Использование политики DNS для DNS с разделением мозга в Active Directory

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Этот раздел можно использовать для использования возможностей управления трафиком политик DNS для развертываний с разделением мозга с интегрированными зонами DNS Active Directory в Windows Server 2016.

В Windows Server 2016 поддержка политик DNS распространяется на интегрированные зоны DNS Active Directory. Интеграция Active Directory предоставляет возможности высокого уровня доступности с несколькими узлами на DNS-сервере.

Ранее этот сценарий требовал, чтобы администраторы DNS поддерживали два разных DNS-сервера, каждый из которых предоставляет службы для каждого набора пользователей, внутренних и внешних. Если только несколько записей внутри зоны были разделены мозгом или оба экземпляра зоны (внутренние и внешние) были делегированы одному родительскому домену, это стало запутано управлением.

Примечание.

• Развертывания DNS — это разделение мозга, если существует две версии одной зоны, одна версия для внутренних пользователей в интрасети организации и одна версия для внешних пользователей, которые обычно являются пользователями в Интернете.
• В разделе "Использование политики DNS для развертывания DNS с разделением мозга" объясняется, как использовать политики DNS и области зоны для развертывания системы DNS с разделением мозга на одном DNS-сервере Windows Server 2016.

Пример DNS с разделением мозга в Active Directory

В этом примере используется одна вымышленная компания Contoso, которая поддерживает веб-сайт карьеры на www.career.contoso.com.

Сайт имеет две версии, один для внутренних пользователей, где доступны внутренние публикации заданий. Этот внутренний сайт доступен по локальному IP-адресу 10.0.0.39.

Вторая версия — это общедоступная версия того же сайта, которая доступна по общедоступному IP-адресу 65.55.39.10.

В отсутствие политики DNS администратор должен разместить эти две зоны на отдельных DNS-серверах Windows Server и управлять ими отдельно.

Теперь с помощью политик DNS эти зоны можно разместить на одном DNS-сервере.

Если DNS-сервер для contoso.com интегрирован и прослушивает два сетевых интерфейса, администратор DNS Contoso может выполнить действия, описанные в этом разделе, чтобы добиться развертывания разбиения мозга.

Администратор DNS настраивает интерфейсы DNS-сервера со следующими IP-адресами.

• Сетевой адаптер, подключенный к Интернету, настроен с общедоступным IP-адресом 208.84.0.53 для внешних запросов.
• Сетевой адаптер для интрасети настроен с частным IP-адресом 10.0.0.56 для внутренних запросов.

На следующем рисунке показан этот сценарий.

Как работает политика DNS для dns с разделением мозга в Active Directory

Если DNS-сервер настроен с необходимыми политиками DNS, каждый запрос разрешения имен вычисляется по политикам на DNS-сервере.

Интерфейс сервера используется в этом примере в качестве критериев для различения внутренних и внешних клиентов.

Если интерфейс сервера, на котором получен запрос, соответствует любой из политик, связанная область зоны используется для реагирования на запрос.

Таким образом, в нашем примере DNS-запросы для www.career.contoso.com , полученные на частном IP-адресе (10.0.0.56), получают DNS-ответ, содержащий внутренний IP-адрес, а запросы DNS, полученные на общедоступном сетевом интерфейсе, получают DNS-ответ, содержащий общедоступный IP-адрес в области зоны по умолчанию (это то же самое, что и обычное разрешение запросов).

Поддержка обновлений динамических DNS (DDNS) и очистки поддерживается только в области зоны по умолчанию. Так как внутренние клиенты обслуживаются областью зоны по умолчанию, администраторы DNS Contoso могут продолжать использовать существующие механизмы (динамические DNS или статические) для обновления записей в contoso.com. Для областей зоны, отличных от зоны по умолчанию (например, внешней области в этом примере), поддержка DDNS или очистки недоступна.

Высокий уровень доступности политик

Политики DNS не интегрированы в Active Directory. Из-за этого политики DNS не реплицируются на другие DNS-серверы, на которых размещена та же интегрированная зона Active Directory.

Политики DNS хранятся на локальном DNS-сервере. Политики DNS можно легко экспортировать с одного сервера на другой с помощью следующих примеров команд Windows PowerShell.

$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies |  Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02

Дополнительные сведения см. в следующих справочных разделах Windows PowerShell.

• Get-DnsServerQueryResolutionPolicy
• Add-DnsServerQueryResolutionPolicy

Настройка политики DNS для DNS с разделением мозга в Active Directory

Чтобы настроить развертывание dns split-Brain с помощью политики DNS, необходимо использовать следующие разделы, в которых приведены подробные инструкции по настройке.

Добавление интегрированной зоны Active Directory

Для добавления интегрированной зоны contoso.com Active Directory на DNS-сервер можно использовать следующую команду.

Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru

Дополнительные сведения см. в разделе Add-DnsServerPrimaryZone.

Создание областей зоны

Этот раздел можно использовать для секционирования зоны contoso.com для создания области внешней зоны.

Область зоны — это уникальный экземпляр зоны. Зона DNS может иметь несколько областей зоны с каждой областью, содержащей собственный набор записей DNS. Одна запись может присутствовать в нескольких областях с разными IP-адресами или одинаковыми IP-адресами.

Так как вы добавляете эту новую область зоны в интегрированную зону Active Directory, область зоны и записи внутри нее будут реплицироваться через Active Directory на другие серверы реплики в домене.

По умолчанию область зоны существует в каждой зоне DNS. Эта область зоны имеет то же имя, что и зона, а устаревшие операции DNS работают с этой областью. Эта область зоны по умолчанию будет размещать внутреннюю версию www.career.contoso.com.

Для создания области зоны на DNS-сервере можно использовать следующую команду.

Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"

Дополнительные сведения см. в разделе Add-DnsServerZoneScope.

Добавление записей в области зоны

Следующим шагом является добавление записей, представляющих узел веб-сервера, в две области зоны — внешние и стандартные (для внутренних клиентов).

В области внутренней зоны по умолчанию запись www.career.contoso.com добавляется с IP-адресом 10.0.0.39, который является частным IP-адресом, а в области внешней зоны добавляется та же запись (www.career.contoso.com) с общедоступным IP-адресом 65.55.39.10.

Записи (как в области внутренней зоны по умолчанию, так и в области внешней зоны) автоматически реплицируются по всему домену с соответствующими областями зоны.

Для добавления записей в области зоны на DNS-сервере можно использовать следующую команду.

Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”

Примечание.

Параметр –ZoneScope не включается при добавлении записи в область зоны по умолчанию. Это действие аналогично добавлению записей в обычную зону.

Дополнительные сведения см. в разделе Add-DnsServerResourceRecord.

Создание политик DNS

После определения интерфейсов сервера для внешней сети и внутренней сети и создания областей зоны необходимо создать политики DNS, которые подключают внутренние и внешние области зоны.

Примечание.

В этом примере интерфейс сервера (параметр -ServerInterface в приведенном ниже примере команды) используется в качестве критерия для разделения внутренних и внешних клиентов. Другой способ различать внешние и внутренние клиенты — использовать подсети клиента в качестве критерия. Если можно определить подсети, к которым принадлежат внутренние клиенты, можно настроить политику DNS для различения на основе подсети клиента. Сведения о настройке управления трафиком с помощью условий подсети клиента см. в статье "Использование политики DNS для управления трафиком на основе геолокации с основными серверами".

После настройки политик при получении DNS-запроса на общедоступный интерфейс ответ возвращается из внешней области зоны.

Примечание.

Для сопоставления области внутренней зоны по умолчанию не требуются политики.

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com

Примечание.

208.84.0.53 — это IP-адрес в общедоступном сетевом интерфейсе.

Дополнительные сведения см. в разделе Add-DnsServerQueryResolutionPolicy.

Теперь DNS-сервер настроен с необходимыми политиками DNS для сервера имен с разделением мозга с интегрированной зоной DNS Active Directory.

Вы можете создавать тысячи политик DNS в соответствии с требованиями к управлению трафиком, и все новые политики применяются динамически , не перезапуская DNS-сервер в входящих запросах.