Se aplică la: Windows Server (canal semestrial), Windows Server 2016

Puteți utiliza acest subiect pentru a afla cum să configurați politica DNS pentru a permite serverelor DNS primare să răspundă la interogările clientului DNS pe baza locației geografice atât a clientului, cât și a resursei la care clientul încearcă să se conecteze, oferind clientului IP-ul adresa celei mai apropiate resurse.

Acest scenariu ilustrează modul de implementare a politicii DNS pentru gestionarea traficului pe bază de localizare geografică atunci când utilizați numai servere DNS primare. De asemenea, puteți realiza gestionarea traficului bazată pe geo-locație atunci când aveți atât servere DNS primare, cât și secundare. Dacă aveți o implementare primar-secundar, parcurgeți mai întâi pașii din acest subiect, apoi completați pașii care sunt furnizați în subiectul Utilizarea politicii DNS pentru gestionarea traficului bazat pe geo-locație cu implementări primare-secundare.

Cu noile politici DNS, puteți crea o politică DNS care permite serverului DNS să răspundă la o interogare a clientului care solicită adresa IP a unui server Web. Instanțele serverului Web pot fi localizate în centre de date diferite, în locații fizice diferite. DNS poate evalua locația clientului și a serverului Web, apoi răspunde la solicitarea clientului furnizând clientului o adresă IP a serverului Web pentru un server Web care este situat fizic mai aproape de client.

Puteți utiliza următorii parametri de politică DNS pentru a controla răspunsurile serverului DNS la interogările clienților DNS.

  • Subrețea client. Numele unui client de subrețea predefinit. Folosit pentru a verifica subrețeaua de la care a fost trimisă interogarea.
  • Protocolul de transport. Protocol de transport utilizat în interogare. Intrările posibile sunt UDP și TCP.
  • Protocol Internet. Protocol de rețea utilizat în interogare. Intrările posibile sunt IPv4 și IPv6.
  • Adresa IP a interfeței serverului. Adresa IP a interfeței de rețea a serverului DNS care a primit solicitarea DNS.
  • FQDN. Numele de domeniu complet calificat (FQDN) al înregistrării din interogare, cu posibilitatea utilizării unui wild card.
  • Tipul interogării. Tipul înregistrării solicitate (A, SRV, TXT etc.).
  • Ora din zi. Ora din zi a primirii interogării.

Puteți combina următoarele criterii cu un operator logic (ȘI/SAU) pentru a formula expresii de politică. Când aceste expresii se potrivesc, se așteaptă ca politicile să efectueze una dintre următoarele acțiuni.

  • Ignora. Serverul DNS renunță în tăcere la interogare.
  • Nega. Serverul DNS răspunde acestei interogări cu un răspuns la eșec.
  • Permite. Serverul DNS răspunde înapoi cu un răspuns gestionat de trafic.

Exemplu de gestionare a traficului bazat pe localizare geografică

Următorul este un exemplu al modului în care puteți utiliza politica DNS pentru a realiza redirecționarea traficului pe baza locației fizice a clientului care efectuează o interogare DNS.

Acest exemplu folosește două companii fictive - Contoso Cloud Services, care oferă soluții de găzduire web și de domeniu; și Woodgrove Food Services, care oferă servicii de livrare de alimente în mai multe orașe de pe glob și care are un site Web numit woodgrove.com.

Contoso Cloud Services are două centre de date, unul în S.U.A. și altul în Europa. Centrul de date european găzduiește un portal de comandă a alimentelor pentru woodgrove.com.

Pentru a se asigura că clienții woodgrove.com primesc o experiență receptivă de pe site-ul lor, Woodgrove dorește ca clienții europeni să fie direcționați către centrele de date europene și clienții americani direcționați către SUA centru de date. Clienții aflați în altă parte a lumii pot fi direcționați către oricare dintre centrele de date.

Următoarea ilustrație descrie acest scenariu.

pentru

Cum funcționează procesul de rezoluție a numelui DNS

În timpul procesului de rezolvare a numelui, utilizatorul încearcă să se conecteze la www.woodgrove.com. Aceasta are ca rezultat o solicitare de rezoluție a numelui DNS care este trimisă către serverul DNS care este configurat în proprietățile de conexiune la rețea de pe computerul utilizatorului. De obicei, acesta este serverul DNS furnizat de ISP-ul local care acționează ca un rezolvator de cache și este denumit LDNS.

Dacă numele DNS nu este prezent în memoria cache locală a LDNS, serverul LDNS redirecționează interogarea către serverul DNS autorizat pentru woodgrove.com. Serverul DNS autorizat răspunde cu înregistrarea solicitată (www.woodgrove.com) la serverul LDNS, care, la rândul său, cache înregistrează local înainte de a o trimite pe computerul utilizatorului.

Deoarece Contoso Cloud Services folosește politici DNS Server, serverul DNS autorizat care găzduiește contoso.com este configurat pentru a returna răspunsuri gestionate de trafic bazat pe locație geografică. Acest lucru duce la direcția clienților europeni către centrul de date european și direcția clienților americani către S.U.A. datacenter, așa cum este descris în ilustrație.

În acest scenariu, serverul DNS autorizat vede de obicei cererea de rezoluție a numelui provenind de la serverul LDNS și, foarte rar, de la computerul utilizatorului. Din această cauză, adresa IP sursă din cererea de rezoluție a numelui, așa cum este văzută de serverul DNS autorizat, este cea a serverului LDNS și nu cea a computerului utilizatorului. Cu toate acestea, utilizarea adresei IP a serverului LDNS atunci când configurați răspunsuri la interogare bazată pe localizare geografică oferă o estimare corectă a locației geografice a utilizatorului, deoarece utilizatorul interogă serverul DNS al ISP-ului său local.

Politicile DNS utilizează IP-ul expeditorului în pachetul UDP/TCP care conține interogarea DNS. În cazul în care interogarea ajunge la serverul principal prin multiple hopuri resolver/LDNS, politica va lua în considerare doar IP-ul ultimului resolver de la care serverul DNS primește interogarea.

Cum se configurează politica DNS pentru răspunsuri la interogări bazate pe localizare geografică

Pentru a configura politica DNS pentru răspunsurile la interogare bazate pe localizare geografică, trebuie să efectuați pașii următori.

Trebuie să efectuați acești pași pe serverul DNS care este autoritar pentru zona pe care doriți să o configurați. Calitatea de membru în DnsAdmins, sau echivalent, este necesar pentru a efectua următoarele proceduri.

Următoarele secțiuni oferă instrucțiuni de configurare detaliate.

Următoarele secțiuni includ exemple de comenzi Windows PowerShell care conțin exemple de valori pentru mulți parametri. Asigurați-vă că înlocuiți valorile de exemplu din aceste comenzi cu valori care sunt adecvate implementării dvs. înainte de a rula aceste comenzi.

Creați subrețele client DNS

Primul pas este să identificați subrețele sau spațiul de adresă IP al regiunilor pentru care doriți să redirecționați traficul. De exemplu, dacă doriți să redirecționați traficul către S.U.A. și Europa, trebuie să identificați subrețele sau spațiile de adrese IP ale acestor regiuni.

Puteți obține aceste informații din hărțile Geo-IP. Pe baza acestor distribuții Geo-IP, trebuie să creați „Subrețele client DNS”. O subrețea client DNS este o grupare logică a subrețelor IPv4 sau IPv6 de la care sunt trimise interogări către un server DNS.

Puteți utiliza următoarele comenzi Windows PowerShell pentru a crea subrețele client DNS.

Creați zone de aplicare

După configurarea subrețelor client, trebuie să partiționați zona al cărei trafic doriți să îl redirecționați în două domenii de zonă diferite, câte un domeniu pentru fiecare dintre subrețele client DNS pe care le-ați configurat.

De exemplu, dacă doriți să redirecționați traficul pentru numele DNS www.woodgrove.com, trebuie să creați două domenii de zonă diferite în zona woodgrove.com, unul pentru S.U.A. și unul pentru Europa.

Un domeniu de aplicare al zonei este o instanță unică a zonei. O zonă DNS poate avea mai multe domenii de zonă, fiecare zonă de zonă conținând propriul set de înregistrări DNS. Aceeași înregistrare poate fi prezentă în mai multe domenii, cu adrese IP diferite sau aceleași adrese IP.

În mod implicit, există o zonă de aplicare pe zonele DNS. Acest domeniu de zonă are același nume ca zona și operațiunile DNS vechi funcționează pe acest domeniu.

Puteți utiliza următoarele comenzi Windows PowerShell pentru a crea scopuri de zonă.

Adăugați înregistrări în zonele de aplicare

Acum trebuie să adăugați înregistrările care reprezintă gazda serverului web în cele două zone de aplicare.

De exemplu, USZoneScope și EuropeZoneScope. În USZoneScope, puteți adăuga înregistrarea www.woodgrove.com cu adresa IP 192.0.0.1, care se află într-o S.U.A. centru de date; și în EuropeZoneScope puteți adăuga aceeași înregistrare (www.woodgrove.com) cu adresa IP 141.1.0.1 în centrul de date european.

Puteți utiliza următoarele comenzi Windows PowerShell pentru a adăuga înregistrări în domeniile zonei.

În acest exemplu, trebuie să utilizați, de asemenea, următoarele comenzi Windows PowerShell pentru a adăuga înregistrări în domeniul implicit al zonei, pentru a vă asigura că restul lumii poate accesa în continuare serverul web woodgrove.com din oricare dintre cele două centre de date.

ZoneScope parametrul nu este inclus atunci când adăugați o înregistrare în domeniul implicit. Este la fel ca adăugarea de înregistrări într-o zonă DNS standard.

Creați politicile

După ce ați creat subrețele, partițiile (domeniile zonei) și ați adăugat înregistrări, trebuie să creați politici care conectează subrețele și partițiile, astfel încât atunci când o interogare provine dintr-o sursă din una dintre subrețele client DNS, interogarea răspunsul este returnat din domeniul corect al zonei. Nu sunt necesare politici pentru maparea domeniului implicit al zonei.

Puteți utiliza următoarele comenzi Windows PowerShell pentru a crea o politică DNS care leagă subrețele client DNS și domeniile de zonă.

Acum, serverul DNS este configurat cu politicile DNS necesare pentru a redirecționa traficul pe baza locației geografice.

Când serverul DNS primește interogări privind rezoluția numelui, serverul DNS evaluează câmpurile din cererea DNS în raport cu politicile DNS configurate. Dacă adresa IP sursă din cererea de rezoluție a numelui se potrivește cu oricare dintre politici, sfera de zonă asociată este utilizată pentru a răspunde la interogare, iar utilizatorul este direcționat către resursa cea mai apropiată geografic de acestea.

Puteți crea mii de politici DNS în funcție de cerințele dvs. de gestionare a traficului și toate politicile noi sunt aplicate dinamic - fără a reporni serverul DNS - la interogările primite.