Windows Server
2016
DNS
Abfrage Richtlinien
Eine
der Neuerungen im Windows Server 2016 sind DNS Abfrage Richtlinien. Diese
können verwendet werden um zu steuern, welche Abfragen der DNS Server
beantwortet, oder Lastverteilung für Serverfarmen zu konfigurieren.
Dazu
werden DNS Zonenbereiche, die mit IP-Subnetzen verknüpft werden, erstellt. In
den Richtlinien wird für den DNS Zonenbereich das Blockieren von Anfragen oder
die Lastverteilung konfiguriert.
Die
Erstellung und Konfiguration der Richtlinien wird in der Powershell
durchgeführt. Es sind die folgenden CmdLet’s
verfügbar:
Add-DnsServerQueryResolutionPolicy Hinzufügen einer DNS Abfrage Richtlinie
Get-DnsServerQueryResolutionPolicy Anzeigen einer DNS Abfrage
Richtlinie
Remove-DnsServerQueryResolutionPolicy Entfernen einer DNS Abfrage Richtlinie
Set-DnsServerQueryResolutionPolicy Konfigurieren einer DNS Abfrage Richtlinie.
Blockieren von
Anfragen an den DNS Server aus einem festgelegten Netzwerk
Um
die Abfragen an den DNS Server aus einem festgelegten Netzwerk heraus zu
blockieren, starten Sie die Powershell.
Mit dem cmdlet Add-DnsServerClientSubnet erstellen Sie einen DNS Zonenbereich und
verknüpfen ihn mit einem IP-Subnetz. Als Optionen werden der Name des DNS
Zonebereichs und das IP-Subnetz angegeben. Die Option –PassThru sorgt für die Ausgabe der Tabelle.
Add-DNSServerClientSubnet –Name „Name des Bereichs“
–Ipv4Subnet „IP-Subnetz“
Mit dem cmdlet Add-DnsServerQueryResolutionPolicy erstellen Sie die DNS Abfrage
Richtlinie. Die Option –Name gibt den
Namen der Richtlinie an, Mit der Option -Action welche Anktion ausgeführt werden soll. Ignore verhindert die Antwort auf
Anfragen. Die Option -ClientSubnet verwendet
den Namen des vorher erstellten IP-Subnetzes.
Add-DnsServerQueryResolutionPolicy -Name
"BlackholePolicyMalicious01" -Action IGNORE -ClientSubnet
"EQ,MaliciousSubnet01" –PassThru
Ausgabe des cmdlet Get-DnsServerQueryResolutionPolicy
Konfiguration des Lastenausgleiches mit DNS Abfrage
Richtlinien
Mit den DNS Abfrage Richtlinien ist
es möglich, anders als bei RoundRobin, einen Lastenausgleich zu konfigurieren.
Um den Lastenausgleich zu
konfigurieren müssen DNS Zonenbereiche erstellt werden. Eine DNS Zone kann
mehrere Zonenbereiche enthalten. Jeder Bereich einthält seinen eigenen Satz an
Zoneneinträgen. Es können in verschiedenen Bereichen gleiche Einträge mit
unterschiedlichen IP-Adressen enthalten sein.
Im Beispiel wird der Lastenausgleich
für eine Webserverfarm in zwei Rechenzentren konfiguriert. Die Webserver im
Rechnezentrum1 sollen mehr Abfragen erhalten als die im Rechnenzentrum2.
Zum Erstellen der Zonenbereiche
starten Sie die Powershell.
Benutzen Sie das cmdlet Add-DnsServerZoneScope.Es müssen zwei
Bereiche erstellt werden.
Geben Sie den Befehl Add-DnsServerZoneScope
-ZoneName "Name der DNS Zone"
-Name "Name des Bereichs"
ein.
Mit dem cmdlet Add-DnsServerResourceRecord werden die Host-A Einträge für die
Webserver in den Rechenzentren erstellt. Jedem Zonenbereich wird ein Eintrag
hinzugefügt.
Führen Sie das cmdlet Add-DnsServerResourceRecord -ZoneName "Name
der DNS Zone" -A -Name "Name
des Host" -IPv4Address "IP
Adresse des Host" -ZoneScope "Name
des Bereichs”aus.
Anschliessend werden die Subnetze
erstellt, aus denen die Clients Abfragen senden.
Geben Sie Add-DnsServerClientSubnet -Name
"Name des Subnetzes"
-IPv4Subnet "IP-Adresse des Subnetzes" ein.
Es werden für die Subnetze beider
Rechenzentren DNS-Clientsubnetze erzeugt.
Im letzten Schritt erzeugen Sie die
DNS Abfrage Richtlinien mit denen die Abfragen verteilt werden. Die Verteilung
erfolgt hier im Verhältnis 2:1.
Geben Sie das cmdlet Add-DnsServerQueryResolutionPolicy -Name
"Name der Richtlinie" -Action
„Aktion“ –ZoneScope "Name des
Zonenbereichs mit der höheren Anzahl an Abfragen,2; Name des Zonenbereichs mit der geringeren Anzahl an Abfragen,1" -ZoneName "Name der DNS Zone" –FQDN „EQ,Name des Host Eintrages für den diese Richtlinie gilt“
ein.
Fett hervorgehoben die Werte für die prozentuale Verteilung der Abfragen. Das EQ in der
Option FQDN legt fest, das die Richtlinie nur für diesen Host gilt.