Implementar políticas de DNS
- 10 minutos
Você cria políticas de DNS com base no nível e no tipo. Você pode usar políticas de resolução de consulta para definir como gerenciar consultas de resolução de nomes de cliente e usar políticas de transferência de zona para definir transferências de zona.
Dica
Você pode aplicar os dois tipos de política no nível do servidor ou da zona.
Você pode criar várias políticas de resolução de consulta no mesmo nível, se elas tiverem um valor diferente para a ordem de processamento. As políticas de recursão são um tipo especial de política de nível de servidor. Elas controlam como um servidor DNS executa a recursão de consulta. As políticas de recursão se aplicam somente quando o processamento da consulta chega ao ponto de recursão. Você pode escolher um valor de NEGAR ou IGNORAR para recursão em um determinado conjunto de consultas. Caso contrário, você pode escolher um conjunto de encaminhadores em um conjunto de consultas.
Criar e gerenciar políticas de DNS
Estas são as etapas de alto nível para resolver um registro de host de forma diferente para os usuários de um intervalo de endereços IP específico:
- Criar uma sub-rede de cliente do servidor DNS para o intervalo de endereços IP.
- Criar um escopo de zona do servidor DNS para a zona que contém o registro do host.
- Adicionar um registro de host à zona que é específica para o escopo da zona.
- Adicionar uma política de resolução de consulta do servidor DNS que permita que a sub-rede do cliente do servidor DNS consulte o escopo da zona.
Veja a seguir um exemplo das etapas usadas para configurar a política de DNS usando o Windows PowerShell:
# Create the required subnets
Add-DnsServerClientSubnet -Name "LondonSubnet" -IPv4Subnet "172.16.18.0/24"
Add-DnsServerClientSubnet -Name "SeattleSubnet" -IPv4Subnet "172.16.10.0/24"
# Create the DNS server zone scopes
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "LondonZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "SeattleZoneScope"
# Add the required host records
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.10.41" -ZoneScope "SeattleZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.18.17" -ZoneScope "LondonZoneScope"
# Create the DNS server query resolution policies
Add-DnsServerQueryResolutionPolicy -Name "LondonPolicy" -Action ALLOW -ClientSubnet "eq,LondonSubnet" -ZoneScope "LondonZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "SeattlePolicy" -Action ALLOW -ClientSubnet "eq,SeattleSubnet" -ZoneScope "SeattleZoneScope,1" -ZoneName "Contoso.com"
Demonstração
O vídeo a seguir monstra como implementar políticas de DNS usando o Windows PowerShell. As principais etapas do processo são:
- Abrir o Gerenciador do Servidor e o console do DNS.
- Criar um novo registro de alias para um servidor existente na zona Contoso.com.
- Alternar para um computador cliente e verificar qual endereço IP retorna quando o alias é testado com o NSLookup.
- Abrir um servidor e uma janela com privilégios elevados do Windows PowerShell.
- Executar o
$s = New-PSSession –ComputerName <target server>e oEnter-PSSession $scomando para se conectar ao<target server>com a comunicação remota do PowerShell. - Criar as sub-redes necessárias executando o
Add-DnsServerClientSubnetcmdlet. - Criar os escopos de zona do servidor DNS executando o
Add-DnsServerZoneScopecmdlet. - Adicionar os registros de host necessários executando o
Add-DnsServerResourceRecordcmdlet. - Criar as políticas de resolução de consulta do servidor DNS executando o
Add-DnsServerQueryResolutionPolicycmdlet. - Voltar para o cliente, limpar o cache do resolvedor e testar a resolução de nomes para o
www.Contoso.comregistro.