internal dilayankan oleh cakupan zona default, Administrator DNS Contoso dapat terus menggunakan mekanisme yang ada (DNS dinamis atau statis) untuk memperbarui catatan di contoso.com. Untuk cakupan zona non-default (seperti cakupan eksternal dalam contoh ini), dukungan DDNS atau pemulungan tidak tersedia.
Ketersediaan kebijakan yang Tinggi
Kebijakan DNS tidak terintegrasi dengan Direktori Aktif. Karena itu, kebijakan DNS tidak direplikasi ke server DNS lain yang menghosting zona terintegrasi Direktori Aktif yang sama.
Kebijakan DNS disimpan di server DNS lokal. Anda dapat dengan mudah mengekspor kebijakan DNS dari satu server ke server lain dengan menggunakan contoh perintah Windows PowerShell berikut.
$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies | Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02
Untuk informasi selengkapnya, lihat topik referensi Windows PowerShell berikut ini.
Cara Mengonfigurasi Kebijakan DNS untuk DNS Split-Brain di Direktori Aktif
Untuk mengonfigurasi Penyebaran DNS Split-Brain dengan menggunakan Kebijakan DNS, Anda harus menggunakan bagian berikut, yang menyediakan instruksi konfigurasi terperinci.
Menambahkan zona terintegrasi Active Directory
Anda bisa menggunakan perintah contoh berikut untuk menambahkan zona contoso.com terintegrasi Direktori Aktif ke server DNS.
Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru
Untuk informasi selengkapnya, lihat Add-DnsServerPrimaryZone.
Membuat Cakupan Zona
Anda dapat menggunakan bagian ini untuk mempartisi zona contoso.com untuk membuat cakupan zona eksternal.
Cakupan zona adalah instans zona yang unik. Zona DNS dapat memiliki beberapa cakupan zona, dengan setiap cakupan zona yang berisi kumpulan rekaman DNS-nya sendiri. Rekaman yang sama dapat ada dalam beberapa cakupan, dengan alamat IP yang berbeda atau alamat IP yang sama.
Karena Anda menambahkan cakupan zona baru ini di zona terintegrasi Active Directory, cakupan zona dan rekaman di dalamnya akan direplikasi melalui Direktori Aktif ke server replika lain di domain.
Secara default, cakupan zona ada di setiap zona DNS. Cakupan zona ini memiliki nama yang sama dengan zona, dan operasi DNS warisan bekerja pada cakupan ini. Cakupan zona default ini akan menghosting versi internal www.career.contoso.com.
Anda bisa menggunakan perintah contoh berikut untuk membuat cakupan zona di server DNS.
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"
Untuk informasi selengkapnya, lihat Add-DnsServerZoneScope.
Menambahkan Rekaman ke Cakupan Zona
Langkah selanjutnya adalah menambahkan rekaman yang mewakili host server web ke dalam dua cakupan zona- eksternal dan default (untuk klien internal).
Dalam cakupan zona internal default, catatan www.career.contoso.com ditambahkan dengan alamat IP 10.0.0.39, yang merupakan alamat IP privat; dan di cakupan zona eksternal, rekaman yang sama (www.career.contoso.com) ditambahkan dengan alamat IP publik 65.55.39.10.
Rekaman (baik dalam cakupan zona internal default maupun cakupan zona eksternal) akan secara otomatis mereplikasi di seluruh domain dengan cakupan zona masing-masing.
Anda bisa menggunakan perintah contoh berikut untuk menambahkan rekaman ke cakupan zona di server DNS.
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”
Catatan
Parameter –ZoneScope tidak disertakan saat rekaman ditambahkan ke cakupan zona default. Tindakan ini sama dengan menambahkan rekaman ke zona normal.
Untuk informasi selengkapnya, lihat Add-DnsServerResourceRecord.
Membuat Kebijakan DNS
Setelah mengidentifikasi antarmuka server untuk jaringan eksternal dan jaringan internal dan Anda telah membuat cakupan zona, Anda harus membuat kebijakan DNS yang menghubungkan cakupan zona internal dan eksternal.
Catatan
Contoh ini menggunakan antarmuka server (parameter -ServerInterface dalam contoh perintah di bawah) sebagai kriteria untuk membedakan antara klien internal dan eksternal. Metode lain untuk membedakan antara klien eksternal dan internal adalah dengan menggunakan subnet klien sebagai kriteria. Jika Anda dapat mengidentifikasi subnet tempat klien internal berada, Anda dapat mengonfigurasi kebijakan DNS untuk membedakan berdasarkan subnet klien. Untuk informasi tentang cara mengonfigurasi manajemen lalu lintas menggunakan kriteria subnet klien, lihat Menggunakan Kebijakan DNS untuk Manajemen Lalu Lintas Berbasis Lokasi Geografis dengan Server Utama.
Setelah Anda mengonfigurasi kebijakan, saat kueri DNS diterima di antarmuka publik, jawabannya dikembalikan dari cakupan eksternal zona.
Catatan
Tidak ada kebijakan yang diperlukan untuk memetakan cakupan zona internal default.
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com
Catatan
208.84.0.53 adalah alamat IP pada antarmuka jaringan publik.
Untuk informasi selengkapnya, lihat Add-DnsServerQueryResolutionPolicy.
Sekarang server DNS dikonfigurasi dengan kebijakan DNS yang diperlukan untuk server nama split-brain dengan zona DNS terintegrasi Direktori Aktif.
Anda dapat membuat ribuan kebijakan DNS sesuai dengan persyaratan manajemen lalu lintas Anda, dan semua kebijakan baru diterapkan secara dinamis - tanpa memulai ulang server DNS - pada kueri masuk.