Условное разрешение DNS имен в Windows Server: DNS Conditional Forwarding, политики DNS

В этой статье мы рассмотрим два способа организации условного разрешения имен в DNS сервере на Windows Server 2016: DNS conditional forwarding и DNS policy. Эти технологии позволяют настроить условное разрешение DNS имен в зависимости от запрошенного имени, IP адреса и местоположения клиента, времени суток и т.д.

Условная пересылка DNS (Conditional Forwarding) позволяет перенаправить DNS запросы об определенном домене на определенные DNS-сервера. Обычно Conditional Forwarders используется, когда нужно настроить быстрое разрешение имен между несколькими внутренними приватными доменами, или вы не хотите, чтобы DNS запросы с вашего сервера пересылались через публичную сеть Интернет. В этом случае вы можете создать на DNS сервере правило DNS пересылки DNS запросов для определенной доменной зоны (только . ) на определенный DNS сервер.

Настройка DNS Conditional Forwarder в Windows Server

Попробуем настроить условное перенаправление DNS запросов для определенной доменной зоны на Windows Server 2016. Например, я хочу, чтобы все DNS запросы к зоне corp.winitpro.ru пересылались на DNS сервер 10.1.10.11.

1. Запустите консоль управления DNS ( dnsmgmt.msc );
2. Разверните ваш DNS сервер, щелкните правой кнопкой по разделу Conditional Forwarders и выберите New Conditional Forwarder;
3. В поле DNS domain укажите FQDN имя домена, для которого нужно включить условную пересылку;
4. В поле IP addresses of the master servers укажите IP адрес DNS сервера, на который нужно пересылать все запросы для указанного пространства имен;
5. Если вы хотите хранить правило условной переадресации не только на этом DNS сервере, вы можете интегрировать его в AD. Выберите опцию “Store this conditional forwarder in Active Directory”;
6. Выберите правило репликации записи conditional forwarding (All DNS servers in this forest, All DNS servers in this domain или All domain controllers in this domain).

Настройка DNS Conditional Forwarding с помощью PowerShell

Вы можете создать правило Conditional Forward для определенной DNS зоны с помощью PowerShell. Воспользуйтесь командлетом Add-DnsServerConditionalForwarderZone:

Add-DnsServerConditionalForwarderZone -Name dmz.winitpro.ru -MasterServers 192.168.1.11,192.168.101.11 -ReplicationScope Forest

Чтобы вывести список DNS Conditional Forwarders на определенном сервере, выполните следующий PowerShell скрипт:

$DNSServer = «DC01»
$Zones = Get-WMIObject -Computer $DNSServer -Namespace «root\MicrosoftDNS» -Class «MicrosoftDNS_Zone»
$Zones | Select-Object Name,MasterServers,DsIntegrated,ZoneType | where <$_.ZoneType -eq "4">| ft -AutoSize

Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016

В Windows Server 2016 появилась новая фича в службе DNS сервера – DNS политики. DNS политики позволяют настроить DNS сервер так, чтобы он возвращал различные ответы на DNS запросы в зависимости от местоположения клиента (с какого IP адреса или подсети пришел запрос), интерфейса DNS сервера, времени суток, типа запрошенной записи (A, CNAME, PTR, MX) и т.д. DNS политики в Windows Server 2016 позволяют реализовать сценарии балансировки нагрузки, фильтрации DNS трафика, возврата DNS записей в зависимости от геолокации (IP адреса клиента) и многие другие сложные сценарии.

Вы можете создать политику как на уровне DNS сервера, так и на уровне всей зоны. Настройка DNS политик в Windows Server 2016 возможна только из командной строки PowerShell.

Попробуем создать простую политику, которая позволяет вернуть разный ответ на DNS запрос в зависимости от геолокации клиента. Допустим, вы хотите, чтобы клиенты в каждом офисе использовали собственный прокси на площадке. Вы создали политику назначения прокси в домене (на всех клиентах будет указано proxy.winitpro.ru). Но клиент из каждого офиса должен резолвить этот адрес по-разному, чтобы использовать для доступа свой локальный прокси-сервер.

Я создал 3 подсети для разных офисов компании:

Add-DnsServerClientSubnet -Name «MSK_DNS_Subnet» -IPv4Subnet «192.168.1.0/24»
Add-DnsServerClientSubnet -Name «EKB_DNS_Subnet» -IPv4Subnet «192.168.11.0/24»
Add-DnsServerClientSubnet -Name «SPB_DNS_Subnet» -IPv4Subnet «192.168.21.0/24»

Чтобы вывести список всех IP подсетей клиентов, выполните:

Теперь нужно для каждого офиса создать отдельную DNS область:

Add-DnsServerZoneScope -ZoneName “winitpro.ru” -Name “MSKZoneScope”
Add-DnsServerZoneScope -ZoneName “winitpro.ru” -Name “EKBZoneScope”
Add-DnsServerZoneScope -ZoneName “winitpro.ru” -Name “SPBZoneScope”

Следующие команды добавят 3 DNS записи с одним именем, но указывающие на разные IP адреса в разных областях DNS:

Add-DnsServerResourceRecord -ZoneName “winitpro.ru” -A -Name “proxy” -IPv4Address “192.168.1.10” -ZoneScope “MSKZoneScope”
Add-DnsServerResourceRecord -ZoneName “winitpro.ru” -A -Name “proxy” -IPv4Address “192.168.11.10” -ZoneScope “EKBZoneScope”
Add-DnsServerResourceRecord -ZoneName “winitpro.ru” -A -Name “proxy” -IPv4Address “192.168.21.10” -ZoneScope “SPBZoneScope”

Get-DnsServerResourceRecord -ZoneName “winitpro.ru” -ZoneScope SPBZoneScope

Теперь нужно создать DNS политики, которые свяжут IP подсети, DNS области и A записи.

Add-DnsServerQueryResolutionPolicy -Name “MSKResolutionPolicy” -Action ALLOW -ClientSubnet “eq,MSK_DNS_Subnet” -ZoneScope “MSKZoneScope,1” -ZoneName “winitpro.ru” –PassThru
Add-DnsServerQueryResolutionPolicy -Name “EKBResolutionPolicy” -Action ALLOW -ClientSubnet “eq,EKB_DNS_Subnet” -ZoneScope “EKBZoneScope,1” -ZoneName “winitpro.ru” -PassThru
Add-DnsServerQueryResolutionPolicy -Name “SPBResolutionPolicy” -Action ALLOW -ClientSubnet “eq,SPB_DNS_Subnet” -ZoneScope “SPBZoneScope,1” -ZoneName “winitpro.ru” –PassThru

• -Action ALLOW
• -Action DENY
• -Action IGNORE

Можно использовать следующие параметры в фильтре DNS:

-InternetProtocol «EQ,IPv4,NE,IPv6»
-TransportProtocol «EQ,UDP,TCP»
-ServerInterfaceIP «EQ,192.168.1.21»
-QType «EQ,A,AAAA,NE,PTR»
-TimeOfDay «EQ,9:00-18:00»

Вывести список всех DNS политик для DNS зоны на сервере можно так:

Get-DnsServerQueryResolutionPolicy -ZoneName winitpro.ru

Теперь с устройств из различных офисов проверьте, что DNS сервер на один и тот же запрос возвращает различные IP адреса прокси:

Можно запретить DNS серверу возвращать DNS адреса для определенного пространства имен (домена):

Использование серверов пересылки

Чтобы использовать серверы пересылки для управления трафиком DNS между сетью и Интернетом, настройте брандмауэр сети для разрешения связи с Интернетом только одному DNS-серверу. При настройке других DNS-серверов в сети на пересылку запросов, которые не могут быть разрешены локально, на этот DNS-сервер, последний выступает как сервер пересылки. Дополнительные сведения об использовании серверов пересылки см. в разделе Общее представление о серверах пересылки.

Последовательность пересылки

Порядок IP-адресов, которые указаны в качестве серверов пересылки на DNS-сервере, определяет последовательность использования этих IP-адресов. После того, как DNS-сервер перешлет запрос на сервер пересылки, имеющий первый IP-адрес из списка, он некоторое время ожидает ответ от этого сервера пересылки (в соответствии с параметром времени ожидания пересылки на DNS-сервере) перед повтором этой операции пересылки на следующий по списку IP-адрес. Этот процесс повторяется, пока не будет получен утвердительный ответ от сервера пересылки.

Например, на следующем рисунке DNS-серверы, имеющие первый и второй IP-адрес из списка, не отвечают на запрос DNS-сервера. DNS-сервер, имеющий третий IP-адрес из списка, отвечает, и запрос пересылается на этот DNS-сервер.

В отличие от стандартного разрешения, при котором время обмена пакетами «туда и обратно» связано с каждым сервером, IP-адреса в списке серверов пересылки не упорядочиваются в соответствии с этим временем. Чтобы изменить предпочтения, необходимо вручную изменить последовательность серверов.

Серверы условной пересылки

Серверы условной пересылки являются DNS-серверами, которые пересылают запросы в соответствии с именами доменов. Вместо пересылки DNS-сервером всех неразрешенных запросов на сервер пересылки, можно настроить DNS-серверы таким образом, чтобы они пересылали запросы на различные серверы пересылки в зависимости от определенных имен доменов, содержащихся в запросах. Пересылка в зависимости от имен доменов улучшает стандартную пересылку путем добавления к процессу пересылки условия, зависящего от имени.

Параметр сервера условной пересылки для DNS-сервера состоит из следующих компонентов:

Имена доменов, для которых DNS-сервер будет пересылать запросы

Один или несколько IP-адресов DNS-серверов для каждого указанного имени домена

Когда DNS-клиент или сервер выполняет операцию запроса DNS-сервера, этот сервер определяет, может ли он разрешить запрос, используя собственные данные зоны или данные, хранящиеся в кэше. Если DNS-сервер настроен на пересылку имени домена, указанного в запросе, запрос пересылается на IP-адрес сервера пересылки, который связан с этим именем домена. Например, на следующем рисунке каждый запрос имен доменов пересылается на DNS-сервер, связанный с именем домена.

Если DNS-сервер не имеет сервера пересылки для имени, указанного в запросе, он пытается разрешить запрос с помощью стандартной рекурсии. Дополнительные сведения см. в разделе Настройка DNS-сервера для использования серверов пересылки.

Можно использовать серверы условной пересылки для улучшения разрешения имен между внутренними (частными) пространствами имен DNS, которые не являются частью пространства имен DNS Интернета. Такие пространства имен DNS могут быть результатом слияния компаний. При настройке DNS-серверов в одном внутреннем пространстве имен для пересылки всех запросов на полномочные DNS-серверы во втором внутреннем пространстве имен, серверы условной пересылки включают разрешение имен между двумя пространствами имен без выполнения рекурсии с использованием пространства имен DNS Интернета. Это улучшение процесса разрешения имен также позволяет избегать выполнения рекурсии DNS-серверами на внутренние корневые серверы для других пространств имен в одной сети.

DNS-сервер не может пересылать запросы имен домена, находящихся в содержащейся на нем зоне. Например, полномочный DNS-сервер для зоны widgets.tailspintoys.com не может пересылать запросы, содержащие имя домена widgets.tailspintoys.com. DNS-сервер, который является полномочным для widgets.tailspintoys.com, может пересылать запросы DNS-имен, которые заканчиваются на hr.widgets.tailspintoys.com, если DNS-имя hr.widgets.tailspintoys.com было делегировано другому DNS-серверу.

Длина имени домена сервера условной пересылки

Когда DNS-сервер, настроенный как сервер условной пересылки, получает запрос на имя домена, он сравнивает имя домена со списком условий имен доменов и использует самое длинное условие имени домена, которое соответствует имени домена в запросе. Например, на рисунке DNS-сервер придерживается следующей логики условной пересылки для определения, как следует переслать запрос имени домена:

Использование DNS-сервера пересылки для разрешения DNS-имен, отличных от устройств, в системе платформы аналитики Use a DNS Forwarder to Resolve Non-Appliance DNS Names in Analytics Platform System

DNS-сервер пересылки можно настроить на узлах домен Active Directory Services (устройство _ domain-AD01 и ** устройство _ domain-AD02**) устройства аналитики, чтобы разрешить сценариям и программным приложениям доступ к внешним серверам. A DNS forwarder can be configured on the Active Directory Domain Services nodes (appliance_domain-AD01 and appliance_domain-AD02) of your Analytics Platform System appliance to allow scripts and software applications to access external servers.

Использование сервера пересылки DNS Using a DNS Forwarder

Устройство аналитики системы Analytics настроено для предотвращения разрешения DNS-имен серверов, которые не находятся в устройстве. The Analytics Platform System appliance is configured to prevent resolving DNS names of servers that are not in the appliance. Некоторым процессам, таким как Windows Software Update Services (WSUS), потребуется доступ к серверам за пределами устройства. Some processes, such as Windows Software Update Services (WSUS), will need to access servers outside of the appliance. Для поддержки этого сценария использования можно настроить DNS платформы аналитики для поддержки внешнего сервера пересылки имен, который позволит узлам платформы и виртуальным машинам аналитики использовать внешние DNS-серверы для разрешения имен за пределами устройства. To support this usage scenario the Analytics Platform System DNS can be configured to support an external name forwarder that will allow Analytics Platform System hosts and Virtual Machines (VMs) to use external DNS servers to resolve names outside of the appliance. Настраиваемая конфигурация DNS-суффиксов не поддерживается. Это означает, что для разрешения имени сервера, не являющегося устройством, необходимо использовать полные доменные имена. Custom configuration of DNS suffixes is not supported, which means you must use fully qualified domain names to resolve a non-appliance server name.

Создание сервера пересылки DNS с помощью графического пользовательского интерфейса DNS To create a DNS forwarder with the DNS GUI

Войдите в узел ** _ _ domain_-AD01 узла Appliance** . Log on to the appliance_domain-AD01 node.

Откройте диспетчер DNS (днсмгмт. msc). Open the DNS Manager (dnsmgmt.msc).

Щелкните правой кнопкой мыши имя сервера и выберите пункт Свойства. Right-click the name of the server and then click Properties.

На вкладке Дополнительно снимите флажок отключить рекурсию (также отключать серверы пересылки) и нажмите кнопку Применить.) On the Advanced tab, unselect the Disable recursion (also disables forwarders) option, and then click Apply.)

Перейдите на вкладку серверы пересылки и нажмите кнопку изменить. Click the Forwarders tab and then click Edit.

Введите IP-адрес для внешнего DNS-сервера, который будет предоставлять разрешение имен. Enter the IP address for the external DNS server that will provide the name resolution. Виртуальные машины и серверы (узлы) в устройстве будут подключаться к внешним серверам с помощью полных доменных имен. The VMs and servers (hosts) in the appliance will connect to external servers by using fully qualified domain names.

Повторите шаги 1-6 в узле ** _ _ domain_-AD02 узла устройства** . Repeat steps 1 — 6 on the appliance_domain-AD02 node

Создание сервера пересылки DNS с помощью Windows PowerShell To create a DNS forwarder by using Windows PowerShell

Войдите в узел ** _ _ domain_-AD01 узла Appliance**. Log on to the appliance_domain-AD01node.

Выполните приведенный ниже сценарий Windows PowerShell из узла ** устройства _ domain-AD01** . Run the following Windows PowerShell script from the appliance_domain-AD01 node. Перед выполнением сценария Windows PowerShell замените IP-адреса IP-адресами DNS-серверов, не поддерживающих устройства. Before running the Windows PowerShell script, replace IP addresses with the IP addresses of your non-appliance DNS servers.

Выполните ту же команду в узле ** _ _ domain_-AD02 узла Appliance** . Execute the same command on the appliance_domain-AD02 node.

Настройка разрешения DNS для служб WSUS Configuring DNS resolution for WSUS

SQL Server PDW 2012 предоставляет интегрированные функции обслуживания и исправления. SQL Server PDW 2012 provides integrated servicing and patching functionality. SQL Server PDW использует Центр обновления Майкрософт и другие технологии обслуживания Майкрософт. SQL Server PDW uses Microsoft Update and other Microsoft servicing technologies. Чтобы включить обновления, устройство должно иметь возможность подключения к корпоративному репозиторию WSUS или репозиторию общедоступных WSUS Майкрософт. To enable updates the appliance must be able to either connect to a corporate WSUS repository or to the Microsoft public WSUS repository.

Для клиентов, которые выбирают настройку устройства для поиска обновлений в репозитории Microsoft Public WSUS, приведенные ниже инструкции задают правильные сведения о конфигурации устройства. For customers that choose to configure the appliance to look for updates on the Microsoft public WSUS repository, the following instructions set the proper configuration details on the appliance.

Администратор сети клиента должен предоставить IP-адрес для корпоративного DNS-сервера, который может разрешать имена в Microsoft.com. The customer network administrator must provide the IP address for a corporate DNS server that can resolve names at Microsoft.com.

С помощью удаленного рабочего стола Войдите на виртуальную машину VMM ( -VMM) с помощью учетной записи администратора домена структуры. Using remote desktop, log on to VMM VM (-VMM) using the fabric domain administrator account.

Откройте панель управления, щелкните сеть и Интернет, а затем щелкните центр управления сетями и общим доступом. Open the Control Panel, click Network and Internet, and then click Network and Sharing Center.

В списке подключение выберите вмсесернети нажмите кнопку свойства. In the connection list, click VMSEthernet, and then click Properties.

Выберите пункт Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства. Select Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

В поле Альтернативный DNS-сервер добавьте IP-адрес, предоставленный администратором сети клиента. In the Alternate DNS server box, add the IP address provided by the customer network administrator.

	Важно!