Как настроить в dns домена определённые корневые А-узлы для разных регионов?

Question

[Jordan_H]

По умолчанию в DNS, где на контроллерах домена установлен dns, в корневых А-узлах прописываются ip всех контроллеров домена, на которых установлен DNS, для резолва имени домена (ping domain.ru).

Как настроить в dns определённые корневые А-узлы (папки верхнего уровня), чтобы резолв домена разрешался только определёнными DC на региональных площадках и случайно не резолвился dns-ами контроллеров домена, которые не доступны на уровне сети?

Answer 1

[Rsa97]

Можно настроить Split-Brain DNS и выдавать в каждой зоне только записи, относящиеся к ней.

# Только на одном контроллере AD/DNS:
# Создаём зоны видимости (Scope)
Add-DnsServerZoneScope -ZoneName "my.local" -Name "Scope149"
Add-DnsServerZoneScope -ZoneName "my.local" -Name "Scope33"

# Создаём DNS-записи для каждой зоны
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "proxy" -IPv4Address 10.149.0.200 -ZoneScope "Scope149"
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "proxy" -IPv4Address 10.33.0.200 -ZoneScope "Scope33"
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "wsus" -IPv4Address 10.149.0.209 -ZoneScope "Scope149"
Add-DnsServerResourceRecord -ZoneName "my.local" -A -Name "wsus" -IPv4Address 10.33.0.201 -ZoneScope "Scope33"

# На каждом контроллере:
# Создаём подсети
Add-DnsServerClientSubnet -Name "Subnet149" -IPv4Subnet 10.149.0.0/16
Add-DnsServerClientSubnet -Name "Subnet33" -IPv4Subnet 10.33.0.0/16
Add-DnsServerClientSubnet -Name "SubnetTotal" -IPv4Subnet 10.0.0.0/8

# Создаём политики применения зон видимости для подсетей
Add-DnsServerQueryResolutionPolicy -Name "Policy149" -Action ALLOW -ClientSubnet "eq,Subnet149" -Condition AND -FQDN "eq,proxy.my.local,wsus.my.local" -ZoneScope "Scope149" -ZoneName "my.local"
Add-DnsServerQueryResolutionPolicy -Name "Policy33" -Action ALLOW -ClientSubnet "eq,Subnet33" -Condition AND -FQDN "eq,proxy.my.local,wsus.my.local" -ZoneScope "Scope33" -ZoneName "my.local"
Add-DnsServerQueryResolutionPolicy -Name "PolicyTotal" -Action ALLOW -ClientSubnet "eq,SubnetTotal" -ZoneScope "my.local" -ZoneName "my.local"

# Включаем политики
Enable-DnsServerPolicy -Level Zone -ZoneName "my.local" -Name "Policy149"
Enable-DnsServerPolicy -Level Zone -ZoneName "my.local" -Name "Policy33"
Enable-DnsServerPolicy -Level Zone -ZoneName "my.local" -Name "PolicyTotal"

# Разрешаем Split-Brain DNS
dnscmd /config /globalqueryblocklist isatap

Comments

[Jordan_H]

Что-то интересное, спасибо, надо будет потестить.

[Alexey Dmitriev]

Jordan_H, у вас DNSы на Server 2016-2019?

[Jordan_H]

Alexey Dmitriev, Да, 2016 в режиме ядра, инструкция должна быть ок)

[Alexey Dmitriev]

Jordan_H, не уверен, что это сработает в случае корневых записей, буду ждать от вас результата тестов.

[Jordan_H]

Alexey Dmitriev, полностью не тестировал, но полагаю что для корневых записей это действительно работать не будет, так как в данном примере есть именование узлов "proxy, wsus". В случае резолва самого домена не используются подобные именования. Хотя... Если попробовать имя "@", возможно и взлетит

[Jordan_H]

Rsa97, спасибо за решение, удалось получить адекватный резолв домена на разных географических площадках, работает после следующего допиливания части кода:
    Определение корневых записей резолва домена через имя вида "@":
Add-DnsServerResourceRecord -ZoneName "имя_домена" -A -Name "@" -IPv4Address "ip_контроллера_домена" -ZoneScope "имя_зоны"
    Определение политик зоны видимости для подсетей для всего домена, вместо его узла:
Add-DnsServerQueryResolutionPolicy -Name "namezone-policy" -Action ALLOW -ClientSubnet "eq,zone_name" -Condition AND -FQDN "eq,имя_домена" -ZoneScope "name_zone_scope" -ZoneName "zone_name"

Пока всё тихо, надеюсь ничего не сломается:·)
P. S. Кстати, работает без «dnscmd /config /globalqueryblocklist isatap» и без включения политик вида «Enable-DnsServerPolicy -Level Zone -ZoneName "my.local" -Name "Policy149"»
Не знаю, что случится после выполнения этих команд...
Может так и оставить как есть, а то вдруг всё пропадёт?:)

[Rsa97]

Jordan_H, dnscmd разрешает DNS-серверу отвечать на запросы имени WPAD, оставляя в списке запретов только ISATAP. Если не используете wpad, то вам эта команда не нужна.
Enable-DnsServerPolicy включает политики, если они выключены. Возможно, у вас они сразу создались включенными.

[Jordan_H]

Rsa97, Ясно, спасибо за уточнение. Да, wpad не используется, и политики, скорее всего, автоматически включаются после создания.

Answer 2

[Alexey Dmitriev]

IMHO вариант один - включить netmask ordering.
В Microsoft DNS server отсутствует возможность выдавать разные ответы из зоны по разным притериям (например в зависимости от ip запрашивающего).
Я встречал такую возможность только в в bind - называется views.

Comments

[Rsa97]

Неправда ваша, есть такая возможность, называется Split-Brain DNS и настраивается через командлеты Powershell.

[Сергей Галактионов]

Я бы сказал точнее - DNS Policy =)