Windows server 2020 r2 проброс портов: Настройка перенаправления портов в Windows
Настраиваем проброс портов в Windows при помощи командной строки и Portproxy
Необходимость проброса портов весьма часто встающая перед системным администратором задача. Обычно для этой цели используют службы маршрутизации и удаленного доступа (RRAS), но в ряде случаев использование данного инструмента избыточно. В тоже время немногие знают о такой службе как Portproxy, которая управляется из командной строки при помощи команд Netsh. Тем не менее данная служба позволяет справиться с поставленной задачей проще, быстрее и удобнее, чем инструменты графического интерфейса.
Часто можно услышать совершенно неверное утверждение, что в части сетевых настроек операционные системы Windows значительно уступают своим конкурентам (Linux и BSD). Отчасти такие суждения опираются на опыт администрирования стандартных ролей полностью игнорируя возможности командной строки.
Начиная с Windows Server 2003 в состав системы был в введена команда Netsh, которая позволяет гибко управлять сетевыми настройками компьютера. Обзор всех возможностей этой утилиты займет не одну статью, поэтому мы остановимся на командах Netsh для интерфейса Portproxy, позволяющих непосредственно решить нашу задачу.
Данный набор команд позволяет перенаправлять приходящие пакеты с IPv4 и IPv6 портов на любые IPv4 и IPv6 порты компьютера назначения в любых комбинациях. Единственное ограничение — portproxy может работать только с протоколом TCP, но в большинстве случаев этого достаточно.
Для добавления перенаправления используется команда add v4tov4 (если требуется перенаправление с IPv4 в IPv6 используйте v4tov6 и т.д.), полный синтаксис будет такой:
netsh interface portproxy add v4tov4 listenaddress=xxx.xxx.xxx.xxx listenport=nnn connectaddress=xxx.xxx.xxx.xxx connectport=nnn
где:
- listenaddress — локальный адрес на котором принимаются соединения
- listenport — локальный порт на котором принимаются соединения
- connectaddress — удаленный или локальный адрес на который перенаправляются соединения
- connectport — удаленный или локальный порт на который перенаправляются соединения
Для изменения уже существующего правила используется команда set v4tov4, которая имеет идентичный синтаксис, listenaddress и listenport — являются обязательными параметрами. Из необязательных параметров можно указывать только тот, который нужно изменить.
Для удаления правил используйте delete v4tov6 с указанием входящих адреса и порта:
netsh interface portproxy delete v4tov4 listenaddress=xxx.xxx.xxx.xxx listenport=nnn
Для просмотра существующих правил введите:
netsh interface portproxy show all
Вместо all допустимо указывать v4tov4 или v6tov4 и т.п. для просмотра только соответствующих правил.
Для сброса всех существующих правил используйте:
netsh interface portproxy reset
Чтобы не быть голословными рассмотрим практический случай использования portproxy в одной довольно непростой ситуации.
У одного нашего клиента имеется две аффилированных (т.е. принадлежащих одному владельцу) организации, имеющие разный вид деятельности и между собой не взаимодействующие. Одна из них находится в городе и не испытывает проблем с внешними коммуникациями. Вторая в сельской местности где доступен только среднего качества интернет, а о выделенном IP-адресе не может быть и речи.
Поэтому, когда встал вопрос организации удаленного доступа к сети второй организации с административными и контрольными целями, то было принято решение использовать для этого ресурсы первой организации, при этом внутренние сети обоих компаний не должны видеть друг друга и вообще иметь какой-либо доступ к ресурсам другой организации.
Кроме того, выяснилось, что обе сети имеют одинаковый диапазон IP-адресов, что делало маршрутизацию между ними в принципе крайне затруднительной. По условиям задачи требовалось обеспечить доступ к RDP (порт 3389) сервера SRV-2-1 и SSH (порт 22) сервера SRV-2-2 второй организации, для этого выделялся сервер SRV-1-1 первой компании, при этом, как можно увидеть из схемы ниже, сервера обоих компаний также имеют одинаковые внутренние адреса.
Между серверами был поднят VPN-туннель, и они видят друг друга по адресам VPN-сети (10.8.0.0), а дальше на выручку приходит portproxy. Так как порты 3389 и 22 соответствующие нужным службам уже использовались для целей администрирования первой компании, то мы выбрали для служб второй компании внешние порты 3390 и 22222, которые были проброшены с внешнего интерфейса роутера первой компании на сервер SRV-1-1 штатным образом.
Теперь нам надо перенаправить все соединения на эти порты в сеть второй компании, но там нам доступен только SRV-2-1 по VPN-адресу, поэтому направим пакеты туда, для чего создадим два правила:
netsh interface portproxy add v4tov4 listenport=3390 listenaddress=192.168.0.200 connectport=3389 connectaddress=10.8.0.2
netsh interface portproxy add v4tov4 listenport=22222 listenaddress=192.168.0.200 connectport=22222 connectaddress=10.8.0.2
Первое правило отправит все пакеты пришедшие на порт 3390 с адресом 192.168.0.200 (внутренний адрес SRV-1-1) в VPN-туннель серверу SRV-2-1, а так как он уже является целевым для службы RDP, то сразу меняем порт назначения на 3389. Первая часть задачи выполнена.
Второе правило отправит к SRV-2-1 все пакеты с порта 22222 (SSH), теперь нам надо научить этот сервер как правильно доставить их адресату. Для этого добавим уже этому серверу следующее правило:
netsh interface portproxy add v4tov4 listenport=22222 listenaddress=10.8.0.2 connectport=22 connectaddress=192.168.0.201
Согласно которому сервер SRV-2-1 в сети второй компании будет слушать порт 22222 на интерфейсе VPN-сети и передавать все полученные пакеты на порт 22 (SSH) сервера SRV-2-2.
Как видим мы весьма просто реализовали довольно сложную схему, так пакет к серверу SRV-2-2 проходит три промежуточных узла, но при этом мы не настраивали никакой маршрутизации и не устанавливали никакого дополнительного ПО и вообще обошлись минимальным вмешательством в инфраструктуру.
Дополнительные материалы
- Команды Netsh для интерфейса Portproxy
Добавление правила в Брандмауэр Windows Server 2012 R2
В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие 8.х (необходимо открыть порт 1541 для менеджера кластера, порты 1560-1591 для рабочих процессов и порт 1540 для агента сервера).
Некоторые программы и службы при работе через сетевые протоколы используют определенные порты для обмена данными. По умолчанию включенный брандмауэр Windows блокирует подобную сетевую активность. В частности, если попытаться подключиться с клиентской машины к серверу 1С:Предприятие 8.х можно натолкнуться на ошибку:
«Ошибка при выполнении операции с информационной базой (…). Ошибка сетевого доступа к серверу (…). Попытка установить соединение была безуспешной, т. к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера (…) »
Данная ошибка означает, что по указанному адресу не найден сервер «1С:Предприятия», ну или на сервере закрыт порт (в данном случае порт 1541).
Для открытия порта, заходим на компьютер, где установлен сервер «1С:Предприятия» (в моем примере это компьютер с адресом 10.192.128.15 и установленной на нем операционной системой Windows Server 2012 R2).
Запускаем брандмауэр Windows. Сделать это можно кликнув правой кнопкой мыши по «Пуск» (Start), затем «Панель управления» (Control Panel) — «Система и безопасность» (System and Security) — «Брандмауэр Windows» (Windows Firewall). Или же выполнив команду firewall.cpl (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Отрыть» (Open) ввести имя команды и нажать «ОК» ) .
Далее нажимаем на «Дополнительные параметры» (Advanced Settings) в меню слева.
В открывшемся окне, в дереве слева откроем вкладку «Правила для входящих подключений» (Inbound Rules), а затем в меню «Действия» (Actions) выберем пункт «Создать правило…» (New Rule…).
Запустится «Мастер создания правила для нового входящего подключения» (New Inbound Rule Wizard). На первой странице выберем тип правила (Rule Type) «Для порта» (Port) и нажмем «Далее» (Next).
Затем необходимо указать протокол (в нашем примере это TCP) и, непосредственно, номер порта (Specific local ports), который открываем. После чего жмем «Далее» (Next).
Теперь укажем действие связанное с добавляемым правилом. Выберем «Разрешить подключение» (Allow the connection) и нажмем «Далее» (Next).
На следующей странице нужно указать, для каких профилей брандмауэра будет действовать правило. Отмечаем нужные профили галочками и жмем «Далее» (Next).
Ну и наконец, вводим имя и описание для нового правила и нажимаем «Готово» (Finish) для завершения работы мастера.
Пробуем снова подключиться к серверу «1С:Предприятия» и видим что ошибка сохранилось, но в сообщении уже другой, 1560-ый порт.
Вышеописанным способом добавим еще одно разрешающее правило, с названием «1С: Рабочие процессы» для всего диапазона портов с 1560 по 1591 (для рабочих процессов 1С), указав их через дефис на шаге «Протокол и порты» (Protocol and Ports).
Теперь, в оснастке «Брандмауэр Windows в режиме повышенной безопасности» (Windows Firewall with Advanced Security) в таблице «Правила для входящих подключений» (Inbound Rules) мы должны увидеть 2 только что созданных правила.
Ну а клиент «1С:Предприятия» должен без ошибок подключиться к серверу. Если же потребуется подключаться к этом серверу через консоль администрирования серверов «1С:Предприятия», то необходимо также открыть порт 1540.
Аналогичным образом добавляются правила для для исходящих подключений (Outbound Rules), запрещающие правила, правила для определенных программ и протоколов. Также любое правило можно изменить, открыв его свойства из данной оснастки.
Смотрите также:
- Добавление правила в Брандмауэр Windows Server 2008 R2
Ниже будет рассказано о том, как добавить новое правило в Брандмауэр Windows Server 2008 R2. А конкретнее, будем добавлять разрешающее правило для порта 1433, который использует Microsoft SQL Server 2008 R2 или, как…
- Изменение политики паролей в Windows Server 2012 R2
Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим…
Изменение порта для сервера терминалов в Windows Server 2008 R2
Есть ситуации, когда необходимо изменить порт для подключения к серверу терминалов в Windows Server 2008 R2. Здесь я расскажу как это сделать.
1. Изменение порта в реестре
Заходим на сервер с правами администратора и запускаем редактор реестра (Для этого нажимаем «Пуск» , в строке поиска пишем «regedit» и запускаем regedit.exe из появившегося списка)
Делаем, на всякий случай, экспорт реееста. А затем, в редакторе реестра, в дереве слева, идем по пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
выделяем папку «RDR-Tcp» и справа находим параметр «PortNumber» . Кликаем по нему 2 раза и в открывшемся окне выбираем десятеричную систему счисления. Теперь текущее значение порта 3389 меняем на то, которое вам надо (В моем примере это 3394). Нажимаем «ОК» и закрываем редактор.
2. Добавление правила в Бредмауэр.
Теперь, когда мы изменили порт для RDP, надо добавить правило в бредмауэр для нового порта. Для этого заходим «Пуск» — «Панель управления» — «Система и безопасность» — «Бредмауэр Windows» . Слева нажимаем на «Дополнительные параметры» , откроется оснастка «Бредмауэр в режиме повышенной безопасности», заходим в ветку «Правила для входящих подключений» и нажимаем «Создать правило» .
Запустится «Мастер создания правила для нового входящего подключения», выбираем правило «Для порта», нажимаем «Далее» .
Указываем номер нашего нового порта (у меня 3394), жмем 3 раза «Далее», вводим название правила, и нажимаем «Готово» .
Чтобы все изменения вступили в силу, необходимо перезагрузить сервер.
Все, на этом настройка закончена. Теперь можно заходить на сервер через новый порт. Для этого при подключении к удаленному рабочему столу в поле «Компьютер» надо написать IP-адрес сервера, двоеточие и номер порта.
Смотрите также:
- Изменение политики паролей в Windows Server 2008 R2
Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…
- Добавление правила в Брандмауэр Windows Server 2008 R2
Ниже будет рассказано о том, как добавить новое правило в Брандмауэр Windows Server 2008 R2. А конкретнее, будем добавлять разрешающее правило для порта 1433, который использует Microsoft SQL Server 2008 R2 или, как…
Проброс портов для FTP. Проброс произвольного порта. Проброс пассивного режима диапазона портов. — Хомячье логово
Содержание:
1. Постановка задачи.
2. Исходные данные.
3. Разрешаем порты в Firewall.
4. Проброс портов в NAT.
5. Оригиналы источников информации.
Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.
1. Постановка задачи.
Задача: Пробросить FTP наружу c локального IP адреса.
2. Исходные данные.
FTP в локальной сети на порту 21 (для пассивного режима диапазон портов 30000-35000). MikroTik в качестве шлюза.
3. Разрешаем порты в Firewall.
Заходим IP —> Firewall —> NAT
Делаем разрешение FTP на Firewall — внешний IP адрес + произвольный порт.
Делаем разрешение FTP на Firewall — внешний IP адрес + диапазон портов пассивного режима.
4. Проброс портов в NAT.
Заходим IP —> Firewall —> NAT
Делаем проброс с локального IP адреса + 21 порта на внешний IP адрес + произвольный порт.
Делаем проброс с локального IP адреса + диапазон портов пассивного режима на внешний IP адрес + диапазон портов пассивного режима.
5. Оригиналы источников информации.
- forummikrotik.ru «Проброс портов FTP».
Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.
Настройка VPN сервера на базе Windows Server 2012 R2
В этой статье мы покажем, как установить и настроить простейший VPN сервер на базе Windows Server 2012 R2, который можно эксплуатировать в небольшой организации или в случае использования отдельно-стоящего сервера (т.н. hosted-сценариях).
Примечание. Данный мануал не рекомендуется использовать в качестве справочника для организации VPN сервера в крупной корпоративной сети. В качестве enterprise-решения предпочтительнее развернуть Direct Access и использовать его для удаленного доступа (который, кстати говоря, настроить теперь намного проще, чем в Windows 2008 R2).
В первую очередь необходимо установить роль “Remote Access”. Сделать это можно через консоль Server Manager или PowerShell (немого ниже).
В роли Remote Access нас интересует служба “DirectAccess and VPN (RAS)” . Установим ее (установка службы тривиальна, на последующих шагах все настройки можно оставить по-умолчанию. Будут установлены веб сервер IIS, компоненты внутренней базы Windows — WID).
После окончания работы мастера нажмите ссылку “Open the Getting Started Wizard“, в результате чего запустится мастера настройки RAS-сервера.
Службу RAS с помощью Powershell можно установить командой:
Install-WindowsFeatures RemoteAccess -IncludeManagementTools
Так как нам не требуется разворачивать службу DirectAccess, укажем, что нам нужно установить только сервер VPN (пункт “Deploy VPN only“).
После чего откроется знакомая MMC консоль Routing and Remote Access. В консоли щелкните правой кнопкой по имени сервера и выберите пункт “Configure and Enable Routing and Remote Access“.
Запустится мастер настройки RAS-сервера. В окне мастера выберем пункт “Custom configuration“, а затем отметим опцию “VPN Access”.
После окончания работы мастера система предложит запустить службу Routing and Remote Access. Сделайте это.
В том случае, если между вашим VPN сервером и внешней сетью, откуда будут подключаться клиенты (обычно это Интернет), есть файервол, необходимо открыть следующие порты и перенаправить трафик на эти порты к вашему VPN серверу на базе Windows Server 2012 R2:
- Для PPTP: TCP — 1723 и Protocol 47 GRE (также называется PPTP Pass-through)
- Для SSTP: TCP 443
- Для L2TP over IPSEC: TCP 1701 и UDP 500
После установки сервера, необходимо в свойствах пользователя разрешить VPN доступ. Если сервер включен в домен Active Directory, сделать это нужно в свойствах пользователя в консоли ADUC, если же сервер локальный – в свойствах пользователя в консоли Computer Management (Network Access Permission – Allow access).
Если вы не используете сторонний DHCP сервер, который раздает vpn-клиентам IP адреса, необходимо в свойствах VPN сервера на вкладке IPv4 включить “Static address pool” и указать диапазон раздаваемых адресов.
Примечание. Раздаваемые сервером IP адреса в целях корректной маршрутизации не должны пересекаться с ip адресацией на стороне VPN клиента.
Осталось настроить VPN клиент и протестировать (как настроить vpn-клиент в Windows 8).
Совет. VPN сервер также можно организовать и на базе клиентской ОС. Подробно это описано в статьях:
Настройка переадресации портов — служба поддержки Ubisoft
Если во время игры у вас возникают проблемы с подключением, такие как задержки или отключения, возможно, ваш брандмауэр мешает подключению. Чтобы предотвратить это, пожалуйста, настройте соответствующие сетевые порты в вашем маршрутизаторе. Для этого вам нужно будет получить доступ к маршрутизатору с вашего ПК (даже если вы обычно играете на консоли).
Инструкции по настройке портов зависят от марки и модели используемого маршрутизатора и могут быть найдены , посетив веб-сайт производителя или обратившись к руководству маршрутизатора.Мы резюмируем инструкции для обобщенного процесса перенаправления портов в этой статье. Вы также можете обратиться к своему Интернет-провайдеру за помощью в этом процессе.
Указания по настройке портов для брандмауэра Windows зависят от текущей версии Windows. Инструкции можно найти на сайте Microsoft .
Имейте в виду, что вам может потребоваться настроить статический IP-адрес для вашей платформы ( PC , Xbox One , PS4 ), чтобы обеспечить непрерывную работу настроек переадресации портов.
Обобщенные шаги для переадресации портов
Перед тем, как вы сможете начать процесс переадресации портов, вам сначала потребуется некоторая информация о существующей настройке сети. Выполните следующие действия, чтобы получить текущий IPv4-адрес и шлюз по умолчанию .
– Нажмите клавишу Windows + R на клавиатуре.
— Введите cmd и нажмите Enter.
— Появится черное окно с белыми буквами.Это окно называется командной строкой .
— В этом окне введите ipconfig и нажмите Введите .
— В окне отобразится список информации о вашей сети.
— Запишите как шлюз по умолчанию , так и IPv4-адрес , который отображается для вас.
В качестве альтернативы вы можете найти IPv4-адрес и Шлюз по умолчанию , перейдя в Windows:
Панель управления> Сеть и Интернет> Центр управления сетями и общим доступом> Подключения (синий текст означает Подключение по локальной сети или Беспроводное соединение Сетевое подключение ) > Подробнее.
И IP-адрес , и шлюз по умолчанию должны быть серией чисел, кластеры разделены точками.
Формат, вероятно, будет выглядеть следующим образом: xxx.xxx.xxx.xxx
Или так или подобное: xxx.xxx.x.x
1. Вход в маршрутизатор
Затем войдите в свой маршрутизатор. Для этого откройте любой интернет-браузер по вашему выбору (например, Google Chrome, Mozilla Firefox, Internet Explorer или любой другой) и введите свой адрес шлюза по умолчанию в строке поиска URL.Нажмите Enter. Это может занять некоторое время, но со временем должна появиться страница входа для вашего маршрутизатора.
Эта страница входа потребует от вас ввести имя пользователя и пароль. Если вы помните, как настраивали индивидуальную комбинацию имени пользователя и пароля для вашего маршрутизатора, введите эту информацию в соответствующие поля. Если вы не настроили индивидуальную комбинацию имени пользователя и пароля, вероятно, будут применяться заводские настройки. Проверьте свой маршрутизатор или руководство к нему, чтобы узнать имя пользователя и пароль по умолчанию.
Для некоторых маршрутизаторов поля имени пользователя и пароля не требуются для входа в маршрутизатор. В этих случаях простое нажатие Enter с пустыми полями может позволить вам изменить настройки маршрутизатора.
После успешного входа в маршрутизатор вы сможете начать процесс переадресации портов.
2. Порты переадресации
Вы заметите, что можете перемещаться между несколькими разными вкладками или страницами в интерфейсе вашего маршрутизатора.Найдите страницу или вкладку под названием Port Forwarding или Virtual Servers (дополнительные имена для правильной вкладки могут включать NAT или Applications ). Правильная страница позволит вам ввести несколько частей информации, таких как диапазоны одиночных портов , протоколы, локальные IP-адреса и .
Если на странице, на которой вы находитесь, есть возможность ввести второй диапазон портов или поле внешнего IP-адреса, вы находитесь на неправильной странице. Как только вы найдете нужную страницу переадресации портов, вы можете ввести желаемые порты в поля Single Port Range .
Для полей Protocol вам нужно будет выбрать или ввести UDP, TCP, или Оба.
В полях Local IP вам нужно будет ввести адрес IPv4 , который вы получили ранее.
Чтобы узнать, какие порты следует вводить в эти поля, поищите на нашем сайте поддержки и найдите статью о подключении к вашей игре, чтобы узнать, какие порты требуются игре для работы ее сетевых функций. Или вы можете связаться с нами для получения информации о порте.
После ввода всех желаемых портов и соответствующих им значений Protocol и Local IP вы можете Сохранить или Применить изменения, которые вы внесли на страницу, и закрыть браузер. На этом этапе проверьте, сохраняется ли проблема в вашей игре.
Имейте в виду, что эти шаги отражают наиболее распространенный способ настройки переадресации портов. Не исключено, что шаги для вас будут отличаться. Например, к некоторым маршрутизаторам нельзя получить доступ через страницу браузера, но требуется специальное приложение для маршрутизатора.К другим маршрутизаторам нельзя получить доступ, используя шлюз по умолчанию , но вместо этого используется определенный адрес (например, hub / admin ). Если описанные выше действия не работают для вас, мы рекомендуем вам обратиться за помощью к руководству по эксплуатации вашего маршрутизатора или связаться с вашим интернет-провайдером.
Если проблема не исчезнет, позвоните и свяжитесь с нами .
.
Настроить условную пересылку в Windows Server 2012 R2
Условная пересылка — это еще один метод разрешения внешних имен путем пересылки DNS-запроса на другой DNS-сервер (или называемый пересылкой ). Условная пересылка отличается от обычной пересылки DNS. При обычной переадресации DNS сервер пересылает все запросы, которые он не может разрешить , на сервер пересылки, но в условной пересылке сервер будет пересылать только запросы к серверу пересылки для указанного имени зоны .В этой статье мы собираемся продемонстрировать шаги по настройке условной пересылки в Windows Server 2012 R2 , а также причины, по которым условная пересылка может быть вашим вариантом.
Как настроить условную пересылку в Windows Server 2012 R2
Концепция условной пересылки в чем-то похожа на Secondary или Stub zone , где создаст конкретное имя зоны на DNS-сервере. Однако вместо сохранения копии записей из этой зоны при условной пересылке будет определять только IP-адрес сервера пересылки .Существует два способа настроить условную пересылку в Windows Server 2012 R2: вы можете использовать диспетчер DNS или PowerShell.
Метод 1. Использование диспетчера DNS
Как и в случае с другой конфигурацией DNS, мы начинаем с Server Manager , затем переходим к Tools> DNS .
В окне диспетчера DNS разверните имя сервера , и вы увидите некоторые элементы со значком папки. Одним из элементов будет Условных экспедиторов .
Щелкните правой кнопкой мыши на условных серверах пересылки и выберите Новый сервер условной пересылки .
Введите имя зоны в поле DNS Domain , затем добавьте IP-адрес сервера пересылки для этого имени. В этом примере мы хотим разрешить имена в corp.mbg.com , а полномочный сервер для этого домена — 192.168.0.5 . Чтобы добавить IP-адрес, просто введите , введите и нажмите Введите ключ .Не волнуйтесь, если он пока не может быть подтвержден.
Обратите внимание, что есть возможность включить интеграцию с Active Directory . Если этот параметр включен, параметры сервера условной пересылки будут реплицированы на все DNS-серверы в лесу или домене , в зависимости от вашего выбора в раскрывающемся меню.
Щелкните OK, чтобы подтвердить все ваши настройки. Вы увидите результат в папке Conditional Forwarders , где теперь находится доменное имя DNS, указанное вами ранее.Если вы нажмете на него, вы увидите только список пересылки.
Метод 2. Использование PowerShell
Вышеуказанные шаги также можно выполнить с помощью PowerShell. Вы можете ввести команду ниже в окне PowerShell с повышенными привилегиями , чтобы создать новые серверы условной пересылки.
Add-DnsServerConditionalForwarderZone -Name "DNS_DOMAIN" -MasterServers FORWARDER_IP [-ReplicationScope SCOPE]
Замените DNS_DOMAIN и FORWARDER_IP на значение в соответствии с вашими настройками.Кроме того, вы также можете добавить ключ ReplicationScope , чтобы включить интеграцию с Active Directory. Когда вы это сделаете, замените SCOPE на значение Forest / Domain в зависимости от ваших предпочтений.
Ниже приведен пример команды, которая соответствует нашим требованиям в нашей среде. Результатом этой команды будет тот же результат, что и в предыдущем примере с использованием диспетчера DNS.
Работа с условной пересылкой в Windows Server 2012 R2
Если вы устанавливаете DNS-сервер в Windows Server 2012 R2 , у вас будет как минимум трех вариантов для пересылки DNS-запроса для определенной зоны .Вы можете использовать дополнительную зону , тупиковую зону или для включения условной пересылки . Использование условной пересылки является наиболее безопасным вариантом из этих трех. Это связано с тем, что условная пересылка сохраняет только IP-адрес пересылки и ничего более. В случае, если вам нужна пересылка, но невозможно сохранить какие-либо записи внешнего домена, вы можете использовать условную пересылку.
Компромисс для этой безопасности заключается в том, что администратор должен гарантировать, что IP-адрес пересылки является статическим и не будет меняться очень часто.Поскольку на DNS-сервере нет записей SOA и NS, хранящихся , администратору необходимо обновить конфигурацию условных серверов пересылки, если адрес сервера пересылки изменился. Вот почему важно научиться настраивать условную пересылку в Windows Server 2012 R2.
Следующие две вкладки изменяют содержимое ниже.
Я практикующий ИТ-специалист со специализацией в сетевой и серверной инфраструктуре. У меня многолетний опыт проектирования, анализа, эксплуатации и оптимизации инфраструктурных решений для сетей корпоративного масштаба.Вы можете отправить мне сообщение в LinkedIn или электронное письмо по адресу [email protected], чтобы узнать подробнее о материалах, которые я написал, или о возможности сотрудничества в проекте.
.