Сервер dns windows: Настройка DNS сервера на Windows Server 2008
Настройка DNS сервера на Windows Server 2008
DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.
DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.
Настройка сетевого адаптера для DNS-сервера
Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.
После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через него открыт доступ к интернету, в то время как на дополнительно подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:
Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях. Из примера выше видно, что присоединённая сеть это Network 3.
Далее предстоит проделать цепочку действий:
- Необходимо нажать правой клавишей мыши по значку сети в системном трее, в выпадающем меню выбрать Центр управления сетями и общим доступом, в левой части появившегося окна открыть ссылку Изменение параметров адаптера:
- Правой кнопкой мыши нажать на необходимый сетевой адаптер, в меню выбрать Свойства;
- В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
- Заполнить соответствующие поля необходимыми данными:
Здесь в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.google [8.8.8.8].
Установка роли DNS-сервера
Создание зон прямого и обратного просмотра
Доменная зона — совокупность доменных имён в пределах конкретного домена.
Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.
Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.
Создание зон и управление ими осуществляется при помощи Диспетчера DNS.
Данный инструмент открывается из навигационного дерева Диспетчера Сервера:
Создание зоны прямого просмотра
- Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:
- Откроется окно Мастера с приветствием, нажмите Далее:
- Из предложенных вариантов выберите «Основная зона» и перейдите Далее:
- Укажите имя зоны и нажмите Далее:
- При необходимости поменяйте название будущего файла зоны и нажмите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание зоны обратного просмотра
- Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер создания новой зоны:
- Выберите тип «Основная Зона», перейдите Далее:
- Выберите назначение для адресов IPv4, нажмите Далее:
- Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:
- При необходимости поменяйте название будущего файла зоны и перейдите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание A-записи
Данный раздел инструкции в большей степени предназначен для проверки ранее проделанных шагов.
Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.
Запись A — запись позволяющая по доменному имени узнать IP-адрес.
Запись PTR — запись обратная A записи.
- В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:
- Откроется окно создания Нового узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс «Создать соответствующую PTR-запись» — чтобы проверить работу обеих зон (прямой и обратной), чекбокс должен быть активирован:
Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.
- Также можно добавить записи для других серверов:
- Добавив все необходимые узлы, нажмите Готово.
Проверка
- Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):
- Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:
Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.
Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:
- Запрос по домену;
- Запрос по IP-адресу:
В примере получены подходящие ответы по обоим запросам.
- Можно попробовать отправить запрос на какой-нибудь внешний ресурс:
В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer:», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.
Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:
Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адреса (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Non-existent domain).
Средняя оценка: 5.0
Оценили: 1
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
700
300
Особенности резолвера DNS в Windows 10 и DNS Leak / Хабр
TL;DR: DNS-резолвер в Windows 10 отправляет запросы на все известные системе адреса DNS-серверов параллельно, привязывая запрос к интерфейсу, и использует тот ответ, который пришел быстрее. В случае, если вы используете DNS-сервер из локального сегмента, такое поведение позволяет вашему провайдеру или злоумышленнику с Wi-Fi-точкой подменять записи DNS, даже если вы используете VPN.
Современные версии Windows добавляют головные боли активным пользователям VPN. DNS-резолвер до Windows 7 включительно имел предсказуемое поведение, совершая запросы к DNS-серверам в порядке очереди и приоритета DNS-серверов, в общем-то, как и все остальные ОС. Это создавало так называемый DNS Leak (утечка DNS-запроса через внешний интерфейс при подключенном VPN) только в том случае, если DNS-сервер внутри VPN-туннеля не ответил вовремя, или ответил ошибкой, и, в целом, не являлось такой уж вопиющей проблемой.
Windows 8
С выходом Windows 8, Microsoft добавила весьма интересную функцию в DNS-резолвер, которая, как я могу судить по Google, осталась совершенно незамеченной: Smart Multi-Homed Name Resolution. Если эта функция включена (а она включена по умолчанию), ОС отправляет запросы на все известные ей DNS-серверы на всех сетевых интерфейсах параллельно, привязывая запрос к интерфейсу. Сделано это было, вероятно, для того, чтобы уменьшить время ожидания ответа от предпочитаемого DNS-сервера в случае, если он по каким-то причинам не может ответить в отведенный ему таймаут (1 секунда по умолчанию), и сразу, по истечении таймаута, отдать ответ от следующего по приоритету сервера. Таким образом, в Windows 8 и 8.1 все ваши DNS-запросы «утекают» через интернет-интерфейс, позволяя вашему провайдеру или владельцу Wi-Fi-точки просматривать, на какие сайты вы заходите, при условии, что ваша таблица маршрутизации позволяет запросы к DNS-серверу через интернет-интерфейс. Чаще всего такая ситуация возникает, если использовать DNS-сервер внутри локального сегмента, такие DNS поднимают 99% домашних роутеров.
Данную функциональность можно отключить, добавив в ветку реестра:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient
Параметр типа DWORD с названием:DisableSmartNameResolution
и любым значением, отличным от нуля, что возвращало старое поведение резолвера.
Windows 10
Хоть Windows 8 и 8.1 отправляли все ваши запросы без вашего ведома через публичный интерфейс, совершить подмену DNS-ответа таким образом, чтобы перенаправить вас на поддельный сайт, было проблематично для злоумышленника, т.к. ОС бы использовала подмененный ответ только в том случае, если не удалось получить правильный ответ от предпочитаемого DNS-сервера, коим является сервер внутри шифрованного туннеля.
Все изменилось с приходом Windows 10. Теперь ОС не только отправляет запрос через все интерфейсы, но и использует тот ответ, который быстрее пришел, что позволяет практически всегда вашему провайдеру перенаправить вас на заглушку о запрещенном сайте или злоумышленнику на поддельный сайт. Более того, способ отключения Smart Multi-Homed Name Resolution, который работал в Windows 8.1, не работает на новой версии.
Единственный приемлемый (хоть и не самый надежный) способ решения проблемы — установить DNS на интернет-интерфейсе вне локального сегмента, например, всем известные 8.8.8.8, однако, он не поможет в случае с OpenVPN. Для OpenVPN единственным (и некрасивым) решением является временное отключение DNS на интернет-интерфейсе скриптами.
UPD: ранее в статье рекомендовалось использовать параметр redirect-gateway
без def1
для OpenVPN. Оказывается, Windows возвращает маршрут по умолчанию от DHCP-сервера при каждом обновлении IP-адреса, и через какое-то время весь ваш трафик начинал бы ходить в обход VPN. На данный момент, красивого решения не существует.
UPD2: Я написал плагин.
UPD3: Windows 10, начиная с Creators Update, теперь отправляет DNS-запросы на все известные адреса DNS-серверов по порядку, а не параллельно, начиная со случайного интерфейса. Чтобы повысить приоритет конкретного DNS, необходимо уменьшить метрику интерфейса. Сделал патч для OpenVPN, надеюсь, его включат в 2.4.2: https://sourceforge.net/p/openvpn/mailman/message/35822231/
UPD4: Обновление вошло в OpenVPN 2.4.2.
что это, как настроить, изменить
DNS-сервер – чрезвычайно полезная возможность обезопасить собственный компьютер от вредоносных сайтов. Процесс работы новичкам кажется нелегким, но на деле все намного проще, и процедура установки dns-сервера не займет много времени.
Основные понятия Domain Name System
DNS – аббревиатура, образованная от Domain Name System. С английского языка на русский это переводится как «Система доменных имен», изменяющая их в IP-адреса. А днс-сервер хранит в базе данных соответствующие адреса.
Работа осуществляется таким образом: браузер, переходя на сайт, обращается к ДНС-серверу, чтобы узнать искомый адрес. Server определяет сайт, посылает ему запрос и передает полученный ответ обратно пользователю.
Как узнать, включен ли DNS-сервер на компьютере
Текущие настройки DNS-server определяются так:
- «Панель управления» -> «Сеть и интернет» -> «Просмотр состояния сети и задач». Выделить свое подключение по сети, перейти в панель «Общее», затем — в свойства.
- Зайти в свойства «Протокола Интернета версии 4 (TCP/IPv4)».
- Открыть вкладку «Общие». Если активирован пункт использования следующих адресов DNS-серверов, значит, он находится в рабочем режиме.
Как установить DNS-сервер
Повторить предыдущие шаги, активировать «Использовать DNS-сервер». После этого потребуется указание первичного DNS-сервера, а затем вторичного.
Как настроить/изменить DNS
При изменении или дополнительной настройке не потребуется совершать много действий. Необходимо использовать окно, открытое ранее, зайти в пункт «Дополнительно». Здесь производится детальная наладка обращения к DNS-серверам. В Windows 7 это все возможно настроить самостоятельно. Поэтому вопрос, как самим изменить dns-сервер, не вызовет проблем.
Еще для управления доступны DNS-суффиксы. Рядовому пользователю они не требуются. Эта настройка, помогающая удобно разделять ресурсы, создана для провайдеров.
На wi-fi роутере
При использовании роутера в опциях ДНС необходимо выставить его IP-адрес. Чтобы выполнить эти манипуляции, потребуются включенные DNS-relay и DHCP-server.
Интерфейс роутера предназначен для проверки и последующих детальных настроек. Сначала необходимо проверить ДНС в WAN-порте. DNS-relay активируется в параметрах LAN-порта.
На компьютере
Настройка ДНС-сервера в Windows 10 схожа с аналогичной ситуацией в ранних версиях ОС. Сначала нужно выбрать свойства «Протокола интернета версии 4 (TCP/IPv4)». Перейти в дополнительные опции и настроить список серверов.
Настройка сервера ДНС на компьютере и на ноутбуке одинаковая.
На планшете
В зависимости от установленной «операционки» действия несколько различаются, но их все объединяют следующие моменты:
- Открыть меню «Wi-Fi», находящееся в «Настройках».
- Зайти в свойства текущего подключения к интернету.
- Кликнуть «Изменить сеть», после – «Показать дополнительные параметры».
- Пролистать до пункта ДНС-серверов, потом их прописать.
На смартфоне
Так как сейчас особой разницы между операционными системами телефона и планшета нет, чтобы настроить нужные dns-серверы, достаточно знать инструкции, описанные выше.
Возможные ошибки и как их исправить
Проблемы с работой интернета возникают при неправильных настройках DNS-сервера, в том числе при их неожиданном сбое.
Что делать, если сервер не отвечает или не обнаружен
Чаще всего эта неполадка возникает при серверном отключении или сбившихся настройках. Для этого нужно открыть «Панель управления», перейти в «Систему и безопасность», затем — «Администрирование». Кликнуть на «Службы», найти «ДНС-клиент» и дважды щелкнуть по нему. В строке состояния отмечается команда «Выполняется». В ином случае нужно выбрать автоматический тип запуска из выпадающего списка выше.
Если служба работает, но ошибка все равно появляется, возникли серверные проблемы. Сначала лучше осуществить смену адресов DNS-серверов по вышеуказанным инструкциям. Впрочем, еще возможно переустановить драйверы сетевой карты, проверить интернет-соединение и узнать у провайдера о возможных технических проблемах.
Неправильно разрешает имена
При такой ошибке необходимо проверить правильность параметров своего DNS-server. А лучше просто прибегнуть к смене адреса dns-сервера, чтобы избавиться от возникшей проблемы.
Также неполадки возможны на серверах оператора, и решается задача тем же способом – изменением ДНС.
Список рекомендуемых DNS-серверов
Для неискушенного пользователя существует список качественных и бесплатных servers:
Google Public DNS
Адреса: 8.8.8.8; 8.8.4.4
Как и все сервисы Google, качественно выполняет свои задачи, но обладает известным минусом – собирает и хранит статистику пользователя. Несмотря на это, server не имеет никакого доступа к персональным данным, поэтому волноваться о безопасности не стоит.
Если хочется узнать подробнее о server-работе, существует официальная документация на информационном сайте.
OpenDNS
Адреса: 208.67.222.222; 208.67.220.220
Популярный server ввиду наличия большого ассортимента фильтров и защиты от кражи персональных данных. Основные функции выполняются бесплатно, но есть возможность приобретения премиум доступа, позволяющего создать «заблокированную сетевую среду» и повысить скорость соединения.
DNS.WATCH
Адреса: 84.200.69.80; 84.200.70.40
Не требует регистрации для использования, обеспечивает более серьезный уровень. Единственный минус – низкая скорость.
Norton ConnectSafe
Адреса: 199.85.126.10; 199.85.127.10
Тоже не «просит» предварительную регистрацию, надежно хранит данные пользователя. Создан разработчиками антивируса Norton, не требуя себе дополнительной рекламы.
Level3 DNS
Адреса: 4.2.2.1; 4.2.2.2
Подходит не только для личного пользования, но и корпоративных целей. Полностью бесплатный ресурс, занимает третье место по мировой популярности.
Comodo Secure DNS
Адреса: 8.26.56.26; 8.20.247.20
Базовая версия бесплатная, но за некоторые денежные средства возможно приобрести большое количество полезных услуг. Как в платном, так и бесплатном вариантах предоставляет надежную защиту данных.
OpenNIC DNS
Адреса: следует зайти на сайт проекта, он подберет наилучшие в зависимости от местонахождения пользователя.
Ввиду своего огромного покрытия позволяет удобно исследовать интернет в любой точке мира.
DHCP-сервер: что это и в чем его особенности
Больше всего подходит для сеток с наличием большого количества компьютеров по причине передачи своих сетевых настроек всем подключенным устройствам.
Такой server позволяет администратору задать диапазон хостов серверов и избежать большой траты времени на детальную оптимизацию.
Работает он только с настройками IP-адресов и самими адресами.
Заключение
Первоначальная задача DNS-серверов – передача IP-адреса. Серверы других компаний, часть из которых описана выше, способны ускорить и значительно облегчить интернет-серфинг. При этом он не нуждается в кропотливой настройке, а множество ошибок решается с использованием другого сервера.
Подгорнов Илья ВладимировичВсё статьи нашего сайта проходят аудит технического консультанта. Если у Вас остались вопросы, Вы всегда их можете задать на его странице.
Похожие статьи
Развертывание разделенной системы DNS с помощью политики DNS
-
- Чтение занимает 7 мин
В этой статье
Применяется к: Windows Server 2016Applies to: Windows Server 2016
С помощью этого раздела вы узнаете, как настроить политику DNS в Windows Server ® 2016 для раздельных развертываний DNS, где есть две версии одной зоны — одна для внутренних пользователей в интрасети организации, а другая — для внешних пользователей, которые обычно являются пользователями в Интернете.You can use this topic to learn how to configure DNS policy in Windows Server® 2016 for split-brain DNS deployments, where there are two versions of a single zone — one for the internal users on your organization intranet, and one for the external users, who are typically users on the Internet.
Ранее этот сценарий требовал, чтобы администраторы DNS поддерживали два разных DNS-сервера, каждый из которых предоставляет службы каждому набору пользователей, внутренним и внешним.Previously, this scenario required that DNS administrators maintain two different DNS servers, each providing services to each set of users, internal and external. Если несколько записей в зоне были разделены, — или оба экземпляра зоны (внутренние и внешние) были делегированы в один и тот же родительский домен, это стало загадка управления.If only a few records inside the zone were split-brained or both instances of the zone (internal and external) were delegated to the same parent domain, this became a management conundrum.
Еще один сценарий настройки для развертывания с разделением-мозгом — выборочный контроль рекурсии для разрешения DNS-имен.Another configuration scenario for split-brain deployment is Selective Recursion Control for DNS name resolution. В некоторых обстоятельствах DNS-серверы предприятия должны выполнять рекурсивное разрешение для внутренних пользователей, а также как полномочные серверы имен для внешних пользователей и блокировать рекурсию для них.In some circumstances, the Enterprise DNS servers are expected to perform recursive resolution over the Internet for the internal users, while they also must act as authoritative name servers for external users, and block recursion for them.
В этом разделе содержатся следующие подразделы.This topic contains the following sections.
Пример развертывания DNS с разделением-мозгомExample of DNS Split-Brain Deployment
Ниже приведен пример того, как можно использовать политику DNS для выполнения описанного выше сценария «разделение-DNS».Following is an example of how you can use DNS policy to accomplish the previously described scenario of split-brain DNS.
Этот раздел содержит следующие подразделы.This section contains the following topics.
В этом примере используется одна вымышленная компания Contoso, которая поддерживает веб-узел карьеры по адресу www.career.contoso.com.This example uses one fictional company, Contoso, which maintains a career Web site at www.career.contoso.com.
Сайт имеет две версии — один для внутренних пользователей, где доступны внутренние сообщения о заданиях.The site has two versions, one for the internal users where internal job postings are available. Этот внутренний сайт доступен по локальному IP-адресу 10.0.0.39.This internal site is available at the local IP address 10.0.0.39.
Вторая версия — это общедоступная версия того же сайта, которая доступна по общедоступному IP-адресу 65.55.39.10.The second version is the public version of the same site, which is available at the public IP address 65.55.39.10.
В отсутствие политики DNS администратору необходимо размещать эти две зоны на отдельных DNS-серверах Windows Server и управлять ими отдельно.In the absence of DNS policy, the administrator is required to host these two zones on separate Windows Server DNS servers and manage them separately.
С помощью политик DNS эти зоны теперь можно размещать на одном DNS-сервере.Using DNS policies these zones can now be hosted on the same DNS server.
Этот сценарий показан на следующем рисунке.The following illustration depicts this scenario.
Как работает развертывание с разделением DNSHow DNS Split-Brain Deployment Works
Если DNS-сервер настроен с использованием требуемых политик DNS, каждый запрос разрешения имен оценивается по политикам на DNS-сервере.When the DNS server is configured with the required DNS policies, each name resolution request is evaluated against the policies on the DNS server.
В этом примере интерфейс сервера используется в качестве критерия для различения внутренних и внешних клиентов.The server Interface is used in this example as the criteria to differentiate between the internal and external clients.
Если серверный интерфейс, на котором получен запрос, соответствует любой из политик, то соответствующая область зоны используется для ответа на запрос.If the server interface upon which the query is received matches any of the policies, the associated zone scope is used to respond to the query.
Таким образом, в нашем примере запросы DNS для www.career.contoso.com, полученные на частном IP-адресе (10.0.0.56), получают ответ DNS, который содержит внутренние IP-адреса. и запросы DNS, получаемые в общедоступном сетевом интерфейсе, получают ответ DNS, содержащий общедоступный IP-адрес в области зоны по умолчанию (это то же самое, что и обычная разрешающая способность запросов).So, in our example, the DNS queries for www.career.contoso.com that are received on the private IP (10.0.0.56) receive a DNS response that contains an internal IP address; and the DNS queries that are received on the public network interface receive a DNS response that contains the public IP address in the default zone scope (this is the same as normal query resolution).
Настройка развернутого сервера с разделением DNSHow to Configure DNS Split-Brain Deployment
Чтобы настроить развертывание с разделением DNS с помощью политики DNS, необходимо выполнить следующие действия.To configure DNS Split-Brain Deployment by using DNS Policy, you must use the following steps.
В следующих разделах приведены подробные инструкции по настройке.The following sections provide detailed configuration instructions.
Важно!
В следующих разделах приведены примеры команд Windows PowerShell, которые содержат примеры значений для многих параметров.The following sections include example Windows PowerShell commands that contain example values for many parameters. Перед выполнением этих команд обязательно замените примеры значений в этих командах значениями, подходящими для вашего развертывания.Ensure that you replace example values in these commands with values that are appropriate for your deployment before you run these commands.
Создание областей зоныCreate the Zone Scopes
Область зоны — это уникальный экземпляр зоны.A zone scope is a unique instance of the zone. Зона DNS может иметь несколько областей зоны, при этом каждая область зоны содержит собственный набор записей DNS.A DNS zone can have multiple zone scopes, with each zone scope containing its own set of DNS records. Одна и та же запись может присутствовать в нескольких областях с разными IP-адресами или IP-адресами.The same record can be present in multiple scopes, with different IP addresses or the same IP addresses.
Примечание
По умолчанию область зоны существует в зонах DNS.By default, a zone scope exists on the DNS zones. Эта область зоны имеет то же имя, что и зона, а устаревшие операции DNS работают в этой области.This zone scope has the same name as the zone, and legacy DNS operations work on this scope. В этой области зоны по умолчанию будет размещена внешняя версия www.career.contoso.com.This default zone scope will host the external version of www.career.contoso.com.
Можно использовать следующий пример команды, чтобы секционировать область зоны contoso.com для создания внутренней области зоны.You can use the following example command to partition the zone scope contoso.com to create an internal zone scope. Внутренняя область зоны будет использоваться для сохранения внутренней версии www.career.contoso.com.The internal zone scope will be used to keep the internal version of www.career.contoso.com.
Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "internal"
Дополнительные сведения см. в разделе Add-днссерверзонескопе .For more information, see Add-DnsServerZoneScope
Добавление записей в области зоныAdd Records to the Zone Scopes
Следующим шагом является добавление записей, представляющих узел веб-сервера, в две области зоны — внутренние и по умолчанию (для внешних клиентов).The next step is to add the records representing the Web server host into the two zone scopes — internal and default (for external clients).
В области внутренней зоны www.Career.contoso.com запись добавляется с IP-адресом 10.0.0.39, который является частным адресом. и в области зоны по умолчанию с IP-адресом 65.55.39.10 добавляется та же запись www.Career.contoso.com.In the internal zone scope, the record www.career.contoso.com is added with the IP address 10.0.0.39, which is a private IP; and in the default zone scope the same record, www.career.contoso.com, is added with the IP address 65.55.39.10.
При добавлении записи в область зоны по умолчанию в следующих примерах команд отсутствует параметр – зонескопе .No –ZoneScope parameter is provided in the following example commands when the record is being added to the default zone scope. Это похоже на добавление записей в зону обычный.This is similar to adding records to a vanilla zone.
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39” -ZoneScope "internal"
Дополнительные сведения см. в разделе Add-днссерверресаурцерекорд.For more information, see Add-DnsServerResourceRecord.
Создание политик DNSCreate the DNS Policies
После определения интерфейсов сервера для внешней сети и внутренней сети, а также для создания областей зоны необходимо создать политики DNS, которые соединяют внутренние и внешние области зоны.After you have identified the server interfaces for the external network and internal network and you have created the zone scopes, you must create DNS policies that connect the internal and external zone scopes.
Примечание
В этом примере серверный интерфейс используется в качестве критерия для различения внутренних и внешних клиентов.This example uses the server interface as the criteria to differentiate between the internal and external clients. Другим способом различения внешних и внутренних клиентов является использование подсетей клиента в качестве критерия.Another method to differentiate between external and internal clients is by using client subnets as a criteria. Если вы можете определить подсети, к которым принадлежат внутренние клиенты, можно настроить политику DNS, чтобы отличать их от подсети клиента.If you can identify the subnets to which the internal clients belong, you can configure DNS policy to differentiate based on client subnet. Сведения о настройке управления трафиком с помощью критериев подсети клиента см. в статье Использование политики DNS для управления трафиком на основе географического расположения с основными серверами.For information on how to configure traffic management using client subnet criteria, see Use DNS Policy for Geo-Location Based Traffic Management with Primary Servers.
Когда DNS-сервер получает запрос к частному интерфейсу, ответ на запрос DNS возвращается из внутренней области зоны.When the DNS server receives a query on the private interface, the DNS query response is returned from the internal zone scope.
Примечание
Для сопоставления области зоны по умолчанию не требуются никакие политики.No policies are required for mapping the default zone scope.
В следующем примере команда 10.0.0.56 является IP-адресом частного сетевого интерфейса, как показано на предыдущем рисунке.In the following example command, 10.0.0.56 is the IP address on the private network interface, as shown in the previous illustration.
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,10.0.0.56" -ZoneScope "internal,1" -ZoneName contoso.com
Дополнительные сведения см. в разделе Add-днссерверкуериресолутионполици.For more information, see Add-DnsServerQueryResolutionPolicy.
Пример управления выборочной рекурсией DNSExample of DNS Selective Recursion Control
Ниже приведен пример того, как можно использовать политику DNS для выполнения описанного выше сценария управления селективной рекурсией DNS.Following is an example of how you can use DNS policy to accomplish the previously described scenario of DNS selective recursion control.
Этот раздел содержит следующие подразделы.This section contains the following topics.
В этом примере используется та же вымышленная компания, что и в предыдущем примере, Contoso, который поддерживает веб-узел карьеры по адресу www.career.contoso.com.This example uses the same fictional company as in the previous example, Contoso, which maintains a career Web site at www.career.contoso.com.
В примере развертывания DNS Split-мозгового сервера тот же DNS-сервер отвечает как внешним, так и внутренним клиентам и предоставляет им разные ответы.In the DNS split-brain deployment example, the same DNS server responds to both the external and internal clients and provides them with different answers.
Некоторые развертывания DNS могут потребовать, чтобы один и тот же DNS-сервер выполнял рекурсивное разрешение имен для внутренних клиентов, помимо того, чтобы выступать в роли полномочного сервера имен для внешних клиентов.Some DNS deployments might require the same DNS server to perform recursive name resolution for internal clients in addition to acting as the authoritative name server for external clients. Это называется контролем выборочной рекурсии DNS.This circumstance is called DNS selective recursion control.
В предыдущих версиях Windows Server Включение рекурсии означало, что оно было включено на всем DNS-сервере для всех зон.In previous versions of Windows Server, enabling recursion meant that it was enabled on the whole DNS server for all zones. Так как DNS-сервер также прослушивает внешние запросы, рекурсия включается как для внутренних, так и для внешних клиентов, что делает DNS-сервер открытым сопоставительом.Because the DNS server is also listening to external queries, recursion is enabled for both internal and external clients, making the DNS server an open resolver.
DNS-сервер, настроенный как открытый сопоставитель, может быть уязвим для исчерпания ресурсов и может быть заражен вредоносными клиентами для создания атак с отражением.A DNS server that is configured as an open resolver might be vulnerable to resource exhaustion and can be abused by malicious clients to create reflection attacks.
По этой причине Администраторы DNS Contoso не хотят, чтобы DNS-сервер для contoso.com выполнял рекурсивное разрешение имен для внешних клиентов.Because of this, Contoso DNS administrators do not want the DNS server for contoso.com to perform recursive name resolution for external clients. Для внутренних клиентов требуется только управление рекурсией, в то время как управление рекурсией может быть заблокировано для внешних клиентов.There is only a need for recursion control for internal clients, while recursion control can be blocked for external clients.
Этот сценарий показан на следующем рисунке.The following illustration depicts this scenario.
Как работает управление селективной рекурсией DNSHow DNS Selective Recursion Control Works
Если получен запрос, для которого DNS-сервер Contoso является неполномочным, например для https://www.microsoft.com , запрос разрешения имени оценивается по политикам на DNS-сервере.If a query for which the Contoso DNS server is non-authoritative is received, such as for https://www.microsoft.com, then the name resolution request is evaluated against the policies on the DNS server.
Поскольку эти запросы не попадают ни в одну зону, политики уровня зоны, ( как определено в примере Split-мозг, ) не оцениваются.Because these queries do not fall under any zone, the zone level policies (as defined in the split-brain example) are not evaluated.
DNS-сервер оценивает политики рекурсии, а запросы, получаемые в частном интерфейсе, соответствуют сплитбраинрекурсионполици.The DNS server evaluates the recursion policies, and the queries that are received on the private interface match the SplitBrainRecursionPolicy. Эта политика указывает на область рекурсии, в которой включена рекурсия.This policy points to a recursion scope where recursion is enabled.
Затем DNS-сервер выполняет рекурсию для получения ответа https://www.microsoft.com из Интернета и кэширует ответ локально.The DNS server then performs recursion to get the answer for https://www.microsoft.com from the Internet, and caches the response locally.
Если запрос получен на внешнем интерфейсе, политики DNS не совпадают, и параметр рекурсии по умолчанию, который в данном случае отключен , применяется.If the query is received on the external interface, no DNS policies match, and the default recursion setting — which in this case is Disabled — is applied.
Это не позволяет серверу выступать в качестве открытого сопоставителя для внешних клиентов, пока он выступает в качестве сопоставителя кэширования для внутренних клиентов.This prevents the server from acting as an open resolver for external clients, while it is acting as a caching resolver for internal clients.
Настройка управления выборочной рекурсией DNSHow to Configure DNS Selective Recursion Control
Чтобы настроить управление выборочной рекурсией DNS с помощью политики DNS, необходимо выполнить следующие действия.To configure DNS selective recursion control by using DNS Policy, you must use the following steps.
Создание областей рекурсии DNSCreate DNS Recursion Scopes
Области рекурсии являются уникальными экземплярами группы параметров, которые управляют рекурсией на DNS-сервере.Recursion scopes are unique instances of a group of settings that control recursion on a DNS server. Область рекурсии содержит список серверов пересылки и указывает, включена ли рекурсия.A recursion scope contains a list of forwarders and specifies whether recursion is enabled. DNS-сервер может иметь много областей рекурсии.A DNS server can have many recursion scopes.
Устаревший параметр рекурсии и список серверов пересылки называются областью рекурсии по умолчанию.The legacy recursion setting and list of forwarders are referred to as the default recursion scope. Невозможно добавить или удалить область рекурсии по умолчанию, обозначенную точкой с именем ( «.» ) .You cannot add or remove the default recursion scope, identified by the name dot (“.”).
В этом примере параметр рекурсии по умолчанию отключен, а также создается новая область рекурсии для внутренних клиентов, где включена рекурсия.In this example, the default recursion setting is disabled, while a new recursion scope for internal clients is created where recursion is enabled.
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Дополнительные сведения см. в разделе Add-днссерверрекурсионскопе .For more information, see Add-DnsServerRecursionScope
Создание политик рекурсии DNSCreate DNS Recursion Policies
Можно создать политики рекурсии DNS-сервера, чтобы выбрать область рекурсии для набора запросов, соответствующих указанным условиям.You can create DNS server recursion policies to choose a recursion scope for a set of queries that match specific criteria.
Если DNS-сервер не является полномочным для некоторых запросов, политики рекурсии DNS-сервера позволяют управлять способом разрешения запросов.If the DNS server is not authoritative for some queries, DNS server recursion policies allow you to control how to resolve the queries.
В этом примере внутренняя область рекурсии с включенной рекурсией связана с частным сетевым интерфейсом.In this example, the internal recursion scope with recursion enabled is associated with the private network interface.
Для настройки политик рекурсии DNS можно использовать приведенный ниже пример команды.You can use the following example command to configure DNS recursion policies.
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainRecursionPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP "EQ,10.0.0.39"
Дополнительные сведения см. в разделе Add-днссерверкуериресолутионполици.For more information, see Add-DnsServerQueryResolutionPolicy.
Теперь DNS-сервер настроен с использованием требуемых политик DNS для сервера доменных имен с разделением или DNS-сервера, для которого включено выборочное управление рекурсией для внутренних клиентов.Now the DNS server is configured with the required DNS policies for either a split-brain name server or a DNS server with selective recursion control enabled for internal clients.
Вы можете создавать тысячи политик DNS в соответствии с требованиями к управлению трафиком, а все новые политики применяются динамически, без перезапуска DNS-сервера во входящих запросах.You can create thousands of DNS policies according to your traffic management requirements, and all new policies are applied dynamically — without restarting the DNS server — on incoming queries.
Дополнительные сведения см. в разделе руководств по сценариям политики DNS.For more information, see DNS Policy Scenario Guide.
Настройка DNS сервера на Windows Server 2008
DNS (система доменных имен, Система Доменных имен) — система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.
DNS-сервер — это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка используемого ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.
Настройка сетевого адаптера для DNS-сервера
Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.
После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через доступ к интернету, в то время как через подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:
Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях.Из примера выше видно, что присоединённая сеть это Network 3.
Далее предстоит проделать цепочку действий:
- Необходимо нажать правой клавишей мыши в выпадающем системном меню выбрать Центр управления сетями и общим доступом, в левой части появившегося окна открыть Изменение параметров адаптера:
- Правой кнопкой мыши нажмите на необходимый сетевой адаптер, в меню Свойства;
- В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
- Заполнить соответствующими полями необходимыми данными:
в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.Google [8.8.8.8].
Установка роли DNS-сервера
Создание зон прямого и обратного просмотра
Доменная зона — совокупность доменных имён в пределах конкретного домена.
Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.
Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.
Создание зон и управление ими осуществляется при помощи Диспетчера DNS.
Данный инструмент открывается из навигационного дерева Диспетчера Сервера:
Создание зоны прямого просмотра
- Выделите каталог Зоны Прямого Операра, запустите Мастер Создания Новой Зоны с помощью кнопок Новая зона на инструментов панели сверху:
- Откроется окно Мастера с приветствием, нажмите Далее:
- Из предложенных вариантов выбрать «Основная зона» и дальше Далее:
- Введите имя зоны и нажмите:
- При необходимости поменяйте название будущего файла зоны и нажмите Далее:
- Выберите, разрешить динамические обновления или нет.Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание зоны обратного просмотра
- Выделите в Диспетчере DNS каталог Зоны Обратного управления и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер создания новой зоны:
- Выберите тип «Основная Зона», далее Далее:
- Выберите назначение для адресов IPv4, нажмите Далее:
- Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:
- При необходимости поменяйте название будущего файла зоны и дальше Далее:
- Выберите, разрешить динамические обновления или нет.Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание A-записи
Данный раздел инструкции в большей последовательности шагов для проверки ранее проделанных.
Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о каком-либо имени с установленными служебными данными.
Запись A — запись позволяющая по доменному имени узнать IP-адрес.
Запись PTR — запись обратная A записи.
- В Диспетчере DNS предлагает каталог создателя зоны внутри каталога Зон Прямого воспроизведения ранее. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:
- Откроется окно создания Нового узла, где понадобится вписать в соответствующее поле имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес.Здесь же чек-бокс «Создать соответствующий PTR-запись» — чтобы проверить работу вашего зонда (прямой и обратный), чекбокс быть активирован:
Если поле имени остается пустым, адрес будет связан с именем доменной зоны.
- Также можно добавить записи для других серверов:
- Добавить все необходимые узлы, нажмите Готово.
Проверка
- Проверьте изменения в каталоге изображений белого света.
- Откройте командную команду (cmd) или PowerShell и запустите команду nslookup:
Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.
Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:
- Запрос по домену;
- Запрос по IP-адресу:
В примере получены подходящие ответы по обоим запросам.
- Можно попробовать отправить запрос на какой-нибудь внешний ресурс:
В дополнение к имени домена и адресам появилась строчка «Неавторизованный ответ:», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведена ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.
Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:
Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адресов (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Несуществующий домен).
Средняя оценка: 5.0
Оценили: 1
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
700
300
.
Новые возможности DNS-клиента в Windows Server
- Чтение занимает 2 мин
В этой статье
Применяется к: Windows Server (полугодовой канал), Windows Server 2016 Применяется к: Windows Server (полугодовой канал), Windows Server 2016
В этом разделе описаны функциональные возможности клиента службы доменных имен (DNS), новые или измененные в Windows 10 и Windows Server 2016 и более поздних версиях этих систем.В этом разделе описаны новые или измененные функции клиента системы доменных имен (DNS) в Windows 10 и Windows Server 2016 и более поздних версиях этих операционных систем.
Обновления DNS-клиентаОбновления DNS-клиента
Привязка службы клиента DNS . в Windows 10 служба DNS-клиента предлагает улучшенную поддержку компьютеров с сетевыми интерфейсами. Привязка службы DNS-клиента : В Windows 10 служба DNS-клиента предлагает расширенную поддержку для компьютеров с несколькими сетевыми интерфейсами.Для многосетевых компьютеров разрешение DNS оптимизируется способами. Для многосетевых компьютеров разрешение DNS оптимизируется следующими способами:
Когда DNS-сервер, настроенный в определенном интерфейсе, используется разрешение DNS-запрос, служба DNS-клиент будет привязана к этому интерфейсу перед отправкой запроса DNS. Когда DNS-сервер, настроенный на определенном интерфейсе, используется для разрешения DNS-запрос, служба DNS-клиента привяжется к этому интерфейсу перед отправкой DNS-запроса.
При привязке к определенному интерфейсу DNS-клиент может четко указать интерфейс, где происходит разрешение имен, что позволяет приложениям оптимизировать взаимодействие с DNS-клиентом через этот сетевой интерфейс. При привязке к определенному интерфейсу клиент DNS может четко указать интерфейс, в котором имя происходит разрешение, позволяя приложениям оптимизировать связь с DNS-клиентом через этот сетевой интерфейс.
Если используется DNS-сервер назначен параметрическая политика из таблицы разрешения имен (NRPT), то DNS-клиент не привязывается к конкретному интерфейсу.Если используемый DNS-сервер назначен параметром групповой политики из таблицы политики разрешения имен (NRPT), служба DNS-клиента не привязывается к определенному интерфейсу.
Примечание
Изменения в службе DNS-клиента в Windows 10 также существуют на компьютерах под управлением Windows Server 2016 и более поздних версий. Изменения в службе DNS-клиента в Windows 10 также присутствуют на компьютерах под управлением Windows Server 2016 и более поздних версий.
Дополнительные ссылкиДополнительные ссылки
.
Установка DNS-сервера на Windows Server 2016
Очень простая инструкция по установке DNS сервера на Windows Server 2016. Здесь я не буду касаться вопросов настройки DNS зон, просто установим DNS.
Запускаем Server Manager, Управление> Добавить роли и функции.
Открывается мастер установки.
Мы находимся во вкладку Прежде, чем вы начнете. Можно установить галку По умолчанию пропускать эту страницу. Следующий.
Открывается вкладка Тип установки. Оставляем по умолчанию выбранную кнопку Ролевая или функциональная установка. Следующий.
Открывается вкладка Server Selection. Выбираем текущий сервер. Следующий.
Открывается вкладка Server Roles. Находим роль DNS-сервер, выделяем галкой.
Для роли DNS Server установка фичи DNS Server Tools. Логично, нажимаем Добавить характеристики.
Далее.
Открывается вкладка Особенности. Нам здесь ничего не нужно. Следующий.
Открывается вкладка DNS Server. Эта страница носит чисто информационный характер. Следующий.
Открывается вкладка Подтверждение. Проверяем что будет установлено. При желании можно поставить галку с разрешением перезагружать сервер при необходимости.Установить.
Начинается установка.
Установка завершена. Закрыть.
После установки Administrative Tools появляется ярлык DNS. Запускаем.
Консоль для управления DNS запустилась. DNS сервер работает.
.
Особенности резолвера DNS в Windows 10 и DNS Leak / Хабр
TL; DR: DNS-резолвер в Windows 10 отправляет запросы на все известные системы адресов DNS-серверов параллельно, привязывая запрос к интерфейсу, и использует тот ответ, который приходит быстрее. В случае, если вы используете DNS-сервер из локального сегмента, такое поведение позволяет вашему провайдеру или злоумышленнику с точкой Wi-Fi подменять записи DNS, даже если вы используете VPN.
Современные версии Windows Добавить головные боли активным пользователям VPN.DNS-резолвер до Windows 7 имел предсказуемое поведение, совершая запросы к DNS-серверу в порядке очереди и приоритета DNS-серверов, в общем-то, как и все остальные ОС. Это создавало так называемый DNS Leak (утечка DNS-запроса через внешний интерфейс при подключенном VPN) только в том случае, если DNS-сервер внутри VPN-туннеля не ответил вовремя, или ошибкой, и, в целом, не являлось такой уж вопиющей проблемой .
Windows 8
С выходом Windows 8, Microsoft добавила весьма интересную функцию в DNS-резолвер, которая, как я могу судить по Google, осталась совершенно незамеченной: Smart Multi-Homed Name Resolution.Если эта функция включена, ОС отправляет запросы на все известные ей DNS-серверы на всех сетевых интерфейсах, выполняемых через интерфейс. Сделано это было, вероятно, для того, чтобы уменьшить время ожидания предпочитаемого DNS-сервера в случае, если он по каким-то причинам не может ответить в отведенный ему таймаут (секунда по умолчанию), и сразу, по истечении таймаута, отдать ответ от следующего по приоритету сервера. Таким образом, в Windows 8 и 8.1 все ваши DNS-запросы «утекают» через интернет-интерфейс, позволяяя вашему провайдеру или владельцу Wi-Fi-точки просматривать, на какие сайты вы заходите, при условии, что ваша таблица маршрутизации позволяет запросам к DNS-серверу через интернет-интерфейс. Чаще всего такая ситуация, если использовать DNS-сервер внутри локального сегмента, такие DNS поднимают 99% домашних роутеров.
Данную функциональность можно отключить, добавив в ветку реестра:
HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ DNSClient
Параметр типа DWORD с названием:
DisableSmartNameResolution
и любым значением, отличным от нуля, что возвращало старое поведение резолвера.
Windows 10
Хоть Windows 8 и 8.1 отправляли все ваши запросы без вашего ведома через публичный интерфейс, совершить подмену DNS-ответа таким образом, чтобы перенаправить вас на поддельный сайт, было проблематично для злоумышленника, т.к. Если не удалось получить правильный ответ от предпочитаемого DNS-сервера, коим сервер внутри шифрованного туннеля был использован подмененный ответ только в том случае.
Все изменилось с приходом Windows 10. Теперь ОС не только отправляет запрос через все интерфейсы, но тот ответ, который пришел, что позволяет практически всегда вашему провайдеру перенаправить вас на заглушку о запрещенном сайте или злоумышленнику на поддельный сайт.Более того, способ отключения Smart Multi-Homed Name Resolution, который работал в Windows 8.1, не работает на новой версии.
Единственный приемлемый (хоть и не самый надежный) способ решения проблемы — установить DNS в интернет-интерфейсе вне локального сегмента, например, всем известный 8.8.8.8, он не поможет в случае с OpenVPN. Для OpenVPN единственным (и некрасивым) решением является временное отключение DNS в интернет-интерфейсе скриптами.
UPD: ранее в статье рекомендовалось использовать параметр redirect-gateway
без def1
для OpenVPN.Оказывается, Windows возвращает маршрут по умолчанию от DHCP-сервера при каждом обновлении IP-адреса, и через какое-то время весь ваш трафик начинает ходить в обход VPN. На данный момент, красивого решения не существует.
UPD2: Я написал плагин.
UPD: Windows 10, начиная с Creators Update, теперь отправляет DNS-запросы на все известные адреса DNS-серверов по порядку, а не параллельно, начиная со случайного интерфейса. Чтобы повысить приоритет конкретного DNS, необходимо уменьшить метрику интерфейса.Сделал патч для OpenVPN, надеюсь, его включить в 2.4.2: https://sourceforge.net/p/openvpn/mailman/message/35822231/
UPD4: Обновление вошло в OpenVPN 2.4.2.
.