Baca dalam bahasa Inggris

Bagikan melalui

Menggunakan Kebijakan DNS untuk Manajemen Lalu Lintas Berbasis Lokasi Geografis dengan Penyebaran Primer-Sekunder

Anda dapat menggunakan topik ini untuk mempelajari cara membuat kebijakan DNS untuk manajemen lalu lintas berbasis lokasi geografis saat penyebaran DNS Anda menyertakan server DNS primer dan sekunder.

Skenario sebelumnya, Gunakan Kebijakan DNS untuk Manajemen Lalu Lintas Berbasis Lokasi Geografis dengan Server Utama, memberikan instruksi untuk mengonfigurasi kebijakan DNS untuk manajemen lalu lintas berbasis lokasi geografis di server DNS utama. Namun, dalam infrastruktur Internet, server DNS banyak disebarkan dalam model primer-sekunder, di mana salinan zona yang dapat ditulis disimpan di server utama yang dipilih dan aman, dan salinan zona baca-saja disimpan di beberapa server sekunder.

Server sekunder menggunakan protokol transfer zona Transfer Otoritatif (AXFR) dan Transfer Zona Bertahap (IXFR) untuk meminta dan menerima pembaruan zona yang menyertakan perubahan baru ke zona di server DNS utama.

Catatan

Untuk informasi selengkapnya tentang AXFR, lihat Permintaan Internet Engineering Task Force (IETF) untuk Komentar 5936. Untuk informasi selengkapnya tentang IXFR, lihat Permintaan Internet Engineering Task Force (IETF) untuk Komentar 1995.

Contoh Manajemen Lalu Lintas Berbasis Lokasi Geografis Primer-Sekunder

Berikut ini adalah contoh bagaimana Anda dapat menggunakan kebijakan DNS dalam penyebaran sekunder utama untuk mencapai pengalihan lalu lintas berdasarkan lokasi fisik klien yang melakukan kueri DNS.

Contoh ini menggunakan dua perusahaan fiksi - Contoso Cloud Services, yang menyediakan solusi hosting web dan domain; dan Woodgrove Food Services, yang menyediakan layanan pengiriman makanan di beberapa kota di seluruh dunia, dan yang memiliki situs Web bernama woodgrove.com.

Untuk memastikan bahwa pelanggan woodgrove.com mendapatkan pengalaman responsif dari situs web mereka, Woodgrove ingin klien Eropa diarahkan ke pusat data Eropa dan klien Amerika yang diarahkan ke pusat data AS. Pelanggan yang terletak di tempat lain di dunia dapat diarahkan ke salah satu pusat data.

Contoso Cloud Services memiliki dua pusat data, satu di A.S. dan satu lagi di Eropa, di mana Contoso menghosting portal pemesanan makanannya untuk woodgrove.com.

Penyebaran DNS Contoso mencakup dua server sekunder: SecondaryServer1, dengan alamat IP 10.0.0.2; dan SecondaryServer2, dengan alamat IP 10.0.0.3. Server sekunder ini bertindak sebagai server nama di dua wilayah berbeda, dengan SecondaryServer1 yang terletak di Eropa dan SecondaryServer2 yang terletak di AS.

Ada salinan zona bisa-tulis utama di PrimaryServer (alamat IP 10.0.0.1), tempat perubahan zona dilakukan. Dengan transfer zona reguler ke server sekunder, server sekunder selalu diperbarui dengan perubahan baru pada zona di PrimaryServer.

Ilustrasi berikut menggambarkan skenario ini.

Contoh Manajemen Lalu Lintas Berbasis Lokasi Geografis Primer-Sekunder

Cara Kerja Sistem Primer-Sekunder DNS

Saat Anda menyebarkan manajemen lalu lintas berbasis lokasi geografis dalam penyebaran DNS sekunder primer, penting untuk memahami bagaimana transfer zona primer-sekunder normal terjadi sebelum mempelajari transfer tingkat cakupan zona. Bagian berikut ini menyediakan informasi tentang transfer tingkat cakupan zona dan zona.

Transfer zona dalam penyebaran sekunder utama DNS

Anda dapat membuat penyebaran sekunder utama DNS dan menyinkronkan zona dengan langkah-langkah berikut.

  1. Saat Anda menginstal DNS, zona utama dibuat di server DNS utama.
  2. Di server sekunder, buat zona dan tentukan server utama.
  3. Di server utama, Anda dapat menambahkan server sekunder sebagai sekunder tepercaya di zona utama.
  4. Zona sekunder membuat permintaan transfer zona penuh (AXFR) dan menerima salinan zona.
  5. Jika diperlukan, server utama mengirim pemberitahuan ke server sekunder tentang pembaruan zona.
  6. Server sekunder membuat permintaan transfer zona bertahap (IXFR). Karena itu, server sekunder tetap disinkronkan dengan server utama.

Transfer tingkat cakupan zona dalam penyebaran sekunder utama DNS

Skenario manajemen lalu lintas memerlukan langkah tambahan untuk mempartisi zona ke dalam cakupan zona yang berbeda. Karena itu, langkah tambahan diperlukan untuk mentransfer data di dalam cakupan zona ke server sekunder, dan untuk mentransfer kebijakan dan Subnet Klien DNS ke server sekunder.

Setelah Anda mengonfigurasi infrastruktur DNS Anda dengan server utama dan sekunder, transfer tingkat cakupan zona dilakukan secara otomatis oleh DNS, menggunakan proses berikut.

Untuk memastikan transfer tingkat cakupan zona, server DNS menggunakan Mekanisme Ekstensi untuk DNS (EDNS0) OPT RR. Semua permintaan transfer zona (AXFR atau IXFR) dari zona dengan cakupan berasal dari EDNS0 OPT RR, yang ID opsinya diatur ke "65433" secara default. Untuk informasi selengkapnya tentang EDNSO, lihat Permintaan IETF untuk Komentar 6891.

Nilai OPT RR adalah nama cakupan zona tempat permintaan dikirim. Ketika server DNS utama menerima paket ini dari server sekunder tepercaya, server tersebut menginterpretasikan permintaan sebagai datang untuk cakupan zona tersebut.

Jika server utama memiliki cakupan zona tersebut, server tersebut merespons dengan data transfer (XFR) dari cakupan tersebut. Respons berisi OPT RR dengan ID opsi yang sama "65433" dan nilai diatur ke cakupan zona yang sama. Server sekunder menerima respons ini, mengambil informasi cakupan dari respons, dan memperbarui cakupan zona tertentu.

Setelah proses ini, server utama mempertahankan daftar sekunder tepercaya yang telah mengirim permintaan cakupan zona tersebut untuk pemberitahuan.

Untuk pembaruan lebih lanjut dalam cakupan zona, pemberitahuan IXFR dikirim ke server sekunder, dengan OPT RR yang sama. Cakupan zona yang menerima pemberitahuan tersebut membuat permintaan IXFR yang berisi OPT RR dan proses yang sama seperti yang dijelaskan di atas mengikuti.

Cara mengonfigurasi Kebijakan DNS untuk Manajemen Lalu Lintas Berbasis Lokasi Geografis Primer-Sekunder

Sebelum memulai, pastikan Anda telah menyelesaikan semua langkah dalam topik Menggunakan Kebijakan DNS untuk Manajemen Lalu Lintas Berbasis Lokasi Geografis dengan Server Utama, dan server DNS utama Anda dikonfigurasi dengan zona, cakupan zona, Subnet Klien DNS, dan kebijakan DNS.

Catatan

Instruksi dalam topik ini untuk menyalin Subnet Klien DNS, cakupan zona, dan kebijakan DNS dari server utama DNS ke server sekunder DNS adalah untuk penyiapan dan validasi DNS awal Anda. Di masa mendatang, Anda mungkin ingin mengubah pengaturan Subnet Klien DNS, cakupan zona, dan kebijakan di server utama. Dalam keadaan ini, Anda dapat membuat skrip otomatisasi untuk menjaga server sekunder tetap sinkron dengan server utama.

Untuk mengonfigurasi kebijakan DNS untuk respons kueri berbasis lokasi geografis sekunder primer, Anda harus melakukan langkah-langkah berikut.

Bagian berikut ini menyediakan instruksi konfigurasi terperinci.

Penting

Bagian berikut menyertakan contoh perintah Windows PowerShell yang berisi nilai contoh untuk banyak parameter. Pastikan Anda mengganti nilai contoh dalam perintah ini dengan nilai yang sesuai untuk penyebaran Anda sebelum Menjalankan perintah ini.

Keanggotaan di DnsAdmins, atau setara, diperlukan untuk melakukan prosedur berikut.

Membuat Zona Sekunder

Anda dapat membuat salinan sekunder zona yang ingin Anda replikasi ke SecondaryServer1 dan SecondaryServer2 (dengan asumsi cmdlet sedang dijalankan dari jarak jauh dari satu klien manajemen).

Misalnya, Anda dapat membuat salinan sekunder www.woodgrove.com di SecondaryServer1 dan SecondarySesrver2.

Anda bisa menggunakan perintah Windows PowerShell berikut untuk membuat zona sekunder.

PowerShell 
Add-DnsServerSecondaryZone -Name "woodgrove.com" -ZoneFile "woodgrove.com.dns" -MasterServers 10.0.0.1 -ComputerName SecondaryServer1
Add-DnsServerSecondaryZone -Name "woodgrove.com" -ZoneFile "woodgrove.com.dns" -MasterServers 10.0.0.1 -ComputerName SecondaryServer2

Untuk informasi selengkapnya, lihat Add-DnsServerSecondaryZone.

Mengonfigurasi Pengaturan Transfer Zona pada Zona Utama

Anda harus mengonfigurasi pengaturan zona utama sehingga:

  1. Transfer zona dari server utama ke server sekunder yang ditentukan diizinkan.
  2. Pemberitahuan pembaruan zona dikirim oleh server utama ke server sekunder.

Anda dapat menggunakan perintah Windows PowerShell berikut untuk mengonfigurasi pengaturan transfer zona pada zona utama.

Catatan

Dalam perintah contoh berikut, parameter -Beri tahu menentukan bahwa server utama akan mengirim pemberitahuan tentang pembaruan ke daftar sekunder yang dipilih.

PowerShell 
Set-DnsServerPrimaryZone -Name "woodgrove.com" -Notify Notify -SecondaryServers "10.0.0.2,10.0.0.3" -SecureSecondaries TransferToSecureServers -ComputerName PrimaryServer

Untuk informasi selengkapnya, lihat Set-DnsServerPrimaryZone.

Menyalin Subnet Klien DNS

Anda harus menyalin Subnet Klien DNS dari server utama ke server sekunder.

Anda dapat menggunakan perintah Windows PowerShell berikut untuk menyalin subnet ke server sekunder.

PowerShell 
Get-DnsServerClientSubnet -ComputerName PrimaryServer | Add-DnsServerClientSubnet -ComputerName SecondaryServer1
Get-DnsServerClientSubnet -ComputerName PrimaryServer | Add-DnsServerClientSubnet -ComputerName SecondaryServer2

Untuk informasi selengkapnya, lihat Add-DnsServerClientSubnet.

Membuat Cakupan Zona di Server Sekunder

Anda harus membuat cakupan zona pada server sekunder. Di DNS, cakupan zona juga mulai meminta XFR dari server utama. Dengan perubahan apa pun pada cakupan zona di server utama, pemberitahuan yang berisi informasi cakupan zona dikirim ke server sekunder. Server sekunder kemudian dapat memperbarui cakupan zona mereka dengan perubahan bertahap.

Anda dapat menggunakan perintah Windows PowerShell berikut untuk membuat cakupan zona di server sekunder.

PowerShell 
Get-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName PrimaryServer|Add-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName SecondaryServer1 -ErrorAction Ignore
Get-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName PrimaryServer|Add-DnsServerZoneScope -ZoneName "woodgrove.com" -ComputerName SecondaryServer2 -ErrorAction Ignore

Catatan

Dalam contoh perintah ini, parameter -ErrorAction Ignore disertakan, karena cakupan zona default ada di setiap zona. Cakupan zona default tidak dapat dibuat atau dihapus. Pipelining akan menghasilkan upaya untuk membuat cakupan tersebut dan akan gagal. Atau, Anda dapat membuat cakupan zona non-default pada dua zona sekunder.

Untuk informasi selengkapnya, lihat Add-DnsServerZoneScope.

Mengonfigurasi kebijakan DNS

Setelah Anda membuat subnet, partisi (cakupan zona), dan Anda telah menambahkan rekaman, Anda harus membuat kebijakan yang menyambungkan subnet dan partisi, sehingga ketika kueri berasal dari sumber di salah satu subnet klien DNS, respons kueri dikembalikan dari cakupan zona yang benar. Tidak ada kebijakan yang diperlukan untuk memetakan cakupan zona default.

Anda bisa menggunakan perintah Windows PowerShell berikut untuk membuat kebijakan DNS yang menautkan Subnet Klien DNS dan cakupan zona.

PowerShell 
$policy = Get-DnsServerQueryResolutionPolicy -ZoneName "woodgrove.com" -ComputerName PrimaryServer
$policy | Add-DnsServerQueryResolutionPolicy -ZoneName "woodgrove.com" -ComputerName SecondaryServer1
$policy | Add-DnsServerQueryResolutionPolicy -ZoneName "woodgrove.com" -ComputerName SecondaryServer2

Untuk informasi selengkapnya, lihat Add-DnsServerQueryResolutionPolicy.

Sekarang server DNS sekunder dikonfigurasi dengan kebijakan DNS yang diperlukan untuk mengalihkan lalu lintas berdasarkan lokasi geografis.

Saat server DNS menerima kueri resolusi nama, server DNS mengevaluasi bidang dalam permintaan DNS terhadap kebijakan DNS yang dikonfigurasi. Jika alamat IP sumber dalam permintaan resolusi nama cocok dengan salah satu kebijakan, cakupan zona terkait digunakan untuk merespons kueri, dan pengguna diarahkan ke sumber daya yang secara geografis paling dekat dengan mereka.

Anda dapat membuat ribuan kebijakan DNS sesuai dengan persyaratan manajemen lalu lintas Anda, dan semua kebijakan baru diterapkan secara dinamis - tanpa memulai ulang server DNS - pada kueri masuk.