Usare i criteri DNS per DNS split-brain in Active Directory
È possibile usare questo argomento per sfruttare le funzionalità di gestione del traffico dei criteri DNS per distribuzioni split brain con zone DNS integrate di Active Directory in Windows Server 2016.
In Windows Server 2016 il supporto dei criteri DNS viene esteso alle zone DNS integrate di Active Directory. L'integrazione di Active Directory offre funzionalità di disponibilità elevata multi-master per il server DNS.
In precedenza, questo scenario richiedeva agli amministratori DNS di gestire due server DNS diversi, ognuno dei quali fornisce servizi a ogni set di utenti, interni ed esterni. Se solo alcuni record all'interno della zona erano split-brain o se entrambe le istanze della zona (interne ed esterne) erano delegate allo stesso dominio padre, questo diventava un problema di gestione.
Nota
- Le distribuzioni DNS sono suddivise quando sono presenti due versioni di una singola zona, una versione per gli utenti interni nella intranet dell'organizzazione e una versione per gli utenti esterni, che sono in genere utenti su Internet.
- L'argomento Usare i criteri DNS per la distribuzione DNS split-brain spiega come usare i criteri DNS e gli ambiti di zona per distribuire un sistema DNS split-brain in un singolo server DNS di Windows Server 2016.
Esempio di DNS Split-Brain in Active Directory
In questo esempio viene usata una società fittizia, Contoso, che gestisce un sito Web career su www.career.contoso.com.
Il sito ha due versioni, una per gli utenti interni in cui sono disponibili registrazioni di lavoro interne. Questo sito interno è disponibile all'indirizzo IP locale 10.0.0.39.
La seconda versione è la versione pubblica dello stesso sito, disponibile all'indirizzo IP pubblico 65.55.39.10.
In assenza di criteri DNS, l'amministratore deve ospitare queste due zone in server DNS Windows Server separati e gestirli separatamente.
L'uso dei criteri DNS per queste zone può ora essere ospitato nello stesso server DNS.
Se il server DNS per contoso.com è integrato in Active Directory ed è in ascolto su due interfacce di rete, l'amministratore DNS contoso può seguire i passaggi descritti in questo argomento per ottenere una distribuzione split-brain.
L'amministratore DNS configura le interfacce del server DNS con gli indirizzi IP seguenti.
- L'adapter di rete con connessione Internet è configurato con un indirizzo IP pubblico 208.84.0.53 per le query esterne.
- L'adapter di rete con connessione Intranet è configurato con un indirizzo IP privato 10.0.0.56 per le query interne.
Nella figura seguente viene illustrato questo scenario.
Funzionamento dei criteri DNS per DNS split-brain in Active Directory
Quando il server DNS è configurato con i criteri DNS necessari, ogni richiesta di risoluzione dei nomi viene valutata rispetto ai criteri nel server DNS.
L'interfaccia server viene usata in questo esempio come criterio per distinguere i client interni ed esterni.
Se l'interfaccia server su cui viene ricevuta la query corrisponde a uno dei criteri, l'ambito della zona associato viene usato per rispondere alla query.
Pertanto, nell'esempio le query DNS per www.career.contoso.com ricevute sull'IP privato (10.0.0.56) ricevono una risposta DNS che contiene un indirizzo IP interno; e le query DNS ricevute nell'interfaccia di rete pubblica ricevono una risposta DNS che contiene l'indirizzo IP pubblico nell'ambito della zona predefinita (corrisponde alla normale risoluzione delle query).
Il supporto per gli aggiornamenti DDNS (Dynamic DNS) e scavenging è supportato solo nell'ambito di zona predefinito. Poiché i client interni vengono gestiti dall'ambito di zona predefinito, gli amministratori DNS contoso possono continuare a usare i meccanismi esistenti (DNS dinamico o statico) per aggiornare i record in contoso.com. Per gli ambiti di zona non predefiniti (ad esempio l'ambito esterno in questo esempio), il supporto DDNS o scavenging non è disponibile.
Disponibilità elevata dei criteri
I criteri DNS non sono integrati in Active Directory. Per questo motivo, i criteri DNS non vengono replicati negli altri server DNS che ospitano la stessa zona integrata di Active Directory.
I criteri DNS vengono archiviati nel server DNS locale. È possibile esportare facilmente i criteri DNS da un server a un altro usando i comandi di Windows PowerShell di esempio seguenti.
$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies | Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02
Per altre informazioni, vedere gli argomenti di riferimento di Windows PowerShell seguenti.
Come configurare i criteri DNS per DNS split-brain in Active Directory
Per configurare la distribuzione DNS Split-Brain usando i criteri DNS, è necessario usare le sezioni seguenti, che forniscono istruzioni dettagliate sulla configurazione.
Aggiungere la zona integrata di Active Directory
È possibile usare il comando di esempio seguente per aggiungere la zona di contoso.com integrata di Active Directory al server DNS.
Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru
Per altre informazioni, vedere Add-DnsServerPrimaryZone.
Creare ambiti della zona
È possibile usare questa sezione per partizionare la zona contoso.com per creare un ambito di zona esterna.
Un ambito di una zona è un'istanza univoca della zona. Una zona DNS può avere più ambiti, ognuno contenente il proprio insieme di record DNS. Lo stesso record può essere presente in più ambiti, con gli stessi indirizzi IP o con indirizzi IP diversi.
Poiché si aggiunge questo nuovo ambito di zona in una zona integrata di Active Directory, l'ambito della zona e i record all'interno verranno replicati tramite Active Directory in altri server di replica nel dominio.
Per impostazione predefinita, un ambito di zona esiste in ogni zona DNS. Questo ambito di zona ha lo stesso nome della zona e le operazioni DNS legacy funzionano su questo ambito. Questo ambito di zona predefinito ospiterà la versione interna di www.career.contoso.com.
È possibile usare il comando di esempio seguente per creare l'ambito della zona nel server DNS.
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"
Per ulteriori informazioni, vedere Aggiungi DnsServerZoneScope.
Aggiungere record per gli ambiti di zona
Il passaggio successivo consiste nell'aggiungere i record che rappresentano l'host del server Web nei due ambiti di zona, esterni e predefiniti (per i client interni).
Nell'ambito predefinito della zona interna, il record www.career.contoso.com viene aggiunto con l'indirizzo IP 10.0.0.39, ovvero un indirizzo IP privato; e nell'ambito della zona esterna, lo stesso record (www.career.contoso.com) viene aggiunto con l'indirizzo IP pubblico 65.55.39.10.
I record (sia nell'ambito della zona interna predefinita che nell'ambito della zona esterna) verranno replicati automaticamente nel dominio con i rispettivi ambiti di zona.
È possibile usare il comando di esempio seguente per aggiungere record agli ambiti di zona nel server DNS.
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”
Nota
Il parametro –ZoneScope non è incluso quando il record viene aggiunto all'ambito di zona predefinito. Questa azione equivale all'aggiunta di record a una zona normale.
Per ulteriori informazioni, vedere Aggiungi DnsServerResourceRecord.
Creare i criteri DNS
Dopo aver identificato le interfacce server per la rete esterna e la rete interna e aver creato gli ambiti di zona, è necessario creare criteri DNS che connettono gli ambiti di zona interni ed esterni.
Nota
In questo esempio viene usata l'interfaccia server (il parametro -ServerInterface nel comando di esempio seguente) come criteri per distinguere tra i client interni ed esterni. Un altro metodo per distinguere i client esterni e interni consiste nell'usare le subnet client come criteri. Se è possibile identificare le subnet a cui appartengono i client interni, è possibile configurare i criteri DNS per differenziare in base alla subnet client. Per informazioni su come configurare la gestione del traffico usando i criteri della subnet client, vedere Usare i criteri DNS per la gestione del traffico basata sulla posizione geografica con i server primari.
Dopo aver configurato i criteri, quando viene ricevuta una query DNS nell'interfaccia pubblica, la risposta viene restituita dall'ambito esterno della zona.
Nota
Non sono necessari criteri per il mapping dell'ambito predefinito della zona interna.
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com
Nota
208.84.0.53 è l'indirizzo IP nell'interfaccia di rete pubblica.
Per ulteriori informazioni, vedere Aggiungi DnsServerQueryResolutionPolicy.
Il server DNS è ora configurato con i criteri DNS necessari per un server dei nomi split-brain con una zona DNS integrata di Active Directory.
È possibile creare migliaia di criteri DNS in base del traffico di gestione e tutti i nuovi criteri vengono applicati in modo dinamico, senza il riavvio del server DNS, per le query in ingresso.