Partilhar via

Usar política de DNS para gerenciamento de tráfego baseado em localização geográfica com servidores primários

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Use esse tópico para aprender como configurar a Política do DNS para permitir que servidores do DNS primários respondam às consultas de cliente DNS com base na localização geográfica do cliente e no recurso ao qual o cliente está tentando se conectar, fornecendo ao cliente o endereço IP do recurso mais próximo.

Importante

Este cenário ilustra como implantar a política do DNS para o gerenciamento de tráfego baseado em localização geográfica ao usar apenas servidores do DNS primários. Você também pode realizar o gerenciamento de tráfego baseado em localização geográfica quando tiver servidores do DNS primários e secundários. Caso tenha uma implantação primária-secundária, primeiro conclua as etapas neste tópico e conclua as etapas fornecidas no tópico Usar política do DNS para gerenciamento de tráfego baseado em localização geográfica com implantações primárias-secundárias.

Com novas políticas do DNS, crie uma política do DNS que permite que o servidor do DNS responda a uma consulta de cliente solicitando o endereço IP de um servidor Web. As instâncias do servidor Web podem estar localizadas em datacenters diferentes em locais físicos diferentes. O DNS pode avaliar os locais do cliente e do servidor Web e, em seguida, responder à solicitação do cliente fornecendo ao cliente um endereço IP do servidor Web para um servidor Web que esteja fisicamente localizado mais perto do cliente.

Use os seguintes parâmetros de política do DNS para controlar as respostas do servidor do DNS a consultas de clientes DNS.

  • Sub-rede do cliente. Nome de uma sub-rede de cliente predefinida. Usado para verificar a sub-rede da qual a consulta foi enviada.
  • Protocolo de transporte. Protocolo de transporte usado na consulta. As entradas possíveis são UDP e TCP.
  • protocolo de Internet. Protocolo de rede usado na consulta. As entradas possíveis são IPv4 e IPv6.
  • Endereço IP da Interface do Servidor. Endereço IP do adaptador de rede do servidor do DNS que recebeu a solicitação de DNS.
  • FQDN. O FQDN (Nome de Domínio Totalmente Qualificado) do registro na consulta, com a possibilidade de usar um curinga.
  • Tipo de Consulta. Tipo de registro que está sendo consultado (A, SRV, TXT, etc.).
  • Hora do dia. Hora do dia em que a consulta é recebida.

Combine os critérios a seguir com um operador lógico (AND/OR) para formular expressões de política. Quando essas expressões correspondem, espera-se que as políticas executem uma das ações a seguir.

  • Ignorar. O servidor do DNS remove silenciosamente a consulta.
  • Negar. O servidor do DNS responde a essa consulta com uma resposta de falha.
  • Permitir. O servidor do DNS responde novamente com a resposta gerenciada pelo tráfego.

Exemplo de gerenciamento de tráfego com base em localização geográfica

Confira a seguir um exemplo de como é possível usar a política do DNS para obter o redirecionamento de tráfego com base no local físico do cliente que executa uma consulta DNS.

Este exemplo usa duas empresas fictícias - Contoso Cloud Services, que fornece soluções de hospedagem na Web e domínio, e o Woodgrove Food Services, que fornece serviços de entrega de alimentos em várias cidades do mundo, e que tem um site chamado woodgrove.com.

A Contoso Cloud Services tem dois datacenters, um nos EUA e outro na Europa. O datacenter europeu hospeda um portal de pedidos de alimentos para woodgrove.com.

Para garantir que woodgrove.com clientes obtenham uma experiência responsiva de seu site, a Woodgrove quer clientes europeus direcionados para o datacenter europeu e clientes americanos direcionados para o datacenter dos EUA. Os clientes localizados em outros lugares do mundo podem ser direcionados para qualquer um dos datacenters.

A ilustração a seguir mostra esse cenário.

Geo-Location Based Traffic Management Example

Como funciona o processo de resolução de nomes do DNS

Durante o processo de resolução de nomes, o usuário tenta se conectar ao www.woodgrove.com. Isso resulta em uma solicitação de resolução de nome do DNS que é enviada para o servidor do DNS configurado nas propriedades de Conexão de Rede no computador do usuário. Normalmente, esse é o servidor do DNS fornecido pelo ISP local que atua como resolvedor de cache e é chamado de LDNS.

Se o nome do DNS não estiver presente no cache local do LDNS, o servidor do LDNS encaminhará a consulta para o servidor do DNS autoritativo para woodgrove.com. O servidor do DNS autoritativo responde com o registro solicitado (www.woodgrove.com) ao servidor do LDNS, que, por sua vez, armazena o registro em cache localmente antes de enviá-lo para o computador do usuário.

Como a Contoso Cloud Services usa políticas do Servidor do DNS, o servidor do DNS autoritativo que hospeda contoso.com está configurado para retornar respostas gerenciadas de tráfego baseadas em localização geográfica. Isso resulta na direção dos Clientes Europeus para o datacenter europeu e na direção dos Clientes Americanos para o datacenter dos EUA, conforme ilustrado na ilustração.

Nesse cenário, o servidor do DNS autoritativo geralmente visualiza a solicitação de resolução de nomes proveniente do servidor do LDNS e, muito raramente, do computador do usuário. Por isso, o endereço IP de origem na solicitação de resolução de nomes, conforme visto pelo servidor do DNS autoritativo, é o do servidor do LDNS e não o do computador do usuário. No entanto, usar o endereço IP do servidor do LDNS ao configurar respostas de consulta baseadas em localização geográfica fornece uma estimativa justa da localização geográfica do usuário, pois o usuário está consultando o servidor do DNS de seu ISP local.

Observação

As políticas do DNS utilizam o IP do remetente no pacote UDP/TCP que contém a consulta DNS. Se a consulta atingir o servidor primário por meio de vários saltos resolvedor/LDNS, a política considerará apenas o IP do último resolvedor do qual o servidor do DNS recebe a consulta.

Como configurar a política do DNS para respostas de consulta baseadas em localização geográfica

Para configurar a política do DNS para respostas de consulta baseadas em localização geográfica, execute as etapas a seguir.

  1. Criar as sub-redes do cliente DNS
  2. Criar os escopos da zona
  3. Adicionar registros aos escopos de zona
  4. Criar as políticas

Observação

É necessário executar essas etapas no servidor DNS com autoridade para a zona que você quer configurar. A associação ao DnsAdmins, ou equivalente, é necessária para executar os procedimentos a seguir.

As seções a seguir fornecem instruções de configuração detalhadas.

Importante

As seções a seguir incluem os comandos do Windows PowerShell de exemplo que contêm os valores de exemplo para muitos parâmetros. Substitua os valores de exemplo nesses comandos por valores adequados a sua implantação antes de executar esses comandos.

Criar as sub-redes do cliente DNS

A primeira etapa é identificar as sub-redes ou o espaço de endereço IP das regiões para as quais queira redirecionar o tráfego. Por exemplo, caso queira redirecionar o tráfego para os EUA e a Europa, precisará identificar as sub-redes ou espaços de endereço IP dessas regiões.

Obtenha essas informações de mapas de IP geográfico. Com base nessas distribuições de IP geográfico, crie as "Sub-redes do cliente DNS". Uma sub-rede do cliente DNS é um agrupamento lógico de sub-redes IPv4 ou IPv6 das quais as consultas são enviadas para um servidor do DNS.

Use os comandos do PowerShell do Windows a seguir para criar sub-redes de cliente DNS.

Add-DnsServerClientSubnet -Name "USSubnet" -IPv4Subnet "192.0.0.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "141.1.0.0/24"

Para obter mais informações, confira Add-DnsServerClientSubnet.

Criar escopos de zona

Depois que as sub-redes do cliente forem configuradas, particione a zona cujo tráfego queira redirecionar para dois escopos de zona diferentes, um escopo para cada uma das Sub-redes do Cliente DNS configuradas.

Por exemplo, caso queira redirecionar o tráfego para o nome DNS www.woodgrove.com, deverá criar dois escopos de zona diferentes na zona woodgrove.com, um para os EUA e outro para a Europa.

Um escopo de zona é uma instância exclusiva da zona. Uma zona DNS pode ter vários escopos de zona, com cada escopo de zona contendo o próprio conjunto de registros do DNS. O mesmo registro poderá estar presente em vários escopos, com diferentes endereços IP ou os mesmos endereços IP.

Observação

Por padrão, existe um escopo de zona nas zonas do DNS. Esse escopo de zona tem o mesmo nome que a zona e as operações do DNS herdadas funcionam nesse escopo.

Use os comandos do PowerShell do Windows a seguir para criar escopos de zona.

Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "USZoneScope"
Add-DnsServerZoneScope -ZoneName "woodgrove.com" -Name "EuropeZoneScope"

Para obter mais informações, confira Add-DnsServerZoneScope.

Adicionar registros aos escopos de zona

Agora adicione os registros que representam o host do servidor Web aos dois escopos da zona.

Por exemplo, USZoneScope e EuropeZoneScope. No USZoneScope, adicione o registro www.woodgrove.com com o endereço IP 192.0.0.1, que está localizado em um datacenter dos EUA; e, no EuropeZoneScope, adicione o mesmo registro (www.woodgrove.com) com o endereço IP 141.1.0.1 no datacenter europeu.

Use os comandos do PowerShell do Windows a seguir para adicionar registros aos escopos de zona.

Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1" -ZoneScope "USZoneScope"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1" -ZoneScope "EuropeZoneScope"

Neste exemplo, você também deve usar os seguintes comandos do PowerShell do Windows para adicionar registros ao escopo de zona padrão para garantir que o restante do mundo ainda possa acessar o servidor Web woodgrove.com de qualquer um dos dois datacenters.

Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "192.0.0.1"
Add-DnsServerResourceRecord -ZoneName "woodgrove.com" -A -Name "www" -IPv4Address "141.1.0.1"

O parâmetro ZoneScope não é incluído ao adicionar um registro no escopo padrão. Isso é o mesmo que adicionar registros a uma zona do DNS padrão.

Para obter mais informações, confira Add-DnsServerResourceRecord.

Criar as políticas

Depois de criar as sub-redes, as partições (escopos de zona) e adicionar registros, crie políticas que conectem as sub-redes e partições, para que, quando uma consulta vier de uma origem em uma das sub-redes do cliente DNS, a resposta da consulta seja retornada do escopo correto da zona. Nenhuma política é necessária para mapear o escopo de zona padrão.

Use os comandos do PowerShell do Windows a seguir para criar uma política do DNS que vincule as sub-redes do cliente DNS e os escopos de zona.

Add-DnsServerQueryResolutionPolicy -Name "USPolicy" -Action ALLOW -ClientSubnet "eq,USSubnet" -ZoneScope "USZoneScope,1" -ZoneName "woodgrove.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName "woodgrove.com"

Para obter mais informações, confira Add-DnsServerQueryResolutionPolicy.

Agora, o servidor do DNS está configurado com as políticas do DNS necessárias para redirecionar o tráfego com base na localização geográfica.

Quando o servidor do DNS recebe consultas de resolução de nomes, o servidor do DNS avalia os campos na solicitação de DNS em relação às políticas do DNS configuradas. Se o endereço IP de origem na solicitação de resolução de nomes corresponder a qualquer uma das políticas, o escopo de zona associado será usado para responder à consulta e o usuário será direcionado para o recurso geograficamente mais próximo deles.

É possível criar milhares de políticas do DNS de acordo com seus requisitos de gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente, sem reiniciar o servidor do DNS, em consultas de entrada.