Настройка dns сервера windows 2020 r2: Настраиваем DNS over HTTPS (DoH) в Windows 10
Настраиваем DNS over HTTPS (DoH) в Windows 10
Поддержка протокола DNS over HTTPS (DoH) появилась в последнем билде Windows 10 2004 (May 2020 Update). Начиная с этой версии, Windows 10 может выполнять разрешение имен через HTTPS с помощью встроенного клиента DoH. В этой статье мы расскажем для чего нужен протокол DNS over HTTPS, как его включить и использовать в Windows 10.
Когда ваш компьютер обращается к серверу DNS для разрешения имен, этот обмен данными происходит в открытом виде. Злоумышленник может подслушать ваш трафик, определить какие ресурсы вы посещали, или манипулировать DNS трафиком по типу main-in-the-middle. Протокол DNS over HTTPS предполагает усиление защиты приватности данных пользователей за счет шифрования всех DNS запросов. Протокол DoH инкапсулирует запросы DNS в HTTPS трафик и отправляет из DNS серверу (нужен специальный DNS сервер с поддержкой DoH).
В Windows 10 2004 пока нет параметра групповой политики или опции в графическом интерфейсе для включения DNS-over-HTTPS. Пока можно включить DoH только через реестр:
- Запустите
regedit.exe
; - Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameter;
- Создайте DWORD параметр с именем EnableAutoDoh и значением 2;
- Затем нужно перезапустить службу DNS клиент. Для этого нужно перезагрузить компьютер, т.к. нормально перезапустить службу dnscase у меня не получится (командлет
Restart-Service -Name Dnscache –force
выдает ошибку “Collection was modified; enumeration operation may not execute”).
Затем нужно изменить настройки DNS вашего сетевого подключения. Нужно указать DNS сервера с поддержкой DNS over HTTPS. Пока далеко не все DNS сервера поддерживают DoH. В таблице ниже перечислен список общедоступных DNS с поддержкой DNS over HTTPS.
Провайдер | IP адреса DNS серверов с поддержкой DNS over HTTPS |
Cloudflare | 1.1.1.1, 1.0.0.1 |
8.8.8.8, 8.8.4.4 | |
Quad9 | 9.9.9.9, 149.112.112.112 |
Откройте панель настройки сети — Control Panel -> Network and Internet -> Network and Sharing Center (или ncpa.cpl
). Затем в свойствах сетевого адаптера измените текущие адреса DNS серверов на адреса DNS серверов с поддержкой DoH.
Вы можете изменить адреса DNS серверов в настройках сетевого адаптера с помощью PowerShell (см. статью о настройке сети с помощью PowerShell):
$PhysAdapter = Get-NetAdapter -Physical
$PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses '8.8.8.8', '1.1.1.1'
Теперь клиент DNS начинает использовать для разрешения имен протокол HTTPS по порту 443 вместо обычного 53 порта.
С помощью утилиты захвата сетевого трафика PktMon.exe (о которой мы говорили ранее) вы можете проверить, что с компьютера теперь не отправляются DNS запросы по порту 53.
Удалите все текущие фильтры Packet Monitor:
pktmon filter remove
Создайте новый фильтр для классического DNS порт 53:
pktmon filter add -p 53
Запустите мониторинг трафика в реальном времени (трафик выводится в консоль):
pktmon start --etw -p 0 -l real-time
Если вы правильно настроили DNS over HTTPS, то трафик по порту 53 должен отсутствовать (на скриншоте ниже показан вывод в консоль при отключённом DoH и при включенном).
DNS over HTTPS за последний год реализован во всех популярных браузерах (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). В каждом из этих браузеров вы можете включить поддержку DoH. Таком образом все DNS запросы от браузера будут шифроваться (DNS трафик других приложений по прежнему будет идти в открытом текстовом виде).
Больше все проблем технологии DNS over HTTPS и DNS over TLS создадут администраторам корпоративных сетей, которым станет сложнее блокировать доступн к внешним ресурсам из внутренних сетей. Также не понятно, что парирует делать Роскомнадзор, чья методика глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI) перестанет работать при переходе протокола DNS на рельсы шифрованного https.
Новые возможности сервера DNS в Windows Server Technical Preview 2 / Блог компании Microsoft / Хабр
Автор статьи — Андрей Каптелин, участник ИТ-сообщества
С выходом Windows Server Technical Preview 2 многие службы получили обновления. Не обошли обновления стороной и заслуженный сервер имен DNS. Помимо поддержки управления DNS-сервером из PowerShell, появилась новая возможность – DNS policy.
DNS policy – это расширение DNS-сервера для адаптации его работы в зависимости от содержания приходящих запросов. Благодаря первоочередному применению политик на поступивший запрос, можно существенно облегчить работу сервера, отсеяв заведомо ненужные запросы, либо указав серверу, изменить содержание ответа в соответствии с описанными правилами.
Политики применяются к трем категориям запросов:
- Запрос на разрешение записи. Все обычные запросы на разрешение имени в IP-адрес, или получение значений TXT-, MX- и SRV-записей.
- Запрос на передачу зон. Запросы от ваших вторичных серверов на обновление информации о зоне. Если такой запрос будет выполнен для чужого сервера, он получит всё содержимое вашей зоны.
- Запрос, для выполнения которого нужно выполнить рекурсивный запрос. Например, клиент запросил имя, находящееся не в ваших зонах. Сервер должен переспросить вышестоящий сервер для получения результата. Для внешних клиентов обрабатывать такие запросы нужно не всегда.
Область применения политики может быть, как на весь сервер, так и на конкретную зону, если эта зона не интегрирована в Active Directory.
Политики DNS-сервера позволяют реализовать следующие действия:
- Создавать зону с различным набором записей.
- Классифицировать клиента по его IP-адресу и использовать это в правилах применения политик.
- Применять политики на весь сервер и на зоны, не интегрированные в АД.
- Применять различные политики в зависимости от интерфейса, получившего запрос.
- Применять политики в зависимости от времени суток.
- Применять политики по типу запрашиваемых записей.
- Отвечать на запросы данными из различных версий зоны в заданных пропорциях, похоже на управляемый Round Robin.
- Применять политики для пересылки зон.
- Применять нужную политику по фильтру, если для завершения запроса нужно выполнить рекурсию.
- Располагать политики в нужном порядке обработки.
Все созданные политики сохраняются в реестре в следующих разделах:
Заданные подсети, используемые в правилах применения политик, хранятся в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\ClientSubnets
Политики, применяемые на сервер, хранятся в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Policies
Политики, применяемые к конкретной зоне, хранятся в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones\{имя зоны}\Policies
Зоны, используемые в правилах рекурсивных запросов, хранятся в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\ServerScopes
Значение о состоянии рекурсии для всего сервера (используется зона «.») хранится в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Ключ NoRecursion равен «0» — рекурсия включена, «1» — выключена. Переключение из включенного в выключенное состояние, требует перезапуска службы DNS-сервера.
Если для зоны создается альтернативное содержание (Add-DnsServerZoneScope), оно помещается в файле, размещенном в
C:\Windows\System32\dns\{имя зоны}
А конфигурация записывается в реестр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones\{имя_зоны}\ZoneScopes\
При удалении альтернативной версии зоны, запись в реестре удаляется, а файл альтернативного содержания остаётся на месте.
Несмотря на обилие мест расположения настроек, для их изменений достаточно несколько команд PowerShell.
Для работы с политиками запросов разрешения записи и рекурсивных запросов:
Add-DnsServerQueryResolutionPolicy
Get-DnsServerQueryResolutionPolicy
Set-DnsServerQueryResolutionPolicy
Remove-DnsServerQueryResolutionPolicy
Для работы с запросами по передаче зон:
Add-DnsServerZoneTransferPolicy
Get-DnsServerZoneTransferPolicy
Set-DnsServerZoneTransferPolicy
Remove-DnsServerZoneTransferPolicy
Действия выполнения политик могут быть следующие:
-Action ALLOW – запрос выполняется сервером DNS
-Action DENY – сервер DNS отвечает отказом
-Action IGNORE – запрос не обрабатывается сервером DNS
Для понимания этапов обработки политик есть следующие схемы прохождения запроса.
Схема обработки запросов разрешения записи и рекурсивных запросов:
Схема обработки запросов на передачу зон:
Настройка ограничения выполнения рекурсивных запросов
Есть задача настроить DNS-сервер на выполнение рекурсивных запросов только для внутренних клиентов. Сервер имеет два сетевых интерфейса. У внешнего IP-адрес 1.1.1.1, у внутреннего интерфейса IP-адрес 10.0.0.39. Можно выполнить эту задачу, ограничив выполнение таких запросов только внутренним интерфейсом. Для этого необходимо запретить рекурсивные запросы на уровне сервера и разрешить только для запросов, полученных внутренним интерфейсом.
# Запрещаем рекурсию на область «.» - т.е. на уровне сервера
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
# Добавляем область для внутренних клиентов с разрешением выполнения рекурсивных запросов
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
# Создаём правило, разрешающее рекурсивные запросы
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainRecursionPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.39"
Разберём команду создания политики подробнее.
Add-DnsServerQueryResolutionPolicy – командлет создания политики обработки запросов на разрешение записей и рекурсивных запросов.
-Name «SplitBrainRecursionPolicy» – имя политики
-Action ALLOW – действие политики – выполнить запрос
-ApplyOnRecursion – политика обрабатывает только запросы, для которых нужно выполнить рекурсивный запрос
-RecursionScope «InternalClients – получает значение разрешения или запрета рекурсии заданной ранее области
-ServerInterfaceIP „EQ,10.0.0.39“ – правило применения политики – только запрос, пришедший на интерфейс сервера с IPv4-адресом равным 10.0.0.39.
Модификация ответа на запрос разрешения имени
В компании есть отказоустойчивый веб-сервер, размещенный на двух площадках – в Европе и в Австралии. Скорость работы обоих площадок всегда одинакова, но в ночные часы стоимость аренды меньше. Компания решила задействовать площадки в зависимости от времени суток. Для этого принято решение распределять запросы клиентов в процентном отношении 80/20 на ночной и дневной датацентр.
# Создаём версии зоны для Европы и Австралии
Add-DnsServerZoneScope -ZoneName "testzone.z" -Name "EuropeDC"
Add-DnsServerZoneScope -ZoneName "testzone.z" -Name "AustralianDC"
# Создаём запись для веб-сервера в новых зонах с указанием на разные датацентры
Add-DnsServerResourceRecord -ZoneName "testzone.z" -A -Name "www" -IPv4Address "1.1.1.1" -ZoneScope "EuropeDC"
Add-DnsServerResourceRecord -ZoneName "testzne.oz" -A -Name "www" -IPv4Address "2.2.2.2" -ZoneScope "AustralianDC"
# Создаём политики обработки запросов по наших условиям
Add-DnsServerQueryResolutionPolicy -Name "www-6-18" -Action ALLOW -ZoneScope "AustralianDC,4;EuropeDC,1" –TimeOfDay “EQ,06:00-18:00” -ZoneName "testzone.z" –ProcessingOrder 1
Add-DnsServerQueryResolutionPolicy -Name "www-0-6" -Action ALLOW -ZoneScope "AustralianDC,1;EuropeDC,4" –TimeOfDay “EQ,00:00-06:00” -ZoneName "testzone.z" –ProcessingOrder 2
Add-DnsServerQueryResolutionPolicy -Name "www-18-24" -Action ALLOW -ZoneScope "AustralianDC,1;EuropeDC,4" –TimeOfDay “EQ,18:00-23:59” -ZoneName "testzone.z" –ProcessingOrder 3
Разберём команду создания политики подробнее.
Add-DnsServerQueryResolutionPolicy – командлет создания политики
-Name „www-6-18“ – имя политики
-Action ALLOW – действие политики – выполнить запрос
-ZoneScope „AustralianDC,4;EuropeDC,1“ – указывает политике, использовать две версии зоны в пропорциях 4 к 1, получая требуемое соотношение 80% к 20% в выдаче данных из версии зоны для Европы и Австралии
–TimeOfDay “EQ,06:00-18:00” – Время действия политики
-ZoneName „testzone.z“ – имя зоны, для которой действует политика
–ProcessingOrder 1 – очередность применения политики, для политик этой зоны
Ограничение запросов на передачу зон
В компания имеется основной DNS-сервер для внешних зон и два вторичных DNS-сервера, размещенных у разных провайдеров. Запретить сетевым экраном обращение к основному серверу по протоколу TCP на 53-й порт не представляется возможным, т.к. зоны имеют записи, превышающие размер пакета UDP. Решено использовать для этих целей DNS policy.
# Создаём диапазоны адресов наших вторичных DNS-серверов
Add-DnsServerClientSubnet -Name "DNSsecondary1" -IPv4Subnet 4.4.4.4/32
Add-DnsServerClientSubnet -Name "DNSsecondary2" -IPv4Subnet 5.5.5.5/32
# Создаём политику обработки запросов на перенос зон
Add-DnsServerZoneTransferPolicy -Name "Allow secondary DNS" -ZoneName "testzone.z" -Action IGNORE -ClientSubnet "ne,DNSsecondary1,DNSsecondary2"
Разберём команду создания политики подробнее.
Add-DnsServerZoneTransferPolicy – командлет создания политики обработки запросов на перенос зон
-Name „Allow secondary DNS“ – название политики
-ZoneName „testzone.z“ – название зоны, для которой будет действовать политика
-Action IGNORE – действие политики
-ClientSubnet „ne,DNSsecondary1,DNSsecondary2“ – условие применения для всех кроме наших серверов
Как видно, для решения многих задач теперь можно использовать DNS policy. Правильно описав правила прохождения запросов к DNS-серверу, можно не только оптимизировать работу сервисов, но и снизить нагрузку на DNS-сервер, отфильтровав ненужные запросы.
DNS Policies Overview
Статьи в блоге Windows Networking Team [MSFT]
Как настроить DNS сервер в windows server 2012R2-1 часть. Создание основной и дополнительной зоны
В первой части мы с вами установили DNS сервер, теперь нужно понять как его настроить и как он работает.
Напомню, что в моем примере у меня есть тестовый домен contoso.com DNS в сети является контролер домена, и нам нужно, чтобы наш новый DNS сервер (который не является контроллером домена) смог быть дополнительным DNS и держателем зоны contoso.com.
Открываем DNS оснастку на standalone сервере, в моем примере это сервер sccm.
Как настроить DNS сервер в windows server 2012R2-1 часть—01
Выбираем зону прямого просмотра, правый клик-свойства. Создать новую зону
Делее
Как настроить DNS сервер в windows server 2012R2-1 часть—03
Теперь на странице мастера мы видим возможные варианты зон
Как настроить DNS сервер в windows server 2012R2-1 часть—04
Основная зона
Если зона, хранящаяся на DNS-сервере, является основной, DNS-сервер становится основным источником сведений об этой зоне — он хранит главную копию данных зоны в локальном файле или в доменных службах Active Directory. Если зона хранится в файле, файл основной зоны называетсяимя_зоны.dns и размещается в папке сервера %windir%\System32\Dns.
Сначала создадим основную зону. Щелкаем далее.
Как настроить DNS сервер в windows server 2012R2-1 часть—05
Создать новый файл, если бы у вас был уже файл его можно было бы использовать.
Как настроить DNS сервер в windows server 2012R2-1 часть—06
Запрещаем динамические обновления в целях безопасности.
Как настроить DNS сервер в windows server 2012R2-1 часть—07
Готово
Как настроить DNS сервер в windows server 2012R2-1 часть—08
Видим наши записи
Как настроить DNS сервер в windows server 2012R2-1 часть—09
Проблема одиночных DNS домене т.е. те которые установлены не совместно с AD, в том что сразу с DNS сервера, который находится на DC зону среплицировать не получиться.
Создадим дополнительную зону.
Удаляем созданную до этого зону и выбираем создать новую
Как настроить DNS сервер в windows server 2012R2-2 часть—01
Как настроить DNS сервер в windows server 2012R2-2 часть—02
Выбираем дополнительная зона
Дополнительная зона
Если зона, хранящаяся на DNS-сервере, является дополнительной, DNS-сервер становится дополнительным источником сведений о зоне. Зона на этом сервере должна быть получена от другого удаленного компьютера DNS-сервера, который также хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу, который будет обеспечивать этот сервер обновленными данными о зоне. Так как дополнительная зона является копией основной зоной, хранящейся на другом сервере, она не может быть размещена в доменных службах Active Directory.
Как настроить DNS сервер в windows server 2012R2-2 часть—03
Пишем название зоны
Как настроить DNS сервер в windows server 2012R2-2 часть—04
Пишем имя DNS сервера, который эту зону даст среплицировать на этот DNS.
Как настроить DNS сервер в windows server 2012R2-2 часть—05
Как настроить DNS сервер в windows server 2012R2-2 часть—06
Готово.
Как настроить DNS сервер в windows server 2012R2-2 часть—07
Как видим зона создалась, но не среплицировалась, и это правильно с точки зрения безопасности. В следующей части мы настроим сервер dc на репликацию с дополнительной зоной.
Как настроить DNS сервер в windows server 2008R2-3 часть
В предыдущей части мы разобрали что такое дополнительная зона и заглушка. Теперь пройдемся по основным настройкам DNS.
Идем на наш DNS сервер и выбираем DNS-правый клик. Видм что в контекстном меню, можно создать новую зону, Установить свойства очистки для всех зон, очень удобно, очистить кэш, запустить nslookup, а так же рестартануть.
Как настроить DNS сервер в windows server 2008R2-38
Идем в свойства данного сервера. Первая вкладка которая нас интересует это Интерфейсы. На ней перечислены интерфейсы которые должен слушать DNS сервер.
Как настроить DNS сервер в windows server 2008R2-39
Вкладка Сервер пересылки позволяет задать DNS которые разрешают все остальное кроме зон данного сервера, чаще всего это провайдерские dns или гугловские как у меня.
Как настроить DNS сервер в windows server 2008R2-40
Как настроить DNS сервер в windows server 2008R2-41
Вкладка дополнительно.
Позволяет включить автоматическое удаление старых записей
Как настроить DNS сервер в windows server 2008R2-42
а так же задать откуда будет грузиться зона при старте
Как настроить DNS сервер в windows server 2008R2-43
Вкладка корневые ссылки нужна для перечисления dns серверов держателей зон интернета их 13, если сервера пересылки не заданы то запрос идет через эти сервера.
Как настроить DNS сервер в windows server 2008R2-44
Вкладка наблюдение позволяет проверить правильность настройки DNS.
Как настроить DNS сервер в windows server 2008R2-45
Как настроить DNS сервер в windows server 2008R2-46
Якори доверия нужна для настройки DNSSEC цифровой подписи зоны
Как настроить DNS сервер в windows server 2008R2-47
Теперь рассмотрим свойства конкретной зоны правый клик-свойства по нужной вам зоне. Первая будет вкладка Общие.
Как настроить DNS сервер в windows server 2008R2-49
Можно задать обновление зоны, лучше оставить безопасное
Как настроить DNS сервер в windows server 2008R2-50
Кнопка Очистка включаем удаление старых записей для данной зоны, цифры заданные тут суммируются с цифрой заданной в свойствах DNS сервера.
Как настроить DNS сервер в windows server 2008R2-51
Начальная запись зоны (SOA)
Серийный номер — номер зоны, на него ориентируются DNS сервера, сверяя не произошло ли обновлений после последней синхронизации.
Основной сервер — Сервер, отвечающий за данную зону
Ответственное лицо — тут можно прописать email ответственного.
Ну и про интервалы и так понятно все из названия.
Как настроить DNS сервер в windows server 2008R2-52
Вернемся на вкладку общие и выберем пункт Интегрированный в AD Изменить
Видим, что тут можно сменить тип зоны и при желании убрать галку хранить не в AD а в файле.
Как настроить DNS сервер в windows server 2008R2-53
Если убрать галку то зона пересохранится в файл
Как настроить DNS сервер в windows server 2008R2-54
Как настроить DNS сервер в windows server 2008R2-55
Пункт Репликация Изменить позволит выбрать уровень реплики зоны.
Как настроить DNS сервер в windows server 2008R2-56
Настройка репликации зон, интегрированных в Active Directory
Зоны, интегрированные в Active Directory, можно устанавливать только на контроллерах домена, где установлена роль DNS-сервер. Зоны, интегрированные в Active Directory, в отличие от стандартных зон обеспечивают многоуровневую репликацию данных, упрощенную конфигурацию, а также повышенную безопасность и эффективность. С помощью хранилища, интегрированного в Active Directory, DNS-клиенты могут отправлять обновления на любой DNS-сервер, интегрированный в Active Directory. Затем эти обновления копируются с помощью репликации на другие DNS-серверы, интегрированные в Active Directory.
Репликация и раздел каталога приложений
Данные DNS для отдельной зоны можно реплицировать среди контроллеров домена различными способами, в зависимости от раздела каталога приложения, где хранятся данные зоны DNS.
Раздел — это структура данных в Active Directory, которая определяет данные для репликации. По умолчанию контроллеры домена включают два раздела каталога приложений, зарезервированные для данных DNS: DomainDnsZones и ForestDnsZones. Репликация раздела DomainDnsZones выполняется на всех контроллерах домена, также являющихся DNS-серверами в отдельном домене, а репликация раздела ForestDnsZones выполняется на всех контроллерах домена, также служащих DNS-серверами в каждом домене леса Active Directory.
Каждый из этих разделов каталога приложений получает имя в соответствии с именем FQDN дочернего домена DNS. Эти разделы можно просмотреть в диспетчере DNS. Кроме того, каждая зона содержит имя DomainDnsZones, указывающее раздел, репликация которого выполняется лишь в локальных доменах.
Помимо этих двух разделов в каталоге приложений можно также создать настраиваемый или определяемый пользователем раздел и присвоить ему имя по своему усмотрению. Затем можно отконфигурировать зону для хранения данных в этой новой структуре. По умолчанию новый раздел каталога приложений существует только на сервере, где создается, однако в этом разделе можно перечислить и другие серверы, чтобы туда копировались данные репликации его содержимого.
Хранение данных DNS в разделе домена Данные зоны, интегрированной в Active Directory, хранятся в разделе домена вместе с остальными данными домена. В этой конфигурации репликация данных DNS выполняется не только на контроллерах домена, которые также являются DNS-серверами, но и па всех контроллерах локального домена. Однако при использовании этой опции генерируется дополнительный трафик репликации. Ее следует применять для репликации данных DNS на компьютерах Windows Server 2000.
Выбор области репликации зон
Раздел, в котором хранится зона, эффективно определяет область репликации для этой зоны, интегрированной в Active Directory. При использовании программы Dcpromo для назначения сервера контроллером нового домена в разделе DomainDnsZones автоматически создается новая зона, интегрированная в Active Direcrory. Однако при создании новой зоны с помощью мастера создания новой зоны на странице Область репликации зоны, интегрированной в Active Directory(Active Directory Zone Replication Scope), можно выбрать раздел для сохранения зоны.
На странице Область репликации зоны, интегрированной в Active Directory (ActiveDirectory Zone Replication Scope), представлены четыре опции.
■ Для всех DNS-серверов в этом лесу (То All DNS Servers In This Forest)
Новая зона сохраняется в разделе ForestDnsZones. Каждый контроллер домена во всем лесу, где установлен DNS-сервер, получит копию этой зоны.
■ Для всех DNS серверов в этом домене (То All DNS Servers In This Domain)
Новая зона сохраняется в разделе DomainDnsZones. Каждый контроллер локального домена, где установлен DNS-сервер, получит копию этой зоны.
■ Для всех контроллеров домена в этом домене (То All Domain Controllers In ThisDomain)
Зона сохраняется в разделе домена. Каждый контроллер локального домена получит копию этой зоны независимо от наличия па нем установленного DNS-сервера.
■ На все контроллеры домена, указанные в области данного раздела каталога(То All Domain Controllers Specified In The Scope Of This Directory Partition)
Зона сохраняется в созданном пользователем разделе каталога приложения, который указан в раскрывающемся списке. Чтобы контроллер домена попадал в область такого раздела каталога, нужно вручную указать этот контроллер домена в разделе.
Область репликации созданной зоны можно изменить в любое время. Для этого на вкладке Общие (General) щелкните кнопку Изменить (Change) напротив параметра репликации.
Откроется диалоговое окно Изменение области видимости зоны репликации (Change Zone Replication Scope), в котором представлены те же опции выбора области репликации, что и на странице мастера создания новой зоны.
При выборе области репликации нужно учесть, что увеличение этой области приводит к повышению объема сетевого трафика, связанного с репликацией. Например, если выбрать репликацию интегрированной в Active Directory зоны для всех DNS-серверов в лесу, объем сетевого трафика будет больше, чем при репликации данных зоны DNS лишь на все DNS-серверы в локальном домене. С другой стороны, репликация данных зоны на все DNS-серверы в лесу может ускорить разрешение имен и обеспечить отказоустойчивость.
ПРИМЕЧАНИЕ: Повторное создание зон DomalnDnsZones и ForestDnsZones
Удаленные или поврежденные разделы каталога приложений можно воссоздать в диспетчере DNS, щелкнув правой кнопкой мыши узел сервера и применив команду Создать используемые по умолчанию разделы каталога приложений (Create Default Application Directory Partitions).
В следующих статья мы поговорим про nslookup dnscmd и раздел Каталога.
Как настроить DNS сервер в windows server 2008R2-2 часть
добрвый день уважаемые читатели блога pyatilistnik.org, продолжаем изучать ДНС службы. В первой части мы создали дополнительную зону, теперь ее нужно среплицировать с основной, чтобы данный сервер мог полноценно обслуживать клиентов сети. Для этого идем на ваш Контроллер домена, у меня это dc. Выбираем свойства нужной зоны
Настройка репликации DNS
Как настроить DNS сервер в windows server 2008R2-21
Идем на вкладку сервера имен. Нажимаем Добавить
Как настроить DNS сервер в windows server 2008R2-22
пишем имя нужного сервера, у меня это vcenter
Как настроить DNS сервер в windows server 2008R2-23
Видим, что запись определилась нормально, о чем вам говорит зеленый кружок.
Как настроить DNS сервер в windows server 2008R2-24
Дальше идем на вкладку передачи зон и смотрим чтобы стаяла галка Разрешить передачу зон и только на сервера из списка серверов имен.
Если все DNS-серверы расположены на контроллерах доменов, для обеспечения согласованности данных зон среди всех DNS-серверов используется репликацияActive Directory. Однако эта возможность недоступна при установке DNS-сервера на компьютере, не являющемся контроллером домена. В таком случае зону нельзя сохранять в Active Directory, вместо этого нужно использовать стандартную зону, которая сохраняет данные в локальном текстовом файле на каждом DNS-сервере. Если в организации используется много DNS-серверов, то исходные данные можно копировать в управляемые другими серверами дополнительные зоны с правом только для чтения. Для того чтобы обеспечить согласованность и обновление данных между основной и дополнительными зонами, нужно настроить передачу зон.
Передача зон, по сути, представляет собой извлечение данных, инициируемое в дополнительных зонах, копирование данных главной зоны, которая сама по себе может быть основной или еще одной дополнительной зоной. Главной зоне необязательно даже быть стандартной по отношению к дополнительной зоне — вы можете отконфигурировать дополнительную зону для основной зоны, интегрированной в Active Directory. К примеру, у вас есть два сайта — один в Нью-Йорке, другой в Лос-Анджелесе, причем каждый сайт принадлежит отдельному домену Active Directory. В каждом домене можно обеспечить разрешение имен для противоположного домена, не устанавливая новый контроллер домена и не управляя трафиком репликации между двумя сайтами.
Включение передачи зон
Передача данных для дополнительных зон может быть инициирована в любом из трех случаев.
■ По истечении интервала обновления начальной записи SOA основной зоны.
■ При загрузке дополнительной зоны сервером.
■ В результате изменения конфигурации основной зоны, если эта зона настроена для уведомления дополнительной зоны об обновлениях.
По умолчанию передача для всех зон отключена. Ее нужно включить на вкладке Передача зон (Zone Transfers) окна свойств зоны. Установив флажок разрешения передачи зон, можно выбрать одни из трех параметров передачи.
■ На любой сервер (To Any Server) Этот параметр обеспечивает минимальную безопасность. Поскольку передача зоны представляет собой копирование данных зоны, этот параметр позволяет кому угодно с сетевым доступом к DNS-серверу просмотреть содержимое зоны, включая имена всех серверов и компьютеров с их IP-адресами. Поэтому данный параметр следует использовать только в частных сетях с высоким уровнем безопасности.
■ Только на серверы, перечисленные на странице серверов зон (Only To ServersListed On The Name Servers Tab) Этот параметр позволяет выполнять передачу зон с записью NS только на те дополнительные DNS-серверы, которые полномочны для данных зон.
■ Только на серверы из этого списка (Only To The Following Servers) Этот параметр позволяет указать список дополнительных серверов, на которые будет выполняться передача зон. Для этих дополнительных серверов не требуется идентификация с помощью записи NS в зоне.
Настройка уведомлений
На вкладке Передача зон (Zone Transfers) можно также настроить уведомление, которое будет отправлено дополнительным серверам в случае изменений в основной зоне. Поскольку передача зон представляет собой операции PULL, их нельзя конфигурировать для переноса новых данных на дополнительные серверы. Вместо этого при модификации данных основная зона отправляет уведомление на все указанные серверы, управляющие дополнительными зонами. Дополнительная зона, получившая уведомление, инициирует передачу зоны.
Для настройки уведомлений на вкладке Передача зон (Zone Transfers) щелкните кнопку Уведомить (Notify). Откроется диалоговое окно Уведомление (Notify), где можно указать дополнительные серверы, которые будут оповещаться при обновлении зоны на локальном главном сервере.
По умолчанию при включении передачи зон все серверы, перечисленные на вкладке Серверы имен (Name Servers), автоматически уведомляются об обновлениях зоны.
Как настроить DNS сервер в windows server 2008R2-25
Обновление дополнительной зоны вручную
Если щелкнуть дополнительную зону правой кнопкой мыши на вашем DNS, у меня это vcenter, откроется контекстное меню, в котором можно использовать следующие операции для обновления зоны.
■ Перезагрузка (Reload)
Перезагружается дополнительная зона из локального хранилища.
■ Передать зону с основного сервера (Transfer From Master)
Сервер, управляющий локальной дополнительной зоной, определяет истечение интервала обновления серийного номера дополнительной зоны в записи SOA и выполняет передачу зоны с главного сервера.
■ Перезагрузить повторно зону с основного сервера (Reload From Master)
Выполняется передача зоны с главного сервера дополнительной зоны независимо от серийного номера в записи SOA дополнительной зоны.
Выбираем Передать зону с основного сервера
Как настроить DNS сервер в windows server 2008R2-26
Как видим если нажать F5 зона передалась
Как настроить DNS сервер в windows server 2008R2-27
Если щелкнуть правым кликом, то видно, что это дополнительная зона так как нету возможности создать записи.
Как настроить DNS сервер в windows server 2008R2-28
Зона-заглушка
Если зона, хранящаяся на DNS-сервере, является зоной-заглушкой, DNS-сервер становится источником сведений только о полномочных серверах имен для этой зоны. Зона на этом сервере должна быть получена от другого DNS-сервера, который хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу для копирования сведений о полномочных серверах имен для этой зоны.
Зоны-заглушки можно использовать в следующих целях:
- Поддержка самых текущих сведений о зоне. С помощью регулярного обновления зоны-заглушки для одной из дочерних зон DNS-сервер, содержащий как родительскую зону, так и зону-заглушку, будет поддерживать текущий список полномочных DNS-серверов для дочерней зоны.
- Улучшение разрешения имен. С помощью зон-заглушек DNS-сервер может выполнять рекурсию, используя список серверов имен из зоны-заглушки, без необходимости отправки запроса о пространстве имен DNS в Интернет или на внутренний корневой сервер.
- Упрощение администрирования DNS. С помощью использования зон-заглушек в инфраструктуре DNS можно распределить список полномочных DNS-серверов для зоны без необходимости использования дополнительных зон. Однако назначение зон-заглушек отличается от назначения дополнительных зон, и зоны-заглушки не являются альтернативой увеличению избыточности и распределению нагрузки.
Существует два списка DNS-серверов, участвующих в загрузке и поддержке зоны-заглушки:
- Список главных серверов, из которого DNS-сервер загружает и обновляет зону-заглушку. Главный сервер может быть главным или дополнительным DNS-сервером для зоны. В обоих случаях он будет располагать полным списком DNS-серверов для зоны.
- Список полномочных DNS-серверов для зоны. Список содержится в зоне-заглушке с использованием записей ресурсов сервера имен (NS).
Создадим зону заглушку или как еще ее называют stub zone.
Щелкаем правым кликом по зоны прямого просмотра и выбираем создать
Как настроить DNS сервер в windows server 2008R2-28
У вас откроется мастер создание.
Как настроить DNS сервер в windows server 2008R2-30
Выбираем зона заглушка, как видите, уже тут пишут, что в ней будут только NS записи, ссылающиеся на DNS сервера.
Как настроить DNS сервер в windows server 2008R2-31
задаем имя зоны
Как настроить DNS сервер в windows server 2008R2-32
создать новый файл, он будет помещен в C:\Windows\system32\dns
Как настроить DNS сервер в windows server 2008R2-33
Пишем имя главного dns с которого будем запрашивать зону
Как настроить DNS сервер в windows server 2008R2-34
dns server разрешился нормально.
Как настроить DNS сервер в windows server 2008R2-35
Готово
Проверяем и видим, наши NS записи, на которых есть службы dns.
Как настроить DNS сервер в windows server 2008R2-37
Так как до этого мы разрешили передавать зону с главного DNS на текущий зона сразу появилась. Заметьте, что в заглушке есть только NS записи и А записи DNS.
Пример зоны-заглушки
Предположим, вы работаете администратором DNS-сервера Dns1.microsoft.com, который уполномочен для зоны Microsoft.com. Ваша компания имеет дочерний домен Active Directory с именем India.microsoft.com, для которого выполняется делегирование. При начальном делегировании дочерняя зона, интегрированная иActive Directory, содержит только два полномочных DNS-сервера — 192.168.2.1 и 192.168.2.2. Позже администраторы домена India.microsoft.com развертывают дополнительные контроллеры домена и устанавливают роль DNS-сервер (DNSServer) на новых контроллерах. Однако администраторы не уведомили вас о том, что добавили полномочные DNS-серверы на свой домен. В результате на сервереDns1.microsoft.com оказались не отконфигурированными записи новых DNS-серверов, уполномоченных для домена lndia.microsoft.com, и запросы продолжают пересылаться лишь на два DNS-сервера, заданный в начальном делегировании.
Эту проблему можно устранить, создав зону-заглушку на сервере Dns1. microsoft.com для домена India.microsoft.com. С помощью новой зоны-заглушки компьютер Dns1 посредством передачи зон изучает новые серверы имен, уполномоченные для родительской зоны India.microsoft.com. Таким образом, сервер Dns1 сможет направлять запросы пространства имен Inclia.microsoft.com на все полномочные DNS-серверы дочерней зоны.
В следующей статье мы поговорим про дополнительные настройки и вкладки DNS сервера windows server 2008R2
Настройка DNS на Windows Server 2008 R2 » Самоучка
0
Конфигурирование DNS-сервера для указания на самого себя
Одной из первых задач, которая должна выполняться сразу же после установки DNS-сервера, является настройка его TCP/IP-параметров таким образом, чтобы при преобразовании имен DNS он указывал на самого себя, если только не имеется никакой особой причины, чтобы он этого не делал.
1. Откройте консоль Диспетчер сервера.
2. Щелкните на ссылке Отобразить сетевые подключения.
3. В окне Сетевые подключения щелкните правой кнопкой мыши на значке Подключение по локальной сети и выберите в контекстном меню пункт Свойства.
4. Дважды щелкните на элементе Internet Protocol (TCP/IP) (Протокол Интернета (TCP/IP)).
5. В разделе окна, который связан с сервером DNS, удостоверьтесь, что выбран переключатель Использовать следующий адрес DNS-сервера, и введите в поле «Предпочитаемый DNS-сервер» IP-адрес вашего DNS-сервера.
6. При наличии еще одного DNS-сервера укажите его IP-адрес в поле Альтернативный DNS-сервер.
7. Щелкните два раза на кнопке ОК, чтобы внесенные изменения вступили в силу.
Настройка DNS сервера
1. Откройте консоль Диспетчер сервера.
2. Разверните последовательно узлы Роли, DNS-сервер и DNS, после чего щелкните на имени сервера DNS.
3. В меню Действие выберите пункт Настроить DNS-сервер.
4. На странице приветствия мастера настройки сервера DNS щелкните на кнопке Далее.
5. Выберите переключатель Создать зоны прямого и обратного просмотра (рекомендуется для больших сетей) и щелкните на кнопке Далее.
6. Выберите вариант Да, создать зону прямого просмотра сейчас (рекомендуется) и щелкните на кнопке Далее.
7. Укажите, зону какого типа требуется создать, в данном случае выбрав вариант Основная зона, и щелкните на кнопке Далее. Если сервер является контроллером домена с доступом для записи, для выбора будет также доступен флажок Сохранить зону в Active Directory.
8. В случае сохранения зоны в Active Directory выберите область репликации и щелкните на кнопке Далее.
9. Введите полностью определенное доменное имя зоны (FQDN) в поле Имя зоны и щелкните на кнопке Далее.
10. На этом этапе в случае создания не интегрируемой с AD зоны можно либо создать новый текстовый файл для зоны, либо импортировать уже существующий. В данном случае выберите вариант Создать новый файл с таким именем и оставьте предлагаемые по умолчанию параметры, после чего для продолжения щелкните на кнопке Далее.
11. На следующей странице будет предложено разрешить или запретить прием динамических обновлений сервером DNS. В рассматриваемом примере запретим DNS-серверу принимать динамические обновления, выбрав переключатель Запретить динамические обновления, и щелкните на кнопке Далее.
12. На следующей странице предлагается создать зону обратного просмотра. В данном случае выберите переключатель Да, создать зону обратного просмотра сейчас и щелкните на кнопке Далее.
13. Укажите, что зона обратного просмотра должна представлять собой основную зону, выбрав перелючатель Основная зона, и щелкните на кнопке Далее.
14. В случае сохранения этой зоны в Active Directory выберите область репликации и щелкните на кнопке Далее.
15. Оставьте выбранным предлагаемый по умолчанию вариант Зона обратного просмотра IPv4 и щелкните на кнопке Далее.
16. Введите идентификатор сети для зоны обратного просмотра и щелкните на кнопке Далее. (Как правило, в качестве сетевого идентификатора вводится первый набор октетов из IP-адреса зоны. Например, если в сети используется диапазон IP-адресов класса С 192.168.0.0/24, то в качестве сетевого идентификатора могут быть введено значение 192.168.0.
17. В случае создания не интегрируемой с AD зоны будет снова предложено либо создать новый файл для зоны, либо импортировать уже существующий. В рассматриваемом примере выберите переключатель Создать новый файл с таким именем и щелкните на кнопке Далее.
18. После этого появится приглашение указать, должны ли быть разрешены динамические обновления. Для целей этого примера выберите переключатель Запретить динамические обновления и щелкните на кнопке Далее.
19. На следующей странице будет предложено настроить параметры ретрансляторов. В рассматриваемом примере выберите переключатель Нет, не следует переадресовывать запросы и щелкните на кнопке Далее.
20. На последнем экране будут представлены сводные сведения о выбранных для внесения и добавления в базу данных DNS изменениях и зонах. Щелкните на кнопке Готово, чтобы внести все эти изменения и создать нужные зоны.
Далее необходимо настроить узлы, которые будут использовать этот DNS-сервер.
Откройте консоль Диспетчер сервера. Разверните последовательно узлы Роли, DNS-сервер, DNS, имя сервера,зоны прямого просмотра и выделяем созданную нами зону:
Дважды щелкните на элементе «сервер имен»
Откроется окно свойств созданной нами зоны:
Выделяем имя нашего сервера и нажимаем «изменить», откроется окно редактирования записей:
Выделяем имя нашего сервера и нажимаем «Разрешить в адрес»
Жмем «OK», «применить» и «OK»
Щелкаем мышкой в окне зоны, в открывшемся меню выбираем «создать узел А»
Здесь вводим IP-адрес где находится наш сайт и нажимаем «Добавить узел»
Если сайт расположен не на этом сервере может появится предупреждение. Жмем Ok.
На этом пока закончим.
Установка DNS сервера на Windows Server 2012 R2 Datacenter и создание зоны прямого просмотра | Info-Comp.ru
Сейчас мы установим роль сервера DNS-сервер на операционной системе Microsoft Windows Server 2012 R2 Datacenter, затем создадим зону прямого просмотра, а также вспомним, что такое вообще DNS и для чего он нужен.
И прежде чем устанавливать и настраивать DNS сервер, давайте вспомним, что такое DNS и DNS сервер. Так как подобной информации в Интернете полно мы рассмотрим это кратко и перейдем сразу к делу. Напомню, что в прошлых статьях мы рассматривали установку Windows Server 2012 R2 и установка и настройку DHCP сервера на этой же операционной системе, теперь продолжаем и на очереди у нас DNS сервер.
Что такое DNS и DNS сервер?
DNS (Domain Name System) – это система доменных имён, которая позволяет по доменному имени узнать IP адрес хоста и наоборот. Так как у каждого компьютера или сетевого устройства есть свой IP адрес и для того чтобы обратиться к тому или иному компьютеру или устройству соответственно нужно знать этот IP адрес, но так как запоминать определенную последовательность цифр не удобно, да и как если, например Вы обращаетесь ко многим компьютерам (запомнить просто не реально) поэтому чтобы не запоминать эти цифры, и существует система доменных имен, например, что лучше для восприятия 192.168.1.1 или mycomp. Вот такое простое определение, но так как материал для начинающих администраторов, этого вполне достаточно.
DNS сервер – это сетевая служба или по-простому программное обеспечение которое обеспечивает и поддерживает работу DNS. DNS сервер может отвечать за определенную зону, в которой располагаются соответствующие компьютеры. И так как система DNS иерархическая то DNS сервер может перенаправить запрос вышестоящему серверу, в случае если он не может определить ip адрес хоста по доменному имени.
Хватит теории, и так как материал посвящен именно установки роли DNS сервер, давайте переходить непосредственно к этому.
Примечание! Как видно из названия, DNS сервер мы будем устанавливать на ОС Windows Server 2012 R2 Datacenter, только мы будем использовать, как и в прошлых статьях, ознакомительную версию.
Установка DNS сервера на Windows Server 2012 R2
Шаг 1
Открываем диспетчер серверов и выбираем «Добавить роли и компоненты»
Шаг 2
На следующем окне ничего не нужно делать, это окно простое напоминание администратору о том, что учетная запись администратора должна быть защищена надежным паролем, о том, что необходимо устанавливать все последние обновления, кстати, можно сделать так чтобы это окно не появлялось в следующий раз, для этого поставьте соответствующую галочку. И жмем «Далее»
Шаг 3
На этом шаге, также ничего не нужно делать, все по умолчанию выбрано правильно именно так как нам и нужно, жмем «Далее»
Шаг 4
Затем предстоит выбрать сервер, на который будет производиться установка роли DNS сервера, так как у меня сервер один я его и выбираю, жму «Далее»
Шаг 5
Вот как раз на этом шаге и нужно выбрать, какие роли мы будем устанавливать, а мы соответственно будем устанавливать роль DNS сервер, поэтому выбираем его
Затем нам сразу предложат установить средства администрирования DNS сервера, и так как я буду администрировать его на этом же сервере, я жму «Добавить компоненты», чтобы на следующем шаге их не искать и принудительно не выбирать. А если Вы будете администрировать DNS сервер с другого сервера, то можете и не добавлять эти средства, а добавить их соответственно на том сервере, с которого будет осуществляться настройка и управление.
Затем жмем «Далее»
Шаг 6
И так как компоненты мы уже добавили нам искать их здесь не нужно, но для примера я покажу, где они находятся и что они уже выбраны, жмем «Далее»
Шаг 7
На следующем окне нам говорят, на что обратить внимание при установке роли DNS сервер, жмем «Далее»
Шаг 8
Все подтверждаем установку нажатием кнопку «Установить», ставить галочку «Автоматический перезапуск сервера» в данном случае не нужно.
Вот и все началась установка
Продлится она не долго минуты 3, и появится следующее сообщение, жмем «Закрыть»
Все, роль сервера DNS-сервер установлена. Для запуска средств управления DNS сервером используйте Диспетчер серверов->Средства ->DNS
Или через меню Пуск
Само средство управления выглядит следующим образом
Создание зоны прямого просмотра на DNS сервере 2012 R2
На группе «Зоны прямого просмотра» щелкаем правой кнопкой мыши и выбираем «Создать новую зону»
После у нас запустится мастер создания новой зоны, жмем «Далее»
В следующем окне выбираем тип наше зоны, описание можете посмотреть непосредственно под каждым типов, я выбираю «Основную» жму «Далее»
Затем нам предстоит написать имя нашей зоны, в моем случае, так как сервер тестовый я выберу имя local, Вы в свою очередь пишете, название вашего домена, или если Ваш домен не будет иметь выхода в Интернет другими словами локальный (чисто в Вашей сети), то в принципе можете писать все что угодно.
Далее я выбираю «Создать новый файл», так как у меня другого DNS сервера нет, жму «Далее»
Затем предстоит выбрать «Тип динамического обновления» я пока такой функционал запрещу, но в последствии я всегда могу его включить, а Вы можете включить его, если, например, у Вас DNS сервер только для Вашей локальной сети, жму «Далее»
Заключительное окно, которое говорит нам, что все готово, мы соответственно и жмем «Готово»
Вот и все зона создана, давайте создадим запись типа A, например для нашего же сервера. Для этого по зоне щелкаем правой кнопкой мыши и жмем «Создать узел A или AAAA»
Затем вводим имя нашего узла, которое мы хотим, чтобы у него было, и соответственно какой у него IP адрес, это уже по факту. Жмем «Добавить узел»
Появится сообщение о том, что узел создан
И появится соответствующая запись
Затем не забываем проверить, какой днс сервер установлен у нас в настройках сетевого интерфейса (он должен быть соответственно наш, т.е. ip адрес этого сервера). Потом соответственно мы можем проверить работу только что установленного DNS сервера, например, запустить командную строку и попробовать пропинговать узел который мы создали чуть ранее
Как видите, система распознала по доменному имени его IP адрес. И на этом предлагаю заканчивать. Удачи!
Нравится1Не нравится
Настраиваем DNS over HTTPS (DoH) в Windows 10
Поддержка протокола DNS over HTTPS ( DoH ) появилась в последнем билде Windows 10 2004 (May 2020 Update). Начиная с этой версии, Windows 10 может выполнять разрешение имен через HTTPS со встроенным клиентом DoH. В этой статье мы расскажем для чего нужен протокол DNS через HTTPS, как его включить и использовать в Windows 10.
Когда ваш компьютер обращается к серверу DNS для разрешения имен, этот обмен данными происходит в открытом виде.Злоумышленник может подслушать ваш трафик, определить какие ресурсы вы посещали, или манипулировать DNS-трафиком по типу main-in-the-middle. Протокол DNS over HTTPS предполагает усиление защиты приватности пользователей за счет шифрования всех DNS-запросов. Протокол DoH инкапсулирует запросы DNS в HTTPS трафик и отправляет из DNS серверу (нужен специальный DNS-сервер с поддержкой DoH).
В Windows 10 2004 пока нет параметров групповой политики или опции в графическом интерфейсе для включения DNS-over-HTTPS.Пока можно включить DoH только через реестр:
- Запустите
regedit.exe
; - Перейдите в ветку реестра HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Dnscache \ Parameter;
- Создайте DWORD параметр с именем EnableAutoDoh и длину 2 ;
- Затем нужно перезапустить службу DNS клиент. Для этого нужно перезагрузить компьютер, т.к. нормально перезапустить службу dnscase у меня не получится (командлет
Restart-Service -Name Dnscache –force
выдает ошибку «Коллекция была изменена; операция перечисления может не выполняться»).
Затем нужно изменить настройки DNS вашего сетевого подключения. Нужно указать DNS-сервер с поддержкой DNS over HTTPS. Пока далеко не все DNS сервера DoH. В таблице ниже перечислен список общедоступных DNS с поддержкой DNS over HTTPS.
Провайдер | IP-адреса DNS серверов с поддержкой DNS через HTTPS |
Cloudflare | 1.1.1.1, 1.0.0.1 |
8.8.8.8, 8.8.4.4 | |
Quad9 | 9.9.9.9, 149.112.112.112 |
Откройте панель сети — Панель управления -> Сеть и Интернет -> Центр управления сетями и общим доступом (или ncpa .cpl
). Затем в свойствах сетевого адаптера измените текущие адреса DNS серверов на серверах DNS серверов с поддержкой DoH.
Вы можете изменить адреса DNS серверов в настройках сетевого адаптера с помощью PowerShell (см. Статью о настройке сети с помощью PowerShell):
$ PhysAdapter = Get-NetAdapter -Physical
$ PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses '8.8.8.8 ',' 1.1.1.1 '
Теперь клиент DNS начинает использовать для разрешения имен протокол HTTPS по порту 443 вместо обычного 53 порта.
С помощью утилиты захвата сетевого трафика PktMon.exe вы можете проверить, что с компьютера теперь не отправляются запросы DNS по порту 53.
Удалите все текущие фильтры Packet Monitor:
pktmon filter remove
Создайте новый фильтр для классического DNS-порт 53:
pktmon filter add -p 53
Запустите мониторинг трафика в реальном времени (трафик выводится в консоль):
pktmon start --etw -p 0 -l real -time
Если вы правильно настроили DNS через HTTPS, то трафик по порту 53 должен отсутствовать (на скриншоте ниже показан вывод в консоль при отключённом DoH и при включенном).
DNS over HTTPS за последний год реализован во всех популярных браузерах (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). В каждом из этих браузеров вы можете включить поддержку DoH. Таком образом все запросы DNS от будут шифроваться (DNS трафик других приложений по-прежнему будет идти в открытом текстовом виде).
Больше всех проблемных технологий DNS over HTTPS и DNS over TLS создадут администратора корпоративных сетей, которым станет сложнее блокировать доступн к внешним ресурсам из внутренних сетей.Также не понятно, что парирует делать Роскомнадзор, чья методика глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI) перестанет работать при переходе протокола DNS на рельсы шифрованного https.
.
Установка DNS сервера на Windows Server 2012 R2 Datacenter и создание зоны прямого просмотра | Info-Comp.ru
Сейчас мы установим роль сервера DNS-сервер в операционной системе Microsoft Windows Server 2012 R2 Datacenter, затем создадим зону прямого просмотра, а также вспомним, что такое вообще DNS и для чего он нужен.
И прежде чем устанавливать и настраивать DNS-сервер, давайте вспомним, что такое DNS и DNS-сервер. Так как подобной информации в Интернете полно мы рассмотрим это кратко и перейдем сразу к делу.Напомню, что в прошлых статьях мы рассмотрели установку Windows Server 2012 R2 и установку и настройку DHCP-сервера в этой же системе, теперь продолжаем работу в очереди у нас DNS-сервер.
Что такое DNS и DNS сервер?
DNS ( Система доменных имен ) — это система доменных имён, которая позволяет по доменному имени узнать IP-адрес хоста и наоборот. Так как у каждого компьютера или сетевого устройства есть свой IP-адрес и для того, чтобы обратиться к тому или иному компьютеру или устройству, нужно знать этот IP-адрес, но так как запоминать определенную последовательность цифр не удобно, да и как если, например, Вы обращаетесь ко многим компьютерам (запомнить просто не реально) поэтому не запоминать эти цифры, и существует система доменных имен, например, что лучше для восприятия 192.168.1.1 или mycomp. Вот такое простое определение, но так как материал для вполне достаточно.
DNS-сервер — это сетевая служба или по-простому программному обеспечению, которое обеспечивает и поддерживает работу DNS. DNS сервер может отвечать за определенную зону, в которой располагаются соответствующие компьютеры. И так как система DNS иерархическая то DNS сервер может перенаправить запрос вышестоящему серверу, в случае если он не может определить ip адрес хоста по доменному имени.
Хватит теории, и так как материал посвящен именно установки роли DNS-сервер, давайте переходить непосредственно к этому месту.
Примечание! Как видно из названия, DNS-сервер мы будем устанавливать на ОС Windows Server 2012 R2 Datacenter, только мы будем использовать, как и в прошлых статьях ознакомительную версию.
Установка DNS сервера на Windows Server 2012 R2
Шаг 1
Открываем диспетчер серверов и выбираем « Добавить роли и компоненты »
Шаг 2
В следующем окне ничего не нужно делать, это окно должно быть установлено все последние обновления, кстати, чтобы это окно не появлялось в следующем раз , для этого поставьте соответствующую галочку.И жмем « Далее »
Шаг 3
На этом шаге, также ничего не нужно делать, все по умолчанию выбрано правильно именно так как нам и нужно, жмем « Далее »
Шаг 4
Затем предстоит выбрать сервер, на котором будет производиться установка роли DNS сервера, так как у меня сервер, один из его и выбираю, жму « Далее »
Шаг 5
Вот как раз на этом шаге и нужно выбрать, какие роли мы будем устанавливать, а мы соответственно будем устанавливать роль DNS-сервер, поэтому выбираем его
Затем нам сразу предложат установить средство администрирования DNS-сервера, и так как я буду администрировать его на этом же сервере, я жму « Добавить компоненты », чтобы на шаге их не искать и принудительно не выбирать.А если вы будете администрировать DNS-сервер с другого сервера, то можете не добавлять эти средства, а добавить их соответственно на том сервере, с которым будет выполняться настройка и управление.
Затем жмем « Далее »
Шаг 6
И так как компоненты мы уже добавили нам искать их здесь не нужно, но пример я покажу, где они находятся и что они уже выбраны, жмем « Далее »
Шаг 7
На следующем окне нам говорят, на что обратить внимание при установке роли DNS сервер, жмем « Далее »
Шаг 8
Все подтверждаем установку нажатием кнопку « Установить », ставить галочку «Автоматическая перезапуск сервера» в данном случае не нужно.
Вот и все началась установка
Продлится она не долго 3, появится следующее сообщение, жмем « Закрыть »
Все, роль сервера DNS-сервер установлена. Для запуска средств управления DNS сервером використовуйте Диспетчер серверов-> Средства -> DNS
Или через меню Пуск
Само средство управления выглядит следующим образом
Создание зоны прямого просмотра на DNS сервере 2012 R2
На группе «Зоны прямого просмотра» щелкаем правой кнопкой мыши и выбираем « Создать новую зону »
После у нас запустится мастер создания новой зоны, жмем « Далее »
В следующем окне выбираем тип нашей зоны, я выбираю « Основную » жму « Далее »
Затем нам предстоит написать имя нашей зоны, в моем случае, так как сервер тестовый я выберу имя local , Вы в свою очередь пишете, название вашего домена, или если ваш домен не будет иметь выхода в Интернет другими локальными словами (чисто в Вашей можете сети), то в принципе писать все что угодно.
Далее я выбираю « Создать новый файл », как у меня другого DNS сервера нет, жму « Далее »
Затем следует выбрать «Тип динамического обновления», после чего я всегда могу его включить, а затем можно включить его, если, например, у Вас DNS сервер только для Вашей локальной сети, жму « Далее »
Заключительное окно, которое говорит нам, что все готово, мы соответственно и жмем « Готово »
Вот и все зона создана, давайте создадим запись типа A, например для нашего же сервера.Для этого по месту щелкаем правой кнопкой мыши и жмем « Создать узел A или AAAA »
Затем вводим имя нашего узла, которое мы хотим, чтобы у него было, и соответственно какой у него IP-адрес, это уже по факту. Жмем « Добавить узел »
Появится сообщение о том, что узел создан
И появится соответствующая запись
Затем не забываем проверить, какой днс сервер установлен у нас в настройках сетевого интерфейса (он должен быть соответственно наш, т.е. ip адрес этого сервера). Потом соответственно мы можем проверить работу только что установленного DNS сервера, например, запустить командную настройку и попробовать пропинговать узел, который мы создали чуть ранее
.
Как видите, система распознала по доменному имени его IP адрес. И на этом предлагаю заканчивать. Удачи!
Нравится1Не нравится.
Безопасность и тюнинг DNS в Windows Server 2012 R2 и 2016
Привет.
DNS — важная инфраструктурная служба. Настолько, что в предыдущей статье на тему безопасности DNS использовалась специальная иллюстрация:
В принципе, мало что изменилось — поэтому в данной обновлённой версии статьи про безопасность DNS в Windows Server, я расскажу про то же самое, но уже детальнее. Будет рассматриваться Windows Server 2012 R2 и Windows Server 2016 — оба со всеми обновлениями на апрель 2016 года, для тюнинга будет Inn ATcmd, в общем — работы много.
Безопасность и тюнинг DNS в Windows Server 2012 R2 и 2016
- Механизм SocketPool — защищаемся от предсказуемости DNS-порт
- Безопасный кеш от загрязнения — защищаемся от отравления DNS-кэша
- Блокируем раннее обновление кэша — Блокировка кеша
- Привязка DNS-сервера к сетевым интерфейсам
- Удалённое управление DNS-сервером
- Настраиваем Global Query Block List
- Отключение обработки рекурсивных запросов
- Ограничение времени кэширования записей
- Отключаем AXFR / IXFR трансфер в зону интегрированных в Active Directory
- Ограничение числа Resource Record’ов (RR) в ответе DNS-сервера
- Настройка вторичных компонентов BIND
- Настройка тайм-аута AXFR / IXFR трансфера
- Настройка времени блокировки AXFR / IXFR трансфера
- Фильтрация Проверка имени
- Механизм Удаление / удаление данных в DNS
- Работа Round Robin и Netmask Ordering
- Блокировка динамической регистрации по типу RR
- Настройка EDNS0 в Windows Server 2012 R2
- Настройка DNS-форвардеров в Windows Server
- Ускоряем загрузку DNS-зон в Windows Server 2012 R2 и старше
Начнём.
Механизм SocketPool — защищаемся от предсказуемости DNS-порт
SocketPool появился как способ противодействия описанной в KB 953230 уязвимости, называемой иногда «багом Каминского». Суть достаточно проста. В версиих Microsoft DNS до NT 6.1 для отправки данных DNS-сервера стартово инициализировался один сокет, от которого шло взаимодействие (в частности — ответы на UDP-запросы клиентов). Один сокет = разовая инициализация = одинаковый случайный идентификатор транзакции. Это позволяет проводить атаку на перебор вариантов ID и с определенной вероятностью отравить кэш DNS-сервера путём отправки ему «заранее» неправильного ответа на предсказуемый запрос.А после, соответственно, DNS-сервер отдавал бы неправильную информацию из своего кэша, таким образом перенаправляя трафик туда, куда надо нарушителю.
Бороться с этим было решено достаточно просто — выделяя под нужды DNS-сервера пул сокетов, и отправляя ответы со случайного из них. Плюс, для каждой DNS-транзакции стал генерироваться уникальный идентификатор, что значительно усложнило задачу отравления кэша, сделав её, при корректном применении всех защитных мер, осуществимой теоретически.
Настройка SocketPool
По умолчанию пул равен 2.500 сокетам (притом, замечу, под пул выделяется одинаковое число и IPv4-портов, и IPv6 — т.е. в сумме по умолчанию зарезервиров 5 тысяч портов), но если ваш DNS-сервер обрабатывает запросы от внешних клиентов — увеличьте пул до 10К (если попробовать больше, выдаст DNS_ERROR_DWORD_VALUE_TOO_LARGE
с кодом 9567). В случае, если DNS-сервер локальный — допустим, это DNS-сервер контроллера домена, к нему обращаются клиенты из внутренней сети — стандартные 2.500 сокетов хватит.
Команда для задания количества сокетов, которые под себя «застолбит» сервис DNS:
Посмотреть текущую ситуацию с выделенными для SocketPool сокетами также можно в сводной информации по расширенным настройкам DNS server’а:
Как видно, параметр этот не одинок — продолжим про остальные.
Возможные проблемы, связанные с SocketPool, и настройка исключений
Возможные проблемы связаны с тем, что DNS-сервер застолбит под себя много UDP-сокетов, и различное ПО может от этого не иметь возможность сделать то же самое.Известный пример — это WDS (Службы развертывания Windows). Эта служба резервирует для себя диапазон портов с 64.000 по 65.000, и в случае, когда DNS-сервер заберёт нужное число под SocketPool, могут возникнуть проблемы из-за наложения диапазонов DNS и WDS. Они решаемы, благодаря тому, что в WDS, который в Windows Server 2012 R2, встроенный механизм динамического выбора портов. Включается он достаточно просто:
Замечу, что данный случай, когда существует штатный способ обойти ситуацию — единичная редкость.Вообще, так как механизм SocketPool резервирует под себя непрерывный блок UDP-портов, находящихся в верхней четверти всего доступного диапазона — т.е. с 49К и до 64К (это лишь 16К портов), то немудрено, что блок в 10К будет занимать много места и, возможно, конфликтовать с другими сервисами на том же хосте. Поэтому есть механизм, который позволяет исключить один или более диапазонов из SocketPool. Это делается таким образом, как исключение из пула портов диапазона 62000-63000.
Дополнительной и достаточно хитрой проблемой будет сценарий «Мы когда-то обновлялись с Windows Server 2003».В этом случае в реестре может остаться технический параметр сетевого стека, актуальный до-NT-6.0 — т.н. MaxUserPort. Данный параметр ограничивает сверху диапазон выдаваемых приложению. То есть, если этот параметр есть, Windows Server 2012 R2 поменяет логику выдачи портов для DNS-сервера с «выдавать из диапазона 49–64K» на устаревший «выдавать с 1024 порта по MaxUserPort». Поэтому для нормальной работы этот параметр надо, в случае его присутствия версии Windows Server, удалить, он от устаревшей версии Windows Server и сейчас не нужен:
Суммаризируем советы по этому масштабному пункту:
- Выставляем SocketPool везде в 2.500 — за исключением тех DNS-серверов, которые опубликованы в Интернет. У них — 10.000.
- Заранее отключаем устаревшее управление диапазоном выделяемых портов, которое MaxUserPort. Оно нам сейчас только мешает и всё путает.
- В случае острой необходимости использовать диапазон из SocketPool, чтобы не конфликтовать с другими сервисами, которые тоже хотят зарезервировать для себя ‘слушающие‘ UDP-порты.
Теперь двигаемся дальше.
Безопасный кэш от загрязнения — защищаемся от отравления DNS-кэша
Идея этой настройки, появившейся ещё в Windows NT 4.0, и включенной по умолчанию с Windows Server 2003, проста. Она состоит в том, чтобы читать из ответа DNS-сервера только запрашиваемые ранее сведения, и игнорировать. Рассмотрим пример.
Допустим, на DNS-сервер пришёл запрос от клиента — «хочу A-запись с именем msdn.microsoft.com». DNS-сервер посмотрел в таблице, расположеных на нём — не нашёл. Потом посмотрел у себя в кэше — тоже нет. ОК, на DNS-сервере включена рекурсия. Он запрашивает другой сервер (например, DNS провайдера или какой-нибудь публичный) и ждёт ответ.И сервер присылает ему ответ — вида «msdn.microsoft.com доступен по адресу 1.2.3.4». Но иногда сервер хочет помочь — вдруг следующим запросом Вы захотите microsoft.com? И он присылает не только msdn.microsoft.com, но и ту информацию, которую он присылает, — адрес microsoft.com. По умолчанию обрабатывается и добавляется в кэш, т.к. окончательно, что сервер хороший, и присылает только полезную и нужную информацию.
Но жизнь жестче.
Поэтому надо включить параметр «Безопасный кэш от загрязнения», чтобы исключить даже теоретическую возможность получения недостоверной информации из DNS-ответа.
Проще всего сделать это через консоль управления сервером — «Свойства», вкладку «Дополнительно» и «установить» открыть нужное значение.
Блокируем раннее обновление кэша — Cache Locking
Механизм Cache Locking появился в Windows Server 2008 R2 и, по сути, является дополнительной мерой безопасности для защиты от «бага Каминского». Работает Блокировка кеша просто — на какое-то время запрещает обновление успешно закэшированных записей. Параметр задаётся в процентах — возможно, если установить его в 50, если ваш сервер закэширует какую-нибудь запись, TTL с равенством 6 часам, все попытки обновить на протяжении 3х часов будут игнорироваться.Установка параметра в 100, как понятно, приведёт к блокировке всех запросов на проверку в кэше записей. Это — рекомендованное значение данного параметра, т.к. обычно вы запрашиваете какую-то DNS-запись, сервер узнаёт про неё информацию и кэширует — перезапись «на лету», пока не истекло время кэширования, не закон.
Настраиваем данный параметр:
Напомню, что после смены других параметров сервера, необходимо перезапустить службу DNS-сервера.
Привязка DNS-сервера к сетевым интерфейсам
По умолчанию DNS-сервер слушает трафик и реагирует на запросы со всех интерфейсов. Это включает в себя все IPv4-адреса и все IPv6 (как unicast’ы, так и link local’ы). Да и при добавлении нового интерфейса он будет сразу же преподаватель DNS. Имеет смысл из соображений предсказуемости переключить эту настройку на явное указание адресов, на которых DNS-сервер будет принимать трафик. Например, если в инфраструктуре не используется IPv6, DNS-сервер настроен «по умолчанию», и на его интерфейсе включен сетевой компонент IPv6, он (DNS-сервер) будет обрабатывать запросы, пришедшие на адресную ссылку local (вид fe80 :: идентификатор хоста), что является в ситуации не нужным и не должно существовать, согласно принципу Уильяма Оккама, существовать.Также не очевидно, что в случае установки нового сетевого соединения с хоста, на запущенной службе DNS Server подразумевается, что надо сразу же начать обрабатывать запросы клиентов, пришедшие на новопоявившийся интерфейс.
Как настраивается привязка DNS-сервера к сетевым интерфейсам
Необходимо зайти в DNS-сервер, выбрать Свойства и на вкладке Интерфейсы в явном виде выбрать только те адреса, на которые нужно принимать dns-запросы. Вот так:
Удалённое управление DNS-сервером
DNS-сервером можно управлять дистанционно через три технологических различных способа — это прямое подключение по TCP / IP (в данном случае, по сути, обычно и называемое RPC), отправка команд через именованные каналы и локальный вызов процедуры (LPC).Имеются в виду, безусловно, способы подключения именно к службе и COM-объектам DNS-сервера, а не к хосту, на котором эта служба запущена. Так вот, если ваш DNS-сервер администрируется не всеми из них — а так обычно и бывает — то лишние надо выключать. Если это, допустим, опубликованный наружу DNS-сервер, установленный на отдельной машине, то управление осуществляется путём подключения администратора по RDP, то ничего, кроме LPC (чтобы MMC-консоль работала) серверу не нужно. Если это инфраструктурная виртуалка, к которой подключаются удалённой оснасткой, ей надо только RPC поверх TCP / IP, никакие именованные каналы ей не нужны.Данная настройка (для случая с LPC) будет выглядеть так, другие варианты делаются по аналогии:
Настраиваем Global Query Block List
Глобальный блок-лист имён — достаточно интересная штука. Необходимость его использования вызвана тем, что в случае использования хостами динамической регистрации DNS-имён возможна ситуация, когда злонамеренный участник зарегистрирует хорошо известное имя, которое используется сетевой службой (например, wpad или isatap). Имя другого компьютера или сервера ему зарегистрировано, в случае существования оных и включенного механизма безопасных обновлений, не дадут, а вот wpad допустим — пожалуйста, сервер с таким именем, это служебный идентификатор.А после — данный компьютер отвечает на запросы пытающихся автоконфигурировать клиентов вида «а дайте мне настройки» по адресу «http: //wpad.имя_домена/wpad.dat», отдавая им то, что посчитаетным. Это неправильно. Ну и второй вариант злонамеренного использования — удаленный пользователь может получить информацию об инфраструктурных сервисах, запросить эти технические ресурсы. Соответственно, GQBL нужен для того, чтобы отсечь эти возможности.
Как этот механизм будет работать? Рассмотрим вариант для стандартного наличия в GQBL имени wpad.
При добавлении имени в GQBL будут игнорироваться запросы для всех типов записей (это важно — не только A и AAAA, а всех) для всех зон, для данного авторитетного сервера. То есть, допустим, если на сервере есть зоны domain.local и _msdcs.domain.local, то запросом wpad._msdcs.domain.local и wpad.domain.local, несмотря на фактическое наличие / отсутствие данной записи, будут возвращать ответ, что запись не найдена.
Замечу, что если что — это можно обойти, если создать зону с именем wpad.domain.local и в ней — пустую запись нужного типа. В именах проверка не происходит. Уязвимостью это не является, т.к. удалённо динамически зарегистрировать зону нельзя.
Запросы для других зон (не находящихся на сервере) под это подпадать не будут (т.е. wpad.externaldomain.ru под этот механизм не подпадёт).
Интересным является также момент про то, как данный механизм работает с логами. При первой блокировке в журнал пишется событие, где написано, что запрос от такого-то клиента заблокирован по причине нахождения искомого в GQBL.После запись уже не ведётся. Это не баг, а защита от простейшей атаки — переполнения журнала путём отправки огромного количества запросов на предсказуемо блокируемый FQDN. После перезапуска сервера счётчик сбросится на нуль и опять — первая блокировка будет записана в журнал, далее — нет.
Теперь настройка.
Настройка глобального черного списка запросов на Windows Server 2012 R2
Включить этот фильтр на уровне сервера просто:
Задать содержимое — тоже несложно. Можно задать весь лист целиком, редактировать каждую запись отдельно — увы, только через реестр:
Отключение обработки рекурсивных запросов
Данная опция нужна только в одной сценарии — когда DNS-сервер нужен исключительно для вашего разрешения имён в тех разрезах, которые на нём установлены, и не обслуживает произвольные запросы клиентов.Это, говоря проще, выделенная машина — например, для поддержки интернет-доменов предприятия, или в случае предоставления провайдером обратного просмотра (см. Создание обратной зоны с нестандартной маской).
В упомянутых случаях DNS-сервер должен отвечать исключительно на один тип вопросов — про те зоны, которые явно ему известны и локально находятся. Абстрактные же вида запросов «а поищи-ка мне вот такое вот имя» не нужны и потенциальной DoS-атаке.
Отключение рекурсии выглядит так:
Как понятно из названия, вместе с ней отключаются и форвардеры — это логично, т.к. серверу без рекурсии форвардеры не нужны — он принципиально не обрабатывает запросы, для которого может потребоваться запрос какого-либо другого сервера.
Ограничение времени кэширования записей
Записи, которые DNS-сервер получил от других DNS-серверов, не только передаются запрашивающими клиентами, но и кэшируются на сервере. Время кэширования указано в самой записи — у нее есть личный TTL.
В некоторых случаях имеет смысл сделать работу более динамичной и ускорить актуализацию записей, установив максимальный TTL для всех RR’ов на сервере.Простой пример — некто установил огромный TTL (например, 42 дня), а по факту запись иногда меняется. В этом случае запись не устареет в кэше, ваш DNS-сервер будет неверный / устаревший ответ. Проще указать некую верхнюю границу — допустимые, сутки — и записи с любыми TTL не будут храниться в кэше этого более длительного срока, и сервер будет их запрашивать. Ничтожный рост трафика (один доп.пакет в день) намного лучше, чем, допустим, три недели испытывать проблемы с электронной почтой, потому что кто-то обновил MX, но забыл, что TTL выставлен огромный, поэтому изменение по факту применится очень нескоро.Этому, кстати, способствует тот момент, что в интерфейсе Microsoft DNS Server изменение TTL у DNS-записи доступно только в расширенном режиме работы. Вот как окно редактирования DNS-записи выглядит обычно:
А вот как в случае, когда в меню Просмотр включён пункт Дополнительно:
Не забывайте про то, что нужно выставлять разумные TTL у записей. Ну а теперь как ограничить максимальный срок жизни записи в кэше DNS-сервера:
86400 — это секунд в сутках, как понятно.
Не менее важным параметром ограничение времени кэширования негативного ответа.Суть достаточно проста — в случае, если в качестве ответа на запрос пришёл отказ, ваш DNS-сервер запоминает это, чтобы при повторных запросах каждый раз не повторять обращение — ну, экономит силы. Нет смысла раз в секунду по-честному бегать и проверять, не появилась ли запись, если удалённый сервер сообщил, что её нет.
Однако на практике данный параметр желательно настроить на какой-то небольшой интервал времени — чтобы с одной стороны, часто запрашивающий клиент не мог перегрузить DNS-сервер, а с другой, при появлении запрашиваемой записи на удаленном сервере, мы бы могли это узнать в разумное время .
Я поставлю время кэширования негативного ответа на 5 минут:
Отключаем AXFR / IXFR для зоны интегрированных в Active Directory
В том случае, если все сервера, установленные в стандартных условиях, установлены контроллерами Active Directory, то есть возможность трансфера зоны способом — запрос AXFR / IXFR по TCP 53 является уязвимостью, так как может помочь потенциальному злоумышленнику узнать дополнительные сведения об инфраструктуре. Притом самым простым способом — например, подключившись при помощи , nslookup
и выполнили команду ls
.Нормальная же репликация зоны происходит через механизмы LDAP-репликации Active Directory.
Отключаем просто — открываем свойства (Properties) у нужной DNS-зоны, выбираем вкладку Zone Transfers:
Это надо сделать не только у зон, интегрированных в Active Directory, но и у всех копий зоны, находящихся на вторичном сервере, с которых не забирают копии других вторичных серверов.
Ограничение числа Resource Record’ов (RR) в ответе DNS-сервера
Данная настройка позволит обойти одну редкую, но неприятную проблему, связанную с разным поведением DNS-клиентов.Суть проста — в случае, когда в ответ надо добавить много записей, и, несмотря на EDNS0 и прочие ухищрения, они не влезают, у ответа ставится бит «неполный» — т.н. «Бит усечения». По идее, после получения ответа таким битом, запрашивающий должен насторожиться и переспросить повторно, но уже по TCP (не забывайте, DNS-сервер умеет отвечать на запросы не только по UDP), чтобы получить не-урезанный ответ. Однако так поступают не все клиенты. Более того, высока вероятность того, что где-то в цепочке передачи рекурсивного запроса кто-то не будет поддерживать запросы / ответы по TCP, поэтому информация просто потеряется — грубо говоря, клиент, получив не полный ответ, а урезанный, запрос иным способом , а в ответ — тишина, в результате клиент может решить, что имя просто не разрешилось полноценно.
Чтобы минимизировать вероятность этой ситуации, нужно сделать ряд шагов.
Первым делом — разберитесь с максимальным размером UDP-ответа. Чем лучше разберётесь — тем ниже вероятность возникновения упомянутой ситуации.
Вторым — проверьте, все ли ваши DNS-сервера отвечают по TCP. Для этого в ATcmd есть встроенный тест — команда test dns ports
, которая должна указать имя домена (например, локального домена Active Directory) — она найдет все NS-серверы за этот домен, и попробует запросить у каждого и UDP- и TCP -вариант ответа.Обеспечение возможностей клиентов посылать вашим DNS-серверам запросов через TCP — это тот минимум, который вы можете сделать, т.к. не можете влиять на все DNS-сервера в рекурсивной цепочке. Примитивный подход «DNS работает только через UDP, через TCP только зонирование, поэтому TCP за исключением трансфера надо блочить на брандмауэре» не работает — вы решите массу проблем и уберете непонятные сбои, если клиенты могут нормально переспрашивать DNS-сервер по TCP.
А теперь можно и ограничить число RR в DNS-ответе.Я поставлю 28 (это максимальное ограничение).
Это обозначает то, что я уверен, что у меня нет ни одной записи, которая разрешается сразу в более чем 28 ответов, но если таковые есть (допустим, чужие, после рекурсивного запроса) — клиент будет возвращаться не «сколько влезло плюс пометка, что» влезло не всё », а только 28 лучших. Сценарий с возвратом большого числа записей возможен, в принципе, в основных случаях — когда запрашивается разрешение имени какого-то высоконагруженного ресурса (в ответе пачка A и AAAA), или когда во внутренней сети используется Active Directory-специфичная корневая или SRV запись (допустимая , за корень домена в DNS регистрируются все DC — поэтому в большом домене очевидна ситуация, когда ответ на вопрос «а кто у нас хост за домен.local »возвращает опять же большую пачку A- и AAAA-записей). В этом случае нужно оперировать настройками сервера по части приоритета выдачи только нужных ответов, а не всех, исключить линейного решения ситуации «вот тебе в ответ на запрос 250 A-ответов про все DC в домене, делай что хочешь».
Настройка вторичных компонентов BIND
По сути, этот параметр делает одну-единственную вещь — запрещает при стандартном трансфереает зоны с DNS-сервера передачи нескольких операций одной операцией, чем замедляет трансфер.Поддержка функционала передач.
Как настроить DNS-сервер в windows server 2008R2-2 часть
добрвый день уважаемые читатели блога pyatilistnik.org, продолжаем изучать ДНС службы. В первой части мы создали дополнительную зону, теперь ее нужно среплицировать с основной, чтобы данный сервер мог полноценно обслуживать клиентов сети. Для этого идем на ваш Контроллер домена, у меня это dc. Выбираем нужной зоны
Настройка репликации DNS
Как настроить DNS-сервер в свойствах windows server 2008R2-21
Идем на вкладке сервера имен.Нажимаем Добавить
Как настроить DNS-сервер на сервере Windows 2008R2-22
пишем имя нужного сервера, у меня это vcenter
Как настроить DNS сервер на сервере Windows 2008R2-23
Видим, что запись определилась нормально, о чем вам говорит зеленый кружок.
Как настроить DNS-сервер в Windows Server 2008R2-24
Дальше перейти на вкладку передачи зон и смотрим, чтобы стаяла галка Разрешить передачу зон и только на сервере из списка серверов имен.
Если все DNS-серверы расположены на контроллерах доменов, для обеспечения согласования данных зон среди всех DNS-серверов используется репликация Active Directory. Однако эта возможность недоступна при установке DNS-сервера на компьютере, не являющемся контроллером домена. В таком случае нельзя использовать Active Directory, вместо этого нужно использовать стандартную зону, которая поддерживает данные в локальном текстовом файле на каждом DNS-сервере. Если в организации используется много DNS-серверов, то исходные данные можно копировать в управляемые другими серверами дополнительные зоны с правом только для чтения.Для того, чтобы обеспечить согласованность и обновление данных между основными и дополнительными зонами, нужно настроить передачу зонами.
Передача зон, по сути, представляет собой извлечение данных, инициируемое в течение периода, копирование данных главной зоны, которая сама по себе может быть основной или еще одной дополнительной зоной. Главной зоне необязательно даже быть стандартной по отношению к дополнительной зоне — вы можете отконфигурировать дополнительную зону для основной зоны, интегрированную в Active Directory.Например, у вас есть два сайта — один в Нью-Йорке, другой в Лос-Анджелесе, причем каждый сайт принадлежит отдельному домену Active Directory. В каждом домене можно установить разрешение имен для противоположного домена, не установленя новый контроллер домена и не управляя трафиком репликации между двумя сайтами.
Включение передачи зон
Передача данных для дополнительных зон может быть инициирована в любом из трех случаев.
■ По истечении интервала обновления начальной записи SOA основной зоны.
■ При загрузке дополнительной зоны сервером.
■ В результате изменения конфигурации основной зоны, если эта зона настроена для использования дополнительной зоны об обновлениях.
По умолчанию передача для всех зон отключена. Ее нужно включить на вкладке Передача зон (Zone Transfers) окна свойств зоны. Установив флажок разрешения передачи зон, можно выбрать одни из трех параметров передачи.
■ На любой сервер (To Any Server) Обеспечивает минимальную безопасность.Этот параметр позволяет кому угодно с сетевым доступом к DNS-серверу просмотреть содержимое зоны, включая все серверы и компьютеры с их IP-адресами. Поэтому параметр следует использовать только в частных сетях с высоким уровнем безопасности.
■ Только на серверы, перечисленные на странице серверов зон (Только для серверов, перечисленных на вкладке «Серверы имен») Этот параметр позволяет выполнять передачу зон с записью NS только на те дополнительные DNS-серверы, которые полномочны для данных зон.
■ Только на серверы из этого списка (Только на следующие серверы) Этот параметр позволяет указать список серверов, на которые будет передача зон. Для этих дополнительных серверов не требуется идентификация с помощью записи NS в зоне.
Настройка уведомлений
На вкладке Передача (Zone Transfers) можно также настроить сервер, которое будет отправлено дополнительным сервером в случае изменений в основной зоне.Передача сообщения представляет собой операции PULL, их нельзя настроить для переноса новых данных на дополнительные серверы. Вместо этого при базовых данных основная зона отправляет файлы на все серверы, управляющие дополнительными зонами. Дополнительная зона, получившая уведомление, инициирует передачу зоны.
Для настройки уведомлений на вкладке Передача зон (Zone Transfers) укажите кнопку Уведомить (Notify). Откроется диалоговое окно Уведомление (Notify), где можно указать дополнительные серверы, которые будут оповещаться при обновлении зоны на локальном главном сервере.
По умолчанию при включении передачи зонами все серверы, перечисленные на вкладке Серверы имен (Name Servers), автоматически уведомляются об обновлениях зоны.
Как настроить DNS-сервер на сервере Windows 2008R2-25
Обновление дополнительной зоны вручную
Если щелкнуть дополнительную зону правой кнопкой мыши на вашем DNS, у меня это vcenter, откроется контекстное меню, в котором можно использовать следующие операции для обновления зоны.
■ Перезагрузка (Reload)
Перезагружается дополнительная зона из локального хранилища.
■ Передать зону с основного сервера (Передача от главного сервера)
Сервер, управляющий дополнительной зоной, определяет истечение интервала обновления серийного номера дополнительной зоны в записи SOA и выполняет передачу зоны с главного сервера.
■ Перезагрузить повторно зону с основного сервера (Reload From Master)
Выполняется передача зоны с главного сервера дополнительной зоны независимо от серийного номера в записи SOA дополнительной зоны.
Выбираем Передать зону с основного сервера
Как настроить DNS-сервер в Windows Server 2008R2-26
Как видим, если нажать F5 зона передалась
Как настроить DNS-сервер в Windows Server 2008R2-27
Если щелкнуть правым кликом, то видно, что это дополнительная зона так как нету возможности создать записи.
Как настроить DNS-сервер в windows server 2008R2-28
Зона-заглушка
Если зона, хранящаяся на DNS-сервере, является зоной-заглушкой, DNS-сервер получает сведения только о полномочных серверах имен для этой зоны.Зона на этом сервере должна быть получена от другого DNS-сервера, который хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу для сведений о полномочных серверах имен для этой зоны.
Зоны-заглушки можно использовать в следующих целях:
- Поддержка самых текущих сведений о зоне. С помощью регулярного обновления зоны-заглушки для одной из дочерних зон DNS-сервер, введенный как родительскую зону, так и зону-заглушку, будет поддерживать текущий список полномочных DNS-серверов для дочерней зоны.
- Улучшение разрешения имен. С помощью зон-заглушек DNS-сервер может выполнять рекурсию, используя список серверов имен из зоны-заглушки, без необходимости отправки запроса на имен DNS в Интернет или на внутреннем сервере.
- Упрощение администрирования DNS. С помощью использования зон-заглушек в инфраструктуре DNS можно распределить список полномочных DNS-серверов для зоны без необходимости использования дополнительных зон. Однако назначение зон-заглушек отличается от дополнительных зон, и зоны-заглушки не требуют альтернативой увеличения избыточности и распределения нагрузки.
Существует два списка серверов DNS-серверов, участвующих в загрузке и поддержке зоны-заглушки:
- Список главных серверов, из которого DNS-сервер загружает и обновляет зону-заглушку. Главный сервер может быть главным или дополнительным DNS-сервером для зоны. В обоих случаях он будет располагать полным списком DNS-серверов для зоны.
- Список полномочных DNS-серверов для зоны. Список содержится в зоне-заглушке с использованием записей сервера имен (NS).
Создадим зону заглушку или как еще ее называют заглушку зоны.
Щелкаем правым кликом по зоне прямого просмотра и выбираем
Как настроить DNS-сервер на сервере Windows 2008R2-28
У вас откроется мастер создания.
Как настроить DNS-сервер на сервере Windows 2008R2-30
Выбираем зона заглушка, как видно, уже здесь пишут, что в ней будут только NS записи, указанные на DNS-сервере.
Как настроить DNS-сервер в Windows Server 2008R2-31
задаем имя зоны
Как настроить DNS-сервер в Windows Server 2008R2-32
создать новый файл, он будет помещен в C: \ Windows \ system32 \ dns
Как настроить DNS-сервер в windows server 2008R2-33
Пишем имя dns с которого будем нормально запрашивать главную зону
Как настроить DNS-сервер в windows server 2008R2-34
dns server разрешился.
Как настроить DNS-сервер в windows server 2008R2-35
Готово
Проверяем и видим, наши NS записи, на которых есть службы dns.
Как настроить DNS сервер в windows server 2008R2-37
Так как до этого мы разрешили зону с главного DNS на текущую сразу зона появилась. Заметьте, что в заглушке есть только NS записи и А записи DNS.
Пример зоны-заглушки
Предположим, вы работаете администратором DNS-сервера Dns1.microsoft.com, который уполномочен для зоны Microsoft.com. Ваша компания имеет дочерний домен Active Directory с именем India.microsoft.com, для которого выполняется переводирование. При начальном делегировании дочерней зоны, интегрированная и Активный каталог, содержит только два полномочных DNS-сервера — 192.168.2.1 и 192.168.2.2. Позже администраторы домена India.microsoft.com устанавливают дополнительные контроллеры домена и устанавливают роль DNS-сервер (DNSServer) на новых контроллерах. Однако администраторы не уведомили вас о том, что добавили полномочные DNS-серверы на свой домен.В результате сервераDns1.microsoft.com оказались не отконфигурированными записями новых DNS-серверов, уполномоченных для домена lndia.microsoft.com, и запрос продолжает пересылаться лишь на два DNS-сервера, заданном в начальном делегировании.
Эту проблему можно устранить, возникающую зону-заглушку на сервере Dns1. microsoft.com для домена India.microsoft.com. С помощью новой зоны-заглушки компьютер Dns1 посредством передачи зон изучает новые серверы имен, уполномоченные для родительской зоны Индия.microsoft.com. Таким образом, сервер Dns1 сможет направлять запросы пространства имен Inclia.microsoft.com на все полномочные DNS-серверы дочерней зоны.
В следующей статье мы поговорим про дополнительные настройки и вкладки DNS сервера windows server 2008R2
.