Настройка DNS-сервера для использования серверов пересылки
Сервер пересылки — это DNS-сервер в сети, который пересылает DNS-запросы внешних DNS-имен на DNS-серверы за пределами этой сети. Сервер также можно настроить на пересылку запросов в соответствии с определенными именами домена, используя условную пересылку.
DNS-сервер используется как сервер пересылки, когда другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в сети Интернет, что может способствовать увеличению эффективности разрешения имен для компьютеров в сети. Дополнительные сведения об использовании серверов пересылки и условной пересылки см. в разделе Общее представление о серверах пересылки.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .
Настройка DNS-сервера для использования пересылки
Чтобы настроить DNS-сервер для использования пересылки с помощью интерфейса Windows
Откройте диспетчер DNS.
В дереве консоли щелкните необходимый DNS-сервер.
В меню Действие выберите команду Свойства.
На вкладке Серверы пересылки в разделе Домен DNS щелкните имя домена.
В поле Список IP-адресов серверов пересылки для выбранного домена введите IP-адрес сервера пересылки, а затем нажмите кнопку Добавить.
Дополнительные сведения
Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнете DNS.
Чтобы создать новое доменное имя, нажмите кнопку Создать, затем в разделе Домен DNS введите имя домена.
При указании сервера условной пересылки выберите DNS-имя домена, прежде чем ввести IP-адрес.
По умолчанию DNS-сервер пять секунд ожидает ответа от IP-адреса одного сервера пересылки, прежде чем пытаться связаться с IP-адресом другого сервера. В поле Время ожидания пересылки (сек) можно изменить количество секунд, в течение которых DNS-сервер будет ожидать ответа. Если ни один сервер пересылки не отозвался, начинается стандартная процедура рекурсии.
Если DNS-сервер должен использовать только серверы пересылки и не пытаться выполнять дальнейшую рекурсию, установите флажок Не использовать рекурсию для этого домена.
Можно отключить рекурсию для DNS-сервера, чтобы она не выполнялась для любого запроса. Если рекурсия на DNS-сервере отключена, на этом сервере невозможно будет использовать пересылку.
Не вводите IP-адрес сервера пересылки более одного раза в списке серверов пересылки для DNS-сервера, даже если это более надежный или географически близкий сервер пересылки. Если предпочтение отдается одному из серверов пересылки, поместите его первым в списке IP-адресов серверов пересылки.
Нельзя использовать имя домена в качестве сервера условной пересылки, если DNS-сервер содержит основную зону, дополнительную зону или зону-заглушку для этого имени домена. Например, если DNS-сервер является полномочным для имени домена corp.contoso.com (то есть он содержит основную зону для этого имени домена), нельзя настроить DNS-сервер на использование сервера условной пересылки для corp.contoso.com.
Можно предотвратить обычные проблемы, связанные с серверами пересылки, путем настройки DNS-серверов таким образом, чтобы они не использовали серверы пересылки избыточно.
Чтобы настроить DNS-сервер для использования пересылки с помощью командной строки
Откройте окно командной строки.
Введите указанную ниже команду и нажмите клавишу ВВОД.
Параметр
Описание
Имя средства командной строки, предназначенного для управления DNS-серверами.
Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).
Обязательный компонент. Разделенный пробелами список, состоящий из одного или нескольких IP-адресов DNS-серверов, на которые пересылаются запросы. Можно указать список IP-адресов, разделенных запятыми.
Параметр времени ожидания. Параметр времени ожидания — это количество секунд перед истечением срока действия пересланных запросов.
Указывает значение для параметра /TimeOut. Значение указывается в секундах. По умолчанию это время составляет 5 секунд.
Определяет, использует ли DNS-сервер рекурсию при запросе имени домена, указанного в параметре имя_зоны.
Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:
Дополнительная информация
Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.
Чтобы указать сервер условной пересылки для зоны, используйте следующую команду:
Команда /ZoneAdd служит для добавления зоны, указанной в параметре имя_зоны. Параметр IP-адрес — это IP-адрес, на который DNS-сервер будет пересылать неразрешенные DNS-запросы. С помощью параметра /Slave DNS-сервер обозначается как подчиненный сервер. При указанном параметре /NoSlave (параметр по умолчанию) DNS-сервер не является подчиненным сервером, а это означает, что он может выполнять рекурсию. Параметры /Timeout и Время были рассмотрены в предыдущей таблице.
Чтобы просмотреть зону, добавленную только как сервер условной пересылки, используйте следующую команду:
Чтобы сбросить IP-адреса сервера пересылки для имени домена сервера условной пересылки, используйте следующую команду:
С помощью параметра /Local можно задать локальный список главных серверов для серверов пересылки, интегрированных в Active Directory. Параметр IP-адреса_серверов является списком, состоящим из одного или нескольких IP-адресов главных серверов для зоны. Главными серверами могут быть DNS-серверы, содержащие основные или дополнительные копии зоны, однако в главные серверы не могут быть записаны IP-адреса DNS-серверов таким образом, чтобы два DNS-сервера, содержащие копии зоны, использовали друг друга в качестве главных серверов. Такая настройка приведет к созданию циклической пересылки.
Нельзя использовать имя домена в качестве сервера условной пересылки, если DNS-сервер содержит основную зону, дополнительную зону или зону-заглушку для этого имени домена. Например, если DNS-сервер является полномочным для имени домена corp.contoso.com (то есть он содержит основную зону для этого имени домена), нельзя настроить DNS-сервер на использование сервера условной пересылки для corp.contoso.com.
Можно предотвратить обычные проблемы, связанные с серверами пересылки, путем настройки DNS-серверов таким образом, чтобы они не использовали серверы пересылки избыточно.
Условное разрешение DNS имен в Windows Server: DNS Conditional Forwarding, политики DNS
В этой статье мы рассмотрим два способа организации условного разрешения имен в DNS сервере на Windows Server 2016: DNS conditional forwarding и DNS policy. Эти технологии позволяют настроить условное разрешение DNS имен в зависимости от запрошенного имени, IP адреса и местоположения клиента, времени суток и т.д.
Условная пересылка DNS (Conditional Forwarding) позволяет перенаправить DNS запросы об определенном домене на определенные DNS-сервера. Обычно Conditional Forwarders используется, когда нужно настроить быстрое разрешение имен между несколькими внутренними приватными доменами, или вы не хотите, чтобы DNS запросы с вашего сервера пересылались через публичную сеть Интернет. В этом случае вы можете создать на DNS сервере правило DNS пересылки DNS запросов для определенной доменной зоны (только . ) на определенный DNS сервер.
Настройка DNS Conditional Forwarder в Windows Server
Попробуем настроить условное перенаправление DNS запросов для определенной доменной зоны на Windows Server 2016. Например, я хочу, чтобы все DNS запросы к зоне corp.winitpro.ru пересылались на DNS сервер 10.1.10.11.
Запустите консоль управления DNS ( dnsmgmt.msc );
Разверните ваш DNS сервер, щелкните правой кнопкой по разделу Conditional Forwarders и выберите New Conditional Forwarder;
В поле DNS domain укажите FQDN имя домена, для которого нужно включить условную пересылку;
В поле IP addresses of the master servers укажите IP адрес DNS сервера, на который нужно пересылать все запросы для указанного пространства имен;
Если вы хотите хранить правило условной переадресации не только на этом DNS сервере, вы можете интегрировать его в AD. Выберите опцию “Store this conditional forwarder in Active Directory”;
Выберите правило репликации записи conditional forwarding (All DNS servers in this forest, All DNS servers in this domain или All domain controllers in this domain).
Настройка DNS Conditional Forwarding с помощью PowerShell
Вы можете создать правило Conditional Forward для определенной DNS зоны с помощью PowerShell. Воспользуйтесь командлетом Add-DnsServerConditionalForwarderZone:
Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016
В Windows Server 2016 появилась новая фича в службе DNS сервера – DNS политики. DNS политики позволяют настроить DNS сервер так, чтобы он возвращал различные ответы на DNS запросы в зависимости от местоположения клиента (с какого IP адреса или подсети пришел запрос), интерфейса DNS сервера, времени суток, типа запрошенной записи (A, CNAME, PTR, MX) и т.д. DNS политики в Windows Server 2016 позволяют реализовать сценарии балансировки нагрузки, фильтрации DNS трафика, возврата DNS записей в зависимости от геолокации (IP адреса клиента) и многие другие сложные сценарии.
Вы можете создать политику как на уровне DNS сервера, так и на уровне всей зоны. Настройка DNS политик в Windows Server 2016 возможна только из командной строки PowerShell.
Попробуем создать простую политику, которая позволяет вернуть разный ответ на DNS запрос в зависимости от геолокации клиента. Допустим, вы хотите, чтобы клиенты в каждом офисе использовали собственный прокси на площадке. Вы создали политику назначения прокси в домене (на всех клиентах будет указано proxy.winitpro.ru). Но клиент из каждого офиса должен резолвить этот адрес по-разному, чтобы использовать для доступа свой локальный прокси-сервер.
