多地辦公環(huán)境下DNS部署

引言：為方便用戶訪問業(yè)務(wù)系統(tǒng)，不少企業(yè)會(huì)創(chuàng)建DNS系統(tǒng)供內(nèi)部域名解析使用，但是對(duì)于采取多地辦公模式的企業(yè)來說，DNS域名解析與集中辦公模式有很大的不同，如何合理部署DNS系統(tǒng)，從而保證各地的分支機(jī)構(gòu)都能準(zhǔn)確、高效地獲得域名的解析是亟需解決的問題。本文結(jié)合實(shí)際案例介紹了一套多地辦公環(huán)境下DNS部署的解決方案。

背景

某公司屬于四地辦公模式，包 括 A、B、C、D四個(gè)不同的辦公地點(diǎn)，為節(jié)約辦公成本以及提高工作效率，公司采取了“統(tǒng)一數(shù)據(jù)中心+分支機(jī)構(gòu)”的IT架構(gòu)；其中A屬于公司總部兼數(shù)據(jù)中心，所有的業(yè)務(wù)系統(tǒng)均部署在A地；其余三地屬于分支機(jī)構(gòu)，分別通過租用的運(yùn)營商專線與數(shù)據(jù)中心通信，訪問相應(yīng)的業(yè)務(wù)系統(tǒng)，這樣就形成了一套星型結(jié)構(gòu)的內(nèi)部業(yè)務(wù)辦公網(wǎng)絡(luò)。四地分別有獨(dú)立的Internet線路供用戶上網(wǎng)，同時(shí)部署有DHCP服務(wù)器，供本地用戶分配IP配置，DHCP服務(wù)器均采用Windows server 2008下自帶的DHCP服務(wù)；四地進(jìn)行了統(tǒng)一的IP地址規(guī)劃，各地網(wǎng)絡(luò)的相關(guān)信息如下表1所示。

表1 公司四地網(wǎng)絡(luò)信息表

除A地用戶外，其余三地的分支機(jī)構(gòu)所有用戶流量有兩種類型，一種是通過本地Internet線路訪問互聯(lián)網(wǎng)的流量， 另外一種是通過專線訪問A地?cái)?shù)據(jù)中心的業(yè)務(wù)流量，這兩類流量通過路由指向來進(jìn)行區(qū)分，達(dá)到B、C和D三地與A地之間的內(nèi)部網(wǎng)絡(luò)互通，使所有用戶均可以利用IP地址來訪問A地的業(yè)務(wù)系統(tǒng)。由于不涉及到內(nèi)部域名的解析，所以四地均不用部署DNS服務(wù)器，直接利用DHCP為用戶下發(fā)本地運(yùn)營商的DNS服務(wù)器IP即可。

近期，公司數(shù)據(jù)中心上線了一臺(tái)負(fù)載均衡設(shè)備，是要對(duì)重要業(yè)務(wù)系統(tǒng)做負(fù)載均衡，同時(shí)達(dá)到雙機(jī)冗余、消除單點(diǎn)故障的效果；要做到發(fā)生故障時(shí)，主備服務(wù)器能夠?qū)崟r(shí)切換，最基本的就是用戶需要采用域名來訪問業(yè)務(wù)系統(tǒng)。這樣就需要為各業(yè)務(wù)系統(tǒng)設(shè)置域名，并保證用戶能夠?qū)@些域名進(jìn)行正確解析，如何滿足四地用戶域名解析需求，并最大限度保證穩(wěn)定性以及后期維護(hù)的便利性是要重點(diǎn)考慮的問題。

實(shí)施思路

由于涉及到多地辦公，域名解析必須保持一致性，而且不能影響用戶正常訪問Internet資源。經(jīng)過分析，主要有三種解決方案：

一、采用集中式部署DNS服務(wù)器的方式，在A地部署一臺(tái)DNS服務(wù)器用于解析所有業(yè)務(wù)系統(tǒng)的域名，同時(shí)設(shè)置相應(yīng)的轉(zhuǎn)發(fā)器，將訪問Internet的解析請(qǐng)求轉(zhuǎn)發(fā)到A地運(yùn)營商的DNS服務(wù)器上，同時(shí)將四地的DHCP服務(wù)器的DNS選項(xiàng)修改為該DNS服務(wù)器，這樣就能保證四地所有的用戶均使用該DNS服務(wù)器進(jìn)行域名解析。這種集中部署的方式顯然最方便管理，但是B、C、D三地的用戶訪問Internet會(huì)存在一些問題，因?yàn)檫@三地的Internet運(yùn)營商與A地的并不一致。由于B、C、D三地的用戶訪問Internet使用的均是A地運(yùn)營商的DNS服務(wù)器，很多網(wǎng)站針對(duì)不同運(yùn)營商會(huì)發(fā)布不同的解析記錄，這樣就會(huì)導(dǎo)致這三地的用戶獲取不了正確的解析記錄，導(dǎo)致訪問部分網(wǎng)站異常。即使四地的Internet運(yùn)營商一致，但是同一運(yùn)營商的不同地區(qū)的DNS也不一致，這種“舍近求遠(yuǎn)”的域名解析方式會(huì)影響用戶的上網(wǎng)體驗(yàn)。

二、采用寫hosts文件的方式進(jìn)行解析。眾所周知，Windows操作系統(tǒng)中存在一個(gè)hosts文件可以用于域名解析，而且hosts文件的解析優(yōu)先級(jí)要高于指定的DNS服務(wù)器，hosts文件是一個(gè)可編輯的文本文件，位于C：windowssystem32driversetc目錄下，只要在用戶主機(jī)上將業(yè)務(wù)系統(tǒng)的域名解析記錄寫入hosts文件中，即可完成內(nèi)部域名解析功能。這種方式下hosts文件負(fù)責(zé)內(nèi)部域名解析，本地運(yùn)營商DNS負(fù)責(zé)Internet域名解析，不需要單獨(dú)搭建DNS服務(wù)器，但是由于需要解析的域名眾多，所有用戶主機(jī)均需要重新編輯hosts文件，工作量太大，如果后期域名解析記錄發(fā)生變更的話，工作量更加難以想象，所以這種方式并不適合大規(guī)模推廣。

表2 四地域名解析情況表

三、采用分布式部署DNS服務(wù)器的方式，四地均單獨(dú)部署一臺(tái)DNS服務(wù)器，其中A地的DNS服務(wù)器負(fù)責(zé)所有業(yè)務(wù)系統(tǒng)域名的集中解析，并負(fù)責(zé)將A地用戶的Internet域名解析請(qǐng)求轉(zhuǎn)發(fā)到A地運(yùn)營商DNS服務(wù)器上；B、C、D三地的DNS服務(wù)器僅僅需要設(shè)置兩個(gè)轉(zhuǎn)發(fā)功能，一個(gè)是將業(yè)務(wù)系統(tǒng)域名解析請(qǐng)求轉(zhuǎn)發(fā)到A地DNS服務(wù)器上，另一個(gè)是將訪問Internet的域名解析請(qǐng)求轉(zhuǎn)發(fā)到本地運(yùn)營商的DNS服務(wù)器上；四地的DHCP服務(wù)器上的DNS選項(xiàng)需要修改為各自本地的DNS服務(wù)器。這種方式可以保證不同的域名解析請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)的DNS服務(wù)器進(jìn)行解析；各地域名解析情況如下表2所示。

從上述三種方案可以看出，唯有方案三最符合實(shí)際需求，盡管方案三需要在各地單獨(dú)部署DNS服務(wù)器，但是B、C、D三地的DNS服務(wù)器實(shí)質(zhì)上只起到了轉(zhuǎn)發(fā)器的功能，配置和維護(hù)非常簡單；如果后期DNS解析記錄發(fā)生變更，只需要在A地DNS服務(wù)器上進(jìn)行修改即可，維護(hù)工作量很小。由于DHCP服務(wù)和DNS服務(wù)占用系統(tǒng)資源并不多，可以在各自原有的本地DHCP服務(wù)器上開啟DNS服務(wù)，不再單獨(dú)配備DNS服務(wù)器，這樣可以有效節(jié)約服務(wù)器資源。

實(shí)施步驟

根據(jù)方案三的實(shí)施思路，A地DNS服務(wù)器配置方法與其余三地不一樣，下面將分別對(duì)A地DNS配置和其余分支機(jī)構(gòu)的DNS配置步驟進(jìn)行說明：

一、A地DNS服 務(wù)器的配置過程：首先在A地DHCP服務(wù)器中的服務(wù)器管理器中添加“DNS服務(wù)器”角色，按照提示步驟安裝完畢，然后新建一個(gè)轉(zhuǎn)發(fā)器，轉(zhuǎn)發(fā)器的IP為A地運(yùn)營商DNS服務(wù)器的IP，用于轉(zhuǎn)發(fā)A地用戶訪問Internet的DNS解析請(qǐng)求；然后新建相關(guān)的正向查找區(qū)域和反向查找區(qū)域，用于內(nèi)部業(yè)務(wù)系統(tǒng)域名的解析；這兩步完成之后，A地的DNS服務(wù)器就搭建完畢，然后將DHCP服務(wù)器上各個(gè)作用域的DNS選項(xiàng)全部修改為192.168.0.253，這樣就完成了A地DNS服務(wù)器的所有配置工作。

二、B、C、D 三 地 DNS服務(wù)器的配置過程：三地的DNS服務(wù)器配置方法類似，首先在本地DHCP服務(wù)器上添加“DNS服務(wù)器”角色，啟用DNS服務(wù)，然后新建一個(gè)條件轉(zhuǎn)發(fā)器，“DNS域”設(shè)置為“domain.com”（內(nèi)部域名），“主服務(wù)器的IP地址”設(shè)置為A地的DNS服務(wù) 器 IP（192.168.0.253），這樣就保證了本地用戶訪 問“domain.com” 域的域名解析請(qǐng)求均轉(zhuǎn)發(fā)到 192.168.0.253；接著再創(chuàng)建一個(gè)轉(zhuǎn)發(fā)器，轉(zhuǎn)發(fā)器的IP設(shè)置為本地運(yùn)營商的DNS服務(wù)器IP，用于轉(zhuǎn)發(fā)本地用戶訪問Internet的DNS解析請(qǐng)求。最后再將本地DHCP服務(wù)器上的各個(gè)作用域的DNS選項(xiàng)全部變更為本地DNS的IP，其中B地作用域的DNS選項(xiàng) 設(shè) 為192.168.2.253，C地作用域的DNS選項(xiàng)設(shè) 為 192.168.3.253，D 地作用域的DNS選項(xiàng)設(shè)為192.168.4.253。

完成上述配置步驟后，四地用戶通過各自的DHCP服務(wù)器獲取到相應(yīng)的IP配置，域名解析的請(qǐng)求也會(huì)轉(zhuǎn)發(fā)到正確的DNS服務(wù)器上，這種多地辦公域名解析的問題即可迎刃而解。

總結(jié)

本文所實(shí)施的方案除了能夠滿足分支機(jī)構(gòu)域名解析的需求，而且具備零投資費(fèi)用、維護(hù)方便、擴(kuò)展性良好等優(yōu)點(diǎn)，適合同樣網(wǎng)絡(luò)環(huán)境的企業(yè)借鑒，未來如果有新的分支機(jī)構(gòu)接入或者有其他域名需要解析，可以很方便進(jìn)行擴(kuò)展，也為未來實(shí)施AD域項(xiàng)目奠定了基礎(chǔ)。