Σε αυτό το άρθρο, θα εξετάσουμε δύο τρόπους οργάνωσης της ανάλυσης ονομάτων υπό όρους σε έναν διακομιστή DNS στον Windows Server 2016/2019/2022:Προώθηση υπό όρους DNSκαιΠολιτικές DNS. Αυτές οι τεχνολογίες σάς επιτρέπουν να διαμορφώνετε την υπό όρους ανάλυση ονόματος DNS με βάση το ζητούμενο όνομα, διεύθυνση IP, τοποθεσία πελάτη, ώρα της ημέρας κ.λπ.
Περιεχόμενα:
- Πώς να ρυθμίσετε το DNS Conditional Forwarder στον Windows Server;
- Ρύθμιση παραμέτρων προώθησης υπό όρους DNS με το PowerShell
- Φιλτράρετε ερωτήματα DNS με τις Πολιτικές DNS του Windows Server
Προώθηση υπό όρους DNSεπιτρέπει την προώθηση αιτημάτων DNS σχετικά με έναν συγκεκριμένο τομέα σε συγκεκριμένους διακομιστές DNS. Συνήθως, οι Conditional Forwarders χρησιμοποιούνται όταν θέλετε να ρυθμίσετε τη γρήγορη ανάλυση ονόματος μεταξύ πολλών ιδιωτικών εσωτερικών τομέων ή εάν δεν θέλετε τα αιτήματα DNS από τον διακομιστή σας να αποστέλλονται μέσω του Διαδικτύου. Σε αυτήν την περίπτωση, μπορείτε να δημιουργήσετε έναν κανόνα στον διακομιστή DNS σας για την προώθηση αιτημάτων DNS για μια συγκεκριμένη ζώνη τομέα (μόνο!!!) σε έναν καθορισμένο διακομιστή DNS.
Πώς να ρυθμίσετε το DNS Conditional Forwarder στον Windows Server;
Ας προσπαθήσουμε να διαμορφώσουμε την προώθηση υπό όρους DNS για μια συγκεκριμένη ζώνη τομέα στον Windows Server 2019. Για παράδειγμα, όλα τα αιτήματα DNS σεcorp.woshub.comζώνη θα πρέπει να προωθηθεί στον διακομιστή DNS10.1.10.11.
- Ανοίξτε την κονσόλα διαχείρισης DNS (
dnsmgmt.msc) - Αναπτύξτε τον διακομιστή DNS, κάντε δεξί κλικΥπό όρους Αποστολείςκαι επιλέξτεNew Conditional Forwarder.
- Εισαγάγετε το FQDN του τομέα για τον οποίο θέλετε να ενεργοποιήσετε την υπό όρους προώθηση στοΤομέας DNSπεδίο;
- Καθορίστε τη διεύθυνση IP του διακομιστή DNS στον οποίο θα πρέπει να προωθούνται όλα τα αιτήματα για τον καθορισμένο χώρο ονομάτων στοΔιευθύνσεις IP των κύριων διακομιστώνπεδίο;
- Εάν θέλετε να αποθηκεύσετε έναν κανόνα προώθησης υπό όρους σε περισσότερους από αυτόν έναν διακομιστή DNS, μπορείτε να τον ενσωματώσετε με το AD. Ελέγξτε την επιλογήΑποθηκεύστε αυτό το πρόγραμμα προώθησης υπό όρους στην υπηρεσία καταλόγου Active Directory.
- Διαμορφώστε την επιλογή αναπαραγωγής προώθησης υπό όρους (Όλοι οι διακομιστές DNS σε αυτό το σύμπλεγμα δομών,Όλοι οι διακομιστές DNS σε αυτόν τον τομέα, ήΌλοι οι ελεγκτές τομέα σε αυτόν τον τομέα).
Ρύθμιση παραμέτρων προώθησης υπό όρους DNS με το PowerShell
Μπορείτε να δημιουργήσετε έναν κανόνα Conditional Forwarder για μια ζώνη DNS χρησιμοποιώντας το PowerShell. Χρησιμοποιήστε τοAdd-DnsServerConditionalForwarderZonecmdlet:
Add-DnsServerConditionalForwarderZone -Name dmz.woshub.com -MasterServers 192.168.1.11,192.168.101.11 -ReplicationScope Forest
Μάθετε περισσότερα σχετικά με τη διαχείριση διακομιστών DNS χρησιμοποιώντας το PowerShell.
Εκτελέστε την ακόλουθη δέσμη ενεργειών PowerShell για να παραθέσετε τους προωθητές υπό όρους DNS σε έναν συγκεκριμένο διακομιστή:
$DNSServer = "DC01"
$Zones = Get-WMIObject -Computer $DNSServer -Namespace "rootMicrosoftDNS" -Class "MicrosoftDNS_Zone"
$Zones | Select-Object Name,MasterServers,DsIntegrated,ZoneType | where {$_.ZoneType -eq "4"} | ft -AutoSize
Μάθετε περισσότερα:Τρόπος εισαγωγής πολιτικών πρόσβασης υπό όρους
Ο Windows Server 2016 προσθέτει έναΠολιτική DNSδυνατότητα στον διακομιστή DNS. Οι πολιτικές DNS σάς επιτρέπουν να διαμορφώσετε τον διακομιστή DNS ώστε να επιστρέφει διαφορετικές απαντήσεις σε ερωτήματα DNS ανάλογα με το πού βρίσκεστε (ανάλογα με τη διεύθυνση IP ή το υποδίκτυο από το οποίο στάλθηκε το αίτημα), τη διεπαφή του διακομιστή DNS, την ώρα της ημέρας, τον τύπο εγγραφής που ζητήθηκε (A, CNAME, PTR, MX), κ.λπ. τοποθεσία (διεύθυνση IP πελάτη) και άλλα περίπλοκα σενάρια.
Μπορείτε να δημιουργήσετε μια πολιτική στο επίπεδο ενός διακομιστή DNS ή μιας συγκεκριμένης ζώνης τομέα. Η διαμόρφωση των πολιτικών DNS στον Windows Server μπορεί να γίνει μόνο από τη γραμμή εντολών του PowerShell.
Ας προσπαθήσουμε να δημιουργήσουμε μια απλή πολιτική που επιστρέφει διαφορετική απάντηση σε ένα ερώτημα DNS ανάλογα με την τοποθεσία ενός πελάτη. Ας υποθέσουμε ότι θέλετε οι πελάτες σε κάθε κλάδο να χρησιμοποιούν τον τοπικό τους διακομιστή μεσολάβησης σε έναν ιστότοπο.
Έχετε δημιουργήσει ένα GPO για να διαμορφώσετε τις ρυθμίσεις διακομιστή μεσολάβησης στον τομέα (το proxy.woshub.com θα καθοριστεί σε όλους τους πελάτες). Ωστόσο, για να χρησιμοποιήσουν τον τοπικό διακομιστή μεσολάβησης, οι πελάτες από διαφορετικά γραφεία πρέπει να επιλύσουν αυτό το FQDN διαφορετικά.
Έχω δημιουργήσει 3 υποδίκτυα για υποκαταστήματα εταιρείας:Add-DnsServerClientSubnet -Name "BER_DNS_Subnet" -IPv4Subnet "192.168.1.0/24"
Add-DnsServerClientSubnet -Name "HH_DNS_Subnet" -IPv4Subnet "192.168.11.0/24"
Add-DnsServerClientSubnet -Name "MCH_DNS_Subnet" -IPv4Subnet "192.168.21.0/24"
Πρέπει να εκτελέσετε αυτές τις εντολές σε όλα τα DC στα οποία θέλετε να ενεργοποιήσετε την υπό όρους πολιτική DNS. Αυτές οι ρυθμίσεις δεν αναπαράγονται στο DNS και αποθηκεύονται τοπικά στο μητρώο του διακομιστή DNS. Μπορείτε να καθορίσετε ένα όνομα διακομιστή χρησιμοποιώντας το-ComputerName dc01επιλογή.
Καταχωρίστε όλα τα διαθέσιμα υποδίκτυα IP στον διακομιστή DNS:
Get-DnsServerClientSubnet
Τώρα πρέπει να δημιουργήσετε μια ξεχωριστή ζώνη DNS για κάθε γραφείο:
Add-DnsServerZoneScope -ZoneName "woshub.com" -Name "BERZoneScope"
Add-DnsServerZoneScope -ZoneName "woshub.com" -Name "HHZoneScope"
Add-DnsServerZoneScope -ZoneName "woshub.com" -Name "MCHZoneScope"
Οι ακόλουθες εντολές θα προσθέσουν 3 εγγραφές DNS με το ίδιο όνομα που δείχνουν διαφορετικές διευθύνσεις IP σε διαφορετικές ζώνες DNS:
Add-DnsServerResourceRecord -ZoneName "woshub.com" -A -Name proxy -IPv4Address "192.168.1.10" -ZoneScope "BERZoneScope"
Add-DnsServerResourceRecord -ZoneName "woshub.com" -A -Name proxy -IPv4Address "192.168.11.10" -ZoneScope "HHZoneScope"
Add-DnsServerResourceRecord -ZoneName "woshub.com" -A -Name proxy -IPv4Address "192.168.21.10" -ZoneScope "MCHZoneScope"
Μπορείτε να παραθέσετε όλες τις εγγραφές πόρων DNS σε μια ζώνη χρησιμοποιώντας την παρακάτω εντολή:
Get-DnsServerResourceRecord -ZoneName "woshub.com" -ZoneScope BERZoneScope
Στη συνέχεια, δημιουργήστε πολιτικές DNS που δεσμεύουν υποδίκτυα IP, ζώνες DNS και εγγραφές A.
Add-DnsServerQueryResolutionPolicy -Name BERResolutionPolicy -Action ALLOW -ClientSubnet "eq,BER_DNS_Subnet" -ZoneScope "BERZoneScope,1" -ZoneName woshub.com –PassThru
Add-DnsServerQueryResolutionPolicy -Name HHResolutionPolicy -Action ALLOW -ClientSubnet "eq,HH_DNS_Subnet" -ZoneScope "HHZoneScope,1" -ZoneName woshub.com -PassThru
Add-DnsServerQueryResolutionPolicy -Name MCHResolutionPolicy -Action ALLOW -ClientSubnet "eq,MCH_DNS_Subnet" -ZoneScope "MCHZoneScope,1" -ZoneName woshub.com –PassThru
Οι ακόλουθες ενέργειες είναι διαθέσιμες στις πολιτικές DNS:
-Action ALLOW-Action DENY-Action IGNORE
Μπορείτε να χρησιμοποιήσετε τις ακόλουθες επιλογές στα φίλτρα DNS:
-InternetProtocol "EQ,IPv4,NE,IPv6"
-TransportProtocol "EQ,UDP,TCP"
-ServerInterfaceIP "EQ,192.168.1.21"
-QType "EQ,A,AAAA,NE,PTR"
-TimeOfDay "EQ,9:00-18:00"
Μπορείτε να εμφανίσετε μια λίστα πολιτικών DNS για μια ζώνη DNS στον διακομιστή:
Get-DnsServerQueryResolutionPolicy -ZoneName woshub.com
Τώρα ελέγξτε ότι ο διακομιστής DNS επιστρέφει διαφορετικές διευθύνσεις IP διακομιστή μεσολάβησης για το ίδιο αίτημα που αποστέλλεται από συσκευές σε διαφορετικά γραφεία:
nslookup proxy.woshub.com
Μπορείτε να αποτρέψετε τον διακομιστή DNS να επιστρέψει διευθύνσεις DNS για έναν χώρο ονομάτων (τομέα):
Add-DnsServerQueryResolutionPolicy -Name 'BlockDNSQuery' -Action IGNORE -FQDN "EQ,*.spamorg.org"
