Служба доменных имен (DNS) | Microsoft Learn
Twitter LinkedIn Facebook Адрес электронной почты
- Статья
- Чтение занимает 2 мин
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Система доменных имен (DNS) — это один из стандартных отраслевых протоколов, составляющих TCP/IP, и вместе DNS-клиент и DNS-сервер предоставляют службы разрешения имен имен компьютеров и пользователей.
Примечание
Помимо этого раздела, доступно следующее содержимое DNS.
- Новые возможности DNS-клиента
- Новые возможности DNS-сервера
- Руководство по сценарию политики DNS
В Windows Server 2016 DNS — это роль сервера, которую можно установить с помощью диспетчер сервера или команд Windows PowerShell. При установке нового леса и домена Active Directory DNS автоматически устанавливается с Active Directory в качестве сервера глобального каталога для леса и домена.
доменные службы Active Directory (AD DS) использует DNS в качестве механизма расположения контроллера домена. При выполнении любой из основных операций Active Directory, таких как проверка подлинности, обновление или поиск, компьютеры используют DNS для поиска контроллеров домена Active Directory. Кроме того, контроллеры домена используют DNS для поиска друг друга.
Служба DNS-клиента включена во все версии клиента и сервера операционной системы Windows и по умолчанию выполняется при установке операционной системы.
При настройке сетевого подключения TCP/IP с IP-адресом DNS-сервера DNS-клиент запрашивает DNS-сервер для обнаружения контроллеров домена и разрешения имен компьютеров на IP-адреса. Например, когда сетевой пользователь с учетной записью пользователя Active Directory входит в домен Active Directory, служба DNS-клиента запрашивает DNS-сервер, чтобы найти контроллер домена для домена Active Directory. Когда DNS-сервер отвечает на запрос и предоставляет КЛИЕНТУ IP-адрес контроллера домена, клиент обращается к контроллеру домена и может начаться процесс проверки подлинности.
Службы DNS-сервера и DNS-клиента Windows Server 2016 используют протокол DNS, включенный в набор протоколов TCP/IP. DNS является частью прикладного уровня эталонной модели TCP/IP, как показано на следующем рисунке.
Настройка DNS-сервера Windows Server 2012 и старше
DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.
DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.
Как настроить DNS-сервер:
- Настройка сетевого адаптера для DNS-сервера
- Установка роли DNS-сервера
- Создание зоны прямого просмотра
- Создание зоны обратного просмотра
- Создание A-записи
- Описание функции Domain Name System (DNS), которые являются новыми или измененными в Windows Server 2016.
Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.
После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через него открыт доступ к интернету, в то время как на дополнительно подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:
Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях.
Далее предстоит проделать цепочку действий:
- Нажать правой клавишей мыши Пуск, в выпадающем меню выбрать пункт Сетевые подключения;
- Правой кнопкой мыши нажать на необходимый сетевой адаптер, в меню выбрать Свойства;
- В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
- Заполнить соответствующие поля необходимыми данными:
Здесь в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.google [8.8.8.8].
Установка роли DNS-сервераДля установки дополнительных ролей на сервер используется Мастер Добавления Ролей и Компонентов, который можно найти в Диспетчере Сервера.
На верхней навигационной панели Диспетчера сервера справа откройте меню Управление, выберите опцию Добавить Роли и Компоненты:
Откроется окно Мастера, в котором рекомендуют убедиться что:
1. Учётная запись администратора защищена надёжным паролем.
2. Настроены сетевые параметры, такие как статические IP-адреса.
3. Установлены новейшие обновления безопасности из центра обновления Windows.
Убедившись, что все условия выполнены, нажимайте Далее;
Выберите Установку ролей и компонентов и нажмите Далее:
Выберите необходимы сервер из пула серверов и нажмите Далее:
Отметьте чек-боксом роль DNS-сервер и перейдите Далее:
Проверьте список компонентов для установки, подтвердите нажатием кнопки Добавить компоненты:
Оставьте список компонентов без изменений, нажмите Далее:
Прочитайте информацию и нажмите Далее:
В последний раз проверьте конфигурацию установки и подтвердите решение нажатием кнопки Установить:
Финальное окно Мастера сообщит, что установка прошла успешно, Мастер установки можно закрыть:
Создание зон прямого и обратного просмотраДоменная зона — совокупность доменных имён в пределах конкретного домена.
Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.
Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.
Создание зон и управление ими осуществляется при помощи Диспетчера DNS.
Перейти к нему можно в правой части верхней навигационной панели, выбрав меню Средства и в выпадающем списке пункт DNS:
Создание зоны прямого просмотра
- Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:
- Откроется окно Мастера с приветствием, нажмите Далее:
- Из предложенных вариантов выберите Основная зона и перейдите Далее:
- Укажите имя зоны и нажмите Далее:
- При необходимости поменяйте название будущего файла зоны и перейдите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание зоны обратного просмотра
- Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер Создания Новой Зоны:
- Выберите тип Основная Зона, перейдите Далее:
- Выберите назначение для адресов IPv4, нажмите Далее:
- Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:
- При необходимости поменяйте название будущего файла зоны и перейдите Далее:
- Выберите, разрешить динамические обновления или нет.
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание A-записи
Данный раздел инструкции в большей степени предназначен для проверки ранее проделанных шагов.
Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.
Запись A — запись, позволяющая по доменному имени узнать IP-адрес.
Запись PTR — запись, обратная A записи.
- В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:
- Откроется окно создания Нового Узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс Создать соответствующую PTR-запись — чтобы проверить работу обеих зон (прямой и обратной), чек-бокс должен быть активирован:
Здесь же имеется чек-бокс Создать соответствующую PTR-запись — чтобы проверить работу обеих зон (прямой и обратной), чек-бокс должен быть активирован:Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.
- Также можно добавить записи для других серверов:
- Добавив все необходимые узлы, нажмите Готово.
Проверка
- Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):
- Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:
Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.
Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:
- Запрос по домену;
- Запрос по IP-адресу:
В примере получены подходящие ответы по обоим запросам.
- Можно попробовать отправить запрос на какой-нибудь внешний ресурс:
В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.
Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:
Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адреса (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Non-existent domain).
Описание функции Domain Name System (DNS), которые являются новыми или измененными в Windows Server 2016.
В Windows Server 2016 DNS-сервер предлагает обновления в следующих областях:
- Политики DNS-серверов
- Ограничение скорости отклика (RRL)
- Аутентификация именованных объектов на основе DNS (DANE)
- Поддержка неизвестных записей
- Корневые подсказки IPv6
- Доработка поддержки Windows PowerShell
Политики DNS-серверов
Теперь вы сможете использовать:
- DNS-политики для управления трафиком на основе геолокации
- Интеллектуальные ответы DNS в зависимости от времени суток, для управления одним DNS-сервером, настроенным для развертывания с разделением
- Применять фильтры к DNS-запросам и многое другое.
Конкретное описание данных возможностей:
Балансировка нагрузки приложений.
Когда вы развернули несколько экземпляров приложения в разных местах, вы можете использовать политику DNS для балансировки нагрузки трафика между разными экземплярами приложения, динамически распределяя нагрузку трафика для приложения.
Управление трафиком на основе геолокации.
Вы можете использовать DNS-политику, чтобы разрешить первичным и вторичным DNS-серверам отвечать на запросы DNS-клиентов на основе географического положения как клиента, так и ресурса, к которому клиент пытается подключиться, предоставляя клиенту IP-адрес ближайшего ресурса. .
Разделенный Brain-DNS.
При разделенном DNS записи DNS распределяются по разным областям зоны на одном и том же DNS-сервере, а DNS-клиенты получают ответ в зависимости от того, являются ли клиенты внутренними или внешними. Вы можете настроить разделенный DNS для зон, интегрированных с Active Directory, или для зон на автономных DNS-серверах.
Фильтрация.
Вы можете настроить политику DNS для создания фильтров запросов на основе предоставленных вами критериев. Фильтры запросов в DNS-политике позволяют настроить DNS-сервер для ответа настраиваемым образом на основе DNS-запроса и DNS-клиента, отправляющего DNS-запрос.
Forensics.
Вы можете использовать политику DNS для перенаправления вредоносных DNS-клиентов на несуществующий IP-адрес вместо того, чтобы направлять их на компьютер, к которому они пытаются подключиться.
Перенаправление по времени суток.
Политику DNS можно использовать для распределения трафика приложения между различными географически распределенными экземплярами приложения с помощью политик DNS, основанных на времени суток.
Вы также можете использовать политики DNS для зон DNS, интегрированных с Active Directory.
Ограничение скорости отклика (RRL)
Теперь вы cможете настроить параметры RRL, чтобы контролировать, как отвечать на запросы к DNS-клиенту, когда ваш сервер получает несколько запросов, направленных на одного и того же клиента.
Сделав это, вы можете предотвратить отправку атаки типа «Отказ в обслуживании» (Dos) с использованием ваших DNS-серверов.
Например, бот-сеть может отправлять запросы на ваш DNS-сервер, используя в качестве отправителя IP-адрес третьего компьютера. Без RRL ваши DNS-серверы могут отвечать на все запросы, переполняя третий компьютер. При использовании RRL вы можете настроить следующие параметры:
Количество ответов в секунду. Это максимальное количество раз, когда один и тот же ответ дается клиенту в течение одной секунды.
Количество ошибок в секунду. Это максимальное количество раз, когда ответ об ошибке отправляется одному и тому же клиенту в течение одной секунды.
Окно между запросами. Это количество секунд, на которое приостанавливаются ответы клиенту, если сделано слишком много запросов.
Скорость утечки. Это то, как часто DNS-сервер отвечает на запрос во время приостановки ответов.
Например, если сервер приостанавливает ответы клиенту на 10 секунд, а уровень утечки равен 5, сервер по-прежнему отвечает на один запрос на каждые 5 отправленных запросов. Это позволяет обычным клиентам получать ответы, даже если DNS-сервер применяет ограничение скорости ответов в их подсети или полном доменном имени.
TC rate. Эта функция используется, чтобы сообщить клиенту о попытке соединения с TCP, когда ответы клиенту приостановлены. Например, если скорость TC равна 3, и сервер приостанавливает ответы данному клиенту, сервер выдает запрос на TCP-соединение для каждых 3 полученных запросов. Убедитесь, что значение скорости TC ниже, чем скорость утечки, чтобы дать клиенту возможность подключиться через TCP перед утечкой ответов.
Максимум откликов. Это максимальное количество ответов, которые сервер выдает клиенту, пока ответы приостановлены.
Белые домены. Это список доменов, которые нужно исключить из настроек RRL.
Белые подсети. Это список подсетей, которые необходимо исключить из настроек RRL.
Интерфейсы серверов белого списка. Это список интерфейсов DNS-серверов, которые необходимо исключить из настроек RRL.
Аутентификация именованных объектов на основе DNS (DANE)
Теперь вы сможете использовать поддержку DANE (RFC 6394 и 6698), чтобы указать своим DNS-клиентам, от какого CA они должны ожидать выдачи сертификатов для доменных имен, размещенных на вашем DNS-сервере.
Это предотвращает форму атаки «main in the middle», когда кто-то может повредить кэш DNS и указать DNS-имя на свой собственный IP-адрес.
Поддержка неизвестных записей
«Неизвестная запись» — это RR, формат RDATA которой неизвестен DNS-серверу. Недавно добавленная поддержка неизвестных типов записей (RFC 3597) означает, что вы cvожете добавлять неподдерживаемые типы записей в зоны DNS-сервера Windows в двоичном формате по сети.
Распознаватель кэширования Windows уже имеет возможность обрабатывать неизвестные типы записей.
DNS-сервер Windows не выполняет никакой конкретной обработки неизвестных записей, но отправляет их обратно в ответах, если для них получены запросы.
Корневые подсказки IPv6
Корневые подсказки IPV6, опубликованные IANA, были добавлены на DNS-сервер Windows. Запросы имен в Интернете теперь могут использовать корневые серверы IPv6 для разрешения имен.
Доработка поддержки Windows PowerShell
В Windows Server 2016 представлены следующие новые командлеты (cmdlets) и параметры Windows PowerShell:
Add-DnsServerRecursionScope — Этот командлет создает новую область рекурсии на DNS-сервере. Области рекурсии используются политиками DNS для указания списка серверов пересылки, которые будут использоваться в запросе DNS.
Remove-DnsServerRecursionScope — Этот командлет удаляет существующие области рекурсии.
Set-DnsServerRecursionScope — Этот командлет изменяет параметры существующей области рекурсии.
Get-DnsServerRecursionScope — Этот командлет извлекает информацию о существующих областях рекурсии.
Add-DnsServerClientSubnet — Этот командлет удаляет существующие подсети DNS-клиентов.
Set-DnsServerClientSubnet — Этот командлет изменяет параметры существующей подсети DNS-клиента.
Get-DnsServerClientSubnet — Этот командлет извлекает информацию о существующих подсетях DNS-клиентов.
Add-DnsServerQueryResolutionPolicy — Этот командлет создает новую политику разрешения запросов DNS. Политики разрешения запросов DNS используются для указания того, как и следует ли отвечать на запрос на основе различных критериев.
Remove-DnsServerQueryResolutionPolicy — Этот командлет удаляет существующие политики DNS.
Set-DnsServerQueryResolutionPolicy — Этот командлет изменяет параметры существующей политики DNS.
Get-DnsServerQueryResolutionPolicy — Этот командлет извлекает информацию о существующих политиках DNS.
Enable-DnsServerPolicy — Этот командлет включает существующие политики DNS.
Disable-DnsServerPolicy — Этот командлет отключает существующие политики DNS.
Add-DnsServerZoneTransferPolicy — Этот командлет создает новую политику передачи зоны DNS-сервера. Политики передачи зоны DNS определяют, следует ли отклонять или игнорировать передачу зоны на основе различных критериев.
Remove-DnsServerZoneTransferPolicy — Этот командлет удаляет существующие политики передачи зон DNS-сервера.
Set-DnsServerZoneTransferPolicy. — Этот командлет изменяет параметры существующей политики переноса зоны DNS-сервера.
Get-DnsServerResponseRateLimiting — Этот командлет извлекает параметры RRL.
Set-DnsServerResponseRateLimiting — Этот командлет изменяет настройки RRL.
Add-DnsServerResponseRateLimitingExceptionlist — Этот командлет создает список исключений RRL на DNS-сервере.
Get-DnsServerResponseRateLimitingExceptionlist — Этот командлет извлекает списки исключений RRL.
Remove-DnsServerResponseRateLimitingExceptionlist — Этот командлет удаляет существующий список исключений RRL.
Set-DnsServerResponseRateLimitingExceptionlist — Этот командлет изменяет списки исключений RRL.
Add-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.
Get-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.
Remove-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.
Set-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.
С дополнительными сведениями вы можете ознакомится в следующих разделах справочника по командам Windows PowerShell для Windows Server 2016 от Microsoft:
Powershell DNS Server
Powershell DNS Client
Система доменных имен (DNS) | Microsoft Узнайте
Редактировать
Твиттер LinkedIn Фейсбук Эл.
адрес
- Статья
- 2 минуты на чтение
Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016
Система доменных имен (DNS) — это один из стандартных наборов протоколов, включающих TCP/IP, и вместе DNS-клиент и DNS-сервер предоставляют службы разрешения имен компьютеров и пользователей для преобразования имен компьютеров в IP-адреса.
Примечание
В дополнение к этому разделу доступно следующее содержимое DNS.
- Что нового в DNS-клиенте
- Что нового в DNS-сервере
- Руководство по сценарию политики DNS
В Windows Server 2016 DNS — это роль сервера, которую можно установить с помощью диспетчера серверов или команд Windows PowerShell.
Если вы устанавливаете новый лес и домен Active Directory, DNS автоматически устанавливается вместе с Active Directory в качестве сервера глобального каталога для леса и домена.
Доменные службы Active Directory (AD DS) используют DNS в качестве механизма определения местоположения контроллера домена. При выполнении любых основных операций Active Directory, таких как проверка подлинности, обновление или поиск, компьютеры используют DNS для обнаружения контроллеров домена Active Directory. Кроме того, контроллеры домена используют DNS для обнаружения друг друга.
Служба DNS-клиента включена во все клиентские и серверные версии операционной системы Windows и запускается по умолчанию при установке операционной системы. Когда вы настраиваете сетевое соединение TCP/IP с IP-адресом DNS-сервера, DNS-клиент запрашивает DNS-сервер, чтобы обнаружить контроллеры домена и преобразовать имена компьютеров в IP-адреса. Например, когда сетевой пользователь с учетной записью пользователя Active Directory входит в домен Active Directory, служба DNS-клиента запрашивает DNS-сервер, чтобы найти контроллер домена для домена Active Directory.
Когда DNS-сервер отвечает на запрос и предоставляет клиенту IP-адрес контроллера домена, клиент связывается с контроллером домена, и может начаться процесс проверки подлинности.
Службы DNS-сервера и DNS-клиента Windows Server 2016 используют протокол DNS, включенный в набор протоколов TCP/IP. DNS является частью прикладного уровня эталонной модели TCP/IP, как показано на следующем рисунке.
Отправить и просмотреть отзыв для
Этот продукт Эта страница
Просмотреть все отзывы о странице
Что нового в DNS-сервере в Windows Server 2016
Редактировать
Твиттер LinkedIn Фейсбук Эл. адрес
- Статья
- 8 минут на чтение
Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе описываются новые или измененные функции сервера системы доменных имен (DNS) в Windows Server 2016.
В Windows Server 2016 DNS-сервер предлагает расширенную поддержку в следующих областях.
| Функциональность | Новый или улучшенный | Описание |
|---|---|---|
| Политики DNS | Новый | Можно настроить политики DNS, чтобы указать, как DNS-сервер отвечает на DNS-запросы. Ответы DNS могут основываться на IP-адресе (местоположении) клиента, времени суток и некоторых других параметрах. Политики DNS включают DNS с учетом местоположения, управление трафиком, балансировку нагрузки, разделенный DNS и другие сценарии. |
| Ограничение скорости отклика (RRL) | Новый | Вы можете включить ограничение скорости ответа на своих DNS-серверах. Делая это, вы избегаете возможности использования вредоносными системами ваших DNS-серверов для инициирования атаки типа «отказ в обслуживании» на DNS-клиенте. |
| Аутентификация именованных объектов на основе DNS (DANE) | Новый | Вы можете использовать записи TLSA (проверка подлинности безопасности транспортного уровня) для предоставления DNS-клиентам информации, указывающей, от какого ЦС им следует ожидать сертификат для вашего доменного имени. Это предотвращает атаки «человек посередине», когда кто-то может повредить кеш DNS, чтобы указать на свой собственный веб-сайт и предоставить сертификат, выданный другим центром сертификации. |
| Поддержка неизвестных записей | Новый | Вы можете добавлять записи, которые явно не поддерживаются DNS-сервером Windows, используя функцию неизвестной записи. |
| Корневые подсказки IPv6 | Новый | Вы можете использовать встроенную поддержку корневых ссылок IPV6 для выполнения разрешения имен в Интернете с использованием корневых серверов IPV6. |
| Поддержка Windows PowerShell | Улучшенный | Для DNS-сервера доступны новые командлеты Windows PowerShell. |
Политики DNS
Политику DNS можно использовать для управления трафиком на основе геолокации, интеллектуальных ответов DNS в зависимости от времени суток, для управления одним DNS-сервером, настроенным для развертывания с разделением, применения фильтров к запросам DNS, и больше. Следующие элементы предоставляют более подробную информацию об этих возможностях.
Балансировка нагрузки приложений. Если вы развернули несколько экземпляров приложения в разных местах, вы можете использовать политику DNS для балансировки нагрузки трафика между разными экземплярами приложения, динамически распределяя нагрузку трафика для приложения.
Управление трафиком на основе геолокации. Вы можете использовать DNS-политику, чтобы разрешить первичному и вторичному DNS-серверам отвечать на запросы DNS-клиентов на основе географического положения как клиента, так и ресурса, к которому клиент пытается подключиться, предоставляя клиенту IP-адрес ближайшего ресурс.
Разделенный мозг DNS. В DNS с разделенным мозгом записи DNS разделяются на разные области действия зоны на одном и том же DNS-сервере, а DNS-клиенты получают ответ в зависимости от того, являются ли клиенты внутренними или внешними. Вы можете настроить разделенный DNS для зон, интегрированных с Active Directory, или для зон на автономных DNS-серверах.
Фильтрация. Вы можете настроить политику DNS для создания фильтров запросов на основе предоставленных вами критериев. Фильтры запросов в DNS-политике позволяют настроить DNS-сервер для ответа настраиваемым образом на основе DNS-запроса и DNS-клиента, отправляющего DNS-запрос.
Судебная экспертиза. Вы можете использовать политику DNS для перенаправления вредоносных DNS-клиентов на несуществующий IP-адрес вместо того, чтобы направлять их на компьютер, к которому они пытаются подключиться.
Перенаправление на основе времени суток.
Вы можете использовать политику DNS для распределения трафика приложения между различными географически распределенными экземплярами приложения с помощью политик DNS, основанных на времени суток.
Вы можете использовать политику DNS для распределения трафика приложения между различными географически распределенными экземплярами приложения с помощью политик DNS, основанных на времени суток.Вы также можете использовать политики DNS для зон DNS, интегрированных в Active Directory.
Дополнительные сведения см. в Руководстве по сценарию политики DNS.
Ограничение скорости отклика
Вы можете настроить параметры RRL, чтобы контролировать, как отвечать на запросы к DNS-клиенту, когда ваш сервер получает несколько запросов, направленных на одного и того же клиента. Делая это, вы можете предотвратить отправку атаки типа «отказ в обслуживании» (Dos) с использованием ваших DNS-серверов. Например, бот-сеть может отправлять запросы на ваш DNS-сервер, используя в качестве отправителя IP-адрес третьего компьютера. Без RRL ваши DNS-серверы могут отвечать на все запросы, переполняя третий компьютер. При использовании RRL вы можете настроить следующие параметры:
Ответов в секунду .
Это максимальное количество раз, когда один и тот же ответ дается клиенту в течение одной секунды.Ошибок в секунду . Это максимальное количество раз, когда ответ об ошибке отправляется одному и тому же клиенту в течение одной секунды.
Окно . Это количество секунд, на которое приостанавливаются ответы клиенту, если сделано слишком много запросов.
Скорость утечки . Это то, как часто DNS-сервер отвечает на запрос во время приостановки ответов. Например, если сервер приостанавливает ответы клиенту на 10 секунд, а уровень утечки равен 5, сервер по-прежнему отвечает на один запрос на каждые 5 отправленных запросов. Это позволяет законным клиентам получать ответы, даже если DNS-сервер применяет ограничение скорости ответов в их подсети или полном доменном имени.
Ставка ТС . Это используется, чтобы сообщить клиенту о попытке соединения с TCP, когда ответы клиенту приостановлены.
Например, если скорость TC равна 3, и сервер приостанавливает ответы данному клиенту, сервер выдает запрос на TCP-соединение для каждых 3 полученных запросов. Убедитесь, что значение скорости TC ниже, чем скорость утечки, чтобы дать клиенту возможность подключиться через TCP перед утечкой ответов.Максимальное количество ответов . Это максимальное количество ответов, которые сервер выдает клиенту, пока ответы приостановлены.
Белые домены . Это список доменов, которые нужно исключить из настроек RRL.
Белые подсети . Это список подсетей, которые необходимо исключить из настроек RRL.
Интерфейсы сервера белого списка . Это список интерфейсов DNS-серверов, которые необходимо исключить из настроек RRL.
Это максимальное количество раз, когда один и тот же ответ дается клиенту в течение одной секунды.
Например, если скорость TC равна 3, и сервер приостанавливает ответы данному клиенту, сервер выдает запрос на TCP-соединение для каждых 3 полученных запросов. Убедитесь, что значение скорости TC ниже, чем скорость утечки, чтобы дать клиенту возможность подключиться через TCP перед утечкой ответов.Поддержка DANE
Вы можете использовать поддержку DANE (RFC 6394 и 6698), чтобы указать своим DNS-клиентам, от какого ЦС им следует ожидать выдачи сертификатов для доменных имен, размещенных на вашем DNS-сервере.
Это предотвращает форму атаки «человек посередине», когда кто-то может повредить кеш DNS и указать DNS-имя на свой собственный IP-адрес.
Например, предположим, что вы размещаете безопасный веб-сайт, использующий SSL, по адресу www.contoso.com, используя сертификат известного центра CA1. Кто-то все еще может получить сертификат для www.contoso.com от другого, не очень известного центра сертификации с именем CA2. Затем объект, на котором размещен поддельный веб-сайт www.contoso.com, может повредить кэш DNS клиента или сервера, чтобы указать www.contoto.com на свой поддельный сайт. Конечный пользователь получает сертификат от CA2 и может просто подтвердить его и подключиться к поддельному сайту. С помощью DANE клиент отправляет запрос на DNS-сервер для contoso.com, запрашивая запись TLSA, и узнает, что сертификат для www.contoso.com был выпущен CA1. Если представлен сертификат от другого ЦС, соединение прерывается.
Поддержка неизвестных записей
«Неизвестная запись» — это RR, формат RDATA которой неизвестен DNS-серверу.
Недавно добавленная поддержка неизвестных типов записей (RFC 3597) означает, что вы можете добавлять неподдерживаемые типы записей в зоны DNS-сервера Windows в двоичном формате по сети. Распознаватель кэширования Windows уже имеет возможность обрабатывать неизвестные типы записей. DNS-сервер Windows не выполняет никакой конкретной обработки неизвестных записей, но отправляет их обратно в ответах, если для них получены запросы.
Корневые ссылки IPv6
Корневые ссылки IPv6, опубликованные IANA, были добавлены на DNS-сервер Windows. Запросы имен в Интернете теперь могут использовать корневые серверы IPv6 для разрешения имен.
Поддержка Windows PowerShell
В Windows Server 2016 представлены следующие новые командлеты и параметры Windows PowerShell.
Add-DnsServerRecursionScope . Этот командлет создает новую область рекурсии на DNS-сервере. Области рекурсии используются политиками DNS для указания списка серверов пересылки, которые будут использоваться в запросе DNS.
Remove-DnsServerRecursionScope . Этот командлет удаляет существующие области рекурсии.
Set-DnsServerRecursionScope . Этот командлет изменяет параметры существующей области рекурсии.
Get-DnsServerRecursionScope . Этот командлет извлекает информацию о существующих областях рекурсии.
Add-DnsServerClientSubnet . Этот командлет создает новую подсеть DNS-клиента. Подсети используются политиками DNS для определения местоположения клиента DNS.
Remove-DnsServerClientSubnet . Этот командлет удаляет существующие подсети DNS-клиентов.
Set-DnsServerClientSubnet . Этот командлет изменяет параметры существующей подсети DNS-клиента.
Get-DnsServerClientSubnet . Этот командлет извлекает информацию о существующих подсетях DNS-клиентов.
Add-DnsServerQueryResolutionPolicy . Этот командлет создает новую политику разрешения запросов DNS. Политики разрешения запросов DNS используются для указания того, как и следует ли отвечать на запрос на основе различных критериев.
Remove-DnsServerQueryResolutionPolicy . Этот командлет удаляет существующие политики DNS.
Set-DnsServerQueryResolutionPolicy . Этот командлет изменяет параметры существующей политики DNS.
Get-DnsServerQueryResolutionPolicy . Этот командлет извлекает информацию о существующих политиках DNS.
Включить-DnsServerPolicy . Этот командлет включает существующие политики DNS.
Disable-DnsServerPolicy . Этот командлет отключает существующие политики DNS.
Add-DnsServerZoneTransferPolicy . Этот командлет создает новую политику передачи зоны DNS-сервера.
Политики передачи зоны DNS определяют, следует ли отклонять или игнорировать передачу зоны на основе различных критериев.Remove-DnsServerZoneTransferPolicy . Этот командлет удаляет существующие политики передачи зон DNS-сервера.
Set-DnsServerZoneTransferPolicy . Этот командлет изменяет параметры существующей политики переноса зоны DNS-сервера.
Get-DnsServerResponseRateLimiting . Этот командлет извлекает параметры RRL.
Set-DnsServerResponseRateLimiting . Этот командлет изменяет настройки RRL.
Add-DnsServerResponseRateLimitingExceptionlist . Этот командлет создает список исключений RRL на DNS-сервере.
Get-DnsServerResponseRateLimitingExceptionlist . Этот командлет извлекает списки исключений RRL.
Remove-DnsServerResponseRateLimitingExceptionlist .
Политики передачи зоны DNS определяют, следует ли отклонять или игнорировать передачу зоны на основе различных критериев.