Внедрение политики DNS.
- 10 мин
Вы создаете политики DNS на основе уровня и типа. Политики разрешения запросов можно использовать для определения способа управления запросами разрешения имен клиентов и использования политик переноса зоны для определения зонных передач.
Совет
Вы можете применять оба типа политик на уровне сервера или зоны.
Можно создать несколько политик разрешения запросов на одном уровне, если они имеют разное значение для порядка обработки. Политики рекурсии — это особый тип политики уровня сервера. Они контролируют, как DNS-сервер выполняет рекурсию запросов, если он вообще это делает. Политики рекурсии применяются только в том случае, если обработка запросов достигает пути рекурсии. Можно выбрать значение DENY или IGNORE для рекурсии для заданного набора запросов. В противном случае можно выбрать набор серверов пересылки для набора запросов.
Создание политик DNS и управление ими
Ниже приведены общие действия по разрешению записи узла для тех или иных пользователей из определенного диапазона IP-адресов.
- Создайте подсеть клиента DNS-сервера для диапазона IP-адресов.
- Создайте область зоны DNS-сервера для зоны, содержащей запись узла.
- Добавляет запись узла в зону, относящуюся к области зоны.
- Добавьте политику разрешения запросов DNS-сервера, которая позволяет подсети клиента DNS-сервера запрашивать область зоны для той или иной зоны.
Ниже приведен пример действий, используемых для настройки политики DNS с помощью Windows PowerShell.
# Create the required subnets
Add-DnsServerClientSubnet -Name "LondonSubnet" -IPv4Subnet "172.16.18.0/24"
Add-DnsServerClientSubnet -Name "SeattleSubnet" -IPv4Subnet "172.16.10.0/24"
# Create the DNS server zone scopes
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "LondonZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "SeattleZoneScope"
# Add the required host records
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.10.41" -ZoneScope "SeattleZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.18.17" -ZoneScope "LondonZoneScope"
# Create the DNS server query resolution policies
Add-DnsServerQueryResolutionPolicy -Name "LondonPolicy" -Action ALLOW -ClientSubnet "eq,LondonSubnet" -ZoneScope "LondonZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "SeattlePolicy" -Action ALLOW -ClientSubnet "eq,SeattleSubnet" -ZoneScope "SeattleZoneScope,1" -ZoneName "Contoso.com"
Демонстрация
В следующем видео показано, как реализовать политики DNS с помощью Windows PowerShell. Основные этапы процесса следующие.
- Откройте диспетчер сервера и консоль DNS.
- Создайте новую запись псевдонима для существующего сервера в зоне Contoso.com.
- Переключитесь на клиентский компьютер и убедитесь, что IP-адрес возвращается при тестировании псевдонима с помощью NSLookup.
- На сервере откройте окно Windows PowerShell с повышенными привилегиями.
- Выполните команду
$s = New-PSSession –ComputerName <target server>, а затемEnter-PSSession $s, чтобы подключиться к службе<target server>с помощью удаленного взаимодействия PowerShell. - Создайте необходимые подсети, выполнив
Add-DnsServerClientSubnetcmdlet. - Создайте области зоны DNS-сервера, выполнив
Add-DnsServerZoneScopecmdlet. - Добавьте необходимые записи узла, выполнив
Add-DnsServerResourceRecordcmdlet. - Создайте политики разрешения запросов DNS-сервера, выполнив
Add-DnsServerQueryResolutionPolicycmdlet. - Вернитесь к клиенту, очистите кэш сопоставителя, а затем проверьте разрешение имени для
www.Contoso.comзаписи.