Что нового в DNS роли в Windows Server 2016 Technical Preview 3
Всем привет сегодня хочу рассказать что появилось нового в DNS роли в Windows Server 2016 Technical Preview 3. Помимо поддержки управления DNS-сервером из PowerShell, появилась новая возможность – DNS policy.
DNS policy – это расширение DNS-сервера для адаптации его работы в зависимости от содержания приходящих запросов. Благодаря первоочередному применению политик на поступивший запрос, можно существенно облегчить работу сервера, отсеяв заведомо ненужные запросы, либо указав серверу, изменить содержание ответа в соответствии с описанными правилами.
Принцип работы
Политики применяются к трем категориям запросов:
- Запрос на разрешение записи. Все обычные запросы на разрешение имени в IP-адрес, или получение значений TXT-, MX- и SRV-записей.
- Запрос на передачу зон. Запросы от ваших вторичных серверов на обновление информации о зоне. Если такой запрос будет выполнен для чужого сервера, он получит всё содержимое вашей зоны.
- Запрос, для выполнения которого нужно выполнить рекурсивный запрос. Например, клиент запросил имя, находящееся не в ваших зонах. Сервер должен переспросить вышестоящий сервер для получения результата. Для внешних клиентов обрабатывать такие запросы нужно не всегда.
Область применения политики может быть, как на весь сервер, так и на конкретную зону, если эта зона не интегрирована в Active Directory.
Политики DNS-сервера позволяют реализовать следующие действия:
- Создавать зону с различным набором записей.
- Классифицировать клиента по его IP-адресу и использовать это в правилах применения политик.
- Применять политики на весь сервер и на зоны, не интегрированные в Active Directory.
- Применять различные политики в зависимости от интерфейса, получившего запрос.
- Применять политики в зависимости от времени суток.
- Применять политики по типу запрашиваемых записей.
- Отвечать на запросы данными из различных версий зоны в заданных пропорциях, похоже на управляемый Round Robin.
- Применять политики для пересылки зон.
- Применять нужную политику по фильтру, если для завершения запроса нужно выполнить рекурсию.
- Располагать политики в нужном порядке обработки.
Все созданные политики сохраняются в реестре в следующих разделах:
Заданные подсети, используемые в правилах применения политик, хранятся в разделе реестра
Политики, применяемые на сервер, хранятся в разделе реестра
Политики, применяемые к конкретной зоне, хранятся в разделе реестра
Зоны, используемые в правилах рекурсивных запросов, хранятся в разделе реестра
Значение о состоянии рекурсии для всего сервера (используется зона ".") хранится в разделе
Ключ NoRecursion равен «0» — рекурсия включена, «1» — выключена. Переключение из включенного в выключенное состояние, требует перезапуска службы DNS-сервера.
Если для зоны создается альтернативное содержание (Add-DnsServerZoneScope), оно помещается в файле, размещенном в C:\Windows\System32\dns\{имя зоны}
А конфигурация записывается в реестр
При удалении альтернативной версии зоны, запись в реестре удаляется, а файл альтернативного содержания остаётся на месте.
Несмотря на обилие мест расположения настроек, для их изменений достаточно несколько команд PowerShell.
Для работы с политиками запросов разрешения записи и рекурсивных запросов:
Add-DnsServerQueryResolutionPolicy
Get-DnsServerQueryResolutionPolicy
Set-DnsServerQueryResolutionPolicy
Remove-DnsServerQueryResolutionPolicy
Для работы с запросами по передаче зон:
Add-DnsServerZoneTransferPolicy
Get-DnsServerZoneTransferPolicy
Set-DnsServerZoneTransferPolicy
Remove-DnsServerZoneTransferPolicy
Действия выполнения политик могут быть следующие:
-Action ALLOW – запрос выполняется сервером DNS
-Action DENY – сервер DNS отвечает отказом
-Action IGNORE – запрос не обрабатывается сервером DNS
Для понимания этапов обработки политик есть следующие схемы прохождения запроса.
Схема обработки запросов разрешения записи и рекурсивных запросов:
Схема обработки запросов на передачу зон:
Примеры
Настройка ограничения выполнения рекурсивных запросов
Есть задача настроить DNS-сервер на выполнение рекурсивных запросов только для внутренних клиентов. Сервер имеет два сетевых интерфейса. У внешнего IP-адрес 1.1.1.1, у внутреннего интерфейса IP-адрес 10.0.0.39. Можно выполнить эту задачу, ограничив выполнение таких запросов только внутренним интерфейсом. Для этого необходимо запретить рекурсивные запросы на уровне сервера и разрешить только для запросов, полученных внутренним интерфейсом.
# Запрещаем рекурсию на область «.» - т.е. на уровне сервера
# Добавляем область для внутренних клиентов с разрешением выполнения рекурсивных запросов
# Создаём правило, разрешающее рекурсивные запросы
Разберём команду создания политики подробнее.
Add-DnsServerQueryResolutionPolicy – командлет создания политики обработки запросов на разрешение записей и рекурсивных запросов.
-Name «SplitBrainRecursionPolicy» – имя политики
-Action ALLOW – действие политики – выполнить запрос
-ApplyOnRecursion – политика обрабатывает только запросы, для которых нужно выполнить рекурсивный запрос
-RecursionScope «InternalClients – получает значение разрешения или запрета рекурсии заданной ранее области
-ServerInterfaceIP „EQ,10.0.0.39“ – правило применения политики – только запрос, пришедший на интерфейс сервера с IPv4-адресом равным 10.0.0.39.
Модификация ответа на запрос разрешения имени
В компании есть отказоустойчивый веб-сервер, размещенный на двух площадках – в Европе и в Австралии. Скорость работы обоих площадок всегда одинакова, но в ночные часы стоимость аренды меньше. Компания решила задействовать площадки в зависимости от времени суток. Для этого принято решение распределять запросы клиентов в процентном отношении 80/20 на ночной и дневной датацентр.
# Создаём версии зоны для Европы и Австралии
# Создаём запись для веб-сервера в новых зонах с указанием на разные датацентры
# Создаём политики обработки запросов по наших условиям
Add-DnsServerQueryResolutionPolicy -Name "www-0-6" -Action ALLOW -ZoneScope "AustralianDC,1;EuropeDC,4" –TimeOfDay “EQ,00:00-06:00” -ZoneName "testzone.z" –ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "www-18-24" -Action ALLOW -ZoneScope "AustralianDC,1;EuropeDC,4" –TimeOfDay “EQ,18:00-23:59” -ZoneName "testzone.z" –ProcessingOrder 3
Разберём команду создания политики подробнее.
Add-DnsServerQueryResolutionPolicy – командлет создания политики
-Name „www-6-18“ – имя политики
-Action ALLOW – действие политики – выполнить запрос
-ZoneScope „AustralianDC,4;EuropeDC,1“ – указывает политике, использовать две версии зоны в пропорциях 4 к 1, получая требуемое соотношение 80% к 20% в выдаче данных из версии зоны для Европы и Австралии
–TimeOfDay “EQ,06:00-18:00” – Время действия политики
-ZoneName „testzone.z“ – имя зоны, для которой действует политика
–ProcessingOrder 1 – очередность применения политики, для политик этой зоны
Ограничение запросов на передачу зон
В компания имеется основной DNS-сервер для внешних зон и два вторичных DNS-сервера, размещенных у разных провайдеров. Запретить сетевым экраном обращение к основному серверу по протоколу TCP на 53-й порт не представляется возможным, т.к. зоны имеют записи, превышающие размер пакета UDP. Решено использовать для этих целей DNS policy.
# Создаём диапазоны адресов наших вторичных DNS-серверов
# Создаём политику обработки запросов на перенос зон
Разберём команду создания политики подробнее.
Add-DnsServerZoneTransferPolicy – командлет создания политики обработки запросов на перенос зон
-Name „Allow secondary DNS“ – название политики
-ZoneName „testzone.z“ – название зоны, для которой будет действовать политика
-Action IGNORE – действие политики
-ClientSubnet „ne,DNSsecondary1,DNSsecondary2“ – условие применения для всех кроме наших серверов
Как видно, для решения многих задач теперь можно использовать DNS policy. Правильно описав правила прохождения запросов к DNS-серверу, можно не только оптимизировать работу сервисов, но и снизить нагрузку на DNS-сервер, отфильтровав ненужные запросы.
Материал сайта pyatilistnik.org