Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie można wykorzystać funkcje zarządzania ruchem w politykach DNS dla wdrożeń typu split-brain ze zintegrowanymi w Active Directory strefami DNS w systemie Windows Server 2016.
W systemie Windows Server 2016 obsługa zasad DNS jest rozszerzona do zintegrowanych stref DNS usługi Active Directory. Integracja z usługą Active Directory umożliwia wieloserwerowe funkcje wysokiej dostępności dla serwera DNS.
Wcześniej ten scenariusz wymagał, aby administratorzy DNS obsługiwali dwa różne serwery DNS, z których każda świadczy usługi dla każdego zestawu użytkowników, wewnętrznych i zewnętrznych. Jeśli tylko kilka rekordów wewnątrz strefy zostały podzielone lub oba wystąpienia strefy (wewnętrzne i zewnętrzne) zostały delegowane do tej samej domeny nadrzędnej, stało się to zagadką zarządzania.
Note
- Wdrożenia DNS typu split-brain mają miejsce, gdy istnieją dwie wersje pojedynczej strefy: jedna wersja dla użytkowników wewnętrznych w intranecie organizacji i jedna wersja dla użytkowników zewnętrznych, którzy zazwyczaj są użytkownikami Internetu.
- W temacie Use DNS Policy for Split-Brain DNS Deployment wyjaśniono, jak można użyć zasad DNS i zakresów stref do wdrożenia systemu DNS typu split-brain na jednym serwerze DNS systemu Windows Server 2016.
Przykład Split-Brain DNS w usłudze Active Directory
W tym przykładzie użyto jednej fikcyjnej firmy Contoso, która utrzymuje witrynę kariery w witrynie www.career.contoso.com.
Witryna ma dwie wersje— jedną dla użytkowników wewnętrznych, w których są dostępne wewnętrzne stanowiska. Ta witryna wewnętrzna jest dostępna na lokalnym adresie IP 10.0.0.39.
Druga wersja to publiczna wersja tej samej witryny, która jest dostępna pod publicznym adresem IP 65.55.39.10.
W przypadku braku zasad DNS administrator musi hostować te dwie strefy na oddzielnych serwerach DNS systemu Windows Server i zarządzać nimi oddzielnie.
Przy użyciu zasad DNS te strefy mogą być teraz hostowane na tym samym serwerze DNS.
Jeśli serwer DNS dla contoso.com jest zintegrowany z usługą Active Directory i nasłuchuje na dwóch interfejsach sieciowych, administrator DNS firmy Contoso może wykonać kroki opisane w tym temacie, aby osiągnąć wdrożenie typu split-brain.
Administrator DNS konfiguruje interfejsy serwera DNS z następującymi adresami IP.
- Karta sieciowa podłączona do Internetu jest skonfigurowana przy użyciu publicznego adresu IP 208.84.0.53 do zapytań zewnętrznych.
- Karta sieciowa skierowana do intranetu jest skonfigurowana z adresem IP 10.0.0.56 jako adresem prywatnym dla zapytań wewnętrznych.
Poniższa ilustracja przedstawia ten scenariusz.
Jak działają zasady DNS Split-Brain DNS w usłudze Active Directory
Po skonfigurowaniu serwera DNS z wymaganymi zasadami DNS każde żądanie rozpoznawania nazw jest oceniane względem zasad na serwerze DNS.
Interfejs serwera jest używany w tym przykładzie jako kryterium rozróżniania klientów wewnętrznych i zewnętrznych.
Jeśli interfejs serwera, na którym odebrano zapytanie, pasuje do dowolnego z zasad, skojarzony zakres strefy jest używany do odpowiadania na zapytanie.
Dlatego w naszym przykładzie zapytania www.career.contoso.com DNS odbierane na prywatnym adresie IP (10.0.0.56) otrzymują odpowiedź DNS zawierającą wewnętrzny adres IP, a zapytania DNS odbierane w publicznym interfejsie sieciowym otrzymują odpowiedź DNS zawierającą publiczny adres IP w domyślnym zakresie strefy (jest to takie samo jak zwykłe rozpoznawanie zapytań).
Obsługa aktualizacji dynamicznego systemu DNS (DDNS) i oczyszczania jest obsługiwana tylko w zakresie strefy domyślnej. Ponieważ klienci wewnętrzni są serwisowane w domyślnym zakresie strefy, administratorzy DNS firmy Contoso mogą nadal korzystać z istniejących mechanizmów (dynamiczny system DNS lub statyczny) w celu zaktualizowania rekordów w contoso.com. W przypadku zakresów stref innych niż domyślne (takich jak zakres zewnętrzny w tym przykładzie) DDNS lub usuwanie zanieczyszczeń nie są dostępne.
Wysoka dostępność zasad
Zasady DNS nie są zintegrowane z usługą Active Directory. W związku z tym zasady DNS nie są replikowane do innych serwerów DNS hostujących tę samą strefę zintegrowaną usługi Active Directory.
Zasady DNS są przechowywane na lokalnym serwerze DNS. Zasady DNS można łatwo wyeksportować z jednego serwera do innego, korzystając z poniższych przykładowych poleceń programu Windows PowerShell.
$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies | Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02
Aby uzyskać więcej informacji, zobacz następujące tematy referencyjne programu Windows PowerShell.
Jak skonfigurować zasady DNS dla Split-Brain DNS w usłudze Active Directory
Aby skonfigurować wdrożenie Split-Brain DNS przy użyciu zasad DNS, należy użyć poniższych sekcji, które zawierają szczegółowe instrukcje konfiguracji.
Dodawanie zintegrowanej strefy usługi Active Directory
Możesz użyć następującego przykładowego polecenia, aby dodać zintegrowaną strefę contoso.com usługi Active Directory do serwera DNS.
Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru
For more information, see Add-DnsServerPrimaryZone.
Tworzenie zakresów strefy
Możesz użyć tej sekcji do partycjonowania strefy contoso.com, aby utworzyć zakres zewnętrznej strefy.
Zakres strefy jest unikatowym wystąpieniem strefy. Strefa DNS może mieć wiele zakresów, a każdy z nich zawiera własny zestaw rekordów DNS. Ten sam rekord może znajdować się w wielu zakresach z różnymi adresami IP lub tymi samymi adresami IP.
Ponieważ dodajesz ten nowy zakres strefy w zintegrowanej strefie usługi Active Directory, zakres strefy i rekordy w niej będą replikowane za pośrednictwem usługi Active Directory do innych serwerów replik w domenie.
Domyślnie zakres strefy istnieje w każdej strefie DNS. Ten zakres strefy ma taką samą nazwę jak strefa, a starsze operacje DNS działają w tym zakresie. Ten domyślny zakres strefy będzie hostować wewnętrzną wersję programu www.career.contoso.com.
Możesz użyć następującego przykładowego polecenia, aby utworzyć zakres strefy na serwerze DNS.
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"
For more information, see Add-DnsServerZoneScope.
Dodawanie rekordów do zakresów strefy
Następnym krokiem jest dodanie rekordów reprezentujących hosta serwera internetowego do dwóch zakresów strefy — zewnętrznych i domyślnych (dla klientów wewnętrznych).
W domyślnym zakresie strefy wewnętrznej rekord www.career.contoso.com jest dodawany z adresem IP 10.0.0.39, który jest prywatnym adresem IP, a w zakresie strefy zewnętrznej ten sam rekord (www.career.contoso.com) jest dodawany z publicznym adresem IP 65.55.39.10.
Rekordy (zarówno w domyślnym zakresie strefy wewnętrznej, jak i zakresie strefy zewnętrznej) będą automatycznie replikowane w domenie z odpowiednimi zakresami strefy.
Możesz użyć następującego przykładowego polecenia, aby dodać rekordy do zakresów strefy na serwerze DNS.
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”
Note
The –ZoneScope parameter is not included when the record is added to the default zone scope. Ta akcja jest taka sama jak dodawanie rekordów do strefy normalnej.
For more information, see Add-DnsServerResourceRecord.
Tworzenie zasad DNS
Po zidentyfikowaniu interfejsów serwera dla sieci zewnętrznej i sieci wewnętrznej oraz utworzeniu zakresów strefy należy utworzyć zasady DNS łączące zakresy wewnętrzne i zewnętrzne strefy.
Note
W tym przykładzie użyto interfejsu serwera (parametru -ServerInterface w poniższym przykładzie) jako kryteriów rozróżniania klientów wewnętrznych i zewnętrznych. Inną metodą rozróżniania klientów zewnętrznych i wewnętrznych jest użycie podsieci klienta jako kryteriów. Jeśli możesz zidentyfikować podsieci, do których należą klienci wewnętrzni, możesz skonfigurować zasady DNS tak, aby rozróżniały je na podstawie podsieci klienta. Aby uzyskać informacje na temat konfigurowania zarządzania ruchem przy użyciu kryteriów podsieci klienta, zobacz Use DNS Policy for Geo-Location Based Traffic Management with Primary Servers (Używanie zasad DNS do Geo-Location opartego na zarządzaniu ruchem przy użyciu serwerów podstawowych).
Po skonfigurowaniu zasad, gdy zapytanie DNS zostanie odebrane na interfejsie publicznym, odpowiedź jest zwracana z zewnętrznego zakresu strefy.
Note
Do mapowania domyślnego zakresu strefy wewnętrznej nie są wymagane żadne zasady.
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com
Note
208.84.0.53 to adres IP w publicznym interfejsie sieciowym.
For more information, see Add-DnsServerQueryResolutionPolicy.
Teraz serwer DNS jest skonfigurowany z wymaganymi zasadami DNS dla serwera nazw w trybie split-brain, zintegrowanego z Active Directory.
Możesz utworzyć tysiące zasad DNS zgodnie z wymaganiami dotyczącymi zarządzania ruchem, a wszystkie nowe zasady są stosowane dynamicznie — bez ponownego uruchamiania serwera DNS — w przypadku zapytań przychodzących.