Windows Server 2016 DNS Policy Split-Brain 3

   在DNS管理中可能會遇見這樣的問題，例如某公司DNS既提供給内網使用者解析使用，也提供給公網使用者解析使用，但是，可能内網使用者使用的不多，或者公網使用者使用的不多，導緻其中一方可能隻用到了幾條記錄，但是卻要各自單獨維護一台DNS伺服器，在過去，處于安全考慮隻能這樣做，部署多台DNS伺服器，但是到了2016 DNS支援分裂部署的方式，定義DNS policy，實作不同的網卡承擔不同的DNS查詢請求，例如可以定義，凡是通過内網接口進來的查詢都走DNS内網卡，通過外網卡進來的查詢都走DNS外網卡。這樣就在單台伺服器上很好的隔離開了DNS查詢

此處我們将模拟這樣一個場景，Contoso公司是一家遊戲公司，内網使用者需要通路oa，萬網使用者需要通路遊戲官網，同時由同一台DNS承擔内外網的請求，内網使用者進來走内網接口，外網使用者進來走除了内網接口以外的其它接口。

實驗環境介紹

16DNS：承擔DNS伺服器，設定在公司總部，設定兩張網卡一張對内提供服務，一張對外提供服務

 IP位址：80.0.0.8 GW:80.0.0.1

 IP位址：90.0.0.9 GW:90.0.0.1

Web01：承擔内網的OA辦公伺服器，同時也承擔連接配接總部DNS，内網，外網用戶端的路由

IP位址1：80.0.0.1 

IP位址2：90.0.0.1

IP位址3：100.0.0.1 DNS 80.0.0.8

Web02：承擔對外提供官網Web伺服器，IP 位址：90.0.0.2 GW：90.0.0.1

Internal： 模仿内網員工 IP位址：80.0.0.100  GW：80.0.0.1 DNS : 80.0.0.8

Internet：模仿外網遊戲使用者 IP位址：90.0.0.100 GW：90.0.0.1 DNS:90.0.0.9

假定90網絡為公網網絡，16DNS為分裂部署DNS

由于我們采用接口的方式進行隔離，故不用建立用戶端子網範圍

直接建立“内部邏輯範圍”

Add-DnsServerZoneScope -ZoneName "eip.com" -Name "internal"

<a href="https://s3.51cto.com/wyfs02/M01/92/D2/wKioL1kDTCSwipfvAACshxtsbMg249.jpg" target="_blank"></a>

添加對公網提供服務的主機記錄

<a href="https://s5.51cto.com/wyfs02/M01/92/D2/wKioL1kDTQuAA9KfAACGQGmzoSM097.jpg" target="_blank"></a>

添加對内網提供伺服器的主機記錄，并加入internal ZoneScope區域

<a href="https://s5.51cto.com/wyfs02/M02/92/D3/wKioL1kDUBDz3ECTAACm7O08InU471.jpg" target="_blank"></a>

建立DNS policy，定義凡是經過DNS伺服器80.0.0.8這個接口來做查詢的，都丢到内網OA伺服器負責響應

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,80.0.0.8" -ZoneScope "internal,1" -ZoneName "eip.com"

<a href="https://s3.51cto.com/wyfs02/M00/92/D4/wKiom1kDUUizKTFlAABcj3vghTU086.jpg" target="_blank"></a>

預設情況下如果建立了基于接口判斷的DNS policy，除了已經比對接口的請求會按照協定來走，其它未比對協定的自動走DNS伺服器其它可用接口。

登入internal内部機器，可以看到DNS已經設定成了内部接口的80.0.0.8

<a href="https://s1.51cto.com/wyfs02/M02/92/D3/wKioL1kDUwmCKjhRAAHcHn73gpw578.jpg" target="_blank"></a>

<a href="https://s1.51cto.com/wyfs02/M00/92/D3/wKioL1kDUy3jrAhLAADnxJxWx1M513.jpg" target="_blank"></a>

登入internet外部機器，可以看到DNS已經設定成了外部接口的90.0.0.9

<a href="https://s4.51cto.com/wyfs02/M02/92/D5/wKiom1kDU2mwrlRGAAF_XXQwavg627.jpg" target="_blank"></a>

<a href="https://s5.51cto.com/wyfs02/M00/92/D5/wKiom1kDU5CAfbicAAEqFG7TIsQ318.jpg" target="_blank"></a>

可以看到DNS伺服器非常智能，已經根據用戶端的請求來配置設定不同的接口去響應查詢請求了，假設公司希望用同一個域名，内外網通路響應不同頁面，通過這項功能就可以很好的實作。

本文轉自 老收藏家 51CTO部落格，原文連結:http://blog.51cto.com/wzde2012/1920633