Active Directory でスプリット ブレイン DNS に DNS ポリシーを使用する
このトピックを使用すると、Windows Server 2016 の Active Directory 統合 DNS ゾーンでスプリット ブレイン展開に DNS ポリシーのトラフィック管理機能を利用できます。
Windows Server 2016 では、DNS ポリシーのサポートが、Active Directory 統合 DNS ゾーンに拡張されています。 Active Directory 統合では、マルチマスターの高可用性機能が DNS サーバーに提供されます。
以前は、このシナリオは、DNS 管理者の管理 2 台の DNS サーバー、各内部および外部のユーザーのセットごとにサービスを提供することが必要です。 この場合だけで、ゾーン内のいくつかのレコードが分割 brained またはゾーン (内部および外部) の両方のインスタンスが同じ親ドメインに委任された、管理の難点ようになりました。
注意
- DNS の展開は、1 つのゾーンの 2 つのバージョンがある場合、スプリット ブレインになります。1 つのバージョンは組織のイントラネット上の内部ユーザー用で、もう 1 つのバージョンは外部ユーザー (通常はインターネット上のユーザー) 用です。
- トピック「スプリット ブレイン DNS の展開に DNS ポリシーを使用する」では、DNS ポリシーとゾーンのスコープを使って、単一の Windows Server 2016 DNS サーバーにスプリット ブレイン DNS システムを展開する方法が説明されています。
Active Directory でのスプリット ブレイン DNS の例
この例では、www.career.contoso.com に仕事紹介 Web サイトを保持する 1 つの架空の企業、Contoso 社を使用します。
サイトには、内部の求人が利用可能な内部ユーザー用、2 つのバージョンがあります。 この内部サイトは、ローカル IP アドレス 10.0.0.39 から入手できます。
2 番目のバージョンは、パブリック IP アドレス 65.55.39.10 で利用可能な同じサイトのパブリック バージョンです。
DNS のポリシーがない場合を別の Windows Server DNS サーバーでこれら 2 つのゾーンをホストし、それらを個別に管理、管理者が必要です。
DNS ポリシーを使用してこれらのゾーンできますでホストされるよう、同じ DNS サーバーです。
Contoso.com の DNS サーバーが Active Directory 統合であり、2 つのネットワーク インターフェイスでリッスンしている場合、Contoso の DNS 管理者は、このトピックの手順に従って、スプリット ブレイン展開を行うことができます。
DNS 管理者は、次の IP アドレスを使用して DNS サーバー インターフェイスを構成します。
- インターネットに接続するネットワーク アダプターは、外部クエリ用のパブリック IP アドレス 208.84.0.53 で構成されます。
- イントラネットに接続するネットワーク アダプターは、内部クエリ用のプライベート IP アドレス 10.0.0.56 で構成されます。
次の図は、このシナリオを示しています。
Active Directory でのスプリット ブレイン DNS 用の DNS ポリシーのしくみ
必要な DNS ポリシーで、DNS サーバーを構成すると、各名前解決の要求は、DNS サーバー上のポリシーに対して評価されます。
サーバーのインターフェイスは、内部および外部のクライアントを区別するために、この例では、条件として使用されます。
クエリを受信するサーバーのインターフェイスには、任意のポリシーが一致すると、クエリに応答する、関連付けられているゾーンのスコープが使用されます。
そのため、この例ではプライベート IP (10.0.0.56) で受信される www.career.contoso.com に対する DNS クエリが内部の IP アドレスを含む DNS 応答を受信し、パブリック ネットワーク インターフェイスで受信される DNS クエリが、既定のゾーン スコープ (通常のクエリの解決と同じ) のパブリック IP アドレスを含む DNS 応答を受信します。
動的 DNS (DDNS) の更新と清掃は、既定のゾーンのスコープでのみサポートされます。 内部クライアントは既定のゾーンのスコープによって処理されるため、Contoso の DNS 管理者は、引き続き既存のメカニズム (動的 DNS または静的) を使用して、contoso.com のレコードを更新できます。 既定以外のゾーンのスコープ (この例では外部スコープなど) では、DDNS または清掃のサポートは使用できません。
ポリシーの高可用性
DNS ポリシーは Active Directory 統合ではありません。 このため、DNS ポリシーは、同じ Active Directory 統合ゾーンをホストしている他の DNS サーバーにはレプリケートされません。
DNS ポリシーは、ローカル DNS サーバーに格納されます。 次の Windows PowerShell コマンドの例を使用すると、DNS ポリシーをサーバー間で簡単にエクスポートできます。
$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies | Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02
詳しくは、次の Windows PowerShell リファレンス トピックをご覧ください。
Active Directory でスプリット ブレイン DNS 用の DNS ポリシーを構成する方法
DNS ポリシーを使用して DNS スプリット ブレイン展開を構成するには、詳細な構成手順を示す以下のセクションのようにする必要があります。
Active Directory 統合ゾーンを追加する
次のコマンド例を使用して、Active Directory 統合の contoso.com ゾーンを DNS サーバーに追加できます。
Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru
詳しくは、「Add-DnsServerPrimaryZone」をご覧ください。
ゾーンのスコープを作成します。
このセクションを使用すると、ゾーン contoso.com をパーティション分割して外部ゾーンのスコープを作成できます。
ゾーンのスコープは、ゾーンの一意のインスタンスです。 DNS ゾーンには複数のゾーン スコープが存在する可能性があります。各ゾーン スコープには、独自の DNS レコード セットが含まれています。 同じレコードが、異なる IP アドレまたは同じ IP アドレスで複数のスコープに存在する可能性があります。
この新しいゾーン スコープを Active Directory 統合ゾーンに追加するので、ゾーン スコープとその中のレコードは、Active Directory 経由でドメイン内の他のレプリカ サーバーにレプリケートされます。
既定では、ゾーン スコープはすべての DNS ゾーンに存在します。 このゾーンのスコープでは、ゾーンと同じ名前と、従来の DNS の機能がこのスコープで動作します。 この既定のゾーン スコープで、www.career.contoso.com の内部バージョンをホストします。
次のコマンド例を使用すると、DNS サーバーでゾーン スコープを作成できます。
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"
詳細については、次を参照してください。 追加 DnsServerZoneScopeします。
レコードをゾーンのスコープに追加します。
次のステップでは、Web サーバー ホストを表すレコードを、外部と既定 (内部クライアント用) の 2 つのゾーン スコープに追加します。
既定の内部ゾーン スコープでは、レコード www.career.contoso.com はプライベート IP アドレスである IP アドレス 10.0.0.39 を使用して追加されます。外部ゾーン スコープでは、同じレコード (www.career.contoso.com) がパブリック IP アドレス 65.55.39.10 を使用して追加されます。
レコード (既定の内部ゾーン スコープと外部ゾーン スコープの両方) は、それぞれのゾーン スコープでドメイン全体に自動的にレプリケートされます。
次のコマンド例を使用すると、DNS サーバーのゾーン スコープにレコードを追加できます。
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”
注意
レコードが既定のゾーン スコープに追加されるときは、–ZoneScope パラメーターは含まれません。 この操作は、通常のゾーンにレコードを追加することと同じです。
詳細については、次を参照してください。 追加 DnsServerResourceRecordします。
DNS のポリシーを作成します。
外部ネットワークおよび内部ネットワーク用のサーバー インターフェイスを識別する、ゾーンのスコープを作成した後は、内部および外部のゾーンのスコープを接続する DNS ポリシーを作成する必要があります。
注意
この例では、内部と外部のクライアントを区別するための条件として、サーバー インターフェイス (次のコマンド例の -ServerInterface パラメーター) を使用します。 内部および外部のクライアントを区別するために別の方法では、クライアントのサブネットを使用して、条件として、です。 内部のクライアントが属するサブネットを特定する場合は、クライアントのサブネットに基づいて区別するために DNS のポリシーを構成できます。 クライアントのサブネットの条件を使用したトラフィック管理を構成する方法については、次を参照してください。 のプライマリ サーバーの地理的な場所ベースのトラフィック管理用の DNS ポリシーを使用してします。
ポリシーを構成した後は、パブリック インターフェイスで DNS クエリを受信すると、ゾーンの外部スコープから応答が返されます。
注意
既定の内部ゾーン スコープをマップするためのポリシーは必要ありません。
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com
注意
208.84.0.53 は、パブリック ネットワーク インターフェイスの IP アドレスです。
詳細については、次を参照してください。 追加 DnsServerQueryResolutionPolicyします。
これで、Active Directory 統合 DNS ゾーンでのスプリット ブレイン ネーム サーバーに必要な DNS ポリシーを使用して、DNS サーバーが構成されました。
何千もの DNS のポリシーに合わせて作成できます、トラフィック管理の要件、DNS サーバーを再起動しなくても - 受信したクエリで、すべての新しいポリシーが動的 - 適用されます。