Windows Server 2016 DNS Policy Split-Brain 3

標籤：this   auto   otto   子網   使用   使用者   介紹   tom   title   

    在DNS管理中可能會遇見這樣的問題，例如某公司DNS既提供給內網使用者解析使用，也提供給公網使用者解析使用，但是，可能內網使用者使用的不多，或者公網使用者使用的不多，導致其中一方可能只用到了幾條記錄，但是卻要各自單獨維護一台DNS伺服器，在過去，處於安全考慮只能這樣做，部署多台DNS伺服器，但是到了2016 DNS支援分裂部署的方式，定義DNS policy，實現不同的網卡承擔不同的DNS查詢請求，例如可以定義，凡是通過內網介面進來的查詢都走DNS內網卡，通過外網卡進來的查詢都走DNS外網卡。這樣就在單台伺服器上很好的隔離開了DNS查詢

此處我們將類比這樣一個情境，Contoso公司是一家遊戲公司，內網使用者需要訪問oa，萬網使用者需要訪問遊戲官網，同時由同一台DNS承擔內外網的請求，內網使用者進來走內網介面，外網使用者進來走除了內網介面以外的其它介面。

實驗環境介紹

16DNS：承擔DNS伺服器，設定在公司總部，設定兩張網卡一張對內提供服務，一張對外提供服務

 IP地址：80.0.0.8 GW:80.0.0.1

 IP地址：90.0.0.9 GW:90.0.0.1

Web01：承擔內網的OA辦公伺服器，同時也承擔串連總部DNS，內網，外網用戶端的路由

IP地址1：80.0.0.1 

IP地址2：90.0.0.1

IP地址3：100.0.0.1 DNS 80.0.0.8

Web02：承擔對外提供官網Web伺服器，IP 位址：90.0.0.2 GW：90.0.0.1

Internal： 模仿內網員工 IP地址：80.0.0.100  GW：80.0.0.1 DNS : 80.0.0.8

Internet：模仿外網遊戲使用者 IP地址：90.0.0.100 GW：90.0.0.1 DNS:90.0.0.9

假定90網路為公網網路，16DNS為分裂部署DNS

由於我們採用介面的方式進行隔離，故不用建立用戶端子網範圍

直接建立“內部邏輯範圍”

Add-DnsServerZoneScope -ZoneName "eip.com" -Name "internal"

650) this.width=650;" src="https://s3.51cto.com/wyfs02/M01/92/D2/wKioL1kDTCSwipfvAACshxtsbMg249.jpg" title="2017-04-28_220457.jpg" alt="wKioL1kDTCSwipfvAACshxtsbMg249.jpg" />

添加對公網提供服務的主機記錄

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/92/D2/wKioL1kDTQuAA9KfAACGQGmzoSM097.jpg" title="2017-04-28_220900.jpg" alt="wKioL1kDTQuAA9KfAACGQGmzoSM097.jpg" />

添加對內網提供伺服器的主機記錄，並加入internal ZoneScope地區

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M02/92/D3/wKioL1kDUBDz3ECTAACm7O08InU471.jpg" title="2017-04-28_222130.jpg" alt="wKioL1kDUBDz3ECTAACm7O08InU471.jpg" />

建立DNS policy，定義凡是經過DNS伺服器80.0.0.8這個介面來做查詢的，都丟到內網OA伺服器負責響應

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,80.0.0.8" -ZoneScope "internal,1" -ZoneName "eip.com"

650) this.width=650;" src="https://s3.51cto.com/wyfs02/M00/92/D4/wKiom1kDUUizKTFlAABcj3vghTU086.jpg" title="2017-04-28_222659.jpg" alt="wKiom1kDUUizKTFlAABcj3vghTU086.jpg" />

預設情況下如果建立了基於介面判斷的DNS policy，除了已經匹配介面的請求會按照協議來走，其它未匹配協議的自動走DNS伺服器其它可用介面。

登入internal內部機器，可以看到DNS已經設定成了內部介面的80.0.0.8

650) this.width=650;" src="https://s1.51cto.com/wyfs02/M02/92/D3/wKioL1kDUwmCKjhRAAHcHn73gpw578.jpg" title="2017-04-28_223423.jpg" alt="wKioL1kDUwmCKjhRAAHcHn73gpw578.jpg" />

訪問www.eip.com 自動跳轉至內網OA伺服器負責響應

650) this.width=650;" src="https://s1.51cto.com/wyfs02/M00/92/D3/wKioL1kDUy3jrAhLAADnxJxWx1M513.jpg" title="2017-04-28_223432.jpg" alt="wKioL1kDUy3jrAhLAADnxJxWx1M513.jpg" />

登入internet外部機器，可以看到DNS已經設定成了外部介面的90.0.0.9

650) this.width=650;" src="https://s4.51cto.com/wyfs02/M02/92/D5/wKiom1kDU2mwrlRGAAF_XXQwavg627.jpg" title="2017-04-28_223611.jpg" alt="wKiom1kDU2mwrlRGAAF_XXQwavg627.jpg" />

訪問www.eip.com 自動跳轉至外網門戶伺服器負責響應

650) this.width=650;" src="https://s5.51cto.com/wyfs02/M00/92/D5/wKiom1kDU5CAfbicAAEqFG7TIsQ318.jpg" title="2017-04-28_223649.jpg" alt="wKiom1kDU5CAfbicAAEqFG7TIsQ318.jpg" />

可以看到DNS伺服器非常智能，已經根據用戶端的請求來分配不同的介面去響應查詢請求了，假設公司希望用同一個網域名稱，內外網訪問響應不同頁面，通過這項功能就可以很好的實現。

本文出自 “一個倔強的孤島” 部落格，轉載請與作者聯絡！

Windows Server 2016 DNS Policy Split-Brain 3