Windows Server 2019

Умовна роздільна здатність назв DNS у переадресації умов DNS Windows Server, Політика DNS

Умовна роздільна здатність назв DNS у переадресації умов DNS Windows Server, Політика DNS

У цій статті ми розглянемо два способи організації умовної роздільної здатності імен у сервері DNS на Windows Server 2016: DNS умовна переадресація і Політика DNS. Ці технології дозволяють налаштувати умовну роздільну здатність імен DNS залежно від запитуваного імені, IP -адреси та розташування клієнта, час доби тощо.D.

Зміст:

Умовна доставка DNS (умовна переадресація) Дозволяє перенаправити запити DNS для певного домену на певний сервер DNS. Як правило, експедитори умови використовуються, коли вам потрібно налаштувати швидку роздільну здатність імен між кількома внутрішніми приватними доменами, або ви не хочете, щоб запити DNS від вашого сервера надсилалися через публічний Інтернет Інтернету. У цьому випадку ви можете створити на сервері DNS Правило DNS, що доставляють запити DNS для певної зони домену (лише !!!) для певного DNS -сервера.

Налаштування експедитора DNS у Windows Server

Давайте спробуємо налаштувати умовне перенаправлення запитів DNS для певної доменної зони на Windows Server 2016. Наприклад, я хочу всі запити DNS до зони корпусу.Winitpro.RU надісланий на DNS Server 10.один.10.одинадцять.

  1. Запустіть консоль управління DNS ( Dnsmgmt.MSC );
  2. Розгорніть свій DNS -сервер, правда -Клацніть на розділі Передові умови І вибрати Новий експедитор стану;
  3. В полі DNS домен Вкажіть назву FQDN домену, для якого потрібно увімкнути умовну доставку;
  4. В полі IP -адреси головних серверів Вкажіть IP -адресу сервера DNS, на який потрібно надіслати всі запити на вказаний простір імен;
  5. Якщо ви хочете зберегти правило умовної переадресації не лише на цьому сервері DNS, ви можете інтегрувати його в AD. Виберіть опцію "Зберігайте цю умову експедитора в Active Directory";
  6. Виберіть правило переадресації умови (Усі сервери DNS в цьому лісі, Усі сервери DNS у цьому домені або Усі контролери домену в цьому домені).

Налаштування переадресації DNS за допомогою PowerShell

Ви можете створити правило умови вперед для певної зони DNS за допомогою PowerShell. Використовуйте командира Add-dnsserverConditionalforderzone:

Додати -dnsserverconditionalforderzone -name dmz.Winitpro.Ru -masterservers 192.168.1.11192.168.101.11 -Приплікаційний ліс

Детальніше про контроль DNS від PowerShell.

Щоб відобразити список експедиторів DNS на певному сервері, дотримуйтесь наступного сценарію PowerShell:

$ Dnsserver = "DC01"
$ Зони = get -wmiobject -computer $ dnsserver -namespace "root \ microsoftdns" -class "microsoftdns_zone"
$ Зони | Виберіть -Object Name, Masterservers, Dsintegrated, Zonetype | Що $ _.Zonetype -eq "4" | Ft -autosize

Фільтрування DNS, Політика роздільної здатності імен у Windows Server 2016

У службі DNS -сервера з’явилася нова функція Windows Server 2016 - Політики DNS. Політики DNS дозволяють налаштувати сервер DNS, щоб він повертав різні відповіді на DNS, залежно від місця розташування клієнта (з якої надійшла IP -адреса або підмережа), інтерфейс сервера DNS, час доби, наприклад, запитуваний запис (a, cname, ptr, mx) та t.D. Політики DNS у Windows Server 2016 дозволяють реалізувати сценарії балансування навантаження, фільтрацію DNS, повернення записів DNS залежно від геолокації (IP -адреси клієнта) та багатьох інших складних сценаріїв.

Ви можете створити політику як на рівні сервера DNS, так і на рівні всієї зони. Встановлення політики DNS у Windows Server 2016 можливе лише з командного рядка PowerShell.

Давайте спробуємо створити просту політику, яка дозволяє повернути іншу відповідь на запит DNS залежно від геолокації клієнта. Припустимо, ви хочете, щоб клієнти в кожному офісі використовували власний проксі на сайті. Ви створили політику призначення проксі в домені (проксі буде вказано на всіх клієнтів.Winitpro.RU). Але клієнт з кожного офісу повинен вирішити цю адресу різними способами використання свого локального проксі -сервера для доступу.

Я створив 3 підмережі для різних офісів компанії:

Add -dnsserverclientsubnet -name "msk_dns_subnet" -ipv4subnet "192.168.1.0/24 "
Add -dnsserverclientsubnet -name "ekb_dns_subnet" -ipv4subnet "192.168.одинадцять.0/24 "
Add -dnsserverclientsubnet -name "spb_dns_subnet" -ipv4subnet "192.168.21.0/24 "

Ці команди повинні бути виконані на всіх серверах DNS, на яких повинна працювати умовна політика DNS. Ці записи не повторюються в DNS та зберігаються локально в реєстрі сервера DNS. Ви можете вказати ім'я сервера за допомогою параметра -Комп'ютерний ім’я DC01 .

Щоб відобразити список усіх підмереж клієнтів IP, дотримуйтесь:

Get-dnsserverclientsubnet

Тепер вам потрібно створити окрему зону DNS для кожного офісу:

Додати -dnsserverzonescope -zonename ”winitpro.ru "-name" mskzonescope "
Додати -dnsserverzonescope -zonename ”winitpro.ru "-name" ekbzonescope "
Додати -dnsserverzonescope -zonename ”winitpro.ru "-name" spbzonescope "

Наступні команди додадуть 3 записи DNS з одним іменем, але вказують на різні IP -адреси в різних областях DNS:

Додати -dnsserverresoursourcecorecord -zoneName ”Winitpro.ru ”-a -name" проксі "-ipv4Address" 192.168.1.10 "-zonescope" mskzonescope "
Додати -dnsserverresoursourcecorecord -zoneName ”Winitpro.ru ”-a -name" проксі "-ipv4Address" 192.168.одинадцять.10 "-zonescope" ekbzonescope "
Додати -dnsserverresoursourcecorecord -zoneName ”Winitpro.ru ”-a -name" проксі "-ipv4Address" 192.168.21.10 "-zonescope" spbzonescope "

Ви можете відображати всі записи DNS ресурсів для регіону за допомогою команди:

Get -dnsserversorcorcerecord -zonename ”” winitpro.ru "-zonescope spbzonescope

Тепер вам потрібно створити політиків DNS, які з'єднуватимуть підмереж IP, DNS та запис.

Додати -dnsserverververversolutionPolicy -Name "MSKResolutionPolity" -Дозволити -Clentsubnet "EQ, MSK_DNS_SUBNET" -ZONESCOPE "1" -ZONENAME "WINITPRO.ru ”-passthru
Додати -dnsserverver urricencencepolicy -name "ekbresolutionpolcy" -action Daily -Clientsubnet "EQ, EKB_DNS_SUBNET" -ZONESCOPE "EKBZONESCOPE, 1" -ZONENAME "WINITPRO.ru ”-passthru
Додати -dnsserverver urricencencepolicy -name "spbrysolutionpolcy" -action daily -clientsubnet "EQ, spb_dns_subnet" -zonescope "spbzonescope, 1" -zonename "winitpro.ru ”-passthru

У політиках DNS доступні такі дії:

Ви можете використовувати такі параметри у фільтрі DNS:

-Інтернетпротокол "EQ, IPv4, NE, IPv6"
-TransportProtocol "EQ, UDP, TCP"
-ServerInterfaceIP "EQ, 192.168.1.21 "
-Qtype "EQ, A, AAAA, NE, PTR"
-Час-день "EQ, 9: 00-18: 00"

Відобразити список усіх політиків DNS для зон DNS на сервері може бути таким:

Get -dnsserverrereresolutionpolite -zonename winitpro.ru

Тепер, від пристроїв з різних офісів, перевірте, чи DNS -сервер на той самий запит повертає різні IP -адреси проксі:

Проксі -сервер NSlookup.Winitpro.ru

Ви можете заборонити сервер DNS повернути адреси DNS для певного простору імен (домен):

Додати -dnsserverreresolutionpolicy -name 'blockfidingpolicy' -action igrore -fqdn "eq,*.Cberbank.ru "

Браузери Як замінити Flash Player після його вимкнення
Як замінити Flash Player після його вимкнення
Ми говоримо про те, для чого ви можете змінити Flash Player. Як грати без флешєра в класичних браузерних іграх? Як відтворювати відео на сайтах, де ва...
Програми FALCONX - TULA для центральних значків панелі завдань у Windows 10
FALCONX - TULA для центральних значків панелі завдань у Windows 10
Якщо ви вірите чуткам, у легкій версії Windows 10, оголошення про яку має відбуватися в найближчі місяці, значки панелі завдань будуть розміщені в цен...
Ігор Вихід метро - в пошуках оазису серед пустелі
Вихід метро - в пошуках оазису серед пустелі
Успіх Дмитра Глуховського, автора горезвісних книг серіалу "Метро", Це багато в чому пов’язано з незвичайною популярністю апокаліптичних та пост -апок...