Megosztás a következőn keresztül:


DNS-szabályzatok áttekintése

Ez a témakör a Windows Server 2016-ban újdonságnak számító DNS-szabályzatot ismerteti. A DNS-szabályzatot használhatja Geo-Location alapú forgalomkezeléshez, a napszakon alapuló intelligens DNS-válaszokhoz, és kezelheti az agyfelosztásra konfigurált egyetlen DNS-kiszolgálót, szűrőket alkalmazhat a DNS-lekérdezésekre stb. Az alábbi elemek részletesebben ismertetik ezeket a képességeket.

  • Alkalmazás terheléselosztása. Ha egy alkalmazás több példányát helyezte üzembe különböző helyeken, a DNS-szabályzattal kiegyensúlyozhatja a forgalomterhelést a különböző alkalmazáspéldányok között, és dinamikusan oszthatja ki az alkalmazás forgalmi terhelését.

  • Geo-Location alapú forgalomkezelés. A DNS-szabályzattal engedélyezheti, hogy az elsődleges és másodlagos DNS-kiszolgálók válaszoljanak a DNS-ügyfél lekérdezéseire mind az ügyfél földrajzi helye, mind az az erőforrás alapján, amelyhez az ügyfél csatlakozni próbál, biztosítva az ügyfél számára a legközelebbi erőforrás IP-címét.

  • Agy DNS-ének felosztása. Osztott agyú DNS esetén a DNS-rekordok különböző zónatartományokra vannak osztva ugyanazon a DNS-kiszolgálón, és a DNS-ügyfelek választ kapnak attól függően, hogy az ügyfelek belső vagy külső ügyfelek-e. Az osztott agyú DNS-t konfigurálhatja az Active Directory integrált zónáihoz vagy a különálló DNS-kiszolgálókon lévő zónákhoz.

  • Szűrés. A DNS-szabályzatot úgy konfigurálhatja, hogy olyan lekérdezési szűrőket hozzon létre, amelyek a megadott feltételeken alapulnak. A DNS-szabályzat lekérdezésszűrői lehetővé teszik a DNS-kiszolgáló egyéni válaszadását a DNS-lekérdezést küldő DNS-lekérdezés és DNS-ügyfél alapján.

  • Kriminalisztika. A DNS-szabályzattal átirányíthatja a rosszindulatú DNS-ügyfeleket egy nem létező IP-címre ahelyett, hogy az elérni kívánt számítógépre irányítná őket.

  • Napszak alapú átirányítás. A DNS-szabályzattal az alkalmazás forgalmát az alkalmazás különböző földrajzilag elosztott példányai között oszthatja el a naptól függő DNS-szabályzatok használatával.

Új fogalmak

A fent felsorolt forgatókönyvek támogatására szolgáló szabályzatok létrehozásához képesnek kell lennie a zónák rekordcsoportjainak, a hálózaton lévő ügyfélcsoportoknak többek között a azonosítására. Ezeket az elemeket a következő új DNS-objektumok jelölik:

  • Ügyfél-alhálózat: az ügyfél alhálózati objektumai olyan IPv4- vagy IPv6-alhálózatot jelölnek, amelyről a rendszer lekérdezéseket küld egy DNS-kiszolgálónak. Alhálózatokat hozhat létre, amelyekkel később meghatározhatók az alkalmazandó szabályzatok, attól függően, hogy milyen alhálózatról érkeznek a kérések. Például egy osztott agy DNS-forgatókönyvben az olyan nevek megoldására irányuló kérések, mint például awww.microsoft.com , belső IP-címmel válaszolhatók meg a belső alhálózatok ügyfeleinek, valamint egy másik IP-címmel a külső alhálózatok ügyfeleinek.

  • Rekurziós hatókör: a rekurziós hatókörök a DNS-kiszolgálón a rekurziót vezérlő beállításcsoport egyedi példányai. A rekurziós hatókör a továbbítók listáját tartalmazza, és meghatározza, hogy engedélyezve van-e a rekurzió. A DNS-kiszolgálók számos rekurziós hatókörrel rendelkezhetnek. A DNS-kiszolgáló rekurziós szabályzatai lehetővé teszik a lekérdezések rekurziós hatókörének kiválasztását. Ha a DNS-kiszolgáló bizonyos lekérdezések esetében nem mérvadó, a DNS-kiszolgáló rekurziós szabályzatai lehetővé teszik a lekérdezések feloldásának szabályozását. Megadhatja, hogy mely továbbítókat használja, és hogy használja-e a rekurziót.

  • Zónahatókörök: a DNS-zónák több zónahatókörrel is rendelkezhetnek, és mindegyik zónahatókör saját DNS-rekordkészletet tartalmaz. Ugyanaz a rekord több hatókörben is jelen lehet, különböző IP-címekkel. A zónaátvitelek a zóna hatókörének szintjén is elvégezhetők. Ez azt jelenti, hogy az elsődleges zónában lévő zóna hatóköréből származó rekordok egy másodlagos zónában ugyanahhoz a zónahatókörhöz lesznek átadva.

Szabályzattípusok

A DNS-szabályzatok szint és típus szerint vannak osztva. A lekérdezésfeloldási szabályzatok segítségével meghatározhatja a lekérdezések feldolgozásának módját, a zónaátviteli szabályzatok pedig a zónaátvitelek menetét. Az egyes szabályzattípusok a kiszolgáló vagy a zóna szintjén alkalmazhatók.

Lekérdezésfeloldási szabályzatok

A DNS-lekérdezésfeloldási szabályzatokkal megadhatja, hogyan kezelik a bejövő feloldó lekérdezéseket egy DNS-kiszolgáló. Minden DNS-lekérdezésfeloldási szabályzat a következő elemeket tartalmazza:

szakterület Leírás Lehetséges értékek
Név Szabályzat neve - Legfeljebb 256 karakter
– Bármilyen, fájlnévre érvényes karaktert tartalmazhat
Állam Szabályzat állapota – Engedélyezés (alapértelmezett)
-Fogyatékos
Szint Szabályzatszint -Kiszolgáló
-Övezet
Megrendelés feldolgozása Miután egy lekérdezést szint szerint besorolnak és amelyre alkalmazható, a kiszolgáló megkeresi az első szabályzatot, amelynek feltételeinek megfelel a lekérdezés, és alkalmazza azt a lekérdezésre. -Számérték
– Az azonos szintet tartalmazó és az értékre vonatkozó szabályzatonkénti egyedi érték
Akció A DNS-kiszolgáló által végrehajtandó művelet - Engedélyezés (zónaszint alapértelmezett beállítása)
- Megtagadás (alapértelmezett kiszolgálói szinten)
-Semmibe vesz
Kritérium Szabályzatfeltétel (ÉS/VAGY) és a szabályzat alkalmazásához teljesítendő feltétel listája - Feltétel operátor (ÉS/VAGY)
- Feltételek listája (lásd az alábbi feltételtáblát)
Hatókör A zónahatókörök és a hatókörönkénti súlyozott értékek listája. A súlyozott értékek a terheléselosztáshoz használatosak. Ha például ez a lista tartalmazza a datacenter1-et 3-as súllyal és a datacenter2-t 5-ös súllyal, a kiszolgáló nyolc kérelemből háromszor a datacenter1-ből származó rekorddal válaszol. - Zónahatókörök listája (nevek szerint) és súlyok

Megjegyzés:

A kiszolgálószintű házirendek műveletként csak az Megtagadás vagy Mellőzés értékeket használhatják.

A DNS-szabályzat feltételmezője két elemből áll:

Név Leírás Mintaértékek
Ügyfél-alhálózat Előre definiált ügyfél-alhálózat neve. Annak az alhálózatnak a ellenőrzésére szolgál, amelyről a lekérdezést elküldték. - EQ,Spanyolország,Franciaország – igaznak minősül, ha az alhálózat spanyolországként vagy Franciaországként van azonosítva
- NE,Kanada,Mexikó – igaznak bizonyul, ha az ügyfél alhálózata nem Kanada és Mexikó alhálózata
Átviteli protokoll A lekérdezésben használt átviteli protokoll. Lehetséges bejegyzések: UDP és TCP - EQ,TCP
- EQ,UDP
Internetprotokoll A lekérdezésben használt hálózati protokoll. Lehetséges bejegyzések: IPv4 és IPv6 - EQ,IPv4
- EQ,IPv6
Kiszolgálói felület IP-címe A bejövő DNS-kiszolgáló hálózati adapterének IP-címe - EQ,10.0.0.1
- EQ,192.168.1.1
FQDN A lekérdezésben szereplő rekord teljes tartománya, és lehetőség van helyettesítő kártya használatára - EQ,www.contoso.com – csak akkor igaz, ha a lekérdezés a www.contoso.com teljes tartománynevet próbálja feloldani
- EQ,*.contoso.com,*.woodgrove.com – igaz lesz, ha a lekérdezés contoso.com VAGYwoodgrove.com végződésű rekordra vonatkozik
Lekérdezés típusa Lekérdezett rekord típusa (A, SRV, TXT) - EQ,TXT,SRV – igaz lesz, ha a lekérdezés TXT vagy SRV rekordot kér
- EQ,MX – igaz lesz, ha a lekérdezés MX rekordot kér
Nap időpontja A lekérdezés fogadásának időpontja - EQ,10:00-12:00,22:00-23:00 – igaz lesz, ha a lekérdezés 10:00 és dél között vagy 10:00 és 11:00 között érkezik

A fenti táblázatot kiindulási pontként használva, az alábbi táblázat egy olyan feltétel meghatározására használható, amely bármilyen típusú rekord lekérdezésének egyeztetésére alkalmas, kivéve az SRV-rekordokat a contoso.com tartományban, amikor a lekérdezés egy 10.0.0.0/24-es alhálózati ügyféltől érkezik TCP-n keresztül 20:00 és 22:00 óra között a 10.0.0.3-as interfészen keresztül.

Név Érték
Ügyfél-alhálózat EQ,10.0.0.0/24
Átviteli protokoll EQ,TCP
Kiszolgálói felület IP-címe EQ,10.0.0.3
FQDN EQ,*.contoso.com
Lekérdezés típusa NE,SRV
Nap időpontja EQ,20:00-22:00

Több, azonos szintű lekérdezésfeloldási szabályzatot is létrehozhat, ha a feldolgozási sorrendhez eltérő értékük van. Ha több szabályzat is elérhető, a DNS-kiszolgáló a következő módon dolgozza fel a bejövő lekérdezéseket:

DNS-szabályzatok feldolgozása

Rekurziós szabályzatok

A rekurziós szabályzatok a kiszolgálószintű szabályzatok speciális típusai . A rekurziós házirendek szabályozzák, hogy a DNS-kiszolgáló hogyan hajtja végre a rekurziót egy lekérdezéshez. A rekurziós szabályzatok csak akkor érvényesek, ha a lekérdezésfeldolgozás eléri a rekurziós útvonalat. A lekérdezések egy csoportjához a DENY vagy az IGNORE értéket is választhatja. Másik lehetőségként a lekérdezések halmazához is választhat továbbítókat.

Rekurziós szabályzatokkal implementálhatja a split-brain DNS-konfigurációt. Ebben a konfigurációban a DNS-kiszolgáló rekurziót hajt végre egy lekérdezés egy ügyfélcsoportja esetében, míg a DNS-kiszolgáló nem hajt végre rekurziót más ügyfelek számára a lekérdezéshez.

A rekurziós szabályzatok ugyanazokat az elemeket tartalmazzák, mint a hagyományos DNS-lekérdezésfeloldási szabályzatok, valamint az alábbi táblázatban szereplő elemeket:

Név Leírás
Alkalmazás rekurzióra Ez a házirend csak a rekurzióhoz használható.
Rekurziós hatókör A rekurziós hatókör neve.

Megjegyzés:

A rekurziós szabályzatok csak a kiszolgáló szintjén hozhatók létre.

Zónaátviteli szabályzatok

A zónaátviteli szabályzatok szabályozzák, hogy a DNS-kiszolgáló engedélyezi-e a zónaátvitelt. A zónaátviteli szabályzatokat a kiszolgáló vagy a zóna szintjén is létrehozhatja. A kiszolgálószintű szabályzatok a DNS-kiszolgálón előforduló összes zónaátviteli lekérdezésre érvényesek. A zónaszintű szabályzatok csak a DNS-kiszolgálón üzemeltetett zónák lekérdezéseire vonatkoznak. A zónaszintű szabályzatok leggyakoribb használata a letiltott vagy biztonságos listák implementálása.

Megjegyzés:

A zónaátviteli szabályzatok csak a DENY vagy a IGNORE parancsot használhatják műveletekként.

Az alábbi kiszolgálószintű zónaátviteli szabályzattal megtagadhatja a contoso.com tartomány zónaátvitelét egy adott alhálózatról:

Add-DnsServerZoneTransferPolicy -Name DenyTransferOfContosoToFabrikam -Zone contoso.com -Action DENY -ClientSubnet "EQ,192.168.1.0/24"

Több, azonos szintű zónaátviteli szabályzatot is létrehozhat, feltéve, hogy eltérő értékkel rendelkeznek a feldolgozási sorrendhez. Ha több szabályzat is elérhető, a DNS-kiszolgáló a következő módon dolgozza fel a bejövő lekérdezéseket:

DNS-folyamat több zónaátviteli szabályzathoz

DNS-szabályzatok kezelése

DNS-szabályzatokat a PowerShell használatával hozhat létre és kezelhet. Az alábbi példák különböző, DNS-szabályzatokkal konfigurálható mintaforgatókönyveket mutatnak be:

Forgalomkezelés

A teljes tartománynév alapján a forgalmat a DNS-ügyfél helyétől függően különböző kiszolgálókra irányíthatja. Az alábbi példa bemutatja, hogyan hozhat létre forgalomkezelési szabályzatokat, amelyek az ügyfeleket egy adott alhálózatról egy észak-amerikai adatközpontba, egy másik alhálózatról pedig egy európai adatközpontba irányítják.

Add-DnsServerClientSubnet -Name "NorthAmericaSubnet" -IPv4Subnet "172.21.33.0/24"
Add-DnsServerClientSubnet -Name "EuropeSubnet" -IPv4Subnet "172.17.44.0/24"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "NorthAmericaZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.17.97.97" -ZoneScope "EuropeZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.21.21.21" -ZoneScope "NorthAmericaZoneScope"
Add-DnsServerQueryResolutionPolicy -Name "NorthAmericaPolicy" -Action ALLOW -ClientSubnet "eq,NorthAmericaSubnet" -ZoneScope "NorthAmericaZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "EuropePolicy" -Action ALLOW -ClientSubnet "eq,EuropeSubnet" -ZoneScope "EuropeZoneScope,1" -ZoneName contoso.com

A szkript első két sora ügyfél-alhálózati objektumokat hoz létre Észak-Amerika és Európa számára. Az azt követő két sor létrehoz egy zónahatókört a contoso.com tartományon belül, egy-egy régióhoz. Az azt követő két sor minden zónában létrehoz egy rekordot, amely www.contoso.com társít különböző IP-címhez, egyet Európához, egy másikat Észak-Amerikához. Végül a szkript utolsó sorai létrehoznak két DNS-lekérdezésfeloldási szabályzatot, egyet az észak-amerikai alhálózatra, egy másikat az Európai alhálózatra.

Tartomány lekérdezéseinek letiltása

A DNS-lekérdezésfeloldási szabályzattal letilthatja a tartomány lekérdezését. Az alábbi példa az összes lekérdezést letiltja a treyresearch.net:

Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicy" -Action IGNORE -FQDN "EQ,*.treyresearch.com"

Lekérdezések letiltása alhálózatról

Egy adott alhálózatról érkező lekérdezéseket is letilthat. Az alábbi szkript létrehoz egy alhálózatot a 172.0.33.0/24-hez, majd létrehoz egy szabályzatot, amely figyelmen kívül hagyja az alhálózatból érkező összes lekérdezést:

Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24
Add-DnsServerQueryResolutionPolicy -Name "BlackholePolicyMalicious06" -Action IGNORE -ClientSubnet  "EQ,MaliciousSubnet06"

Rekurzió engedélyezése belső ügyfelek számára

A rekurziót dns-lekérdezésfeloldási szabályzattal szabályozhatja. Az alábbi minta használható a belső ügyfelek rekurziójának engedélyezésére, míg a külső ügyfelek esetében letiltható osztott agyi forgatókönyv esetén.

Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ServerInterfaceIP  "EQ,10.0.0.34"

A szkript első sora megváltoztatja az alapértelmezett rekurziós hatókört, amelyet egyszerűen a "pont" (.) néven jelölnek, a rekurzió letiltásához. A második sor létrehoz egy InternalClients nevű rekurziós hatókört, amelyen engedélyezve van a rekurzió. A harmadik sor pedig létrehoz egy szabályzatot, amely az újonnan létrehozott rekurziós hatókört alkalmazza a 10.0.0.34-es IP-címmel rendelkező kiszolgálói felületen érkező lekérdezésekre.

Kiszolgálószintű zónaátviteli szabályzat létrehozása

A zónaátvitelt részletesebb formában szabályozhatja a DNS-zónaátviteli szabályzatok használatával. Az alábbi mintaszkripttel zónaátviteleket engedélyezhet egy adott alhálózat bármely kiszolgálóján:

Add-DnsServerClientSubnet -Name "AllowedSubnet" -IPv4Subnet 172.21.33.0/24
Add-DnsServerZoneTransferPolicy -Name "NorthAmericaPolicy" -Action IGNORE -ClientSubnet "ne,AllowedSubnet"

A szkript első sora létrehoz egy AllowedSubnet nevű alhálózati objektumot a 172.21.33.0/24 IP-blokktal. A második sor létrehoz egy zónaátviteli szabályzatot, amely lehetővé teszi a zónaátvitelt a korábban létrehozott alhálózat bármely DNS-kiszolgálójára.

Zónaszintű zónaátviteli szabályzat létrehozása

Zónaszintű zónaátviteli szabályzatokat is létrehozhat. Az alábbi példa figyelmen kívül hagyja a 10.0.0.33 IP-címmel rendelkező kiszolgálói adapterről érkező contoso.com zónaátviteli kéréseit:

Add-DnsServerZoneTransferPolicy -Name "InternalTransfers" -Action IGNORE -ServerInterfaceIP "eq,10.0.0.33" -PassThru -ZoneName "contoso.com"

DNS-szabályzatforgatókönyvek

A DNS-szabályzat adott forgatókönyvekhez való használatáról az útmutató alábbi témaköreiből tájékozódhat.

DNS-szabályzat használata Read-Only tartományvezérlőkön

A DNS-szabályzat kompatibilis Read-Only tartományvezérlőkkel. Vegye figyelembe, hogy az új DNS-szabályzatok Read-Only tartományvezérlőkre való betöltéséhez a DNS-kiszolgáló szolgáltatás újraindítására van szükség. Írható tartományvezérlők esetén ez nem szükséges.