DNS-сервер можно назначить как сервер пересылки путем настройки других DNS-серверов в сети на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в Интернете, и увеличивать эффективность разрешения имен для компьютеров в сети. Дополнительные сведения об использовании серверов пересылки и условной пересылки см. в разделе Использование серверов пересылки.
На следующем рисунке показано, как отправляются запросы внешних имен с помощью серверов пересылки.
При назначении DNS-сервера в качестве сервера пересылки он становится ответственным за обработку внешнего трафика, что ограничивает его доступность из Интернета. Сервер пересылки создает большой кэш, где хранятся сведения о внешних DNS, так как все внешние DNS-запросы в сети разрешаются через него. За небольшой промежуток времени сервер пересылки может разрешить большое количество внешних DNS-запросов, используя данные в собственном кэше. Это уменьшает интернет-трафик в сети и время ожидания ответа DNS-клиентами.
Поведение DNS-сервера, настроенного на использование сервера пересылки, отличается от поведения DNS-сервера, не использующего сервер пересылки. Поведение DNS-сервера, использующего сервер пересылки, заключается в следующем:
Запрос, пересылаемый DNS-сервером на сервер пересылки, является рекурсивным запросом. Он отличается от итеративного запроса, посылаемого DNS-сервером на другой DNS-сервер во время стандартного разрешения имен (то есть разрешения, при котором не задействован сервер пересылки).
Чтобы использовать серверы пересылки для управления трафиком DNS между сетью и Интернетом, настройте брандмауэр сети для разрешения связи с Интернетом только одному DNS-серверу. При настройке других DNS-серверов в сети на пересылку запросов, которые не могут быть разрешены локально, на этот DNS-сервер, последний выступает как сервер пересылки. Дополнительные сведения об использовании серверов пересылки см. в разделе Общее представление о серверах пересылки.
Последовательность пересылки
Порядок IP-адресов, которые указаны в качестве серверов пересылки на DNS-сервере, определяет последовательность использования этих IP-адресов. После того, как DNS-сервер перешлет запрос на сервер пересылки, имеющий первый IP-адрес из списка, он некоторое время ожидает ответ от этого сервера пересылки (в соответствии с параметром времени ожидания пересылки на DNS-сервере) перед повтором этой операции пересылки на следующий по списку IP-адрес. Этот процесс повторяется, пока не будет получен утвердительный ответ от сервера пересылки.
Например, на следующем рисунке DNS-серверы, имеющие первый и второй IP-адрес из списка, не отвечают на запрос DNS-сервера. DNS-сервер, имеющий третий IP-адрес из списка, отвечает, и запрос пересылается на этот DNS-сервер.
В отличие от стандартного разрешения, при котором время обмена пакетами «туда и обратно» связано с каждым сервером, IP-адреса в списке серверов пересылки не упорядочиваются в соответствии с этим временем. Чтобы изменить предпочтения, необходимо вручную изменить последовательность серверов.
Серверы условной пересылки
Серверы условной пересылки являются DNS-серверами, которые пересылают запросы в соответствии с именами доменов. Вместо пересылки DNS-сервером всех неразрешенных запросов на сервер пересылки, можно настроить DNS-серверы таким образом, чтобы они пересылали запросы на различные серверы пересылки в зависимости от определенных имен доменов, содержащихся в запросах. Пересылка в зависимости от имен доменов улучшает стандартную пересылку путем добавления к процессу пересылки условия, зависящего от имени.
Параметр сервера условной пересылки для DNS-сервера состоит из следующих компонентов:
Когда DNS-клиент или сервер выполняет операцию запроса DNS-сервера, этот сервер определяет, может ли он разрешить запрос, используя собственные данные зоны или данные, хранящиеся в кэше. Если DNS-сервер настроен на пересылку имени домена, указанного в запросе, запрос пересылается на IP-адрес сервера пересылки, который связан с этим именем домена. Например, на следующем рисунке каждый запрос имен доменов пересылается на DNS-сервер, связанный с именем домена.
Если DNS-сервер не имеет сервера пересылки для имени, указанного в запросе, он пытается разрешить запрос с помощью стандартной рекурсии. Дополнительные сведения см. в разделе Настройка DNS-сервера для использования серверов пересылки.
Можно использовать серверы условной пересылки для улучшения разрешения имен между внутренними (частными) пространствами имен DNS, которые не являются частью пространства имен DNS Интернета. Такие пространства имен DNS могут быть результатом слияния компаний. При настройке DNS-серверов в одном внутреннем пространстве имен для пересылки всех запросов на полномочные DNS-серверы во втором внутреннем пространстве имен, серверы условной пересылки включают разрешение имен между двумя пространствами имен без выполнения рекурсии с использованием пространства имен DNS Интернета. Это улучшение процесса разрешения имен также позволяет избегать выполнения рекурсии DNS-серверами на внутренние корневые серверы для других пространств имен в одной сети.
Важно!
DNS-сервер не может пересылать запросы имен домена, находящихся в содержащейся на нем зоне. Например, полномочный DNS-сервер для зоны widgets.tailspintoys.com не может пересылать запросы, содержащие имя домена widgets.tailspintoys.com. DNS-сервер, который является полномочным для widgets.tailspintoys.com, может пересылать запросы DNS-имен, которые заканчиваются на hr.widgets.tailspintoys.com, если DNS-имя hr.widgets.tailspintoys.com было делегировано другому DNS-серверу.
Длина имени домена сервера условной пересылки
Когда DNS-сервер, настроенный как сервер условной пересылки, получает запрос на имя домена, он сравнивает имя домена со списком условий имен доменов и использует самое длинное условие имени домена, которое соответствует имени домена в запросе. Например, на рисунке DNS-сервер придерживается следующей логики условной пересылки для определения, как следует переслать запрос имени домена:
Использование DNS-сервера пересылки для разрешения DNS-имен, отличных от устройств, в системе платформы аналитики
DNS-сервер пересылки можно настроить на узлах домен Active Directory Services (устройство _ domain-AD01 и устройство _ domain-AD02) устройства аналитики, чтобы разрешить сценариям и программным приложениям доступ к внешним серверам.
Использование сервера пересылки DNS
Устройство аналитики системы Analytics настроено для предотвращения разрешения DNS-имен серверов, которые не находятся в устройстве. Некоторым процессам, таким как Windows Software Update Services (WSUS), потребуется доступ к серверам за пределами устройства. Для поддержки этого сценария использования можно настроить DNS платформы аналитики для поддержки внешнего сервера пересылки имен, который позволит узлам платформы и виртуальным машинам аналитики использовать внешние DNS-серверы для разрешения имен за пределами устройства. Настраиваемая конфигурация DNS-суффиксов не поддерживается. Это означает, что для разрешения имени сервера, не являющегося устройством, необходимо использовать полные доменные имена.
Создание сервера пересылки DNS с помощью графического пользовательского интерфейса DNS
Откройте диспетчер DNS (днсмгмт. msc).
Щелкните правой кнопкой мыши имя сервера и выберите пункт Свойства.
На вкладке Дополнительно снимите флажок отключить рекурсию (также отключать серверы пересылки) и нажмите кнопку Применить.)
Перейдите на вкладку серверы пересылки и нажмите кнопку изменить.
Введите IP-адрес для внешнего DNS-сервера, который будет предоставлять разрешение имен. Виртуальные машины и серверы (узлы) в устройстве будут подключаться к внешним серверам с помощью полных доменных имен.
Создание сервера пересылки DNS с помощью Windows PowerShell
Войдите в узел _ domain-AD01 узла Appliance.
Настройка разрешения DNS для служб WSUS
SQL Server PDW 2012 предоставляет интегрированные функции обслуживания и исправления. SQL Server PDW использует Центр обновления Майкрософт и другие технологии обслуживания Майкрософт. Чтобы включить обновления, устройство должно иметь возможность подключения к корпоративному репозиторию WSUS или репозиторию общедоступных WSUS Майкрософт.
Для клиентов, которые выбирают настройку устройства для поиска обновлений в репозитории Microsoft Public WSUS, приведенные ниже инструкции задают правильные сведения о конфигурации устройства.
Администратор сети клиента должен предоставить IP-адрес для корпоративного DNS-сервера, который может разрешать имена в Microsoft.com.
Откройте панель управления, щелкните сеть и Интернет, а затем щелкните центр управления сетями и общим доступом.
В списке подключение выберите вмсесернет и нажмите кнопку свойства.
Выберите пункт Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.
В поле Альтернативный DNS-сервер добавьте IP-адрес, предоставленный администратором сети клиента.
Условное разрешение DNS имен в Windows Server: DNS Conditional Forwarding, политики DNS
В этой статье мы рассмотрим два способа организации условного разрешения имен в DNS сервере на Windows Server 2016: DNS conditional forwarding и DNS policy. Эти технологии позволяют настроить условное разрешение DNS имен в зависимости от запрошенного имени, IP адреса и местоположения клиента, времени суток и т.д.
Настройка DNS Conditional Forwarder в Windows Server
Попробуем настроить условное перенаправление DNS запросов для определенной доменной зоны на Windows Server 2016. Например, я хочу, чтобы все DNS запросы к зоне corp.winitpro.ru пересылались на DNS сервер 10.1.10.11.
Настройка DNS Conditional Forwarding с помощью PowerShell
Вы можете создать правило Conditional Forward для определенной DNS зоны с помощью PowerShell. Воспользуйтесь командлетом Add-DnsServerConditionalForwarderZone:
Чтобы вывести список DNS Conditional Forwarders на определенном сервере, выполните следующий PowerShell скрипт:
Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016
В Windows Server 2016 появилась новая фича в службе DNS сервера – DNS политики. DNS политики позволяют настроить DNS сервер так, чтобы он возвращал различные ответы на DNS запросы в зависимости от местоположения клиента (с какого IP адреса или подсети пришел запрос), интерфейса DNS сервера, времени суток, типа запрошенной записи (A, CNAME, PTR, MX) и т.д. DNS политики в Windows Server 2016 позволяют реализовать сценарии балансировки нагрузки, фильтрации DNS трафика, возврата DNS записей в зависимости от геолокации (IP адреса клиента) и многие другие сложные сценарии.
Вы можете создать политику как на уровне DNS сервера, так и на уровне всей зоны. Настройка DNS политик в Windows Server 2016 возможна только из командной строки PowerShell.
Попробуем создать простую политику, которая позволяет вернуть разный ответ на DNS запрос в зависимости от геолокации клиента. Допустим, вы хотите, чтобы клиенты в каждом офисе использовали собственный прокси на площадке. Вы создали политику назначения прокси в домене (на всех клиентах будет указано proxy.winitpro.ru). Но клиент из каждого офиса должен резолвить этот адрес по-разному, чтобы использовать для доступа свой локальный прокси-сервер.
Я создал 3 подсети для разных офисов компании:
Чтобы вывести список всех IP подсетей клиентов, выполните:
Теперь нужно для каждого офиса создать отдельную DNS область:
Следующие команды добавят 3 DNS записи с одним именем, но указывающие на разные IP адреса в разных областях DNS:
Теперь нужно создать DNS политики, которые свяжут IP подсети, DNS области и A записи.
Можно использовать следующие параметры в фильтре DNS:
Настройка DNS-сервера для использования серверов пересылки
DNS-сервер используется как сервер пересылки, когда другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в сети Интернет, что может способствовать увеличению эффективности разрешения имен для компьютеров в сети. Дополнительные сведения об использовании серверов пересылки и условной пересылки см. в разделе Общее представление о серверах пересылки.
Настройка DNS-сервера для использования пересылки
Откройте диспетчер DNS.
В дереве консоли щелкните необходимый DNS-сервер.
В меню Действие выберите команду Свойства.
На вкладке Серверы пересылки в разделе Домен DNS щелкните имя домена.
В поле Список IP-адресов серверов пересылки для выбранного домена введите IP-адрес сервера пересылки, а затем нажмите кнопку Добавить.
Дополнительные сведения
Можно отключить рекурсию для DNS-сервера, чтобы она не выполнялась для любого запроса. Если рекурсия на DNS-сервере отключена, на этом сервере невозможно будет использовать пересылку.
Откройте окно командной строки.
Введите указанную ниже команду и нажмите клавишу ВВОД.
Имя средства командной строки, предназначенного для управления DNS-серверами.
Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).
Обязательный компонент. Разделенный пробелами список, состоящий из одного или нескольких IP-адресов DNS-серверов, на которые пересылаются запросы. Можно указать список IP-адресов, разделенных запятыми.
Указывает значение для параметра /TimeOut. Значение указывается в секундах. По умолчанию это время составляет 5 секунд.
Определяет, использует ли DNS-сервер рекурсию при запросе имени домена, указанного в параметре имя_зоны.
Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:
Дополнительная информация
С помощью параметра /Local можно задать локальный список главных серверов для серверов пересылки, интегрированных в Active Directory. Параметр IP-адреса_серверов является списком, состоящим из одного или нескольких IP-адресов главных серверов для зоны. Главными серверами могут быть DNS-серверы, содержащие основные или дополнительные копии зоны, однако в главные серверы не могут быть записаны IP-адреса DNS-серверов таким образом, чтобы два DNS-сервера, содержащие копии зоны, использовали друг друга в качестве главных серверов. Такая настройка приведет к созданию циклической пересылки.
