Создание политики DNS.
Группа по инфраструктуре в компании Contoso ставит вам вопрос: "как служба DNS Windows Server может отреагировать на тот факт, что нам требуется, чтобы результаты поиска в службе DNS были возвращены в сопоставители DNS в соответствии с их расположением?" Они объяснили, что для пользователей в Сиэтле запрос полного доменного имени www.Contoso.com
должен возвращать IP-адрес, отличный от адреса для пользователей в Лондоне.
Сценарии использования политик DNS
Политики DNS можно использовать для управления запросами DNS-сервера на основе различных факторов. Например, можно создать политику DNS для реагирования на запросы, запрашивающие от IP-адреса веб-сервера ответ с другим IP-адресом, основанным на ближайшем центре обработки данных для клиента.
Примечание.
Это отличается от других подходов, таких как изменение порядка масок, так как у клиента нет такого же адреса локальной подсети, как у веб-сервера, но конкретный веб-сервер находится ближе, чем другие, с точки зрения клиента.
В зависимости от ваших потребностей можно создать несколько политик DNS. Существует несколько факторов, которые могут оказаться полезными при создании политики DNS на основе следующих сценариев.
- Высокий уровень доступности (репликация) Клиенты перенаправляются в самую работоспособную конечную точку для приложения, где "работоспособность" определяется факторами высокой доступности в отказоустойчивом кластере.
- Управление трафиком Клиенты перенаправляются в ближайший центр обработки данных или сервер.
- Разделение DNS. Клиенты получают ответ в зависимости от того, являются ли они внутренними или внешними, а записи DNS разбиваются на разные области зоны.
- Фильтрация. Запросы DNS блокируются, если они находятся в списке вредоносных IP-адресов или полных доменных имен.
- Криминальная экспертиза Вредоносные DNS-клиенты перенаправляются в сливное отверстие, а не на компьютер, с которым они пытаются связаться.
- Перенаправление на основе времени дня. Клиенты перенаправляются в центры обработки данных на основе времени суток.
Объекты политики DNS
Чтобы использовать описанные выше сценарии для создания политик, необходимо указать группы записей в зоне, группы клиентов в сети или другие элементы. Эти элементы можно найти с помощью объектов политики DNS, описанных в следующей таблице.
Элемент | Description |
---|---|
Подсеть клиента | Представляет подсеть IPv4 или IPv6, из которой отправляются запросы на DNS-сервер. Подсети создаются для последующего определения политик, применяемых в зависимости от подсети, которая создает запросы. Например, может существовать сценарий разбиения DNS, в котором запрос на разрешение имени www.contoso.com может быть получен с помощью внутреннего IP-адреса для внутренних клиентов, а также другой IP-адрес для внешних клиентов. |
Область рекурсии | Представляет уникальные экземпляры группы параметров, управляющих рекурсией DNS-сервера. Область рекурсии содержит список серверов пересылки и указывает, используется ли рекурсия. DNS-сервер может иметь несколько областей рекурсии. Политики рекурсии DNS-сервера можно использовать для выбора области рекурсии для данного набора запросов. Если DNS-сервер не является полномочным для определенных запросов, политики рекурсии DNS-сервера позволяют управлять способом разрешения этих запросов. В этом случае можно указать, какие серверы пересылки следует использовать, а также использовать ли рекурсию. |
Области зоны | Зоны DNS могут иметь несколько областей зоны, а каждая область зоны может содержать собственный набор записей ресурсов DNS. Одна и та же запись ресурса может находиться в нескольких областях с разными IP-адресами в зависимости от области. Кроме того, передача зоны может выполняться на уровне зоны. Это позволит перенести записи ресурсов из области зоны в основной зоне в ту же область зоны в дополнительной зоне. |