このトピックを使用すると、Windows Server 2016 の Active Directory 統合 DNS ゾーンでスプリット ブレイン展開に DNS ポリシーのトラフィック管理機能を利用できます。
Windows Server 2016 では、DNS ポリシーのサポートが、Active Directory 統合 DNS ゾーンに拡張されています。 Active Directory 統合では、マルチマスターの高可用性機能が DNS サーバーに提供されます。
以前は、このシナリオは、DNS 管理者の管理 2 台の DNS サーバー、各内部および外部のユーザーのセットごとにサービスを提供することが必要です。 この場合だけで、ゾーン内のいくつかのレコードが分割 brained またはゾーン (内部および外部) の両方のインスタンスが同じ親ドメインに委任された、管理の難点ようになりました。
Note
- DNS の展開は、1 つのゾーンの 2 つのバージョンがある場合、スプリット ブレインになります。1 つのバージョンは組織のイントラネット上の内部ユーザー用で、もう 1 つのバージョンは外部ユーザー (通常はインターネット上のユーザー) 用です。
- 「 Split-Brain DNS 展開に DNS ポリシー を使用する」トピックでは、DNS ポリシーとゾーン スコープを使用して、スプリットブレイン DNS システムを単一の Windows Server 2016 DNS サーバーに展開する方法について説明します。
Active Directory でのスプリット ブレイン DNS の例
この例では、 www.career.contoso.comでキャリア Web サイトを管理する架空の会社 Contoso を使用しています。
サイトには、内部の求人が利用可能な内部ユーザー用、2 つのバージョンがあります。 この内部サイトは、ローカル IP アドレス 10.0.0.39 から入手できます。
2 番目のバージョンは、パブリック IP アドレス 65.55.39.10 で利用可能な同じサイトのパブリック バージョンです。
DNS のポリシーがない場合を別の Windows Server DNS サーバーでこれら 2 つのゾーンをホストし、それらを個別に管理、管理者が必要です。
DNS ポリシーを使用してこれらのゾーンできますでホストされるよう、同じ DNS サーバーです。
Contoso.com の DNS サーバーが Active Directory 統合であり、2 つのネットワーク インターフェイスでリッスンしている場合、Contoso の DNS 管理者は、このトピックの手順に従って、スプリット ブレイン展開を行うことができます。
DNS 管理者は、次の IP アドレスを使用して DNS サーバー インターフェイスを構成します。
- インターネットに接続するネットワーク アダプターは、外部クエリ用のパブリック IP アドレス 208.84.0.53 で構成されます。
- イントラネットに接続するネットワーク アダプターは、内部クエリ用のプライベート IP アドレス 10.0.0.56 で構成されます。
次の図は、このシナリオを示しています。
Active Directory でのスプリット ブレイン DNS 用の DNS ポリシーのしくみ
必要な DNS ポリシーで、DNS サーバーを構成すると、各名前解決の要求は、DNS サーバー上のポリシーに対して評価されます。
サーバーのインターフェイスは、内部および外部のクライアントを区別するために、この例では、条件として使用されます。
クエリを受信するサーバーのインターフェイスには、任意のポリシーが一致すると、クエリに応答する、関連付けられているゾーンのスコープが使用されます。
そのため、この例では、プライベート IP (10.0.0.56) で受信した www.career.contoso.com の DNS クエリは、内部 IP アドレスを含む DNS 応答を受け取り、パブリック ネットワーク インターフェイスで受信した DNS クエリは、既定のゾーン スコープのパブリック IP アドレスを含む DNS 応答を受け取ります (これは通常のクエリ解決と同じです)。
動的 DNS (DDNS) の更新と清掃は、既定のゾーンのスコープでのみサポートされます。 内部クライアントは既定のゾーンのスコープによって処理されるため、Contoso の DNS 管理者は、引き続き既存のメカニズム (動的 DNS または静的) を使用して、contoso.com のレコードを更新できます。 既定以外のゾーンのスコープ (この例では外部スコープなど) では、DDNS または清掃のサポートは使用できません。
ポリシーの高可用性
DNS ポリシーは Active Directory 統合ではありません。 このため、DNS ポリシーは、同じ Active Directory 統合ゾーンをホストしている他の DNS サーバーにはレプリケートされません。
DNS ポリシーは、ローカル DNS サーバーに格納されます。 次の Windows PowerShell コマンドの例を使用すると、DNS ポリシーをサーバー間で簡単にエクスポートできます。
$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies | Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02
詳しくは、次の Windows PowerShell リファレンス トピックをご覧ください。
Active Directory でスプリット ブレイン DNS 用の DNS ポリシーを構成する方法
DNS ポリシーを使用して DNS スプリット ブレイン展開を構成するには、詳細な構成手順を示す以下のセクションのようにする必要があります。
Active Directory 統合ゾーンを追加する
次のコマンド例を使用して、Active Directory 統合の contoso.com ゾーンを DNS サーバーに追加できます。
Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru
詳細については、「 Add-DnsServerPrimaryZone」を参照してください。
ゾーンのスコープを作成します。
このセクションを使用すると、ゾーン contoso.com をパーティション分割して外部ゾーンのスコープを作成できます。
ゾーンのスコープは、ゾーンの一意のインスタンスです。 DNS ゾーンには複数のゾーン スコープが存在する可能性があります。各ゾーン スコープには、独自の DNS レコード セットが含まれています。 同じレコードが、異なる IP アドレまたは同じ IP アドレスで複数のスコープに存在する可能性があります。
この新しいゾーン スコープを Active Directory 統合ゾーンに追加するので、ゾーン スコープとその中のレコードは、Active Directory 経由でドメイン内の他のレプリカ サーバーにレプリケートされます。
既定では、ゾーン スコープはすべての DNS ゾーンに存在します。 このゾーンのスコープでは、ゾーンと同じ名前と、従来の DNS の機能がこのスコープで動作します。 この既定のゾーン スコープは、 www.career.contoso.comの内部バージョンをホストします。
次のコマンド例を使用すると、DNS サーバーでゾーン スコープを作成できます。
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"
詳細については、「 Add-DnsServerZoneScope」を参照してください。
レコードをゾーンのスコープに追加します。
次のステップでは、Web サーバー ホストを表すレコードを、外部と既定 (内部クライアント用) の 2 つのゾーン スコープに追加します。
既定の内部ゾーン スコープでは、レコード www.career.contoso.com はプライベート IP アドレスである IP アドレス 10.0.0.39 で追加され、外部ゾーン スコープでは、同じレコード (www.career.contoso.com) がパブリック IP アドレス 65.55.39.10 で追加されます。
レコード (既定の内部ゾーン スコープと外部ゾーン スコープの両方) は、それぞれのゾーン スコープでドメイン全体に自動的にレプリケートされます。
次のコマンド例を使用すると、DNS サーバーのゾーン スコープにレコードを追加できます。
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”
Note
–ZoneScope パラメーターは、レコードが既定のゾーン スコープに追加されるときに含まれません。 この操作は、通常のゾーンにレコードを追加することと同じです。
詳細については、「 Add-DnsServerResourceRecord」を参照してください。
DNS のポリシーを作成します。
外部ネットワークおよび内部ネットワーク用のサーバー インターフェイスを識別する、ゾーンのスコープを作成した後は、内部および外部のゾーンのスコープを接続する DNS ポリシーを作成する必要があります。
Note
この例では、内部と外部のクライアントを区別するための条件として、サーバー インターフェイス (次のコマンド例の -ServerInterface パラメーター) を使用します。 内部および外部のクライアントを区別するために別の方法では、クライアントのサブネットを使用して、条件として、です。 内部のクライアントが属するサブネットを特定する場合は、クライアントのサブネットに基づいて区別するために DNS のポリシーを構成できます。 クライアント サブネットの条件を使用してトラフィック管理を構成する方法については、「 プライマリ サーバーを使用した Geo-Location ベースのトラフィック管理に DNS ポリシーを使用する」を参照してください。
ポリシーを構成した後は、パブリック インターフェイスで DNS クエリを受信すると、ゾーンの外部スコープから応答が返されます。
Note
既定の内部ゾーン スコープをマップするためのポリシーは必要ありません。
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com
Note
208.84.0.53 は、パブリック ネットワーク インターフェイスの IP アドレスです。
詳細については、「 Add-DnsServerQueryResolutionPolicy」を参照してください。
これで、Active Directory 統合 DNS ゾーンでのスプリット ブレイン ネーム サーバーに必要な DNS ポリシーを使用して、DNS サーバーが構成されました。
何千もの DNS のポリシーに合わせて作成できます、トラフィック管理の要件、DNS サーバーを再起動しなくても - 受信したクエリで、すべての新しいポリシーが動的 - 適用されます。