DNS-Richtlinien (Übersicht)

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Sie können dieses Thema verwenden, um mehr über DNS-Richtlinie zu erfahren, die in Windows Server 2016 neu ist. Sie können DNS-Richtlinie für Geo-Location basierte Datenverkehrsverwaltung, intelligente DNS-Antworten basierend auf dem Tageszeitpunkt verwenden, um einen einzelnen DNS-Server zu verwalten, der für die Split-Brain-Bereitstellung konfiguriert ist, filter auf DNS-Abfragen und vieles mehr anzuwenden. Die folgenden Elemente enthalten weitere Details zu diesen Funktionen.

  • Anwendungslastenausgleich. Wenn Sie mehrere Instanzen einer Anwendung an verschiedenen Standorten bereitgestellt haben, können Sie DNS-Richtlinie verwenden, um die Datenverkehrslast zwischen den verschiedenen Anwendungsinstanzen zu ausgleichen, wobei die Datenverkehrslast dynamisch für die Anwendung zugewiesen wird.

  • Geo-Location basierte Datenverkehrsverwaltung. Sie können DNS-Richtlinie verwenden, um primäre und sekundäre DNS-Server zu ermöglichen, auf DNS-Clientabfragen basierend auf dem geografischen Speicherort des Clients und der Ressource zu reagieren, mit der der Client eine Verbindung herstellen möchte, indem Sie den Client mit der IP-Adresse der nächstgelegenen Ressource bereitstellen.

  • Split Brain DNS. Mit split-brain DNS werden DNS-Einträge in verschiedene Zonenbereiche auf demselben DNS-Server aufgeteilt, und DNS-Clients erhalten eine Antwort basierend darauf, ob die Clients interne oder externe Clients sind. Sie können split-brain DNS für integrierte Active Directory-Zonen oder zonen auf eigenständigen DNS-Servern konfigurieren.

  • Filtern. Sie können DNS-Richtlinie so konfigurieren, dass Abfragefilter erstellt werden, die auf Kriterien basieren, die Sie angeben. Abfragefilter in DNS-Richtlinie ermöglichen es Ihnen, den DNS-Server auf benutzerdefinierte Weise basierend auf der DNS-Abfrage und dem DNS-Client zu konfigurieren, der die DNS-Abfrage sendet.

  • Forensik. Sie können DNS-Richtlinie verwenden, um böswillige DNS-Clients auf eine nicht vorhandene IP-Adresse umzuleiten, anstatt sie an den Computer zu leiten, den sie erreichen möchten.

  • Uhrzeit der tagesbasierten Umleitung. Sie können DNS-Richtlinie verwenden, um Anwendungsdatenverkehr über unterschiedliche geografische verteilte Instanzen einer Anwendung zu verteilen, indem Sie DNS-Richtlinien verwenden, die auf dem Tag basieren.

Neue Konzepte

Um Richtlinien zu erstellen, um die oben aufgeführten Szenarien zu unterstützen, ist es notwendig, Gruppen von Datensätzen in einer Zone, Gruppen von Clients in einem Netzwerk unter anderem zu identifizieren. Diese Elemente werden durch die folgenden neuen DNS-Objekte dargestellt:

  • Clientnetz: Ein Client-Subnetzobjekt stellt ein IPv4- oder IPv6-Subnetz dar, aus dem Abfragen an einen DNS-Server übermittelt werden. Sie können Subnetze erstellen, um später Richtlinien zu definieren, die basierend auf dem Subnetz angewendet werden, von dem die Anforderungen stammen. In einem geteilten Gehirn-DNS-Szenario kann beispielsweise die Anforderung für die Auflösung eines Namens wie www.microsoft.com mit einer internen IP-Adresse an Clients von internen Subnetzen und einer anderen IP-Adresse für Clients in externen Subnetzen beantwortet werden.

  • Rekursionsbereich: Rekursionsbereiche sind eindeutige Instanzen einer Gruppe von Einstellungen, die die Rekursion auf einem DNS-Server steuern. Ein Rekursionsbereich enthält eine Liste der Weiterleitungen und gibt an, ob rekursion aktiviert ist. Ein DNS-Server kann viele Rekursionsbereiche aufweisen. DNS-Server-Rekursionsrichtlinien ermöglichen es Ihnen, einen Rekursionsbereich für eine Reihe von Abfragen auszuwählen. Wenn der DNS-Server für bestimmte Abfragen nicht autoritativ ist, können Sie mithilfe von DNS-Server-Rekursionsrichtlinien steuern, wie diese Abfragen aufgelöst werden. Sie können angeben, welche Weiterleitungen verwendet werden sollen und ob Rekursion verwendet werden soll.

  • Zonenbereiche: Eine DNS-Zone kann mehrere Zonenbereiche aufweisen, wobei jeder Zonenbereich einen eigenen Satz von DNS-Einträgen enthält. Der gleiche Datensatz kann in mehreren Bereichen mit unterschiedlichen IP-Adressen vorhanden sein. Außerdem werden Zonenübertragungen auf Zonenebene durchgeführt. Das bedeutet, dass Datensätze aus einem Zonenbereich in einer primären Zone in den gleichen Zonenbereich in einer sekundären Zone übertragen werden.

Richtlinientypen

DNS-Richtlinien werden durch Ebene und Typ unterteilt. Sie können Abfrageauflösungsrichtlinien verwenden, um zu definieren, wie Abfragen verarbeitet werden, und Zonenübertragungsrichtlinien, um zu definieren, wie Zonenübertragungen auftreten. Sie können jeden Richtlinientyp auf Serverebene oder auf Zonenebene anwenden.

Abfrageauflösungsrichtlinien

Sie können DNS-Abfrageauflösungsrichtlinien verwenden, um anzugeben, wie eingehende Auflösungsabfragen von einem DNS-Server behandelt werden. Jede DNS-Abfrageauflösungsrichtlinie enthält die folgenden Elemente:

Feld BESCHREIBUNG Mögliche Werte
Name Richtlinienname - Bis zu 256 Zeichen
- Kann jedes zeichen enthalten, das für einen Dateinamen gültig ist
State Richtlinienstatus - Aktivieren (Standard)
- Deaktiviert
Level Richtlinienebene - Server
- Zone
Verarbeitungsreihenfolge Sobald eine Abfrage nach Ebene klassifiziert und angewendet wird, findet der Server die erste Richtlinie, für die die Abfrage den Kriterien entspricht und auf abfrage angewendet wird. - Numerischer Wert
- Eindeutiger Wert pro Richtlinie mit derselben Ebene und gilt für Wert
Aktion Aktion, die vom DNS-Server ausgeführt werden soll - Zulassen (Standardeinstellung für Zonenebene)
- Ablehnen (Standard auf Serverebene)
- Ignorieren
Kriterien Richtlinienbedingung (AND/OR) und Liste der Kriterien, die für die Anwendung der Richtlinie erfüllt werden sollen - Bedingungsoperator (AND/OR)
- Liste der Kriterien (siehe die nachstehende Kriterientabelle)
Umfang Liste der Zonenbereiche und gewichtete Werte pro Bereich. Gewichtete Werte werden für die Lastenausgleichsverteilung verwendet. Wenn diese Liste beispielsweise Rechenzentrum1 mit einer Gewichtung von 3 und Rechenzentrum2 mit einer Gewichtung von 5 enthält, antwortet der Server mit einem Datensatz aus datacentre1 dreimal aus acht Anforderungen. - Liste der Zonenbereiche (nach Name) und Gewichtungen

Hinweis

Serverebenenrichtlinien können nur die Werte "Ablehnen " oder " Ignorieren " als Aktion aufweisen.

Das Feld "DNS-Richtlinienkriterien" besteht aus zwei Elementen:

Name BESCHREIBUNG Beispielwerte
Client-Subnetz Name eines vordefinierten Clientnetzs. Wird verwendet, um das Subnetz zu überprüfen, aus dem die Abfrage gesendet wurde. - EQ,Spanien,Frankreich - löst zu true aus, wenn das Subnetz als Spanien oder Frankreich identifiziert wird
- NE,Kanada,Mexiko – löst auf true auf, wenn das Clientnetz ein anderes Subnetz als Kanada und Mexiko ist
Transportprotokoll Transportprotokoll, das in der Abfrage verwendet wird. Mögliche Einträge sind UDP und TCP - EQ,TCP
- EQ,UDP
Internetprotokoll Netzwerkprotokoll, das in der Abfrage verwendet wird. Mögliche Einträge sind IPv4 und IPv6 - EQ,IPv4
- EQ,IPv6
IP-Adresse der Serverschnittstelle IP-Adresse für die eingehende DNS-Servernetzwerkschnittstelle - EQ,10.0.0.1
- EQ,192.168.1.1
FQDN FQDN des Datensatzes in der Abfrage mit der Möglichkeit, eine Wildcard zu verwenden - EQ,www.contoso.com – löst nur dann true auf, wenn die Abfrage versucht, die www.contoso.com FQDN zu auflösen.
- EQ,*.contoso.com,*.woodgrove.com – wird auf "true" aufgelöst, wenn die Abfrage für einen Datensatz, der auf contoso.comODERwoodgrove.com endet.
Abfragetyp Typ des abgefragten Datensatzes (A, SRV, TXT) - EQ,TXT,SRV – wird auf "true" aufgelöst, wenn die Abfrage einen TXT - ODER SRV-Eintrag anfordert.
- EQ,MX – wird auf "true" aufgelöst, wenn die Abfrage einen MX-Eintrag anfordert
Tageszeit Uhrzeit des Tages, zu dem die Abfrage empfangen wird - EQ,10:00-12:00,22:00-23:00 - Aufgelöst auf "true", wenn die Abfrage zwischen 10 und 10 Uhr empfangen wird, ODER zwischen 10 und 11 Uhr

Mithilfe der obigen Tabelle als Ausgangspunkt könnte die folgende Tabelle verwendet werden, um ein Kriterium zu definieren, das verwendet wird, um Abfragen für jede Art von Datensätzen abzugleichen, aber SRV-Einträge in der contoso.com Domäne, die von einem Client in der Subnetz 10.0.0.0/24 über TCP zwischen 8 und 10 Pm über Schnittstelle 10.0.0.3 stammen:

Name Wert
Client-Subnetz EQ,10.0.0.0/24
Transportprotokoll EQ,TCP
IP-Adresse der Serverschnittstelle EQ,10.0.0.3
FQDN EQ,*.contoso.com
Abfragetyp NE,SRV
Tageszeit EQ,20:00-22:00

Sie können mehrere Abfrageauflösungsrichtlinien derselben Ebene erstellen, solange sie einen anderen Wert für die Verarbeitungsreihenfolge haben. Wenn mehrere Richtlinien verfügbar sind, verarbeitet der DNS-Server eingehende Abfragen auf folgende Weise:

DNS policy processing

Rekursionsrichtlinien

Rekursionsrichtlinien sind eine spezielle Art von Richtlinien auf Serverebene. Rekursionsrichtlinien steuern, wie der DNS-Server rekursion für eine Abfrage ausführt. Rekursionsrichtlinien gelten nur, wenn die Abfrageverarbeitung den Rekursionspfad erreicht. Sie können einen Wert von DENY oder IGNORE für rekursion für eine Reihe von Abfragen auswählen. Alternativ können Sie einen Satz von Weiterleitungen für eine Reihe von Abfragen auswählen.

Sie können Rekursionsrichtlinien verwenden, um eine Split-Brain-DNS-Konfiguration zu implementieren. In dieser Konfiguration führt der DNS-Server rekursion für eine Reihe von Clients für eine Abfrage aus, während der DNS-Server keine Rekursion für andere Clients für diese Abfrage ausführt.

Rekursionsrichtlinien enthalten dieselben Elemente, die eine reguläre DNS-Abfrageauflösungsrichtlinie enthält, sowie die Elemente in der folgenden Tabelle:

Name BESCHREIBUNG
Anwenden auf Rekursion Gibt an, dass diese Richtlinie nur für Rekursion verwendet werden soll.
Rekursionsbereich Name des Rekursionsbereichs.

Hinweis

Rekursionsrichtlinien können nur auf Serverebene erstellt werden.

Zonenübertragungsrichtlinien

Zonenübertragungsrichtlinien steuern, ob eine Zonenübertragung von Ihrem DNS-Server zulässig ist oder nicht. Sie können Richtlinien für die Zonenübertragung auf Serverebene oder auf Zonenebene erstellen. Richtlinien auf Serverebene gelten für jede Zonenübertragungsabfrage, die auf dem DNS-Server auftritt. Richtlinien auf Zonenebene gelten nur für die Abfragen einer Zone, die auf dem DNS-Server gehostet wird. Die am häufigsten verwendete Verwendung für Richtlinien auf Zonenebene besteht darin, blockierte oder sichere Listen zu implementieren.

Hinweis

Zonenübertragungsrichtlinien können nur DENY oder IGNORIEREN als Aktionen verwenden.

Sie können die unten aufgeführte Zonenübertragungsrichtlinie auf Serverebene verwenden, um eine Zonenübertragung für die domäne contoso.com von einem bestimmten Subnetz zu verweigern:

Add-DnsServerZoneTransferPolicy -Name DenyTransferOfContosoToFabrikam -Zone contoso.com -Action DENY -ClientSubnet "EQ,192.168.1.0/24"

Sie können mehrere Zonenübertragungsrichtlinien derselben Ebene erstellen, solange sie einen anderen Wert für die Verarbeitungsreihenfolge haben. Wenn mehrere Richtlinien verfügbar sind, verarbeitet der DNS-Server eingehende Abfragen auf folgende Weise:

DNS process for multiple zone transfer policies

Verwalten von DNS-Richtlinien

Sie können DNS-Richtlinien mithilfe von PowerShell erstellen und verwalten. Die folgenden Beispiele durchlaufen verschiedene Beispielszenarien, die Sie über DNS-Richtlinien konfigurieren können:

Datenverkehrsmanagement

Sie können den Datenverkehr basierend auf einem FQDN abhängig vom Speicherort des DNS-Clients an unterschiedliche Server weiterleiten. Das folgende Beispiel zeigt, wie Sie Verkehrsverwaltungsrichtlinien erstellen, um die Kunden von einem bestimmten Subnetz zu einem nordamerikanischen Rechenzentrum und von einem anderen Subnetz in ein europäisches Rechenzentrum zu leiten.

Add-DnsServerClientSubnet -Name "NorthAmericaSubnet" -IPv4Subnet "172.21.33.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "172.17.44.0/24"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "NorthAmericaZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.17.97.97" -ZoneScope "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "NorthAmericaZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "NorthAmericaPolicy" -Action ALLOW -ClientSubnet "eq,NorthAmericaSubnet" -ZoneScope "NorthAmericaZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName contoso.com

Die ersten beiden Zeilen des Skripts erstellen Client-Subnetzobjekte für Nordamerika und Europa. Die beiden Zeilen nach dem Erstellen eines Zonenbereichs innerhalb der contoso.com Domäne, einer für jede Region. Die beiden Zeilen nach dem Erstellen eines Datensatzes in jeder Zone, die www.contoso.com verschiedenen IP-Adressen ordnet, eine für Europa, eine für Nordamerika. Schließlich erstellen die letzten Zeilen des Skripts zwei DNS-Abfrageauflösungsrichtlinien, die auf das Nordamerika Subnetz, eine andere auf das Europa-Subnetz angewendet werden sollen.

Blockieren von Abfragen für eine Domäne

Sie können eine DNS-Abfrageauflösungsrichtlinie verwenden, um Abfragen in einer Domäne zu blockieren. Im folgenden Beispiel werden alle Abfragen auf treyresearch.net blockiert:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

Blockieren von Abfragen aus einem Subnetz

Sie können auch Abfragen blockieren, die aus einem bestimmten Subnetz stammen. Das folgende Skript erstellt ein Subnetz für 172.0.33.0/24 und erstellt dann eine Richtlinie, um alle Abfragen aus diesem Subnetz zu ignorieren:

Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet  "EQ,MaliciousSubnet06"

Rekursion für interne Clients zulassen

Sie können rekursion mithilfe einer DNS-Abfrageauflösungsrichtlinie steuern. Das folgende Beispiel kann verwendet werden, um Rekursion für interne Clients zu aktivieren, während sie für externe Clients in einem geteilten Gehirnszenario deaktiviert wird.

Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP  "EQ,10.0.0.34"

Die erste Zeile im Skript ändert den Standardbereich für rekursion, einfach als "" benannt. (punkt) zum Deaktivieren der Rekursion. Die zweite Zeile erstellt einen Rekursionsbereich namens InternalClients mit aktivierter Rekursion. Und die dritte Zeile erstellt eine Richtlinie, um den neu erstellten Rekursionsbereich auf alle Abfragen anzuwenden, die über eine Serverschnittstelle mit 10.0.0.34 als IP-Adresse kommen.

Erstellen einer Zonenübertragungsrichtlinie auf Serverebene

Sie können die Zonenübertragung in einer präziseren Form steuern, indem Sie DNS-Zonenübertragungsrichtlinien verwenden. Das folgende Beispielskript kann verwendet werden, um Zonenübertragungen für jeden Server in einem bestimmten Subnetz zu ermöglichen:

Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet"

Die erste Zeile im Skript erstellt ein Subnetzobjekt namens AllowedSubnet mit dem IP-Block 172.21.33.0/24. Die zweite Zeile erstellt eine Zonenübertragungsrichtlinie, um Zonenübertragungen an einen beliebigen DNS-Server im zuvor erstellten Subnetz zu ermöglichen.

Erstellen einer Zonenebenenübertragungsrichtlinie auf Zonenebene

Sie können auch Zonenübertragungsrichtlinien auf Zonenebene erstellen. Im folgenden Beispiel wird jede Anforderung für eine Zonenübertragung für contoso.com von einer Serverschnittstelle ignoriert, die über eine IP-Adresse von 10.0.0.33 verfügt:

Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "eq,10.0.0.33" -PassThru -ZoneName "contoso.com"

DNS-Richtlinienszenarien

Informationen zur Verwendung der DNS-Richtlinie für bestimmte Szenarien finden Sie in den folgenden Themen in diesem Leitfaden.

Verwenden der DNS-Richtlinie für Read-Only Domänencontroller

DNS-Richtlinie ist mit Read-Only Domänencontrollern kompatibel. Beachten Sie, dass ein Neustart des DNS-Serverdiensts für neue DNS-Richtlinien erforderlich ist, die auf Read-Only Domänencontrollern geladen werden sollen. Dies ist nicht für schreibbare Domänencontroller erforderlich.