The Cable Guy
La tabella dei criteri per la risoluzione dei nomi
Joseph Davies
Configurazione host per le query di nomi (DNS) Domain Name System consiste in genere di specificare uno o più indirizzi IPv4 o IPv6 dei server DNS che le query sulle interfacce di rete del servizio. Questa configurazione viene in genere eseguita automaticamente per i computer che eseguono Windows Vista o Windows Server 2008 tramite l'utilizzo del DHCP (Dynamic Host Configuration Protocol) o DHCP per IPv6 (DHCPv6). Per i computer che eseguono Windows Vista o Windows Server 2008, tutte le query del nome DNS per l'intero spazio dei nomi DNS, visitare il server DNS configurati tramite le interfacce di rete, pertanto note come server DNS interfaccia configurata.
Alcune tecnologie richiedono una gestione speciale per le query di nomi delle parti specifiche di spazio dei nomi DNS. Se il nome DNS corrisponde a porzioni dello spazio dei nomi specificati, applicare la gestione speciale. Se il nome DNS non corrisponde a parti specificate dello spazio dei nomi, eseguire una query DNS normale con i server DNS di interfaccia configurata. Per soddisfare questa esigenza, Windows 7 e Windows Server 2008 R2 includono NRPT (Name Resolution criteri Table).
Il NRPT contiene regole configurate dall'amministratore per i nomi o gli spazi dei nomi e le impostazioni per la gestione speciale richiesta. Quando si esegue un DNS la risoluzione dei nomi, il servizio DNS client confronta il nome richiesto da ogni regola di NRPT prima di inviare una query di nomi DNS. Le query e le risposte che corrispondono a una regola NRPT ottengono la gestione speciale specificata applicata. Le query e le risposte che non corrispondono a una regola NRPT elaborate normalmente, ovvero il servizio DNS client invia query nomi ai server DNS di interfaccia configurata.
In Windows 7 e Windows Server 2008 R2 DirectAccess e DNSSEC (DNS Security Extensions) richiedono una gestione speciale per le query relative ai nomi DNS. Quando in Internet, i client DirectAccess inviare query DNS per le risorse di rete intranet per il server DNS specificati nel NRPT. Durante la risoluzione di nomi specifici o nomi di spazi dei nomi specifici, in genere risorse della rete intranet ad alto valore e protetta, il servizio DNS client possibile utilizzare DNSSEC per assicurarsi che il nome risolto è stato verificato dal server DNS.
Configurazione di NRPT
È possibile configurare il NRPT con criteri di gruppo tramite il Registro di sistema di Windows (HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig) oppure, per le regole di DirectAccess, utilizzando la procedura guidata DirectAccess Setup. Non sono presenti interfacce della riga di comando per la configurazione di NRPT. Per le regole di DNSSEC, criteri di gruppo è il metodo preferito di configurazione. Per le regole di DirectAccess, DirectAccess installazione guidata è il metodo preferito di configurazione.
Per configurare NRPT tramite Criteri di gruppo, utilizzare il componente aggiuntivo di criteri di gruppo al criterio Computer Configuration\Policies\Windows Settings\Name risoluzione per l'oggetto Criteri di gruppo appropriato. Nella Figura 1 viene illustrato un esempio.
Figura 1 NRPT in Criteri di gruppo
Da questo componente aggiuntivo di criteri di gruppo, è possibile creare una nuova regola NRPT e modificare o eliminare le regole esistenti. Per ciascuna regola, è necessario specificare la parte dello spazio dei nomi a cui viene applicato, se gestione speciale per la regola è associata a un'autorità di certificazione specifica, che la regola sia per DNSSEC e le relative impostazioni associate e che la regola sia per DirectAccess e le relative impostazioni associate. Sono inoltre disponibili le impostazioni globali avanzate applicabili a tutti i client DNS basato su Windows Server 2008 R2 e Windows 7.
Quando si specifica lo spazio dei nomi a cui viene applicata la regola, è possibile selezionare Suffisso, FQDN, Subnet (IPv4), Subnet (IPv6), Prefisso, or Qualsiasi. Per specificare i nomi DNS che terminano con una specifica stringa composto da più parti, selezionare Suffisso e digitare il suffisso del nome. Ad esempio, per tutti i nomi DNS che terminano in contoso.com, selezionare Suffisso and type Contoso.com. Per specificare i nomi DNS che iniziano con una specifica stringa di una sola parte, selezionare Prefisso e digitare il prefisso del nome. Ad esempio, per tutti i nomi DNS che iniziano con “ secsvr ”, selezionare Prefisso and type secsvr.
Per specificare tutti i nomi DNS, selezionare Qualsiasi. Una regola basata su DirectAccess NRPT per Qualsiasi utilizzato solo se Computer Configuration\Policies\Administrative amministrativi\Rete\Connessioni Connections\Route tutto il traffico attraverso la rete interna Impostazione dei criteri di gruppo è attivato per il tunneling DirectAccess force. Se un nome corrisponde a più regole, viene applicata la regola con priorità più alta e l'ordine di precedenza è completo, prefisso, suffisso e quindi qualsiasi.
Per specificare i nomi DNS per la risoluzione inversa per una subnet IPv4, selezionare Subnet (IPv4) e il prefisso di subnet di tipo IPv4 utilizza la notazione della lunghezza del prefisso di rete. Ad esempio, per tutti i nomi DNS che terminano con 17.168.192.in-addr.arpa, selezionare Subnet (IPv4) and type 192.168.17.0/24. Per specificare i nomi DNS per la risoluzione inversa per una subnet IPv6, selezionare Subnet (IPv6) e digitare il prefisso di subnet IPv6. Ad esempio, per tutti i nomi DNS che terminano con 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa, selezionare Subnet (IPv6) and type 2001:DB8:0:1:: / 64.
Quando si attiva DNSSEC per una regola, è possibile specificare se il servizio DNS client deve garantire che il nome richiesto risposta viene verificata dal server DNS e se si desidera utilizzare Internet Protocol security (IPsec) per proteggere gli scambi di query del nome DNS. Per la protezione IPsec, è possibile specificare Nessuna crittografia (solo integrità), Basso: 3DES, AES (128, 192 e 256) Medio: AES (128, 192 e 256) e Elevata: AES (192, 256). È Data Encryption Standard DES e AES è di Advanced Encryption Standard.
Quando si attiva DirectAccess per una regola, è possibile specificare gli indirizzi IPv6 del set di server DNS intranet per la risoluzione dei nomi per i client DirectAccess quando si trovano su Internet; se si desidera utilizzare un proxy Web; e se si desidera utilizzare IPsec per proteggere gli scambi di query del nome DNS. È possibile specificare lo stesso insieme di opzioni per la protezione IPsec.
È possibile visualizzare il set di regole NRPT configurato su un computer che esegue Windows 7 o Windows Server 2008 R2 con netsh dello spazio dei nomi Mostra criteri comando. È possibile visualizzare il set di regole NRPT con attivonetsh dello spazio dei nomi Mostra effectivepolicy comando.
Impostazioni di criteri globali avanzate
Quando si fa clic su Impostazioni di criteri globali avanzate, il componente aggiuntivo di criteri di gruppo NRPT Visualizza il valore predefinito Configurare le impostazioni di criteri globali avanzate nella finestra di dialogo. Nella Figura 2 viene illustrato un esempio.
Nella figura 2 La configurazione globale criteri la finestra di dialogo Impostazioni avanzate
In Dipendenze del percorso di rete, è possibile configurare DirectAccess ai client di utilizzare il rilevamento rete posizione intranet e server per determinare quando sono connessi alla rete Intranet; utilizzare sempre le regole di base DirectAccess NRPT o non utilizzare mai le regole basate su DirectAccess NRPT.
In Errore di query, è possibile attivare le opzioni di errore di query e quindi specificare se utilizzare la risoluzione dei nomi locale (Link Local Multicast Name Resolution [LLMNR] e broadcast NetBIOS) solo se il nome DNS di risposta indica che il nome non esiste, mentre per utilizzare la risoluzione dei nomi locale se il nome non esiste o il servizio DNS sono irraggiungibili quando si trovano in una rete con indirizzi privati IPv4; o utilizzare la risoluzione dei nomi locali per qualsiasi tipo di errore o errore di risoluzione del nome di server.
In Risoluzione di query, è possibile attivare la query di risoluzione delle opzioni e per la risoluzione dei nomi in indirizzi per specificare o risolvere i nomi in indirizzi IPv6 e IPv4.
È possibile utilizzare netsh dns show state consente di visualizzare la configurazione corrente di queste impostazioni.
Esenzioni NRPT
Per ridurre al minimo il numero di regole NRPT, che si desidera specificare gli spazi dei nomi che includono la maggior parte dello spazio dei nomi pertinente possibili. Tuttavia, potrebbe essere necessario specificare che i singoli nomi o gli spazi dei nomi all'interno di tali spazi dei nomi da esentare da una gestione speciale. In questi casi, è necessario configurare un'esenzione NRPT. Ad esempio, si desidera utilizzare DNSSEC per tutti i nomi DNS interno dello spazio dei nomi secure.corp.contoso.com, fatta eccezione per waystation.secure.corp.contoso.com il nome DNS.
Un'esenzione NRPT è una regola non specifica una gestione speciale. Per DNSSEC, la regola consente di DNSSEC ma non richiede la convalida o la protezione IPsec. Per DirectAccess, la regola consente DirectAccess ma non specifica un insieme di server DNS intranet, un proxy Web o di protezione IPsec. I nomi DNS per le regole di esenzione NRPT vengono elaborati mediante i server DNS di interfaccia configurata.
Un esempio di un'esenzione NRPT richiesto è la regola FQDN per il server percorso di rete DirectAccess DirectAccess client utilizzano per determinare se sono connesse alla rete intranet. Per inviare query relative ai nomi DNS a server intranet, NRPT per i client DirectAccess dispone di un suffisso regole per lo spazio dei nomi della rete intranet, ovvero corp.contoso.com—with IPv6, ad esempio, gli indirizzi dei server DNS di rete intranet. Server posizione di rete è in genere all'interno dello stesso spazio dei nomi, ad esempio nls.corp.contoso.com. A seconda dell'infrastruttura IPv6, i server DNS intranet potrebbero non essere raggiungibili a determinati indirizzi IPv6, tuttavia, sono raggiungibili utilizzando gli indirizzi IPv4 interfaccia configurata.
Senza una regola di esenzione DirectAccess client connesso a tentativi intranet per risolvere il nome del server di rete posizione su IPv6. Poiché i server DNS intranet non sono raggiungibili, il client DirectAccess non è in grado di raggiungere il server di posizione di rete e determina che è su Internet anziché della rete intranet. In questo stato, il client DirectAccess non è in grado di raggiungere le risorse intranet per nome. Di conseguenza, una regola di esenzione per il server di posizione di rete (nls.corp.contoso.com) deve essere presente, in modo che possa concludersi correttamente rilevamento della rete intranet. DirectAccess installazione guidata crea automaticamente le regole NRPT per lo spazio dei nomi di rete intranet e l'esenzione per il server di posizione di rete.
Come funziona il NRPT
Ecco come funziona il processo di risoluzione dei nomi per Windows 7 e Windows Server 2008 R2:
- Un'applicazione utilizza l'API DnsQuery() GetAddrInfo() o GetHostByName() Windows Sockets API per risolvere un nome. Se il nome è un nome semplice, il servizio DNS client crea un FQDN utilizzando suffissi DNS configurati.
- Il servizio DNS client controlla la cache del resolver DNS per FQDN, che contiene le voci nel file Hosts e i risultati delle query nome positivi e negativi recenti. Se viene trovata una voce, viene utilizzato il risultato e si verifica alcuna ulteriore elaborazione.
- Il servizio DNS client passa il FQDN tramite NRPT per determinare le regole in cui il nome FQDN corrisponde lo spazio dei nomi della regola.
- Se il nome FQDN non corrisponde a tutte le regole o corrisponde a una singola regola è una regola di esenzione, il servizio DNS client tenta di risolvere il FQDN utilizzando i server DNS di interfaccia configurata.
- Se il nome FQDN corrisponde a una singola regola non è una regola di esenzione, il servizio DNS client viene applicata la gestione speciale specificata.
- Se il nome FQDN corrisponde a più regole, i servizi DNS client consente di ordinare le regole di corrispondenza per la precedenza, ovvero nell'ordine: FQDN, prefisso corrispondente più lunga, più lunga corrispondente suffisso [inclusi subnet IPv4 e IPv6], qualsiasi, ovvero per determinare la regola che maggiormente corrisponde al nome di dominio completo.
- Dopo aver stabilito la regola di corrispondenza più simile, il servizio DNS client viene applicata la gestione speciale specificata.
Riepilogo
NRPT in Windows 7 e Windows Server 2008 R2 consentono di specificare la gestione speciale per le query relative ai nomi DNS necessari per DNSSEC e DirectAccess sotto forma di regole, con la possibilità di specificare gli spazi dei nomi, i prefissi, FQDN ed esenzioni.
Approfondimento: Esempio NRPT Rules for DirectAccess
Contoso Corporation DNS dello spazio dei nomi contoso.com viene utilizzato per i nomi Internet DNS e per i nomi DNS intranet corp.contoso.com. Rete posizione server uniform resource locator (URL) è https://nls.corp.contoso.com e il server DirectAccess è stato configurato con l'indirizzo IPv4 10.0.0.1 sulla relativa interfaccia intranet del server DNS. In base a questa configurazione, DirectAccess installazione guidata consente di creare due regole NRPT abilitate per DirectAccess:
- Una regola per il suffisso corp.contoso.com per inviare le query DNS per l'indirizzo IPv6 2002:836b:2:1:0:5efe:10.0.0.1. Si tratta di un indirizzo IPv6 derivato dall'indirizzo IPv4 pubblico del server DirectAccess e l'indirizzo IPv4 del server DNS.
- Una regola di esenzione nls.corp.contoso.com.
Di seguito è riportato un esempio delle modalità di visualizzazione di queste regole in un client DirectAccess con netsh dello spazio dei nomi Mostra criteri comando:
DNS Name Resolution criteri tabella SettingsSettings per nls.corp.contoso.com----------------------------------------------------------------------autorità di certificazione: DC = com, DC = contoso, DC = corp, CN = DC1 corp CADNSSEC (convalida): disabledDNSSEC (IPsec): disabledDirectAccess (server DNS): DirectAccess (IPsec): disabledDirectAccess (impostazioni proxy): Ignorare proxySettings per. corp.contoso.com----------------------------------------------------------------------autorità di certificazione: DC = com, DC = contoso, DC = corp, CN = DC1 corp CADNSSEC (convalida): disabledDNSSEC (IPsec): disabledDirectAccess (server DNS): 2002:836b:2:1:0:5efe:10.0.0.1DirectAccess (IPsec) : disabledDirectAccess (impostazioni proxy): Ignorare il proxy
Joseph Davies is un writer tecnica principale sulla connessione di rete Windows durante la scrittura del team di Microsoft. È autore e coautore di numerosi libri pubblicati da Microsoft Press, tra cui NAP (Network Access Protection) e di rete di Windows Server 2008*,* Informazioni su IPv6, Second Edition*, e* Windows Server 2008 TCP/IP Protocols and Services*.*