Поделиться через


Перенаправление DNS

Сервер пересылки — это DNS-сервер в сети, используемой для пересылки ЗАПРОСОВ DNS для внешних DNS-имен на DNS-серверы за пределами этой сети. Вы также можете пересылать запросы в соответствии с определенными доменными именами с помощью условных пересылок. Узнайте о перенаправлении DNS в этой статье, включая делегирование, условные пересылки и разрешение имен интрасети в Windows Server.

Пересылка

DNS-сервер в сети назначается сервером пересылки, если другие DNS-серверы перенаправляют на него запросы, которые они не могут разрешить локально. Используя средство пересылки, вы можете управлять разрешением имен для имен за пределами сети, такими как имена в Интернете, и повысить эффективность разрешения имен для компьютеров в сети.

На следующем рисунке показано, как направляются запросы внешних имен с помощью пересылателей.

Схема, показывающая поток DNS-запросов с внутренних DNS-серверов на внешние DNS-серверы через сервер пересылки.

Если вы не задаете конкретный DNS-сервер в качестве сервера пересылки, DNS-серверы используют корневые подсказки для отправки запросов за пределы сети. Эта конфигурация может предоставлять внутренние сведения DNS в Интернете, что приводит к рискам безопасности и конфиденциальности. Он также может создавать много внешнего трафика, который неэффективн для сетей с медленными интернет-подключениями или дорогими для компаний с высокими затратами в Интернете.

При назначении DNS-сервера в качестве сервера пересылки вы делаете этот сервер пересылки ответственным за обработку внешнего трафика, ограничивая воздействие DNS-сервера в Интернет. Средство пересылки создает большой кэш внешних DNS-данных, так как все внешние запросы DNS в сети разрешаются через него. В течение короткого времени средство пересылки разрешает большинство внешних DNS-запросов с помощью кэшированных данных. Это означает снижение интернет-трафика по сети и времени отклика для DNS-клиентов.

Поведение

DNS-сервер, настроенный для использования сервера пересылки, работает по-разному от DNS-сервера, который не настроен на использование сервера пересылки. DNS-сервер, настроенный для использования сервера пересылки, ведет себя следующим образом:

  1. Когда DNS-сервер получает запрос, он пытается устранить этот запрос с помощью основных и вторичных зон, на которые он размещается, и кэша.

  2. Если запрос не может быть разрешен с помощью этих локальных данных, он перенаправит запрос на DNS-сервер, назначенный в качестве сервера пересылки.

  3. DNS-сервер ожидает краткого ответа от сервера пересылки, прежде чем пытаться связаться с DNS-серверами, указанными в его корневых подсказках.

Когда DNS-сервер перенаправит запрос на сервер пересылки, он отправляет рекурсивный запрос на сервер пересылки. Этот тип запроса отличается от итеративного запроса, который DNS-сервер отправляет на другой DNS-сервер во время стандартного разрешения имен. Это означает, что разрешение имен, которое не включает средство пересылки.

Последовательность пересылки

DNS-сервер использует сервер пересылки в зависимости от порядка, в котором IP-адреса перечислены на DNS-сервере. После того как DNS-сервер перенаправит запрос на сервер пересылки с первым IP-адресом, он ожидает короткий период ответа от этого сервера пересылки (в соответствии с параметром времени ожидания DNS-сервера) перед возобновлением операции пересылки с помощью следующего IP-адреса. Он продолжает этот процесс до тех пор, пока он не получит утвердительный ответ от переадресатора.

Сервер пересылки, который использует DNS-сервер, зависит от конфигурации сервера. По умолчанию функция переупорядочения динамического перенаправления включена, если значение по умолчанию хранится, DNS-сервер использует следующий список переадресаторов:

  1. DNS-сервер позволяет администраторам создавать серверы пересылки в предпочтительном порядке.

  2. Поддерживается динамический список пересылщиков. Динамический список переупорядочен в зависимости от времени отклика. Но список также получает сброс в настроенный порядок примерно каждые 15 минут.

  3. Для каждого запроса переадресаторы выбираются так, как они отображаются в динамическом списке.

  4. Если время отклика больше 1 секунды, считается медленным ответом. Каждому пересылателю разрешается два последовательных медленных ответа, после третьего медленного ответа он перемещается в конец динамического списка.

  5. Если все серверы в списке не отвечают, DNS не может узнать, находится ли сервер в автономном режиме или медленно. Мониторинг доступности каждого DNS-сервера должен быть выполнен за пределами системы.

Подсказка

Начиная с Windows Server 2022, если ни один пересылатель из списка пересылателей не отвечает, DNS-сервер использует только первый в динамическом списке до перезапуска службы DNS-сервера.

Пересылка и делегирование

DNS-сервер, настроенный с пересылкой и хостингом родительской зоны, использует сведения о делегировании перед пересылкой запросов. Если для имени DNS в запросе нет записи делегирования, DNS-сервер использует свои пересылщики для разрешения запроса.

Серверы пересылки и корневые серверы

Чтобы DNS-сервер правильно выполнял рекурсию, сначала требуется некоторая полезная контактная информация о других DNS-серверах в пространстве доменных имен DNS. Эти сведения предоставляются в виде корневых подсказок. Корневые подсказки — это список предварительных записей ресурсов, которые служба DNS использует для поиска других DNS-серверов, которые являются доверенными для корневого дерева пространства доменных имен DNS. Корневые серверы являются доверенными для корневых доменов и доменов верхнего уровня в дереве пространства имен DNS.

Используя корневые подсказки для поиска корневых серверов, DNS-сервер может завершить использование рекурсии. В теории этот процесс позволяет любому DNS-серверу находить серверы, которые являются доверенными для любого другого доменного имени DNS, используемого на любом уровне в дереве пространства имен.

Корневые серверы не могут быть настроены с использованием стандартного метода пересылки. Если корневой сервер запрашивается о любом доменном имени, он отвечает одним из двух способов. Он либо ссылается на DNS-сервер, который может ответить на вопрос (из своих локальных зон, кэша), либо он отвечает сбоем. Ответ при сбое отображается в виде ответа NXDOMAIN. Не удается настроить перенаправление на определенные серверы. Распространенная ошибка при настройке пересылки заключается в попытке настроить пересылку на корневых серверах частного пространства имен DNS.

Корневой сервер можно настроить с помощью условного пересылателя. Условное перенаправление можно использовать для пересылки запросов между корневыми серверами в отдельных пространствах имен DNS, хотя DNS-серверы для доменов верхнего уровня в пространстве имен лучше подходят для этого метода разрешения.

Условные пересылки

Условный сервер пересылки — это DNS-сервер в сети, которая используется для пересылки DNS-запросов в соответствии с dns-именем домена в запросе. Например, DNS-сервер можно настроить так, чтобы он пересылал все запросы, которые получает для имен, оканчивающихся на north.contoso.com, на IP-адрес одного DNS-сервера или на IP-адреса нескольких DNS-серверов.

Разрешение имен интрасети

Условный сервер пересылки можно использовать для улучшения разрешения имен для доменов в интрасети. Разрешение имен интрасети можно улучшить, настроив DNS-серверы для пересылки определённых доменных имен внутри сети. Например, все DNS-серверы в домене north.contoso.com можно настроить для пересылки запросов на имена, которые заканчиваются south.contoso.com, на авторитетные DNS-серверы для south.contoso.com, исключая шаг запроса корневых серверов .contoso.com, или исключая шаг настройки DNS-серверов в зоне north.contoso.com с вторичными зонами для south.contoso.com.

Разрешение имен Интернета

DNS-серверы могут использовать условные пересылатели для разрешения запросов между доменными именами DNS компаний, обменивающихся информацией. Например, две компании, Contoso и Tailspin Toys, хотят улучшить то, как DNS-клиенты Contoso разрешают имена серверов Tailspin Toys. Администраторы из Tailspin Toys сообщают администраторам Contoso о наборе DNS-серверов в сети Tailspin Toys, где Contoso может отправлять запросы к домену outdoor.tailspintoys.com. DNS-серверы в сети Contoso настроены для пересылки всех запросов к именам, заканчивающимися outdoor.tailspintoys.com на назначенные DNS-серверы в сети для Tailspin Toys. Таким образом, DNS-серверы в сети Contoso не должны запрашивать внутренние корневые серверы или корневые серверы Интернета для разрешения запросов на имена, заканчивающиеся outdoor.tailspintoys.com.