Microsoft dns: DNS | Microsoft Azure
Служба доменных имен (DNS) | Microsoft Docs
-
- Чтение занимает 2 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
Служба доменных имен (DNS) — это один из стандартных отраслевых протоколов, включающих TCP/IP, а клиент DNS и DNS-сервер предоставляют службам разрешения имен IP-адресов компьютеров и пользователей.Domain Name System (DNS) is one of the industry-standard suite of protocols that comprise TCP/IP, and together the DNS Client and DNS Server provide computer name-to-IP address mapping name resolution services to computers and users.
Примечание
Помимо этого раздела, доступно следующее содержимое DNS.In addition to this topic, the following DNS content is available.
В Windows Server 2016 DNS является ролью сервера, которую можно установить с помощью диспетчер сервера или команд Windows PowerShell.In Windows Server 2016, DNS is a server role that you can install by using Server Manager or Windows PowerShell commands. При установке нового леса Active Directory и домена служба DNS автоматически устанавливается с Active Directory в качестве глобального сервера каталога для леса и домена.If you are installing a new Active Directory forest and domain, DNS is automatically installed with Active Directory as the Global Catalogue server for the forest and domain.
Службы домен Active Directory Services (AD DS) используют DNS в качестве механизма расположения контроллера домена.Active Directory Domain Services (AD DS) uses DNS as its domain controller location mechanism. При выполнении любой из основных Active Directory операций, таких как проверка подлинности, обновление или поиск, компьютеры используют DNS для поиска контроллеров домена Active Directory.When any of the principal Active Directory operations is performed, such as authentication, updating, or searching, computers use DNS to locate Active Directory domain controllers. Кроме того, контроллеры домена используют DNS для размещения друг друга.In addition, domain controllers use DNS to locate each other.
Служба DNS-клиента входит во все клиентские и серверные версии операционной системы Windows и работает по умолчанию при установке операционной системы.The DNS Client service is included in all client and server versions of the Windows operating system, and is running by default upon operating system installation. При настройке сетевого подключения TCP/IP с IP-адресом DNS-сервера клиент DNS запрашивает DNS-сервер для обнаружения контроллеров домена и разрешает имена компьютеров в IP-адреса.When you configure a TCP/IP network connection with the IP address of a DNS server, the DNS Client queries the DNS server to discover domain controllers, and to resolve computer names to IP addresses. Например, когда пользователь сети с учетной записью пользователя Active Directory входит в домен Active Directory, служба DNS-клиента запрашивает у DNS-сервера поиск контроллера домена для Active Directory домена.For example, when a network user with an Active Directory user account logs in to an Active Directory domain, the DNS Client service queries the DNS server to locate a domain controller for the Active Directory domain. Когда DNS-сервер отвечает на запрос и предоставляет клиенту IP-адрес контроллера домена, клиент связывается с контроллером домена, и процесс проверки подлинности может быть начат.When the DNS server responds to the query and provides the domain controller’s IP address to the client, the client contacts the domain controller and the authentication process can begin.
DNS-сервер Windows Server 2016 и службы DNS-клиента используют протокол DNS, включенный в набор протоколов TCP/IP.The Windows Server 2016 DNS Server and DNS Client services use the DNS protocol that is included in the TCP/IP protocol suite. DNS является частью уровня приложения в модели справочника по протоколу TCP/IP, как показано на следующем рисунке.DNS is part of the application layer of the TCP/IP reference model, as shown in the following illustration.
Общие сведения о понятиях DNS
-
- Чтение занимает 5 мин
В этой статье
Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Служба доменных имен (DNS) — это распределенная база данных, представляющая пространство имен.Domain Name System (DNS) is a distributed database that represents a namespace. Пространство имен содержит все сведения, необходимые любому клиенту для поиска любого имени.The namespace contains all of the information needed for any client to look up any name. Любой DNS-сервер может отвечать на запросы о любом имени в своем пространстве имен.Any DNS server can answer queries about any name within its namespace. DNS-сервер отвечает на запросы одним из следующих способов:A DNS server answers queries in one of the following ways:
- Если ответ находится в кэше, он отвечает на запрос из кэша.If the answer is in its cache, it answers the query from the cache.
- Если ответ находится в зоне, размещенной на DNS-сервере, он отвечает на запрос из своей зоны.If the answer is in a zone hosted by the DNS server, it answers the query from its zone. Зона — это часть дерева DNS, хранящаяся на DNS-сервере.A zone is a portion of the DNS tree stored on a DNS server. Когда DNS-сервер размещает зону, он является полномочным для имен в этой зоне (то есть DNS-сервер может отвечать на запросы для любого имени в зоне).When a DNS server hosts a zone, it is authoritative for the names in that zone (that is, the DNS server can answer queries for any name in the zone). Например, сервер, на котором размещена зона contoso.com, может отвечать на запросы по любому имени в contoso.com.For example, a server hosting the zone contoso.com can answer queries for any name in contoso.com.
- Если сервер не может ответить на запрос из своего кэша или зон, он запрашивает у других серверов ответ.If the server cannot answer the query from its cache or zones, it queries other servers for the answer.
Важно понимать основные возможности DNS, такие как делегирование, рекурсивное разрешение имен и интегрированные в Active Directory зоны DNS, так как они непосредственно влияют на структуру Active Directory логической структуры.It is important to understand the core features of DNS, such as delegation, recursive name resolution, and Active Directory-integrated DNS zones, because they have a direct impact on your Active Directory logical structure design.
Дополнительные сведения о DNS и службах домен Active Directory (AD DS) см. в разделе DNS и AD DS.For more information about DNS and Active Directory Domain Services (AD DS), see DNS and AD DS.
ДелегированиеDelegation
Чтобы DNS-сервер ответил на запросы о любом имени, он должен иметь прямой или косвенный путь к каждой зоне в пространстве имен.For a DNS server to answer queries about any name, it must have a direct or indirect path to every zone in the namespace. Эти пути создаются с помощью делегирования.These paths are created by means of delegation. Делегирование — это запись в родительской зоне, которая содержит сервер доменных имен, полномочный для зоны на следующем уровне иерархии.A delegation is a record in a parent zone that lists a name server that is authoritative for the zone in the next level of the hierarchy. Делегирование позволяет серверам в одной зоне ссылаться на клиентов на серверы в других зонах.Delegations make it possible for servers in one zone to refer clients to servers in other zones. На следующем рисунке показан один пример делегирования.The following illustration shows one example of delegation.
Корневой DNS-сервер размещает корневую зону, представленную точкой (.The DNS root server hosts the root zone represented as a dot ( . ).). Корневая зона содержит делегирование для зоны на следующем уровне иерархии — в зоне com.The root zone contains a delegation to a zone in the next level of the hierarchy, the com zone. Делегирование в корневой зоне сообщает корневому серверу DNS, что для поиска зоны com необходимо обратиться к серверу com.The delegation in the root zone tells the DNS root server that, to find the com zone, it must contact the Com server. Аналогично, делегирование в зоне com сообщает серверу com, что для поиска зоны contoso.com необходимо обратиться к серверу Contoso.Likewise, the delegation in the com zone tells the Com server that, to find the contoso.com zone, it must contact the Contoso server.
Примечание
Делегирование использует два типа записей.A delegation uses two types of records. В записи ресурса сервера имен (NS) содержится имя полномочного сервера.The name server (NS) resource record provides the name of an authoritative server. Записи ресурсов узла (A) и узла (AAAA) предоставляют адреса IP версии 4 (IPv4) и IP версии 6 (IPv6) полномочного сервера.Host (A) and host (AAAA) resource records provide IP version 4 (IPv4) and IP version 6 (IPv6) addresses of an authoritative server.
Эта система зон и делегирования создает иерархическое дерево, представляющее пространство имен DNS.This system of zones and delegations creates a hierarchical tree that represents the DNS namespace. Каждая зона представляет слой в иерархии, и каждое делегирование представляет собой ветвь дерева.Each zone represents a layer in the hierarchy, and each delegation represents a branch of the tree.
Используя иерархию зон и делегирования, корневой сервер DNS может найти любое имя в пространстве имен DNS.By using the hierarchy of zones and delegations, a DNS root server can find any name in the DNS namespace. Корневая зона включает делегирования, которые напрямую или косвенно переводят на все другие зоны в иерархии.The root zone includes delegations that lead directly or indirectly to all other zones in the hierarchy. Любой сервер, который может запрашивать корневой DNS-сервер, может использовать сведения в делегировании для поиска любого имени в пространстве имен.Any server that can query the DNS root server can use the information in the delegations to find any name in the namespace.
Рекурсивное разрешение именRecursive name resolution
Рекурсивное разрешение имен — это процесс, с помощью которого DNS-сервер использует иерархию зон и делегирований для реагирования на запросы, для которых он не является полномочным.Recursive name resolution is the process by which a DNS server uses the hierarchy of zones and delegations to respond to queries for which it is not authoritative.
В некоторых конфигурациях DNS-серверы включают корневые ссылки (то есть список имен и IP-адресов), которые позволяют им запрашивать корневые серверы DNS.In some configurations, DNS servers include root hints (that is, a list of names and IP addresses) that enable them to query the DNS root servers. В других конфигурациях серверы пересылают все запросы, которые они не могут ответить на другой сервер.In other configurations, servers forward all queries that they cannot answer to another server. Пересылка и корневые указания являются методами, которые DNS-серверы могут использовать для разрешения запросов, для которых они не являются полномочными.Forwarding and root hints are both methods that DNS servers can use to resolve queries for which they are not authoritative.
Разрешение имен с помощью корневых ссылокResolving names by using root hints
Корневые ссылки позволяют любому DNS-серверу размещать корневые серверы DNS.Root hints enable any DNS server to locate the DNS root servers. После того как DNS-сервер обнаружит корневой сервер DNS, он может разрешить любой запрос для этого пространства имен.After a DNS server locates the DNS root server, it can resolve any query for that namespace. На следующем рисунке показано, как DNS разрешает имя с помощью корневых ссылок.The following illustration describes how DNS resolves a name by using root hints.
В этом примере происходят следующие события:In this example, the following events occur:
- Клиент отправляет рекурсивный запрос на DNS-сервер для запроса IP-адреса, соответствующего имени ftp.contoso.com.A client sends a recursive query to a DNS server to request the IP address that corresponds to the name ftp.contoso.com. Рекурсивный запрос указывает, что клиент хочет получить окончательный ответ на запрос.A recursive query indicates that the client wants a definitive answer to its query. Ответ на рекурсивный запрос должен быть допустимым адресом или сообщением, указывающим, что адрес не найден.The response to the recursive query must be a valid address or a message indicating that the address cannot be found.
- Так как DNS-сервер не является полномочным для имени и не имеет ответа в своем кэше, DNS-сервер использует корневые ссылки для поиска IP-адреса корневого сервера DNS.Because the DNS server is not authoritative for the name and does not have the answer in its cache, the DNS server uses root hints to find the IP address of the DNS root server.
- DNS-сервер использует итеративный запрос, чтобы запросить у корневого сервера DNS разрешение имени ftp.contoso.com.The DNS server uses an iterative query to ask the DNS root server to resolve the name ftp.contoso.com. Итеративный запрос указывает, что сервер будет принимать ссылку на другой сервер вместо определенного ответа на запрос.An iterative query indicates that the server will accept a referral to another server in place of a definitive answer to the query. Так как имя ftp.contoso.com заканчивается на метку com, корневой сервер DNS возвращает ссылку на COM-сервер, на котором размещена зона com.Because the name ftp.contoso.com ends with the label com, the DNS root server returns a referral to the Com server that hosts the com zone.
- DNS-сервер использует итеративный запрос, чтобы запросить у COM-сервера разрешение имени ftp.contoso.com.The DNS server uses an iterative query to ask the Com server to resolve the name ftp.contoso.com. Так как имя ftp.contoso.com заканчивается именем contoso.com, com-сервер возвращает ссылку на сервер Contoso, на котором размещена зона contoso.com.Because the name ftp.contoso.com ends with the name contoso.com, the Com server returns a referral to the Contoso server that hosts the contoso.com zone.
- DNS-сервер использует итеративный запрос, чтобы попросить сервера Contoso разрешить имя ftp.contoso.com.The DNS server uses an iterative query to ask the Contoso server to resolve the name ftp.contoso.com. Сервер Contoso находит ответ в данных зоны, а затем возвращает ответ на сервер.The Contoso server finds the answer in its zone data and then returns the answer to the server.
- Затем сервер возвращает результат клиенту.The server then returns the result to the client.
Разрешение имен с помощью пересылкиResolving names by using forwarding
Пересылка позволяет маршрутизировать разрешение имен через определенные серверы вместо использования корневых ссылок.Forwarding enables you to route name resolution through specific servers instead of using root hints. На следующем рисунке показано, как DNS разрешает имя с помощью пересылки.The following illustration describes how DNS resolves a name by using forwarding.
В этом примере происходят следующие события:In this example, the following events occur:
- Клиент запрашивает DNS-сервер для имени ftp.contoso.com.A client queries a DNS server for the name ftp.contoso.com.
- DNS-сервер перенаправляет запрос на другой DNS-сервер, который называется сервером пересылки.The DNS server forwards the query to another DNS server, known as a forwarder.
- Поскольку сервер пересылки не является полномочным для имени и не имеет ответа в своем кэше, он использует корневые ссылки для поиска IP-адреса корневого сервера DNS.Because the forwarder is not authoritative for the name and does not have the answer in its cache, it uses root hints to find the IP address of the DNS root server.
- Сервер пересылки использует итеративный запрос, чтобы запросить у корневого сервера DNS разрешение имени ftp.contoso.com.The forwarder uses an iterative query to ask the DNS root server to resolve the name ftp.contoso.com. Так как имя ftp.contoso.com заканчивается именем com, корневой сервер DNS возвращает ссылку на COM-сервер, на котором размещена зона com.Because the name ftp.contoso.com ends with the name com, the DNS root server returns a referral to the Com server that hosts the com zone.
- Сервер пересылки использует итеративный запрос, попросив серверу com разрешить имя ftp.contoso.com.The forwarder uses an iterative query to ask the Com server to resolve the name ftp.contoso.com. Так как имя ftp.contoso.com заканчивается именем contoso.com, com-сервер возвращает ссылку на сервер Contoso, на котором размещена зона contoso.com.Because the name ftp.contoso.com ends with the name contoso.com, the Com server returns a referral to the Contoso server that hosts the contoso.com zone.
- Сервер пересылки использует итеративный запрос, чтобы попросить сервера Contoso разрешить имя ftp.contoso.com.The forwarder uses an iterative query to ask the Contoso server to resolve the name ftp.contoso.com. Сервер Contoso находит ответ в файлах зоны, а затем возвращает ответ на сервер.The Contoso server finds the answer in its zone files, and then returns the answer to the server.
- Затем сервер пересылки возвращает результат исходному DNS-серверу.The forwarder then returns the result to the original DNS server.
- Затем исходный DNS-сервер возвращает результат клиенту.The original DNS server then returns the result to the client.
Обзор политик DNS | Microsoft Docs
-
- Чтение занимает 10 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
С помощью этого раздела вы узнаете о политике DNS, которая является новой в Windows Server 2016.You can use this topic to learn about DNS Policy, which is new in Windows Server 2016. Вы можете использовать политику DNS для управления трафиком на основе географического расположения, интеллектуальные ответы DNS в зависимости от времени суток, для управления одним DNS-сервером, настроенным для раздельного — развертывания, применения фильтров к запросам DNS и многого другого.You can use DNS Policy for Geo-Location based traffic management, intelligent DNS responses based on the time of day, to manage a single DNS server configured for split-brain deployment, applying filters on DNS queries, and more. Следующие элементы содержат более подробные сведения об этих возможностях.The following items provide more detail about these capabilities.
Балансировка нагрузки приложений.Application Load Balancing. При развертывании нескольких экземпляров приложения в разных местах можно использовать политику DNS для балансировки нагрузки трафика между разными экземплярами приложения, динамически выделяя нагрузку на трафик для приложения.When you have deployed multiple instances of an application at different locations, you can use DNS policy to balance the traffic load between the different application instances, dynamically allocating the traffic load for the application.
-Управление трафиком на основе географического расположения.Geo-Location Based Traffic Management. С помощью политики DNS можно разрешить основным и дополнительным DNS-серверам отвечать на запросы клиентов DNS на основе географического расположения клиента и ресурса, к которому пытается подключиться клиент, предоставляя клиенту IP-адрес ближайшего ресурса.You can use DNS Policy to allow primary and secondary DNS servers to respond to DNS client queries based on the geographical location of both the client and the resource to which the client is attempting to connect, providing the client with the IP address of the closest resource.
Разделение мозгового DNS-сервера.Split Brain DNS. При разделенном — мозге DNS записи DNS разбиваются на разные области зоны на одном DNS-сервере, а DNS-клиенты получают ответ в зависимости от того, являются ли клиенты внутренними или внешними клиентами.With split-brain DNS, DNS records are split into different Zone Scopes on the same DNS server, and DNS clients receive a response based on whether the clients are internal or external clients. Вы можете настроить раздельный — мозг DNS для Active Directory интегрированных зон или для зон на автономных DNS-серверах.You can configure split-brain DNS for Active Directory integrated zones or for zones on standalone DNS servers.
Записей.Filtering. Вы можете настроить политику DNS для создания фильтров запросов на основе заданных вами условий.You can configure DNS policy to create query filters that are based on criteria that you supply. Фильтры запросов в политике DNS позволяют настроить DNS-сервер на отправку пользовательского способа на основе DNS-запроса и DNS-клиента, отправляющего запрос DNS.Query filters in DNS policy allow you to configure the DNS server to respond in a custom manner based on the DNS query and DNS client that sends the DNS query.
Экспертизы.Forensics. С помощью политики DNS можно перенаправить вредоносные DNS-клиенты на — несуществующий, а не направить их на компьютер, к которому они пытаются связаться.You can use DNS policy to redirect malicious DNS clients to a non-existent IP address instead of directing them to the computer they are trying to reach.
Перенаправление на основе времени суток.Time of day based redirection. Политику DNS можно использовать для распределения трафика приложений между различными географически распределенными экземплярами приложения с помощью политик DNS, основанных на времени суток.You can use DNS policy to distribute application traffic across different geographically distributed instances of an application by using DNS policies that are based on the time of day.
Новые концепцииNew Concepts
Чтобы создать политики для поддержки описанных выше сценариев, необходимо иметь возможность определять группы записей в зоне, группы клиентов в сети, помимо других элементов.In order to create policies to support the scenarios listed above, it is necessary to be able to identify groups of records in a zone, groups of clients on a network, among other elements. Эти элементы представлены следующими новыми объектами DNS:These elements are represented by the following new DNS objects:
Подсеть клиента: объект подсети клиента представляет подсеть IPv4 или IPv6, с которой отправляются запросы на DNS-сервер.Client subnet: a client subnet object represents an IPv4 or IPv6 subnet from which queries are submitted to a DNS server. Можно создать подсети, чтобы в дальнейшем определить политики, которые будут применяться, в зависимости от подсети, из которой исходят запросы.You can create subnets to later define policies to be applied based on what subnet the requests come from. Например, в случае разделенного мозгового запроса DNS запрос разрешения имени, например www.Microsoft.com , можно получить с помощью внутреннего IP-адреса для клиентов из внутренних подсетей, а также другой IP-адрес для клиентов во внешних подсетях.For instance, in a split brain DNS scenario, the request for resolution for a name such as www.microsoft.com can be answered with an internal IP address to clients from internal subnets, and a different IP address to clients in external subnets.
Область рекурсии. области рекурсии — это уникальные экземпляры группы параметров, управляющих рекурсией на DNS-сервере.Recursion scope: recursion scopes are unique instances of a group of settings that control recursion on a DNS server. Область рекурсии содержит список серверов пересылки и указывает, включена ли рекурсия.A recursion scope contains a list of forwarders and specifies whether recursion is enabled. DNS-сервер может иметь много областей рекурсии.A DNS server can have many recursion scopes. Политики рекурсии DNS-сервера позволяют выбрать область рекурсии для набора запросов.DNS server recursion policies allow you to choose a recursion scope for a set of queries. Если DNS-сервер не является полномочным для определенных запросов, политики рекурсии DNS-сервера позволяют управлять способом разрешения этих запросов.If the DNS server is not authoritative for certain queries, DNS server recursion policies allow you to control how to resolve those queries. Можно указать, какие серверы пересылки следует использовать, а также использовать ли рекурсию.You can specify which forwarders to use and whether to use recursion.
Области зоны. зона DNS может иметь несколько областей зоны, при этом каждая область зоны содержит собственный набор записей DNS.Zone scopes: a DNS zone can have multiple zone scopes, with each zone scope containing their own set of DNS records. Одна и та же запись может присутствовать в нескольких областях с разными IP-адресами.The same record can be present in multiple scopes, with different IP addresses. Кроме того, зонные передачи выполняются на уровне области зоны.Also, zone transfers are done at the zone scope level. Это означает, что записи из области зоны в основной зоне будут передаваться в ту же область зоны в дополнительной зоне.That means that records from a zone scope in a primary zone will be transferred to the same zone scope in a secondary zone.
Типы политикTypes of Policy
Политики DNS делятся на уровни и типы.DNS Policies are divided by level and type. Политики разрешения запросов можно использовать для определения способа обработки запросов, а политики передачи зоны — для определения способа передачи зон.You can use Query Resolution Policies to define how queries are processed, and Zone Transfer Policies to define how zone transfers occur. Каждый тип политики можно применять на уровне сервера или на уровне зоны.You can apply Each policy type at the server level or the zone level.
Политики разрешения запросовQuery Resolution Policies
Политики разрешения запросов DNS можно использовать для указания способа обработки входящих запросов разрешения DNS-сервером.You can use DNS Query Resolution Policies to specify how incoming resolution queries are handled by a DNS server. Каждая политика разрешения запросов DNS содержит следующие элементы.Every DNS Query Resolution Policy contains the following elements:
ПолеField | ОписаниеDescription | Возможные значенияPossible values |
---|---|---|
ИмяName | Имя политикиPolicy name | — До 256 символов- Up to 256 characters — Может содержать любой символ, допустимый для имени файла- Can contain any character valid for a file name |
СостояниеState | Состояние политикиPolicy state | -Enable (по умолчанию)- Enable (default) — Отключено- Disabled |
LevelLevel | Уровень политикиPolicy level | Сервер- Server -Zone- Zone |
Порядок обработкиProcessing order | Когда запрос классифицируется по уровню и применяется к, сервер находит первую политику, для которой запрос соответствует критерию, и применяет его к запросу.Once a query is classified by level and applies on, the server finds the first policy for which the query matches the criteria and applies it to query | — Числовое значение- Numeric value — Уникальное значение на политику, содержащее один и тот же уровень и применяемое к значению- Unique value per policy containing the same level and applies on value |
ДействиеAction | Действие, выполняемое DNS-серверомAction to be performed by DNS server | -Allow (по умолчанию для уровня зоны)- Allow (default for zone level) -Deny (по умолчанию на уровне сервера)- Deny (default on server level) -Ignore- Ignore |
КритерииCriteria | Условие политики (и/или) и список критериев, которые должны быть выполнены для применения политикиPolicy condition (AND/OR) and list of criterion to be met for policy to be applied | -Оператор условия (и/или)- Condition operator (AND/OR) — Список критериев (см. таблицу критериев ниже).- List of criteria (see the criterion table below) |
ОбластьScope | Список областей зоны и взвешенных значений для области.List of zone scopes and weighted values per scope. Взвешенные значения используются для распределения балансировки нагрузки.Weighted values are used for load balancing distribution. Например, если в этом списке есть datacenter1 с весом 3 и datacenter2 с весом 5, сервер будет отвечать на запись из datacentre1 три раза из восьми запросов.For instance, if this list includes datacenter1 with a weight of 3 and datacenter2 with a weight of 5 the server will respond with a record from datacentre1 three times out of eight requests | — Список областей зоны (по имени) и весов- List of zone scopes (by name) and weights |
Примечание
Политики уровня сервера могут иметь только значения Deny или Ignore в качестве действия.Server level policies can only have the values Deny or Ignore as an action.
Поле критериев политики DNS состоит из двух элементов:The DNS policy criteria field is composed of two elements:
nameName | ОписаниеDescription | Примеры значенийSample values |
---|---|---|
Подсеть клиентаClient Subnet | Имя предопределенной клиентской подсети.Name of a predefined client subnet. Используется для проверки подсети, из которой был отправлен запрос.Used to verify the subnet from which the query was sent. | — EQ, Испания, Франция — разрешается в true, если подсеть определена как Испания или Франция.- EQ,Spain,France — resolves to true if the subnet is identified as either Spain or France — Ne, Канада, Мексика — разрешается в true, если подсеть клиента является любой подсетью, отличной от Канады и Мексики.- NE,Canada,Mexico — resolves to true if the client subnet is any subnet other than Canada and Mexico |
Транспортный протоколTransport Protocol | Транспортный протокол, используемый в запросе.Transport protocol used in the query. Возможные значения — UDP и TCP .Possible entries are UDP and TCP | — EQ, TCP— EQ,TCP — EQ, UDP— EQ,UDP |
Протокол ИнтернетаInternet Protocol | Сетевой протокол, используемый в запросе.Network protocol used in the query. Возможные записи — IPv4 и IPv6 .Possible entries are IPv4 and IPv6 | — EQ, IPv4— EQ,IPv4 — EQ, IPv6— EQ,IPv6 |
IP-адрес интерфейса сервераServer Interface IP address | IP-адрес входящего сетевого интерфейса DNS-сервераIP address for the incoming DNS server network interface | — EQ, 10.0.0.1— EQ,10.0.0.1 — EQ, 192.168.1.1— EQ,192.168.1.1 |
Полное доменное имя.FQDN | Полное доменное имя записи в запросе с возможностью использования подстановочного знакаFQDN of record in the query, with the possibility of using a wild card | — EQ, www. contoso. com — разрешается в true только в случае, если запрос пытается разрешить полное доменное имя www.contoso.com .- EQ,www.contoso.com — resolves to true only the if the query is trying to resolve the www.contoso.com FQDN — EQ, * . contoso.com, * . Woodgrove.com — разрешается в true, если запрос предназначен для записи, завершающейся в contoso.comилиWoodgrove.com— EQ,*.contoso.com,*.woodgrove.com — resolves to true if the query is for any record ending in contoso.comORwoodgrove.com |
Тип запросаQuery Type | Тип запрашиваемой записи (A, SRV, TXT)Type of record being queried (A, SRV, TXT) | — EQ, txt, SRV — разрешается в значение true, если запрос запрашивает запись типа TXT или SRV.- EQ,TXT,SRV — resolves to true if the query is requesting a TXT OR SRV record — EQ, MX — разрешает значение true, если запрос запрашивает MX-запись- EQ,MX — resolves to true if the query is requesting an MX record |
Время сутокTime of Day | Время суток, когда получен запросTime of day the query is received | — EQ, 10:00 – 12:00, 22:00-23:00 — разрешается в true, если запрос получен в диапазоне от 10 до полудня или между 10PM и 11 вечера- EQ,10:00-12:00,22:00-23:00 — resolves to true if the query is received between 10 AM and noon, OR between 10PM and 11PM |
Используя приведенную выше таблицу, можно определить критерий, который будет использоваться для сопоставления запросов для записей любого типа, но записи SRV в домене contoso.com, поступающие от клиента в подсети 10.0.0.0/24 через протокол TCP между 8 и 10 с помощью интерфейса 10.0.0.3:Using the table above as a starting point, the table below could be used to define a criterion that is used to match queries for any type of records but SRV records in the contoso.com domain coming from a client in the 10.0.0.0/24 subnet via TCP between 8 and 10 PM through interface 10.0.0.3:
nameName | ЗначениеValue |
---|---|
Подсеть клиентаClient Subnet | EQ, 10.0.0.0/24EQ,10.0.0.0/24 |
Транспортный протоколTransport Protocol | EQ, TCPEQ,TCP |
IP-адрес интерфейса сервераServer Interface IP address | EQ, 10.0.0.3EQ,10.0.0.3 |
Полное доменное имя.FQDN | EQ, *. contoso. comEQ,*.contoso.com |
Тип запросаQuery Type | NE, SRVNE,SRV |
Время дняTime of Day | EQ, 20:00-22:00EQ,20:00-22:00 |
Можно создать несколько политик разрешения запросов на одном уровне, если они имеют разное значение для порядка обработки.You can create multiple query resolution policies of the same level, as long as they have a different value for the processing order. Если доступно несколько политик, DNS-сервер обрабатывает входящие запросы следующим образом:When multiple policies are available, the DNS server processes incoming queries in the following manner:
Политики рекурсииRecursion Policies
Политики рекурсии — это особые типы политик уровня сервера.Recursion policies are a special type of server level policies. Политики рекурсии определяют, как DNS-сервер выполняет рекурсию для запроса.Recursion policies control how the DNS server performs recursion for a query. Политики рекурсии применяются только в том случае, если обработка запросов достигает пути рекурсии.Recursion policies apply only when query processing reaches the recursion path. Для набора запросов можно выбрать значение DENY или IGNORE для рекурсии.You can choose a value of DENY or IGNORE for recursion for a set of queries. Кроме того, можно выбрать набор серверов пересылки для набора запросов.Alternatively, you can choose a set of forwarders for a set of queries.
Политики рекурсии можно использовать для реализации конфигурации DNS с разделением.You can use recursion policies to implement a Split-brain DNS configuration. В этой конфигурации DNS-сервер выполняет рекурсию для набора клиентов для запроса, а DNS-сервер не выполняет рекурсию для других клиентов этого запроса.In this configuration, the DNS server performs recursion for a set of clients for a query, while the DNS server does not perform recursion for other clients for that query.
Политики рекурсии содержат те же элементы, которые содержит обычная политика разрешения запросов DNS, а также элементы в таблице ниже.Recursion policies contains the same elements a regular DNS query resolution policy contains, along with the elements in the table below:
nameName | ОписаниеDescription |
---|---|
Применить к рекурсииApply on recursion | Указывает, что эту политику следует использовать только для рекурсии.Specifies that this policy should only be used for recursion. |
Область рекурсииRecursion Scope | Имя области рекурсии.Name of the recursion scope. |
Примечание
Политики рекурсии могут создаваться только на уровне сервера.Recursion policies can only be created at the server level.
Политики зонных передачZone Transfer Policies
Политики зонных передач управляют тем, разрешена ли зонная отправка на ваш DNS-сервер.Zone transfer policies control whether a zone transfer is allowed or not by your DNS server. Вы можете создавать политики для зонных передач на уровне сервера или на уровне зоны.You can create policies for zone transfer at either the server level or the zone level. Политики уровня сервера применяются ко всем запросам на зонную пересылку, происходящим на DNS-сервере.Server level policies apply on every zone transfer query that occurs on the DNS server. Политики уровня зоны применяются только к запросам в зоне, размещенной на DNS-сервере.Zone level policies apply only on the queries on a zone hosted on the DNS server. Наиболее распространенным применением политик уровня зоны является реализация заблокированных или безнадежных списков.The most common use for zone level policies is to implement blocked or safe lists.
Примечание
Политики зонных передач могут использовать только действия DENY или IGNORE в качестве действий.Zone transfer policies can only use DENY or IGNORE as actions.
Вы можете использовать политику зонных передач зон на уровне сервера, чтобы запретить зонную пересылку для домена contoso.com из данной подсети.You can use the server level zone transfer policy below to deny a zone transfer for the contoso.com domain from a given subnet:
Add-DnsServerZoneTransferPolicy -Name DenyTransferOfContosoToFabrikam -Zone contoso.com -Action DENY -ClientSubnet "EQ,192.168.1.0/24"
Можно создать несколько политик зонных передач одного уровня, если они имеют разное значение для порядка обработки.You can create multiple zone transfer policies of the same level, as long as they have a different value for the processing order. Если доступно несколько политик, DNS-сервер обрабатывает входящие запросы следующим образом:When multiple policies are available, the DNS server processes incoming queries in the following manner:
Управление политиками DNSManaging DNS Policies
Вы можете создавать политики DNS и управлять ими с помощью PowerShell.You can create and manage DNS Policies by using PowerShell. В приведенных ниже примерах рассматриваются различные примеры сценариев, которые можно настроить с помощью политик DNS.The examples below go through different sample scenarios that you can configure through DNS Policies:
Управление трафикомTraffic Management
Трафик, основанный на полном доменном имени, можно направить на разные серверы в зависимости от расположения DNS-клиента.You can direct traffic based on an FQDN to different servers depending on the location of the DNS client. В приведенном ниже примере показано, как создать политики управления трафиком для направления клиентов из определенной подсети в центр обработки данных для Северной Америки и из другой подсети в Европейский центр обработки данных.The example below shows how to create traffic management policies to direct the customers from a certain subnet to a North American datacenter and from another subnet to a European datacenter.
Add-DnsServerClientSubnet -Name "NorthAmericaSubnet" -IPv4Subnet "172.21.33.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "172.17.44.0/24"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "NorthAmericaZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.17.97.97" -ZoneScope "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "NorthAmericaZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "NorthAmericaPolicy" -Action ALLOW -ClientSubnet "eq,NorthAmericaSubnet" -ZoneScope "NorthAmericaZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName contoso.com
Первые две строки скрипта создают объекты подсети клиента для Северная Америка и Европы.The first two lines of the script create client subnet objects for North America and Europe. Две строки после этого создают область зоны в домене contoso.com, по одной для каждого региона.The two lines after that create a zone scope within the contoso.com domain, one for each region. Две строки после этого создают запись в каждой зоне, которая связывает ww.contoso.com с разным IP-адресом, один для Европы, другой — для Северная Америка.The two lines after that create a record in each zone that associates ww.contoso.com to different IP address, one for Europe, another one for North America. Наконец, в последних строках скрипта создаются две политики разрешения DNS-запросов, одна из которых применяется к подсети Северная Америка, другой — к подсети Europe.Finally, the last lines of the script create two DNS Query Resolution Policies, one to be applied to the North America subnet, another to the Europe subnet.
Блокировать запросы для доменаBlock queries for a domain
Для блокировки запросов к домену можно использовать политику разрешения DNS-запросов.You can use a DNS Query Resolution Policy to block queries to a domain. В приведенном ниже примере блокируются все запросы к treyresearch.net:The example below blocks all queries to treyresearch.net:
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"
Блокировка запросов из подсетиBlock queries from a subnet
Кроме того, можно блокировать запросы, поступающие из определенной подсети.You can also block queries coming from a specific subnet. Приведенный ниже сценарий создает подсеть для 172.0.33.0/24, а затем создает политику для игнорирования всех запросов, поступающих из этой подсети.The script below creates a subnet for 172.0.33.0/24 and then creates a policy to ignore all queries coming from that subnet:
Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06"
Разрешить рекурсию для внутренних клиентовAllow recursion for internal clients
Вы можете управлять рекурсией с помощью политики разрешения DNS-запросов.You can control recursion by using a DNS Query Resolution Policy. Приведенный ниже пример можно использовать для включения рекурсии для внутренних клиентов, отключив его для внешних клиентов в сценарии раздельного мозгового случая.The sample below can be used to enable recursion for internal clients, while disabling it for external clients in a split brain scenario.
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.34"
Первая строка скрипта изменяет область рекурсии по умолчанию, просто именуемую «.» (точка) для отключения рекурсии.The first line in the script changes the default recursion scope, simply named as «.» (dot) to disable recursion. Вторая строка создает область рекурсии с именем интерналклиентс с включенной рекурсией.The second line creates a recursion scope named InternalClients with recursion enabled. А третья строка создает политику для применения новой области рекурсии к любым запросам, поступающим через серверный интерфейс, который имеет 10.0.0.34 в качестве IP-адреса.And the third line creates a policy to apply the newly create recursion scope to any queries coming in through a server interface that has 10.0.0.34 as an IP address.
Создание политики зонных передач на уровне сервераCreate a server level zone transfer policy
Вы можете управлять зонными перемещениями в более детализированной форме, используя политики зонных передач DNS.You can control zone transfer in a more granular form by using DNS Zone Transfer policies. Приведенный ниже пример скрипта можно использовать, чтобы разрешить передачу зоны для любого сервера в данной подсети.The sample script below can be used to allow zone transfers for any server on a given subnet:
Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet"
Первая строка скрипта создает объект подсети с именем алловедсубнет и блоком IP 172.21.33.0/24.The first line in the script creates a subnet object named AllowedSubnet with the IP block 172.21.33.0/24. Во второй строке создается политика передачи зоны, позволяющая передавать зоны на любой DNS-сервер в подсети, созданной ранее.The second line creates a zone transfer policy to allow zone transfers to any DNS server on the subnet previously created.
Создание политики зонных передач на уровне зоныCreate a zone level zone transfer policy
Кроме того, можно создать политики зонных передач на уровне зоны.You can also create zone level zone transfer policies. В приведенном ниже примере игнорируются любые запросы на зонную пересылку для contoso.com, поступающих из интерфейса сервера с IP-адресом это 10.0.0.33:The example below ignores any request for a zone transfer for contoso.com coming in from a server interface that has an IP address of 10.0.0.33:
Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "eq,10.0.0.33" -PassThru -ZoneName "contoso.com"
Сценарии политики DNSDNS Policy Scenarios
Сведения о том, как использовать политику DNS для конкретных сценариев, см. в следующих подразделах этого руководства.For information on how to use DNS policy for specific scenarios, see the following topics in this guide.
Использование политики DNS на контроллерах домена только для чтенияUsing DNS Policy on Read-Only Domain Controllers
Политика DNS совместима с контроллерами домена только для чтения.DNS Policy is compatible with Read-Only Domain Controllers. Обратите внимание, что для загрузки новых политик DNS на контроллеры домена только для чтения требуется перезагрузка службы DNS-сервера.Do note that a restart of the DNS Server service is required for new DNS Policies to be loaded on Read-Only Domain Controllers. Это необязательно для контроллеров домена с возможностью записи.This is not necessary on writable domain controllers.
Новые возможности DNS-сервера в Windows Server
-
- Чтение занимает 7 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
В этом разделе описываются новые или измененные функциональные возможности сервера доменных имен (DNS) в Windows Server 2016.This topic describes the Domain Name System (DNS) server functionality that is new or changed in Windows Server 2016.
В Windows Server 2016 DNS-сервер предлагает улучшенную поддержку в следующих областях.In Windows Server 2016, DNS Server offers enhanced support in the following areas.
функциональное назначение;Functionality | Новый или улучшенныйNew or Improved | ОписаниеDescription |
---|---|---|
Политики DNSDNS Policies | Оператор newNew | Можно настроить политики DNS, чтобы указать, как DNS-сервер отвечает на запросы DNS.You can configure DNS policies to specify how a DNS server responds to DNS queries. Ответы DNS могут основываться на IP-адресе (расположении) клиента, времени суток и нескольких других параметрах.DNS responses can be based on client IP address (location), time of the day, and several other parameters. Политики DNS включают DNS с поддержкой расположения, управление трафиком, балансировку нагрузки, разделение DNS и другие сценарии.DNS policies enable location-aware DNS, traffic management, load balancing, split-brain DNS, and other scenarios. |
Ограничение скорости отклика (RRL)Response Rate Limiting (RRL) | Оператор newNew | Вы можете включить ограничение скорости ответа на DNS-серверах.You can enable response rate limiting on your DNS servers. Таким образом, вы не хотите, чтобы вредоносные системы, использующие DNS-серверы, инициировали атаку типа «отказ в обслуживании» на DNS-клиенте.By doing this, you avoid the possibility of malicious systems using your DNS servers to initiate a denial of service attack on a DNS client. |
Проверка подлинности именованных сущностей на основе DNS (область «данные)DNS-based Authentication of Named Entities (DANE) | Оператор newNew | Вы можете использовать записи ТЛСА (проверка подлинности на уровне транспорта), чтобы предоставить клиентам DNS сведения о том, какой ЦС должен рассчитывать сертификат для доменного имени.You can use TLSA (Transport Layer Security Authentication) records to provide information to DNS clients that state what CA they should expect a certificate from for your domain name. Это предотвращает атаки типа «злоумышленник в середине», когда кто-то может повредить кэш DNS, чтобы он указывал на свой собственный веб-сайт, и предоставить сертификат, выданный другим ЦС.This prevents man-in-the-middle attacks where someone might corrupt the DNS cache to point to their own website, and provide a certificate they issued from a different CA. |
Неизвестная поддержка записиUnknown record support | Оператор newNew | Можно добавить записи, которые не поддерживаются DNS-сервером Windows с помощью функции неизвестных записей.You can add records which are not explicitly supported by the Windows DNS server using the unknown record functionality. |
Корневые указания IPv6IPv6 root hints | Оператор newNew | Для выполнения разрешения имен Интернета с помощью корневых серверов IPV6 можно использовать встроенную поддержку IPV6-ссылок.You can use the native IPV6 root hints support to perform internet name resolution using the IPV6 root servers. |
Поддержка Windows PowerShellWindows PowerShell Support | Улучшена командаImproved | Для DNS-сервера доступны новые командлеты Windows PowerShell.New Windows PowerShell cmdlets are available for DNS Server. |
Политики DNSDNS Policies
Вы можете использовать политику DNS для управления трафиком на основе географического расположения, интеллектуальные ответы DNS в зависимости от времени суток, для управления одним DNS-сервером, настроенным для раздельного — развертывания, применения фильтров к запросам DNS и многого другого.You can use DNS Policy for Geo-Location based traffic management, intelligent DNS responses based on the time of day, to manage a single DNS server configured for split-brain deployment, applying filters on DNS queries, and more. Следующие элементы содержат более подробные сведения об этих возможностях.The following items provide more detail about these capabilities.
Балансировка нагрузки приложений.Application Load Balancing. При развертывании нескольких экземпляров приложения в разных местах можно использовать политику DNS для балансировки нагрузки трафика между разными экземплярами приложения, динамически выделяя нагрузку на трафик для приложения.When you have deployed multiple instances of an application at different locations, you can use DNS policy to balance the traffic load between the different application instances, dynamically allocating the traffic load for the application.
-Управление трафиком на основе географического расположения.Geo-Location Based Traffic Management. С помощью политики DNS можно разрешить основным и дополнительным DNS-серверам отвечать на запросы клиентов DNS на основе географического расположения клиента и ресурса, к которому пытается подключиться клиент, предоставляя клиенту IP-адрес ближайшего ресурса.You can use DNS Policy to allow primary and secondary DNS servers to respond to DNS client queries based on the geographical location of both the client and the resource to which the client is attempting to connect, providing the client with the IP address of the closest resource.
Разделение мозгового DNS-сервера.Split Brain DNS. При разделенном — мозге DNS записи DNS разбиваются на разные области зоны на одном DNS-сервере, а DNS-клиенты получают ответ в зависимости от того, являются ли клиенты внутренними или внешними клиентами.With split-brain DNS, DNS records are split into different Zone Scopes on the same DNS server, and DNS clients receive a response based on whether the clients are internal or external clients. Вы можете настроить раздельный — мозг DNS для Active Directory интегрированных зон или для зон на автономных DNS-серверах.You can configure split-brain DNS for Active Directory integrated zones or for zones on standalone DNS servers.
Записей.Filtering. Вы можете настроить политику DNS для создания фильтров запросов на основе заданных вами условий.You can configure DNS policy to create query filters that are based on criteria that you supply. Фильтры запросов в политике DNS позволяют настроить DNS-сервер на отправку пользовательского способа на основе DNS-запроса и DNS-клиента, отправляющего запрос DNS.Query filters in DNS policy allow you to configure the DNS server to respond in a custom manner based on the DNS query and DNS client that sends the DNS query.
Экспертизы.Forensics. С помощью политики DNS можно перенаправить вредоносные DNS-клиенты на — несуществующий, а не направить их на компьютер, к которому они пытаются связаться.You can use DNS policy to redirect malicious DNS clients to a non-existent IP address instead of directing them to the computer they are trying to reach.
Перенаправление на основе времени суток.Time of day based redirection. Политику DNS можно использовать для распределения трафика приложений между различными географически распределенными экземплярами приложения с помощью политик DNS, основанных на времени суток.You can use DNS policy to distribute application traffic across different geographically distributed instances of an application by using DNS policies that are based on the time of day.
Политики DNS также можно использовать для Active Directory интегрированных зон DNS.You can also use DNS policies for Active Directory integrated DNS zones.
Дополнительные сведения см. в описании сценария политики DNS.For more information, see the DNS Policy Scenario Guide.
Ограничение скорости ответаResponse Rate Limiting
Вы можете настроить параметры RRL, чтобы управлять реакцией на запросы к DNS-клиенту, когда сервер получает несколько запросов, предназначенных для одного и того же клиента.You can configure RRL settings to control how to respond to requests to a DNS client when your server receives several requests targeting the same client. Таким образом можно предотвратить отправку атаки типа «отказ в обслуживании» (DOS) с помощью DNS-серверов.By doing this, you can prevent someone from sending a Denial of Service (Dos) attack using your DNS servers. Например, программа-робот Bot может отправить запросы на DNS-сервер, используя IP-адрес третьего компьютера в качестве запрашивающего.For instance, a bot net can send requests to your DNS server using the IP address of a third computer as the requestor. Без RRL ваши DNS-серверы могут отвечать на все запросы, выполняя переполнение третьего компьютера.Without RRL, your DNS servers might respond to all the requests, flooding the third computer. При использовании RRL можно настроить следующие параметры.When you use RRL, you can configure the following settings:
Ответов в секунду.Responses per second. Это максимальное число раз, когда один и тот же ответ будет передан клиенту в течение одной секунды.This is the maximum number of times the same response will be given to a client within one second.
Количество ошибок в секунду.Errors per second. Это максимальное число попыток отправки ответа об ошибке одному клиенту в течение одной секунды.This is the maximum number of times an error response will be sent to the same client within one second.
Окно.Window. Число секунд, в течение которых ответы на клиент будут приостановлены при слишком большом количестве запросов.This is the number of seconds for which responses to a client will be suspended if too many requests are made.
Скорость утечки.Leak rate. Так часто DNS-сервер будет отвечать на запрос во время приостановки ответов.This is how frequently the DNS server will respond to a query during the time responses are suspended. Например, если сервер приостанавливает ответы на клиент в течение 10 секунд, а скорость утечки составляет 5, сервер по-прежнему будет отвечать на один запрос для каждых 5 отправленных запросов.For instance, if the server suspends responses to a client for 10 seconds, and the leak rate is 5, the server will still respond to one query for every 5 queries sent. Это позволяет законным клиентам получать ответы, даже если DNS-сервер применяет ограничение скорости ответа для своей подсети или полного доменного имени.This allows the legitimate clients to get responses even when the DNS server is applying response rate limiting on their subnet or FQDN.
Скорость TC.TC rate. Это позволяет клиенту попытаться подключиться по протоколу TCP, если ответы на клиент приостановлены.This is used to tell the client to try connecting with TCP when responses to the client are suspended. Например, если скорость TC составляет 3, а сервер приостанавливает ответы на заданный клиент, сервер выдает запрос на TCP-соединение для каждого полученного 3 запроса.For instance, if the TC rate is 3, and the server suspends responses to a given client, the server will issue a request for TCP connection for every 3 queries received. Убедитесь, что значение параметра «скорость TC» меньше, чем скорость утечки, чтобы предоставить клиенту возможность подключения через TCP перед утечкой ответов.Make sure the value for TC rate is lower than the leak rate, to give the client the option to connect via TCP before leaking responses.
Максимальное количество ответов.Maximum responses. Это максимальное число ответов, которые сервер будет выдавать клиенту, пока отменяются ответы.This is the maximum number of responses the server will issue to a client while responses are suspended.
Список доменов белого списка.White list domains. Это список доменов, исключаемых из параметров RRL.This is a list of domains to be excluded from RRL settings.
Список подсетей белого списка.White list subnets. Это список подсетей, исключаемых из параметров RRL.This is a list of subnets to be excluded from RRL settings.
Интерфейсы сервера белого списка.White list server interfaces. Это список интерфейсов DNS-сервера, исключаемых из параметров RRL.This is a list of DNS server interfaces to be excluded from RRL settings.
Поддержка область «данныеDANE support
Можно использовать поддержку область «данные ( RFC 6394 и 6698 ) , чтобы указать клиентам DNS, какие ЦС должны получать сертификаты для имен доменов, размещенных на DNS-сервере.You can use DANE support (RFC 6394 and 6698) to specify to your DNS clients what CA they should expect certificates to be issued from for domains names hosted in your DNS server. Это предотвращает атаку «злоумышленник в середине», когда кто-то может повредить кэш DNS и указать DNS-имя на свой IP-адрес.This prevents a form of man-in-the-middle attack where someone is able to corrupt a DNS cache and point a DNS name to their own IP address.
Например, предположим, что вы размещаете защищенный веб-сайт, использующий SSL по адресу www.contoso.com, используя сертификат из хорошо известного центра с именем CA1.For instance, imagine you host a secure website that uses SSL at www.contoso.com by using a certificate from a well-known authority named CA1. Кто-то может получить сертификат для www.contoso.com от другого хорошо известного центра сертификации с именем CA2.Someone might still be able to get a certificate for www.contoso.com from a different, not-so-well-known, certificate authority named CA2. Затем сущность, в которой размещается фальшивый веб-сайт www.contoso.com, может повредить кэш DNS клиента или сервера, чтобы указать www.contoto.com на свой фальшивый сайт.Then, the entity hosting the fake www.contoso.com website might be able to corrupt the DNS cache of a client or server to point www.contoto.com to their fake site. Конечный пользователь будет представлять сертификат из CA2 и может просто подтвердить его и подключиться к поддельному сайту.The end user will be presented a certificate from CA2, and may simply acknowledge it and connect to the fake site. При использовании область «данные клиент отправляет запрос на DNS-сервер для contoso.com с запросом на запись ТЛСА и узнает, что сертификат для www.contoso.com был вызван CA1.With DANE, the client would make a request to the DNS server for contoso.com asking for the TLSA record and learn that the certificate for www.contoso.com was issues by CA1. Если он представлен сертификатом из другого ЦС, подключение прерывается.If presented with a certificate from another CA, the connection is aborted.
Неизвестная поддержка записиUnknown record support
«Неизвестная запись» — это запись типа RR, формат RDATA которой неизвестен DNS-серверу.An «Unknown Record» is an RR whose RDATA format is not known to the DNS server. Недавно Добавленная поддержка для типов неизвестных записей (RFC 3597) означает, что можно добавить неподдерживаемые типы записей в зоны DNS-сервера Windows в двоичном формате.The newly added support for unknown record (RFC 3597) types means that you can add the unsupported record types into the Windows DNS server zones in the binary on-wire format. Сопоставитель Windows Caching уже имеет возможность обрабатывать неизвестные типы записей.The windows caching resolver already has the ability to process unknown record types. DNS-сервер Windows не будет выполнять обработку записей для неизвестных записей, но будет отправлять их обратно в ответ, если для него получены запросы.Windows DNS server will not do any record specific processing for the unknown records, but will send it back in responses if queries are received for it.
Корневые указания IPv6IPv6 root hints
Корневые указания IPV6, опубликованные IANA, были добавлены на DNS-сервер Windows.The IPV6 root hints, as published by IANA, have been added to the windows DNS server. Теперь запросы имен Интернета могут использовать корневые серверы IPv6 для выполнения разрешения имен.The internet name queries can now use IPv6 root servers for performing name resolutions.
Поддержка Windows PowerShellWindows PowerShell support
В Windows Server 2016 появились следующие новые командлеты и параметры Windows PowerShell.The following new Windows PowerShell cmdlets and parameters are introduced in Windows Server 2016.
Add-днссерверрекурсионскопе.Add-DnsServerRecursionScope. Этот командлет создает новую область рекурсии на DNS-сервере.This cmdlet creates a new recursion scope on the DNS server. Области рекурсии используются политиками DNS для указания списка серверов пересылки, используемых в запросе DNS.Recursion scopes are used by DNS policies to specify a list of forwarders to be used in a DNS query.
Remove-днссерверрекурсионскопе.Remove-DnsServerRecursionScope. Этот командлет удаляет существующие области рекурсии.This cmdlet removes existing recursion scopes.
Set-днссерверрекурсионскопе.Set-DnsServerRecursionScope. Этот командлет изменяет параметры существующей области рекурсии.This cmdlet changes the settings of an existing recursion scope.
Get-днссерверрекурсионскопе.Get-DnsServerRecursionScope. Этот командлет извлекает сведения о существующих областях рекурсии.This cmdlet retrieves information about existing recursion scopes.
Add-днссерверклиентсубнет.Add-DnsServerClientSubnet. Этот командлет создает новую подсеть клиента DNS.This cmdlet creates a new DNS client subnet. Подсети используются политиками DNS для обнаружения места расположения клиента DNS.Subnets are used by DNS policies to identify where a DNS client is located.
Remove-днссерверклиентсубнет.Remove-DnsServerClientSubnet. Этот командлет удаляет существующие подсети клиента DNS.This cmdlet removes existing DNS client subnets.
Set-днссерверклиентсубнет.Set-DnsServerClientSubnet. Этот командлет изменяет параметры существующей подсети клиента DNS.This cmdlet changes the settings of an existing DNS client subnet.
Get-днссерверклиентсубнет.Get-DnsServerClientSubnet. Этот командлет извлекает сведения о существующих подсетях клиента DNS.This cmdlet retrieves information about existing DNS client subnets.
Add-днссерверкуериресолутионполици.Add-DnsServerQueryResolutionPolicy. Этот командлет создает новую политику разрешения DNS-запросов.This cmdlet creates a new DNS query resolution policy. Политики разрешения DNS-запросов используются для указания того, как или если запрос отвечает на основании различных критериев.DNS query resolution policies are used to specify how, or if, a query is responded to, based on different criteria.
Remove-днссерверкуериресолутионполици.Remove-DnsServerQueryResolutionPolicy. Этот командлет удаляет существующие политики DNS.This cmdlet removes existing DNS policies.
Set-днссерверкуериресолутионполици.Set-DnsServerQueryResolutionPolicy. Этот командлет изменяет параметры существующей политики DNS.This cmdlet changes the settings of an existing DNS policy.
Get-днссерверкуериресолутионполици.Get-DnsServerQueryResolutionPolicy. Этот командлет извлекает сведения о существующих политиках DNS.This cmdlet retrieves information about existing DNS policies.
Enable-днссерверполици.Enable-DnsServerPolicy. Этот командлет включает существующие политики DNS.This cmdlet enables existing DNS policies.
Disable-днссерверполици.Disable-DnsServerPolicy. Этот командлет отключает существующие политики DNS.This cmdlet disables existing DNS policies.
Add-днссерверзонетрансферполици.Add-DnsServerZoneTransferPolicy. Этот командлет создает новую политику зонных передач DNS-сервера.This cmdlet creates a new DNS server zone transfer policy. Политики зонных передач DNS определяют, следует ли запрещать или игнорировать зонную пересылку на основе различных критериев.DNS zone transfer policies specify whether to deny or ignore a zone transfer based on different criteria.
Remove-днссерверзонетрансферполици.Remove-DnsServerZoneTransferPolicy. Этот командлет удаляет существующие политики зонных передач DNS-сервера.This cmdlet removes existing DNS server zone transfer policies.
Set-днссерверзонетрансферполици.Set-DnsServerZoneTransferPolicy. Этот командлет изменяет параметры существующей политики зонных передач DNS-сервера.This cmdlet changes settings of an existing DNS server zone transfer policy.
Get-днссерверреспонсерателимитинг.Get-DnsServerResponseRateLimiting. Этот командлет извлекает параметры RRL.This cmdlet retrieves RRL settings.
Set-днссерверреспонсерателимитинг.Set-DnsServerResponseRateLimiting. Этот командлет изменяет параметры RRL.This cmdlet changes RRL settigns.
Add-днссерверреспонсерателимитинжексцептионлист.Add-DnsServerResponseRateLimitingExceptionlist. Этот командлет создает список исключений RRL на DNS-сервере.This cmdlet creates an RRL exception list on the DNS server.
Get-днссерверреспонсерателимитинжексцептионлист.Get-DnsServerResponseRateLimitingExceptionlist. Этот командлет извлекает списки RRL екскцептион.This cmdlet retrieves RRL excception lists.
Remove-днссерверреспонсерателимитинжексцептионлист.Remove-DnsServerResponseRateLimitingExceptionlist. Этот командлет удаляет существующий список исключений RRL.This cmdlet removes an existing RRL exception list.
Set-днссерверреспонсерателимитинжексцептионлист.Set-DnsServerResponseRateLimitingExceptionlist. Этот командлет изменяет списки исключений RRL.This cmdlet changes RRL exception lists.
Add-днссерверресаурцерекорд.Add-DnsServerResourceRecord. Этот командлет был обновлен для поддержки неизвестного типа записи.This cmdlet was updated to support unknown record type.
Get-днссерверресаурцерекорд.Get-DnsServerResourceRecord. Этот командлет был обновлен для поддержки неизвестного типа записи.This cmdlet was updated to support unknown record type.
Remove-днссерверресаурцерекорд.Remove-DnsServerResourceRecord. Этот командлет был обновлен для поддержки неизвестного типа записи.This cmdlet was updated to support unknown record type.
Set-днссерверресаурцерекорд.Set-DnsServerResourceRecord. Этот командлет был обновлен для поддержки неизвестного типа записиThis cmdlet was updated to support unknown record type
Дополнительные сведения см. в следующих разделах справки по командам Windows PowerShell для Windows Server 2016.For more information, see the following Windows Server 2016 Windows PowerShell command reference topics.
Дополнительные ссылкиAdditional References
Управление записями ресурсов DNS | Microsoft Docs
-
- Чтение занимает 2 мин
В этой статье
Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016
В этом разделе содержатся сведения об управлении записями ресурсов DNS с помощью IPAM.This topic provides information about managing DNS resource records by using IPAM.
Примечание
Помимо этого раздела, в этом разделе доступны следующие разделы по управлению записями ресурсов DNS.In addition to this topic, the following DNS resource record management topics are available in this section.
Общие сведения об управлении записями ресурсовResource record management overview
При развертывании IPAM в Windows Server 2016 можно выполнять обнаружение сервера для добавления DHCP-и DNS-серверов в консоль управления IPAM-сервером.When you deploy IPAM in Windows Server 2016, you can perform server discovery to add DHCP and DNS servers to the IPAM server management console. Затем сервер IPAM динамически собирает данные DNS каждые шесть часов с DNS-серверов, для которых настроено управление.The IPAM server then dynamically collects DNS data every six hours from the DNS servers that it is configured to manage. IPAM поддерживает локальную базу данных, в которой хранятся эти данные DNS.IPAM maintains a local database where it stores this DNS data. IPAM предоставляет вам уведомление о дате и времени сбора данных сервера, а также о следующем дне и времени, когда будет происходить сбор данных с DNS-серверов.IPAM provides you with notification of the day and time that the server data was collected, as well as telling you the next day and time when data collection from DNS servers will occur.
Желтая строка состояния на следующем рисунке показывает расположение пользовательского интерфейса уведомлений IPAM.The yellow status bar in the following illustration shows the user interface location of IPAM notifications.
Собираемые данные DNS включают сведения о зоне DNS и записи ресурса.The DNS data that is collected includes DNS zone and resource record information. Вы можете настроить IPAM для получения сведений о зоне с предпочитаемого DNS-сервера.You can configure IPAM to collect zone information from your preferred DNS server. IPAM собирает как файловые, так и Active Directory зоны.IPAM collects both file-based and Active Directory zones.
Примечание
IPAM собирает данные только из серверов Microsoft DNS, присоединенных к домену.IPAM collects data solely from domain-joined Microsoft DNS servers. DNS-серверы сторонних производителей и серверы, не присоединенные к домену, не поддерживаются IPAM.Third party DNS servers and non-domain joined servers are not supported by IPAM.
Ниже приведен список типов записей ресурсов DNS, собираемых IPAM.Following is a list of DNS resource record types that are collected by IPAM.
База данных AFSAFS database
ATM-адресATM Address
CNAME.CNAME
DHCIDDHCID
DNAMEDNAME
Узел A или AAAAHost A or AAAA
Сведения об узлеHost Information
ISDNISDN
MXMX
Серверы именName Servers
Указатель (PTR)Pointer (PTR)
Ответственное лицоResponsible person
МаршрутизацияRoute Through
Расположение службыService Location
SOASOA
SRVSRV
ТекстText
Хорошо известные службыWell Known Services
WINSWINS
WINS-RWINS-R
X. 25X.25
В Windows Server 2016 IPAM обеспечивает интеграцию между данными инвентаризации IP-адресов, зоны DNS и записями DNS-ресурсов:In Windows Server 2016, IPAM provides integration between IP address inventory, DNS Zones, and DNS resource records:
С помощью IPAM можно автоматически создавать данные инвентаризации IP-адресов из записей ресурсов DNS.You can use IPAM to automatically build an IP address inventory from DNS resource records.
Вы можете вручную создать инвентаризацию IP-адресов из записей ресурсов DNS A и AAAA.You can manually create an IP address inventory from DNS A and AAAA resource records.
Можно просмотреть записи ресурсов DNS для определенной зоны DNS и отфильтровать записи по типу, IP-адресу, данным записи ресурса и другим параметрам фильтрации.You can view DNS resource records for a specific DNS zone, and filter the records based on type, IP address, resource record data, and other filtering options.
IPAM автоматически создает сопоставление между диапазонами IP-адресов и зонами с обратным просмотром DNS.IPAM automatically creates a mapping between IP address ranges and DNS Reverse Look-up Zones.
IPAM создает IP-адреса для записей типа PTR, которые имеются в зоне просмотра с обратным просмотром и включены в этот диапазон IP-адресов.IPAM creates IP addresses for the PTR records that are present in the reverse look-up zone and which are included in that IP address range. При необходимости можно также изменить это сопоставление вручную.You can also manually modify this mapping if needed.
IPAM позволяет выполнять следующие операции с записями ресурсов из консоли IPAM.IPAM allows you to perform the following operations on resource records from the IPAM console.
Создание записей ресурсов DNSCreate DNS resource records
Изменение записей ресурсов DNSEdit DNS resource records
Удаление записи ресурсов DNSDelete DNS resource records
Создание связанных записей ресурсовCreate associated resource records
IPAM автоматически записывает все изменения конфигурации DNS, сделанные с помощью консоли IPAM.IPAM automatically logs all DNS configuration changes that you make using the IPAM console.
См. также:See Also
Управление IPAMManage IPAM
Устранение неполадок DNS-серверов | Microsoft Docs
-
- Чтение занимает 8 мин
В этой статье
В этой статье описывается, как устранять неполадки на DNS-серверах.This article discusses how to troubleshoot issues on DNS servers.
Проверка IP-конфигурацииCheck IP configuration
Выполните
ipconfig /all
команду из командной строки и проверьте IP-адрес, маску подсети и шлюз по умолчанию.Runipconfig /all
at a command prompt, and verify the IP address, subnet mask, and default gateway.Проверьте, является ли DNS-сервер полномочным для имени, которое ищется.Check whether the DNS server is authoritative for the name that is being looked up. Если это так, см. раздел Проверка на наличие проблем с достоверными данными.If so, see Checking for problems with authoritative data.
Выполните следующую команду.Run the following command:
nslookup <name> <IP address of the DNS server>
Например:For example:
nslookup app1 10.0.0.1
Если вы получаете ответ об ошибке или истечении времени ожидания, см. раздел Проверка проблем с рекурсией.If you get a failure or time-out response, see Checking for recursion problems.
Очистка кэша сопоставителя.Flush the resolver cache. Для этого выполните следующую команду в окне командной строки с правами администратора:To do this, run the following command in an administrative Command Prompt window:
dnscmd /clearcache
Или в окне администрирования PowerShell выполните следующий командлет:Or, in an administrative PowerShell window, run the following cmdlet:
Clear-DnsServerCache
Повторите шаг 3.Repeat step 3.
Проверка неполадок DNS-сервераCheck DNS server problems
Журнал событийEvent log
Проверьте следующие журналы, чтобы узнать, есть ли записанные ошибки:Check the following logs to see whether there are any recorded errors:
Тестирование с помощью запроса nslookupTest by using nslookup query
Выполните следующую команду и проверьте, доступен ли DNS-сервер с клиентских компьютеров.Run the following command and check whether the DNS server is reachable from client computers.
nslookup <client name> <server IP address>
Если сопоставитель возвращает IP-адрес клиента, у сервера нет проблем.If the resolver returns the IP address of the client, the server does not have any problems.
Если сопоставитель возвращает ответ «сбой сервера» или «Запрос отклонен», зона может быть приостановлена или сервер может быть перегружен.If the resolver returns a «Server failure» or «Query refused» response, the zone is probably paused, or the server is possibly overloaded. Чтобы узнать, приостановлен ли он, перейдите на вкладку Общие окна свойств зоны в консоли DNS.You can learn whether it’s paused by checking the General tab of the zone properties in the DNS console.
Если сопоставитель возвращает ответ «запрос на превышение времени ожидания сервера» или «нет ответа от сервера», возможно, служба DNS не запущена.If the resolver returns a «Request to server timed out» or «No response from server» response, the DNS service probably is not running. Попробуйте перезапустить службу DNS-сервера, введя следующую команду в командной строке на сервере:Try to restart the DNS Server service by entering the following at a command prompt on the server:
net start DNS
Если проблема возникает при запуске службы, сервер может не прослушивать IP-адрес, который использовался в запросе nslookup.If the issue occurs when the service is running, the server might not be listening on the IP address that you used in your nslookup query. На вкладке интерфейсы страницы свойств сервера консоли DNS администраторы могут ограничить DNS-сервер прослушиванием только выбранных адресов.On the Interfaces tab of the server properties page in the DNS console, administrators can restrict a DNS server to listen on only selected addresses. Если DNS-сервер настроен для ограничения службы указанным списком настроенных IP-адресов, то возможно, что IP-адрес, используемый для связи с DNS-сервером, отсутствует в списке.If the DNS server has been configured to limit service to a specific list of its configured IP addresses, it’s possible that the IP address that’s used to contact the DNS server is not in the list. Можно попробовать использовать другой IP-адрес в списке или добавить IP-адрес в список.You can try a different IP address in the list or add the IP address to the list.
В редких случаях DNS-сервер может иметь расширенную конфигурацию безопасности или брандмауэра.In rare cases, the DNS server might have an advanced security or firewall configuration. Если сервер расположен в другой сети, доступной только через промежуточный узел (например, маршрутизатор фильтрации пакетов или прокси-сервер), DNS-сервер может использовать нестандартный порт для прослушивания и получения клиентских запросов.If the server is located on another network that is reachable only through an intermediate host (such as a packet filtering router or proxy server), the DNS server might use a non-standard port to listen for and receive client requests. По умолчанию программа nslookup отправляет запросы на DNS-серверы через порт UDP 53.By default, nslookup sends queries to DNS servers on UDP port 53. Поэтому, если DNS-сервер использует любой другой порт, запросы nslookup завершатся ошибкой.Therefore, if the DNS server uses any other port, nslookup queries fail. Если вы считаете, что это может быть проблема, проверьте, используется ли промежуточный фильтр для блокировки трафика на хорошо известных портах DNS.If you think that this might be the problem, check whether an intermediate filter is intentionally used to block traffic on well-known DNS ports. Если это не так, попробуйте изменить фильтры пакетов или правила портов в брандмауэре, чтобы разрешить трафик через порт UDP/TCP 53.If it’s not, try to modify the packet filters or port rules on the firewall to allow traffic on UDP/TCP port 53.
Проверка на наличие проблем с достоверными даннымиChecking for problems with authoritative data
Проверьте, является ли сервер, который возвращает неверный ответ, основным сервером для зоны (основным сервером-источником для зоны или сервером, который использует интеграцию Active Directory для загрузки зоны) или сервер, на котором размещена дополнительная копия зоны.Check whether the server that returns the incorrect response is a primary server for the zone (the standard primary server for the zone or a server that uses Active Directory integration to load the zone) or a server that’s hosting a secondary copy of the zone.
Если сервер является сервером-источникомIf the server is a primary server
Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону.The problem might be caused by user error when users enter data into the zone. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление.Or, it might be caused by a problem that affects Active Directory replication or dynamic update.
Если на сервере размещается дополнительная копия зоныIf the server is hosting a secondary copy of the zone
Изучите зону на главном сервере (сервере, с которого этот сервер извлекает зоны).Examine the zone on the master server (the server from which this server pulls zone transfers).
Примечание
Чтобы определить, какой сервер является главным сервером, проверьте свойства дополнительной зоны в консоли DNS.You can determine which server is the master server by examining the properties of the secondary zone in the DNS console.
Если на главном сервере указано неправильное имя, перейдите к шагу 4.If the name is not correct on the master server, go to step 4.
Если на главном сервере указано правильное имя, убедитесь, что серийный номер на главном сервере меньше или равен серийному номеру на сервере-получателе.If the name is correct on the master server, check whether the serial number on the master server is less than or equal to the serial number on the secondary server. Если это так, измените либо главный сервер, либо сервер-получатель так, чтобы серийный номер на главном сервере был больше, чем серийный номер на сервере-получателе.If it is, modify either the master server or the secondary server so that the serial number on the master server is greater than than the serial number on the secondary server.
На сервере-получателе выполните принудительную пересылку зоны с помощью консоли DNS или выполните следующую команду:On the secondary server, force a zone transfer from within the DNS console or by running the following command:
dnscmd /zonerefresh <zone name>
Например, если зона — corp.contoso.com, введите:
dnscmd /zonerefresh corp.contoso.com
.For example, if the zone is corp.contoso.com, enter:dnscmd /zonerefresh corp.contoso.com
.Изучите сервер-получатель еще раз, чтобы узнать, правильно ли передана зона.Examine the secondary server again to see whether the zone was transferred correctly. В противном случае у вас, вероятно, возникает проблема с переносом зоны.If not, you probably have a zone transfer problem. Дополнительные сведения см. в статье проблемы зонных передач.For more information, see Zone Transfer Problems.
Если зона была передана правильно, проверьте, правильно ли указаны данные.If the zone was transferred correctly, check whether the data is now correct. В противном случае данные в основной зоне неверны.If not, the data is incorrect in the primary zone. Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону.The problem might be caused by user error when users enter data into the zone. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление.Or, it might be caused by a problem that affects Active Directory replication or dynamic update.
Проверка проблем с рекурсиейChecking for recursion problems
Чтобы рекурсия работала успешно, все DNS-серверы, используемые в пути рекурсивного запроса, должны иметь возможность отвечать и пересылать правильные данные.For recursion to work successfully, all DNS servers that are used in the path of a recursive query must be able to respond and forward correct data. Если это не так, рекурсивный запрос может завершиться ошибкой по одной из следующих причин:If they can’t, a recursive query can fail for any of the following reasons:
Время ожидания запроса истекло, прежде чем его можно будет завершить.The query times out before it can be completed.
Сервер, используемый во время запроса, не отвечает.A server that’s used during the query fails to respond.
Сервер, используемый во время запроса, предоставляет неверные данные.A server that’s used during the query provides incorrect data.
Начните устранение неполадок на сервере, который использовался в исходном запросе.Start troubleshooting at the server that was used in your original query. Проверьте, пересылает ли этот сервер запросы на другой сервер, изучив вкладку серверы пересылки в свойствах сервера в консоли DNS.Check whether this server forwards queries to another server by examining the Forwarders tab in the server properties in the DNS console. Если флажок включить серверы пересылки установлен и в списке присутствует один или несколько серверов, этот сервер перенаправляет запросы.If the Enable forwarders check box is selected, and one or more servers are listed, this server forwards queries.
Если этот сервер пересылает запросы на другой сервер, проверьте наличие проблем, влияющих на сервер, на который сервер пересылает запросы.If this server does forward queries to another server, check for problems that affect the server to which this server forwards queries. Чтобы проверить наличие проблем, см. раздел Проверка неполадок DNS-сервера.To check for problems, see Check DNS Server problems. Когда этот раздел предписывает выполнить задачу на клиенте, выполните его на сервере.When that section instructs you to perform a task on the client, perform it on the server instead.
Если сервер находится в работоспособном состоянии и может пересылать запросы, повторите этот шаг и проверьте сервер, на который сервер пересылает запросы.If the server is healthy and can forward queries, repeat this step, and examine the server to which this server forwards queries.
Если этот сервер не перенаправляет запросы на другой сервер, проверьте, может ли этот сервер запрашивать корневой сервер.If this server does not forward queries to another server, test whether this server can query a root server. Для этого выполните следующую команду:To do this, run the following command:
nslookup
server <IP address of server being examined>
set q=NS
Если сопоставитель возвращает IP-адрес корневого сервера, возможно, имеется разорванное делегирование между корневым сервером и именем или IP-адресом, который вы пытаетесь разрешить.If the resolver returns the IP address of a root server, you probably have a broken delegation between the root server and the name or IP address that you’re trying to resolve. Следуйте инструкциям по тестированию неработающей процедуры делегирования , чтобы определить, где находится неработающее делегирование.Follow the Test a broken delegation procedure to determine where you have a broken delegation.
Если сопоставитель возвращает ответ «запрос на превышение времени ожидания сервера», проверьте, указывает ли корневые ссылки на работоспособность корневых серверов.If the resolver returns a «Request to server timed out» response, check whether the root hints point to functioning root servers. Для этого используйте для просмотра текущей процедуры корневых ссылок .To do this, use the To view the current root hints procedure. Если корневые ссылки указывают на работающие корневые серверы, возможно, возникла проблема с сетью или сервер может использовать расширенную конфигурацию брандмауэра, которая не позволяет арбитру конфликтов запрашивать сервер, как описано в разделе Проверка проблем DNS-сервера .If the root hints do point to functioning root servers, you might have a network problem, or the server might use an advanced firewall configuration that prevents the resolver from querying the server, as described in the Check DNS server problems section. Также возможно, что рекурсивное время ожидания по умолчанию слишком мало.It’s also possible that the recursive time-out default is too short.
Тестирование неработающего делегированияTest a broken delegation
Начните тесты в следующей процедуре, запросив допустимый корневой сервер.Begin the tests in the following procedure by querying a valid root server. Этот тест позволяет выполнить запрос всех DNS-серверов из корня к серверу, который тестируется для неработающего делегирования.The test takes you through a process of querying all the DNS servers from the root down to the server that you’re testing for a broken delegation.
В командной строке на тестируемом сервере введите следующее:At the command prompt on the server that you’re testing, enter the following:
nslookup server <server IP address> set norecursion set querytype= <resource record type> <FQDN>
Примечание
Тип записи ресурса — это тип записи ресурса, для которой был выполнен запрос в исходном запросе, а полное доменное имя — полное доменное имя, для которого выполнялись запросы (заканчивающиеся точкой).Resource record type is the type of resource record that you were querying for in your original query, and FQDN is the FQDN for which you were querying (terminated by a period).
Если ответ содержит список записей ресурсов «NS» и «A» для делегированных серверов, повторите шаг 1 для каждого сервера и используйте IP-адрес из записей ресурсов «A» в качестве IP-адреса сервера.If the response includes a list of «NS» and «A» resource records for delegated servers, repeat step 1 for each server and use the IP address from the «A» resource records as the server IP address.
Если ответ не содержит запись ресурса NS, делегирование будет разорвано.If the response does not contain an «NS» resource record, you have a broken delegation.
Если ответ содержит записи ресурсов «NS», но нет записей ресурсов «A», введите » задать рекурсию» и выполните запрос по отдельности для записей ресурсов «a» серверов, перечисленных в записях NS.If the response contains «NS» resource records, but no «A» resource records, enter set recursion, and query individually for «A» resource records of servers that are listed in the «NS» records. Если вы не нашли по меньшей мере один допустимый IP-адрес записи ресурса «A» для каждой записи ресурса NS в зоне, то у вас есть неработающее делегирование.If you do not find at least one valid IP address of an «A» resource record for each NS resource record in a zone, you have a broken delegation.
Если вы определили, что вы используете неработающее делегирование, исправьте его, добавив или обновив запись ресурса «A» в родительской зоне, используя допустимый IP-адрес для соответствующего DNS-сервера для делегированной зоны.If you determine that you have a broken delegation, fix it by adding or updating an «A» resource record in the parent zone by using a valid IP address for a correct DNS server for the delegated zone.
Просмотр текущих корневых ссылокTo view the current root hints
Запустите консоль DNS.Start the DNS console.
Добавьте или подключитесь к DNS-серверу, который не прошел рекурсивный запрос.Add or connect to the DNS server that failed a recursive query.
Щелкните правой кнопкой мыши сервер и выберите пункт Свойства.Right-click the server, and select Properties.
Щелкните корневые ссылки.Click Root Hints.
Проверьте наличие базовых подключений к корневым серверам.Check for basic connectivity to the root servers.
Если правильно настроены корневые ссылки, убедитесь, что DNS-сервер, используемый в разрешении имен с ошибками, может проверить связь с корневыми серверами по IP-адресу.If root hints appear to be configured correctly, verify that the DNS server that’s used in a failed name resolution can ping the root servers by IP address.
Если корневые серверы не отвечают на проверку связи по IP-адресу, IP-адреса для корневых серверов могли измениться.If the root servers do not respond to pinging by IP address, the IP addresses for the root servers might have changed. Однако нередко можно увидеть перенастройку корневых серверов.However, it’s uncommon to see a reconfiguration of root servers.
Проблемы с зонными ошибкамиZone Transfer Problems
Выполните следующие проверки:Run the following checks:
Проверьте Просмотр событий как для основного, так и для дополнительного DNS-сервера.Check Event Viewer for both the primary and secondary DNS server.
Проверьте главный сервер, чтобы узнать, не отклоняется ли отправка для обеспечения безопасности.Check the master server to see whether it’s refusing to send the transfer for security.
Проверьте вкладку зонные передачи свойств зоны в консоли DNS.Check the Zone Transfers tab of the zone properties in the DNS console. Если сервер ограничит передачу зоны на список серверов, например на вкладке серверы имен в свойствах зоны, убедитесь, что сервер-получатель находится в этом списке.If the server restricts zone transfers to a list of servers, such as those listed on the Name Servers tab of the zone properties, make sure that the secondary server is on that list. Убедитесь, что сервер настроен на отправку зонных передач.Make sure that the server is configured to send zone transfers.
Проверьте наличие проблем на главном сервере, выполнив действия, описанные в разделе Проверка проблем DNS-сервера .Check the master server for problems by following the steps in the Check DNS server problems section. Когда появится запрос на выполнение задачи на клиенте, выполните задачу на сервере-получателе.When you’re prompted to perform a task on the client, perform the task on the secondary server instead.
Проверьте, не работает ли на сервере-получателе другая реализация сервера DNS, например BIND.Check whether the secondary server is running another DNS server implementation, such as BIND. Если это так, проблема может быть вызвана одной из следующих причин:If it is, the problem might have one of the following causes:
Главный сервер Windows может быть настроен для отправки быстрых зонных передач, но сервер-получатель стороннего производителя может не поддерживать быструю передачу зоны.The Windows master server might be configured to send fast zone transfers, but the third-party secondary server might not support fast-zone transfers. В этом случае отключите передачу данных на главном сервере в консоли DNS, установив флажок включить вторичные базы данных-получатели на вкладке Дополнительно свойств сервера.If this is the case, disable fast-zone transfers on the master server from within the DNS console by selecting the Enable Bind secondaries check box on the Advanced tab of the properties for your server.
Если зона прямого просмотра в Windows Server содержит тип записи (например, запись SRV), которую сервер-получатель не поддерживает, то на сервере-получателе могут возникнуть проблемы с извлечением зоны.If a forward lookup zone on the Windows server contains a record type (for example, an SRV record) that the secondary server does not support, the secondary server might have problems pulling the zone.
Проверьте, работает ли на главном сервере другая реализация DNS-сервера, например BIND.Check whether the master server is running another DNS server implementation, such as BIND. Если да, то возможно, что зона на главном сервере содержит несовместимые записи ресурсов, которые Windows не распознает.If so, it’s possible that the zone on the master server includes incompatible resource records that Windows does not recognize.
Если на главном или вторичном сервере используется другая реализация DNS-сервера, проверьте оба сервера, чтобы убедиться, что они поддерживают одни и те же функции.If either the master or secondary server is running another DNS server implementation, check both servers to make sure that they support the same features. Можно проверить Windows Server на консоли DNS на вкладке Дополнительно страницы Свойства сервера.You can check the Windows server in the DNS console on the Advanced tab of the properties page for the server. В дополнение к полю включить вторичные получатели привязок на этой странице содержится раскрывающийся список Проверка имен .In addition to the Enable Bind secondaries box, this page includes the Name checking drop-down list. Это позволяет выбрать принудительное соответствие требованиям RFC для символов в DNS-именах.This enables you to select enforcement of strict RFC compliance for characters in DNS names.
Устранение неполадок DNS-клиентов | Microsoft Docs
-
- Чтение занимает 2 мин
В этой статье
В этой статье рассматривается устранение неполадок DNS-клиентов.This article discusses how to troubleshoot issues from DNS clients.
Проверка IP-конфигурацииCheck IP configuration
Откройте окно командной строки от имени администратора на клиентском компьютере.Open a Command Prompt window as an administrator on the client computer.
Выполните следующую команду:Run the following command:
ipconfig /all
Убедитесь, что у клиента есть допустимый IP-адрес, маска подсети и шлюз по умолчанию для сети, к которой он присоединен и используется.Verify that the client has a valid IP address, subnet mask, and default gateway for the network to which it is attached and being used.
Проверьте DNS-серверы, указанные в выходных данных, и убедитесь, что указанные IP-адреса указаны правильно.Check the DNS servers that are listed in the output, and verify that the IP addresses listed are correct.
Проверьте в выходных данных DNS-суффикс подключения и убедитесь, что он указан правильно.Check the connection-specific DNS suffix in the output and verify that it is correct.
Если у клиента нет допустимой конфигурации TCP/IP, используйте один из следующих методов.If the client does not have a valid TCP/IP configuration, use one of the following methods:
Для динамически настроенных клиентов используйте
ipconfig /renew
команду, чтобы вручную обновить конфигурацию IP-адресов на DHCP-сервере.For dynamically configured clients, use theipconfig /renew
command to manually force the client to renew its IP address configuration with the DHCP server.Для статически настроенных клиентов измените свойства TCP/IP клиента, чтобы они использовали допустимые параметры конфигурации, или завершите настройку DNS для сети.For statically configured clients, modify the client TCP/IP properties to use valid configuration settings or complete its DNS configuration for the network.
Проверка сетевого подключенияCheck network connection
Проверка связиPing test
Убедитесь, что клиент может связаться с предпочитаемым (или альтернативным) DNS-сервером, обратившись к предпочитаемому DNS-серверу по его IP-адресу.Verify that the client can contact a preferred (or alternate) DNS server by pinging the preferred DNS server by its IP address.
Например, если клиент использует предпочитаемый DNS-сервер 10.0.0.1, выполните следующую команду в командной строке:For example, if the client uses a preferred DNS server of 10.0.0.1, run this command at a command prompt:
ping 10.0.0.1
Если ни один настроенный DNS-сервер не отвечает на прямую проверку связи с IP-адресом, это означает, что источником проблемы является более вероятное сетевое подключение между клиентом и DNS-серверами.If no configured DNS server responds to a direct pinging of its IP address, this indicates that the source of the problem is more likely network connectivity between the client and the DNS servers. В этом случае выполните основные действия по устранению неполадок сети TCP/IP, чтобы устранить проблему.If this is the case, follow basic TCP/IP network troubleshooting steps to fix the problem. Помните, что для работы команды ping трафик ICMP должен быть разрешен через брандмауэр.Keep in mind that ICMP traffic must be allowed through the firewall in order for the ping command to work.
Тесты запросов DNSDNS query tests
Если DNS-клиент может проверить связь с компьютером DNS-сервера, попробуйте использовать следующие nslookup
команды, чтобы проверить, может ли сервер отвечать на DNS-клиенты.If the DNS client can ping the DNS server computer, try to use the following nslookup
commands to test whether the server can respond to DNS clients. Так как nslookup не использует кэш DNS клиента, разрешение имен будет использовать настроенный клиент DNS-сервер.Because nslookup doesn’t use the client’s DNS cache, name resolution will use the client’s configured DNS server.
Тестирование клиентаTest a client
nslookup <client>
Например, если клиентский компьютер имеет имя КЛИЕНТ1, выполните следующую команду:For example, if the client computer is named client1, run this command:
nslookup client1
Если успешный ответ не возвращается, попробуйте выполнить следующую команду:If a successful response is not returned, try to run the following command:
nslookup <fqdn of client>
Например, если полное доменное имя — CLIENT1.Corp.contoso.com, выполните следующую команду:For example, if the FQDN is client1.corp.contoso.com, run this command:
nslookup client1.corp.contoso.com.
Примечание
При выполнении этого теста необходимо включить конечную точку.You must include the trailing period when you run this test.
Если Windows успешно обнаружит полное доменное имя, но не сможет найти его, проверьте конфигурацию DNS-суффикса на вкладке DNS (дополнительные параметры TCP/IP сетевого адаптера).If Windows successfully finds the FQDN but cannot find the short name, check the DNS Suffix configuration on the DNS tab of the Advanced TCP/IP Settings of the NIC. Дополнительные сведения см. в разделе Настройка разрешения DNS.For more information, see Configuring DNS Resolution.
Тестирование DNS-сервераTest the DNS server
nslookup <DNS Server>
Например, если DNS-сервер называется DC1, выполните следующую команду:For example, if the DNS server is named DC1, run this command:
nslookup dc1
Если предыдущие тесты были успешными, этот тест также должен быть успешным.If the previous tests were successful, this test should also be successful. Если проверка не прошла успешно, проверьте подключение к DNS-серверу.If this test is not successful, verify the connectivity to the DNS server.
Тестирование записи, в которой происходит сбойTest the failing record
nslookup <failed internal record>
Например, если неудачная запись была App1.Corp.contoso.com, выполните следующую команду:For example, if the failing record was app1.corp.contoso.com, run this command:
nslookup app1.corp.contoso.com
Проверка общедоступного адреса в ИнтернетеTest a public Internet address
nslookup <external name>
Например:For example:
nslookup bing.com
Если все четыре теста выполнены успешно, запустите ipconfig /displaydns
и проверьте в выходных данных имя, которое завершилось ошибкой.If all four of these tests were successful, run ipconfig /displaydns
and check the output for the name that failed. Если в неудачном имени появится сообщение «имя не существует», то на DNS-сервере был возвращен отрицательный ответ, который был кэширован на клиенте.If you see «Name does not exist» under the failing name, a negative response was returned from a DNS server and was cached on the client.
Чтобы устранить эту проблему, очистите кэш, выполнив ipconfig /flushdns
.To resolve the issue, clear the cache by running ipconfig /flushdns
.
Следующий шагNext step
Если разрешение имен по-прежнему не выполняется, перейдите к разделу Устранение неполадок DNS-серверов .If name resolution is still failing, go to the Troubleshooting DNS Servers section.
система доменных имен (DNS) | Документы Microsoft
- 2 минуты на чтение
В этой статье
Применимо к: Windows Server (полугодовой канал), Windows Server 2016
Система доменных имен
(DNS) — это один из стандартных наборов протоколов, которые составляют TCP / IP, и вместе DNS-клиент и DNS-сервер предоставляют компьютерам и пользователям услуги преобразования имен по преобразованию имен компьютеров в IP-адреса.
Примечание
В дополнение к этому разделу доступно следующее содержимое DNS.
В Windows Server 2016 DNS — это роль сервера, которую можно установить с помощью диспетчера сервера или команд Windows PowerShell. Если вы устанавливаете новый лес и домен Active Directory, DNS автоматически устанавливается вместе с Active Directory в качестве сервера глобального каталога для леса и домена.
Доменные службы Active Directory (AD DS) используют DNS в качестве механизма определения местоположения контроллера домена.Когда выполняется какая-либо из основных операций Active Directory, например проверка подлинности, обновление или поиск, компьютеры используют DNS для обнаружения контроллеров домена Active Directory. Кроме того, контроллеры домена используют DNS для поиска друг друга.
Служба DNS-клиента включена во все клиентские и серверные версии операционной системы Windows и запускается по умолчанию при установке операционной системы. Когда вы настраиваете сетевое соединение TCP / IP с IP-адресом DNS-сервера, DNS-клиент запрашивает DNS-сервер, чтобы обнаружить контроллеры домена и преобразовать имена компьютеров в IP-адреса.Например, когда сетевой пользователь с учетной записью пользователя Active Directory входит в домен Active Directory, служба DNS-клиента запрашивает DNS-сервер, чтобы найти контроллер домена для домена Active Directory. Когда DNS-сервер отвечает на запрос и предоставляет клиенту IP-адрес контроллера домена, клиент связывается с контроллером домена, и может начаться процесс аутентификации.
Службы DNS-сервера и DNS-клиента Windows Server 2016 используют протокол DNS, включенный в набор протоколов TCP / IP.DNS является частью прикладного уровня эталонной модели TCP / IP, как показано на следующем рисунке.
.
DNS-серверов — приложения Win32
- 2 минуты на чтение
В этой статье
DNS-сервер — это компьютер, который завершает процесс разрешения имен в DNS. DNS-серверы содержат файлы зоны , которые позволяют им преобразовывать имена в IP-адреса и IP-адреса в имена.На запрос DNS-сервер отвечает одним из трех способов:
- Сервер возвращает запрошенные данные разрешения имен или IP-адресов.
- Сервер возвращает указатель на другой DNS-сервер, который может обслуживать запрос.
- Сервер указывает, что у него нет запрошенных данных.
DNS-серверы могут в ходе подготовки к возврату запрошенных данных разрешения запрашивать другие DNS-серверы, но кроме этого DNS-серверы не выполняют никаких других операций.
Существует три основных типа DNS-серверов: первичные серверы, вторичные серверы и кэширующие серверы.
Основной сервер
Основной сервер является официальным сервером для зоны. Все административные задачи, связанные с зоной (такие как создание субдоменов в зоне или другие подобные административные задачи), должны выполняться на основном сервере. Кроме того, любые изменения, связанные с зоной, или любые модификации или дополнения записей RR в файлах зоны, должны производиться на основном сервере.Для любой данной зоны существует один первичный сервер, за исключением случаев, когда вы интегрируете службы Active Directory и Microsoft DNS Server.
Вторичные серверы
Вторичные серверы являются резервными DNS-серверами. Вторичные серверы получают все свои файлы зоны из файлов зоны первичного сервера при передаче зоны. Для любой данной зоны может существовать несколько вторичных серверов — столько, сколько необходимо для обеспечения балансировки нагрузки , отказоустойчивости и снижения трафика.Кроме того, любой заданный DNS-сервер может быть вторичным сервером для нескольких зон.
В дополнение к первичному и вторичному DNS-серверам можно использовать дополнительные роли DNS-сервера, если такие серверы подходят для инфраструктуры DNS. Эти дополнительные серверы являются кэширующими серверами и серверами пересылки .
Кэширующие серверы
Серверы кэширования , также известные как серверы только для кэширования, работают, как следует из их названия; они предоставляют только службу кэшированных запросов для ответов DNS.Вместо того, чтобы поддерживать файлы зоны, как это делают другие вторичные серверы, кэширующие DNS-серверы выполняют запросы, кэшируют ответы и возвращают результаты запрашивающему клиенту. Основное различие между кэширующими серверами и другими вторичными серверами заключается в том, что другие вторичные серверы поддерживают файлы зон (и при необходимости выполняют передачи зон, тем самым генерируя сетевой трафик, связанный с передачей), а серверы кэширования — нет.
.
Что такое Azure DNS? | Документы Microsoft
- 2 минуты на чтение
В этой статье
Azure DNS — это служба хостинга для доменов DNS, которая обеспечивает разрешение имен с помощью инфраструктуры Microsoft Azure. Размещая свои домены в Azure, вы можете управлять своими записями DNS, используя те же учетные данные, API, инструменты и выставление счетов, что и другие ваши службы Azure.
Вы не можете использовать Azure DNS для покупки доменного имени. За годовую плату вы можете купить доменное имя, используя домены службы приложений или стороннего регистратора доменных имен. После этого ваши домены могут быть размещены в Azure DNS для управления записями. Дополнительные сведения см. В разделе Делегирование домена в Azure DNS.
В Azure DNS включены следующие функции.
Надежность и производительность
Домены
DNS в Azure DNS размещаются в глобальной сети серверов имен DNS Azure.Azure DNS использует произвольную сеть. На каждый DNS-запрос отвечает ближайший доступный DNS-сервер, чтобы обеспечить высокую производительность и доступность вашего домена.
Безопасность
Azure DNS основан на Azure Resource Manager, который предоставляет такие функции, как:
Управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к определенным действиям в вашей организации.
Журналы активности для отслеживания того, как пользователь в вашей организации изменил ресурс, или для поиска ошибки при устранении неполадок.
Блокировка ресурса для блокировки подписки, группы ресурсов или ресурса. Блокировка предотвращает случайное удаление или изменение критически важных ресурсов другими пользователями в вашей организации.
Для получения дополнительной информации см. Как защитить зоны и записи DNS.
DNSSEC
Azure DNS в настоящее время не поддерживает DNSSEC. В большинстве случаев вы можете уменьшить потребность в DNSSEC, постоянно используя HTTPS / TLS в своих приложениях. Если DNSSEC является критическим требованием для ваших зон DNS, вы можете разместить эти зоны у сторонних поставщиков услуг хостинга DNS.
Простота использования
Azure DNS может управлять записями DNS для ваших служб Azure, а также предоставлять DNS для ваших внешних ресурсов. Azure DNS интегрирован в портал Azure и использует те же учетные данные, контракт на поддержку и выставление счетов, что и другие ваши службы Azure.
Выставление счетов за DNS
основано на количестве зон DNS, размещенных в Azure, и на количестве полученных DNS-запросов. Чтобы узнать больше о ценах, см. Цены на Azure DNS.
Вашими доменами и записями можно управлять с помощью портала Azure, командлетов Azure PowerShell и кроссплатформенного интерфейса командной строки Azure.Приложения, требующие автоматизированного управления DNS, могут интегрироваться со службой с помощью REST API и SDK.
Настраиваемые виртуальные сети с частными доменами
Azure DNS также поддерживает частные домены DNS. Эта функция позволяет вам использовать собственные имена доменов в частных виртуальных сетях, а не имена, предоставляемые Azure, доступные сегодня.
Дополнительные сведения см. В разделе Использование Azure DNS для частных доменов.
Записи псевдонима
Azure DNS поддерживает наборы записей псевдонимов.Вы можете использовать набор записей псевдонима для ссылки на ресурс Azure, например общедоступный IP-адрес Azure, профиль диспетчера трафика Azure или конечную точку сети доставки контента (CDN) Azure. Если IP-адрес базового ресурса изменяется, набор записей псевдонима автоматически обновляется во время разрешения DNS. Набор записей псевдонима указывает на экземпляр службы, и этот экземпляр службы связан с IP-адресом.
Кроме того, теперь вы можете указать свой верхний или голый домен на профиль диспетчера трафика или конечную точку CDN, используя запись псевдонима.Пример — contoso.com.
Дополнительные сведения см. В разделе Обзор записей псевдонимов Azure DNS.
Следующие шаги
.Обзор политик DNS
| Документы Microsoft
- 11 минут на чтение
В этой статье
Применимо к: Windows Server (полугодовой канал), Windows Server 2016
Вы можете использовать этот раздел, чтобы узнать о политике DNS, которая является новой в Windows Server 2016. Вы можете использовать политику DNS для управления трафиком на основе географического расположения, интеллектуальные ответы DNS на основе времени суток, для управления одним настроенным DNS-сервером. для раздельного развертывания, применения фильтров к DNS-запросам и многого другого.Следующие элементы предоставляют более подробную информацию об этих возможностях.
Балансировка нагрузки приложений. Когда вы развернули несколько экземпляров приложения в разных местах, вы можете использовать политику DNS для балансировки нагрузки трафика между различными экземплярами приложения, динамически распределяя нагрузку трафика для приложения.
Управление трафиком на основе геолокации. Вы можете использовать политику DNS, чтобы разрешить первичным и вторичным DNS-серверам отвечать на запросы DNS-клиентов в зависимости от географического положения как клиента, так и ресурса, к которому клиент пытается подключиться, предоставляя клиенту IP-адрес ближайшего ресурс.
DNS с разделенным мозгом. При использовании DNS с разделенным мозгом записи DNS разделяются на разные области зоны на одном сервере DNS, и клиенты DNS получают ответ в зависимости от того, являются ли они внутренними или внешними клиентами. Вы можете настроить раздельный DNS для интегрированных зон Active Directory или для зон на автономных DNS-серверах.
Фильтрация. Вы можете настроить политику DNS для создания фильтров запросов, основанных на заданных вами критериях.Фильтры запросов в политике DNS позволяют настроить DNS-сервер для ответа на запрос в соответствии с запросом DNS и клиентом DNS, который отправляет запрос DNS.
Криминалистика. Вы можете использовать политику DNS для перенаправления злонамеренных DNS-клиентов на несуществующий IP-адрес вместо того, чтобы направлять их на компьютер, к которому они пытаются подключиться.
Перенаправление на основе времени суток. Вы можете использовать политику DNS для распределения трафика приложения по разным географически распределенным экземплярам приложения с помощью политик DNS, основанных на времени суток.
Новые концепции
Для создания политик для поддержки перечисленных выше сценариев необходимо иметь возможность идентифицировать группы записей в зоне, группы клиентов в сети, среди других элементов. Эти элементы представлены следующими новыми объектами DNS:
Подсеть клиента: объект подсети клиента представляет подсеть IPv4 или IPv6, из которой запросы отправляются на DNS-сервер. Вы можете создавать подсети, чтобы позже определять политики, которые будут применяться в зависимости от того, из какой подсети поступают запросы.Например, в сценарии DNS с разделенным мозгом на запрос разрешения для имени, такого как www.microsoft.com , можно ответить внутренним IP-адресом для клиентов из внутренних подсетей и другим IP-адресом для клиентов во внешних подсетях. .
Область рекурсии: области рекурсии — это уникальные экземпляры группы параметров, которые управляют рекурсией на DNS-сервере. Область рекурсии содержит список серверов пересылки и указывает, включена ли рекурсия.DNS-сервер может иметь много областей рекурсии. Политики рекурсии DNS-сервера позволяют выбрать область рекурсии для набора запросов. Если DNS-сервер не является авторитетным для определенных запросов, политики рекурсии DNS-сервера позволяют вам контролировать, как разрешать эти запросы. Вы можете указать, какие серверы пересылки использовать и следует ли использовать рекурсию.
Области зоны: зона DNS может иметь несколько областей, каждая из которых содержит свой собственный набор записей DNS.Одна и та же запись может присутствовать в нескольких областях с разными IP-адресами. Кроме того, перенос зоны выполняется на уровне области действия зоны. Это означает, что записи из области зоны в первичной зоне будут перенесены в ту же область зоны во вторичной зоне.
Типы политики
DNS-политики разделены по уровню и типу. Вы можете использовать политики разрешения запросов, чтобы определить, как обрабатываются запросы, и политики передачи зон, чтобы определить, как происходят передачи зон. Вы можете применить каждый тип политики на уровне сервера или на уровне зоны.
Политики разрешения запросов
Вы можете использовать политики разрешения DNS-запросов, чтобы указать, как входящие запросы разрешения обрабатываются DNS-сервером. Каждая политика разрешения DNS-запросов содержит следующие элементы:
Поле | Описание | Возможные значения |
---|---|---|
Имя | Название политики | — До 256 символов — Может содержать любой символ, допустимый для имени файла |
Государство | Состояние политики | — Включить (по умолчанию) — Выключено |
Уровень | Уровень политики | — Сервер — Зона |
Порядок обработки | После того, как запрос классифицируется по уровню и применяется, сервер находит первую политику, для которой запрос соответствует критериям, и применяет ее к запросу | — Числовое значение — Уникальное значение для политики, содержащее один и тот же уровень и применяется к значению |
Действие | Действие, которое должен выполнить DNS-сервер | — Разрешить (по умолчанию для уровня зоны) — Запретить (по умолчанию на уровне сервера) — Игнорировать |
Критерии | Условие политики (И / ИЛИ) и список критериев, которые должны соблюдаться для применения политики | — Оператор условия (И / ИЛИ) — Список критериев (см. Таблицу критериев ниже) |
Объем | Список областей зоны и взвешенных значений для каждой области.Взвешенные значения используются для распределения балансировки нагрузки. Например, если этот список включает центр обработки данных 1 с весом 3 и центр обработки данных 2 с весом 5, сервер ответит записью из центра обработки данных 1 три раза из восьми запросов | — Список зон (по названию) и весов |
Примечание
Политики уровня сервера могут иметь только значения Запретить или Игнорировать как действие.
Поле критериев политики DNS состоит из двух элементов:
Имя | Описание | Примеры значений |
---|---|---|
Клиентская подсеть | Имя предопределенной клиентской подсети.Используется для проверки подсети, из которой был отправлен запрос. | — EQ, Испания, Франция — принимает значение true, если подсеть определена как Испания или Франция — NE, Канада, Мексика — принимает значение true, если подсеть клиента представляет собой любую подсеть, кроме Канады и Мексики |
Транспортный протокол | Транспортный протокол, используемый в запросе. Возможные записи: UDP и TCP | — EQ, TCP — EQ, UDP |
Интернет-протокол | Сетевой протокол, используемый в запросе.Возможные записи: IPv4 и IPv6 | — EQ, IPv4 — EQ, IPv6 |
IP-адрес интерфейса сервера | IP-адрес для сетевого интерфейса входящего DNS-сервера | — эквалайзер, 10.0.0.1 — эквалайзер, 192.168.1.1 |
FQDN | FQDN записи в запросе с возможностью использования подстановочного знака | — EQ, www.contoso.com — принимает значение true только в том случае, если запрос пытается разрешить полное доменное имя www.contoso.com EQ — , *. contoso.com, *. woodgrove.com — принимает значение true, если запрос для любой записи, заканчивающейся на contoso.com ИЛИ woodgrove.com |
Тип запроса | Тип запрашиваемой записи (A, SRV, TXT) | — EQ, TXT, SRV — принимает значение true, если запрос запрашивает запись TXT ИЛИ SRV — EQ, MX — принимает значение true, если запрос запрашивает запись MX |
Время суток | Время дня получения запроса | — EQ, 10: 00–12: 00,22: 00–23: 00 — принимает значение «истина», если запрос получен между 10:00 и полуднем, ИЛИ между 22:00 и 23:00 |
Используя приведенную выше таблицу в качестве отправной точки, приведенную ниже таблицу можно использовать для определения критерия, который используется для сопоставления запросов для любого типа записей, кроме записей SRV в contoso.com, поступающий от клиента в подсети 10.0.0.0/24 через TCP между 20:00 и 22:00 через интерфейс 10.0.0.3:
Имя | Значение |
---|---|
Подсеть клиента | эквалайзер, 10.0.0.0 / 24 |
Транспортный протокол | EQ, TCP |
IP-адрес интерфейса сервера | EQ, 10.0.0.3 |
FQDN | EQ, *. Contoso.com |
Тип запроса | NE, SRV |
Время суток | EQ, 20: 00-22: 00 |
Можно создать несколько политик разрешения запросов одного уровня, если они имеют разные значения для порядка обработки.Когда доступно несколько политик, DNS-сервер обрабатывает входящие запросы следующим образом:
Рекурсионные политики
Политики рекурсии — это особый типа политик уровня сервера. Политики рекурсии управляют тем, как DNS-сервер выполняет рекурсию для запроса. Политики рекурсии применяются только тогда, когда обработка запроса достигает пути рекурсии. Вы можете выбрать значение DENY или IGNORE для рекурсии для набора запросов. Кроме того, вы можете выбрать набор серверов пересылки для набора запросов.
Вы можете использовать политики рекурсии для реализации конфигурации раздельного DNS. В этой конфигурации DNS-сервер выполняет рекурсию для набора клиентов для запроса, в то время как DNS-сервер не выполняет рекурсию для других клиентов для этого запроса.
Политики рекурсии содержат те же элементы, что и обычные политики разрешения запросов DNS, а также элементы в таблице ниже:
Имя | Описание |
---|---|
Применить к рекурсии | Указывает, что эта политика должна использоваться только для рекурсии. |
Объем рекурсии | Имя области рекурсии. |
Примечание
Политики рекурсии могут быть созданы только на уровне сервера.
Политика передачи зоны
Политики передачи зоны определяют, разрешена ли передача зоны вашим DNS-сервером. Вы можете создавать политики для передачи зоны либо на уровне сервера, либо на уровне зоны. Политики уровня сервера применяются к каждому запросу передачи зоны, который происходит на DNS-сервере.Политики уровня зоны применяются только к запросам в зоне, размещенной на DNS-сервере. Наиболее частое использование политик на уровне зоны — создание списков заблокированных или безопасных.
Примечание
Политики передачи зоны могут использовать только действия DENY или IGNORE.
Вы можете использовать приведенную ниже политику передачи зоны на уровне сервера, чтобы запретить передачу зоны для домена contoso.com из заданной подсети:
Add-DnsServerZoneTransferPolicy -Name DenyTransferOfContosoToFabrikam -Zone contoso.com -Action DENY -ClientSubnet "EQ, 192.168.1.0 / 24"
Можно создать несколько политик передачи зон одного уровня, если они имеют разные значения для порядка обработки. Когда доступно несколько политик, DNS-сервер обрабатывает входящие запросы следующим образом:
Управление политиками DNS
Вы можете создавать политики DNS и управлять ими с помощью PowerShell. В приведенных ниже примерах представлены различные примеры сценариев, которые можно настроить с помощью политик DNS:
Управление трафиком
Вы можете направлять трафик на основе FQDN на разные серверы в зависимости от расположения DNS-клиента.В приведенном ниже примере показано, как создать политики управления трафиком, чтобы направлять клиентов из определенной подсети в центр обработки данных в Северной Америке и из другой подсети в центр обработки данных в Европе.
Add-DnsServerClientSubnet -Name "NorthAmericaSubnet" -IPv4Subnet "172.21.33.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "172.17.44.0/24"
Add-DnsServerZoneScope -ZoneName «Contoso.com» -Name «NorthAmericaZoneScope»
Add-DnsServerZoneScope -ZoneName «Contoso.com» -Name «EuropeZoneScope»
Add-DnsServerResourceRecord -ZoneName "Contoso.com "-A -Name" www "-IPv4Address" 172.17.97.97 "-ZoneScope" EuropeZoneScope "
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "NorthAmericaZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "NorthAmericaPolicy" -Action ALLOW -ClientSubnet "eq, NorthAmericaSubnet" -ZoneScope "NorthAmericaZoneScope, 1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name «EuropePolicy» -Action РАЗРЕШИТЬ -ClientSubnet «eq, EuropeSubnet» -ZoneScope «EuropeZoneScope, 1» -ZoneName contoso.com
Первые две строки сценария создают объекты клиентской подсети для Северной Америки и Европы. Две следующие строки создают область зоны в домене contoso.com, по одной для каждого региона. Две следующие после этого строки создают запись в каждой зоне, которая связывает ww.contoso.com с другим IP-адресом, один для Европы, другой для Северной Америки. Наконец, последние строки сценария создают две политики разрешения запросов DNS, одну для применения к подсети Северной Америки, а другую — к подсети Европы.
Блокировать запросы для домена
Вы можете использовать политику разрешения запросов DNS, чтобы заблокировать запросы к домену. В приведенном ниже примере блокируются все запросы к treyresearch.net:
.
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ, *. Treyresearch.com"
Блокировать запросы из подсети
Вы также можете заблокировать запросы, поступающие из определенной подсети. Приведенный ниже сценарий создает подсеть для 172.0.33.0/24, а затем создает политику для игнорирования всех запросов, поступающих из этой подсети:
Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0,33,0 / 24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet "EQ, MaliciousSubnet06"
Разрешить рекурсию для внутренних клиентов
Вы можете управлять рекурсией с помощью политики разрешения DNS-запросов. Пример ниже можно использовать для включения рекурсии для внутренних клиентов и отключения для внешних клиентов в сценарии разделения мозга.
Set-DnsServerRecursionScope -Name. -EnableRecursion $ False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $ True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ, 10.0,0.34 "
Первая строка сценария изменяет область рекурсии по умолчанию, которую просто называют «.» (точка), чтобы отключить рекурсию. Вторая строка создает область рекурсии с именем InternalClients с включенной рекурсией. И третья строка создает политику для применения вновь созданной области рекурсии к любым запросам, поступающим через интерфейс сервера, который имеет 10.0.0.34 в качестве IP-адреса.
Создать политику передачи зоны на уровне сервера
Вы можете управлять передачей зон в более детальной форме с помощью политик DNS Zone Transfer.Приведенный ниже пример сценария можно использовать для разрешения передачи зон для любого сервера в данной подсети:
Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne, AllowedSubnet"
Первая строка сценария создает объект подсети с именем AllowedSubnet с IP-блоком 172.21.33.0/24. Вторая строка создает политику передачи зоны, чтобы разрешить передачу зоны на любой DNS-сервер в ранее созданной подсети.
Создание политики передачи зоны на уровне зоны
Вы также можете создавать политики передачи зон на уровне зоны. В приведенном ниже примере игнорируются любые запросы на передачу зоны для contoso.com, поступающие от интерфейса сервера с IP-адресом 10.0.0.33:
.
Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "eq, 10.0.0.33" -PassThru -ZoneName "contoso.com"
Сценарии политики DNS
Для получения информации о том, как использовать политику DNS для конкретных сценариев, см. Следующие разделы этого руководства.
Использование политики DNS на контроллерах домена только для чтения
Политика DNS
совместима с контроллерами домена только для чтения. Обратите внимание, что перезапуск службы DNS-сервера требуется для загрузки новых политик DNS на контроллеры домена только для чтения. Это не обязательно на контроллерах домена с возможностью записи.
.