Avançar para o conteúdo principal Não há mais suporte para esse navegador. Show
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes. Usar a política de DNS para DNS com partição de rede no Active Directory
Neste artigo
Você pode usar este tópico para aproveitar os recursos de gerenciamento de tráfego de políticas DNS para implantações de cérebro dividido com zonas DNS integradas do Active Directory em Windows Server 2016. Em Windows Server 2016, o suporte a políticas DNS é estendido para zonas DNS integradas do Active Directory. A integração do Active Directory fornece recursos de alta disponibilidade de vários mestres para o servidor DNS. Anteriormente, esse cenário exigia que os administradores DNS mantivessem dois servidores DNS diferentes, cada um fornecendo serviços para cada conjunto de usuários, internos e externos. Se apenas alguns registros dentro da zona foram divididos ou ambas as instâncias da zona (interna e externa) foram delegadas para o mesmo domínio pai, isso se tornou um enigma de gerenciamento. Observação
Exemplo Split-Brain DNS no Active DirectoryEste exemplo usa uma empresa fictícia, a Contoso, que mantém um site de carreira em www.career.contoso.com. O site tem duas versões, uma para os usuários internos em que as postagens de trabalho internas estão disponíveis. Este site interno está disponível no endereço IP local 10.0.0.39. A segunda versão é a versão pública do mesmo site, que está disponível no endereço IP público 65.55.39.10. Na ausência de política DNS, o administrador é obrigado a hospedar essas duas zonas em servidores DNS do servidor Windows separados e gerenciá-las separadamente. Usando políticas DNS, essas zonas agora podem ser hospedadas no mesmo servidor DNS. Se o servidor DNS para contoso.com estiver integrado ao Active Directory e estiver escutando em duas interfaces de rede, o Administrador de DNS da Contoso poderá seguir as etapas neste tópico para obter uma implantação de cérebro dividido. O Administrador DNS configura as interfaces do servidor DNS com os seguintes endereços IP.
A ilustração a seguir ilustra esse cenário. Como funciona a política de DNS para Split-Brain DNS no Active DirectoryQuando o servidor DNS é configurado com as políticas de DNS necessárias, cada solicitação de resolução de nome é avaliada em relação às políticas no servidor DNS. A Interface do servidor é usada neste exemplo como os critérios para diferenciar entre os clientes internos e externos. Se a interface do servidor na qual a consulta é recebida corresponder a qualquer uma das políticas, o escopo da zona associada será usado para responder à consulta. Portanto, em nosso exemplo, as consultas DNS para www.career.contoso.com recebidas no IP privado (10.0.0.56) recebem uma resposta DNS que contém um endereço IP interno; e as consultas DNS recebidas na interface de rede pública recebem uma resposta DNS que contém o endereço IP público no escopo da zona padrão (isso é o mesmo que a resolução de consulta normal). Há suporte para atualizações dns dinâmicas (DDNS) e a limpeza só tem suporte no escopo da zona padrão. Como os clientes internos são atendidos pelo escopo de zona padrão, os Administradores DNS da Contoso podem continuar usando os mecanismos existentes (DNS dinâmico ou estático) para atualizar os registros em contoso.com. Para escopos de zona não padrão (como o escopo externo neste exemplo), o suporte a DDNS ou de limpeza não está disponível. Alta disponibilidade de políticasAs políticas DNS não são integradas ao Active Directory. Por isso, as políticas DNS não são replicadas para os outros servidores DNS que hospedam a mesma zona integrada do Active Directory. As políticas DNS são armazenadas no servidor DNS local. Você pode exportar facilmente políticas DNS de um servidor para outro usando o exemplo a seguir Windows PowerShell comandos. $policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01 $policies | Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02Para obter mais informações, consulte os tópicos de referência Windows PowerShell a seguir.
Como configurar a política DNS para Split-Brain DNS no Active DirectoryPara configurar a Implantação de Split-Brain DNS usando a Política DNS, você deve usar as seções a seguir, que fornecem instruções de configuração detalhadas. Adicionar a zona integrada do Active DirectoryVocê pode usar o comando de exemplo a seguir para adicionar a zona de contoso.com integrada do Active Directory ao servidor DNS. Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThruPara obter mais informações, consulte Add-DnsServerPrimaryZone. Criar os escopos da zonaVocê pode usar esta seção para particionar a zona contoso.com para criar um escopo de zona externa. Um escopo de zona é uma instância exclusiva da zona. Uma zona DNS pode ter vários escopos de zona, com cada escopo de zona contendo seu próprio conjunto de registros DNS. O mesmo registro pode estar presente em vários escopos, com endereços IP diferentes ou os mesmos endereços IP. Como você está adicionando esse novo escopo de zona em uma zona integrada do Active Directory, o escopo da zona e os registros dentro dele serão replicados por meio do Active Directory para outros servidores de réplica no domínio. Por padrão, existe um escopo de zona em cada zona DNS. Esse escopo de zona tem o mesmo nome que a zona e as operações DNS herdadas funcionam nesse escopo. Esse escopo de zona padrão hospedará a versão interna do www.career.contoso.com. Você pode usar o comando de exemplo a seguir para criar o escopo da zona no servidor DNS. Para obter mais informações, consulte Add-DnsServerZoneScope. Adicionar registros aos escopos de zonaA próxima etapa é adicionar os registros que representam o host do servidor Web nos dois escopos de zona: externo e padrão (para clientes internos). No escopo da zona interna padrão, o registro www.career.contoso.com é adicionado com o endereço IP 10.0.0.39, que é um endereço IP privado; e no escopo da zona externa, o mesmo registro (www.career.contoso.com) é adicionado com o endereço IP público 65.55.39.10. Os registros (no escopo da zona interna padrão e no escopo da zona externa) serão replicados automaticamente no domínio com seus respectivos escopos de zona. Você pode usar o comando de exemplo a seguir para adicionar registros aos escopos de zona no servidor DNS. Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external" Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”Observação O parâmetro –ZoneScope não é incluído quando o registro é adicionado ao escopo da zona padrão. Essa ação é a mesma que adicionar registros a uma zona normal. Para obter mais informações, consulte Add-DnsServerResourceRecord. Criar as políticas DNSDepois de identificar as interfaces do servidor para a rede externa e a rede interna e criar os escopos de zona, você deve criar políticas DNS que conectem os escopos de zona interna e externa. Observação Este exemplo usa a interface do servidor (o parâmetro -ServerInterface no comando de exemplo abaixo) como os critérios para diferenciar entre os clientes internos e externos. Outro método para diferenciar entre clientes externos e internos é usando sub-redes de cliente como critério. Se você puder identificar as sub-redes às quais os clientes internos pertencem, você poderá configurar a política DNS para diferenciar com base na sub-rede do cliente. Para obter informações sobre como configurar o gerenciamento de tráfego usando critérios de sub-rede do cliente, consulte Usar a Política DNS para Geo-Location Gerenciamento de Tráfego Baseado com Servidores Primários. Depois de configurar políticas, quando uma consulta DNS é recebida na interface pública, a resposta é retornada do escopo externo da zona. Observação Nenhuma política é necessária para mapear o escopo da zona interna padrão. Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.comObservação 208.84.0.53 é o endereço IP na interface de rede pública. Para obter mais informações, consulte Add-DnsServerQueryResolutionPolicy. Agora, o servidor DNS está configurado com as políticas de DNS necessárias para um servidor de nome de cérebro dividido com uma zona DNS integrada do Active Directory. Você pode criar milhares de políticas DNS de acordo com seus requisitos de gerenciamento de tráfego e todas as novas políticas são aplicadas dinamicamente - sem reiniciar o servidor DNS - em consultas de entrada. Qual a relação entre o Active Directory e o servidor DNS local em uma rede?Em servidores DNS primários, integrados ao Active Directory, uma zona de pesquisa direta é criada por padrão durante a instalação da função de Servidor DNS. Uma zona de pesquisa direta permite que computadores e dispositivos consultem o endereço IP de outro computador ou dispositivo com base no seu nome DNS.
Qual a importância do serviço de DNS em uma rede Active Directory?Active Directory Domain Services (AD DS) usa o DNS como seu mecanismo de localização do controlador de domínio. Quando qualquer uma das principais operações do Active Directory é executada, como autenticação, atualização ou pesquisa, os computadores usam DNS para localizar controladores de domínio do Active Directory.
Como funciona o DNS no Active Directory?Active Directory Domain Services (AD DS) usa os serviços de resolução de nomes DNS (sistema de nomes de domínio) para possibilitar que os clientes localizem controladores de domínio e os controladores de domínio que hospedam o serviço de diretório para se comunicarem entre si.
Qual o papel do Active Directory?O principal serviço do Active Directory é o Active Directory Domain Services (AD DS), que faz parte do sistema operacional Windows Server. Os servidores que executam o AD DS são chamados de controladores de domínio (DC). As organizações normalmente têm vários DC e cada um tem uma cópia do diretório para todo o domínio.
|