DNS

Настройка DNS-сервера на Windows Server 2012 и старше

Необходимые понятия:

DNS – часть сетевой инфраструктуры, реализующая механизм преобразования IP-адреса в доменное имя

DNS сервер – специальная служба в сети, поддерживающая работу протокола DNS

 Алгоритм настройки DNS-сервера:

  1.   Подготовка адаптера сети для DNS-сервера
  2.   Определение роли DNS-сервера
  3.   Реализация зоны прямого просмотра
  4.   Реализация зоны обратного просмотра
  5.   А-запись
  6.   Новые функции Domain Name System

Подготовка адаптера сети для DNS-сервера

В первую очередь, создайте частную сеть, подключите к этой сети виртуальные машины. Два адаптера – один основной, имеет доступ в интернет, другой – нет, ибо требует настройки (дополнительный).

Network 3 – подключенная сеть. Далее, правой кнопкой нажмите на кнопку меню «пуск», выберите пункт «сетевые подключения». Нажмите на нужный адаптер и посмотрите свойства. В новом окне найдите строку IPv4, также откройте свойства. Заполните поля необходимыми значениями.

Мастер добавления ролей и компонентов необходимо найти в Диспетчере сервера. Верхняя панель, меню управлении, выберите пункт «добавить роли и компоненты». 

Окно, которое открылось – окно мастера. Убедитесь в том, что профиль администратора (учётная запись) надёжно защищен сильным паролем, все параметры настроены, новые обновления установлены и отлажены. Нажмите далее — далее

Перед вами появился пул серверов, выберите нужный и продолжите настройку командой «далее»

Окно выбор ролей. В нём найдите «DNS Server» и отметьте галочкой.

Перепроверьте компоненты для установки

Ещё раз сверьте желаемые настройки и подтвердите

Зоны прямого и обратного просмотров

Доменная зона – группа имён в пределах определённого домена

Зона прямого просмотра необходима для сопоставления доменного имени с IP

Зона обратного просмотра сопоставляет IP с доменным именем

Распоряжение зонами, их гибкое управление реализуется с помощью «Диспетчер DNS» (правая верхняя часть панели – Средства – DNS). 

Открытие зоны прямого просмотра

Для этого нужно выделить папку зоны прямого просмотра, запустить мастер создания новой зоны кнопкой «Новая зона».

Необходимо выбрать основный тип зоны

Назначьте имя для зоны

Если нужно, измените имя будущего файла конфигурации зоны

Отключите опцию динамического обновления, ибо это делает систему более уязвимой

Проверьте установленную конфигурацию и завершите создание зоны прямого просмотра

Открытие зоны обратного просмотра

Найдите в диспетчере DNS папку с названием  «обратная зона», также запустите менеджер по созданию новой зоны.

Тип зоны также основной

Выберите IPv4:

Необходимо указать ID Network (первые три цифры сетевого адреса)

Отключите опцию динамического обновления, ибо это делает систему более уязвимой

Проверьте установленную конфигурацию и завершите создание зоны прямого просмотра

А-запись

Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.

Запись A — запись, позволяющая по доменному имени узнать IP-адрес.

Запись PTR — запись, обратная A записи.

Увидите окно для создания нового узла, заполните все необходимые поля. Нажмите галочку для того, чтобы создать RTF запись.

Если оставить поле IP пустым, то адрес будет связан с именем доменной зоны. Дополнительно, можно создавать записи для других серверов.

Запустите командную строку, командой nslookup проверьте состояние DNS

Отправьте несколько запросов по домену и IP, чтобы убедиться в корректности работы настроенных зон.

Возможна отправка запроса на какой-нибудь внешний ресурс:

DNS Windows Server 2016

Политика DNS-серверов

Теперь доступно управление трафиком на основе гео

DNS отправляет более интеллектуальные ответы, собирая информацию в зависимости от времени суток

Гибкая фильтрация DNS запросов

Сбалансированное распределение нагрузки

Проще говоря, сервер сможет рационально распределить ресурсы, чтобы работать эффективнее.

ГЕО управление трафиком

Разрешение первичным и вторичным DNS-серверам отвечать на запросы DNS-клиентов на основе географического положения

Возможность настройки сортировки клиентов (внешние или внутренние) по областям зоны

Новые возможности позволяют защищать систему от вредоносных клиентов. Защита воспроизводится с помощью перенаправления потенциальных злоумышленников на несуществующий адрес.

Ограничение скорости отклика PRL

Теперь возможна настройка PRL. Это нужно, чтобы обезвредить атаки типа DOS. Ограничитель можно поставить на кол-во ответов в секунду, кол-во ошибок в секунду, окно между запросами, скорость утечки, максимум откликов, белые домен, белые подсети.

DANE

Алгоритм, решающий довольно весомую проблему – опасность фиктивной выдачи сертификатов CA. Вероятность атаки MITM сводится к минимальному значению.

Неизвестные записи

Гибкость обработки информации. Записи нестандартных неизвестных типов могут быть обработаны.

Подсказки IPv6

Запросы имен в Интернете теперь могут использовать корневые серверы IPv6 для разрешения имен.

Доработанный PowerShell

Список новых команд:

Add-DnsServerRecursionScope — Этот командлет создает новую область рекурсии на DNS-сервере. Области рекурсии используются политиками DNS для указания списка серверов пересылки, которые будут использоваться в запросе DNS.

Remove-DnsServerRecursionScope — Этот командлет удаляет существующие области рекурсии.

Set-DnsServerRecursionScope — Этот командлет изменяет параметры существующей области рекурсии.

Get-DnsServerRecursionScope — Этот командлет извлекает информацию о существующих областях рекурсии.

Add-DnsServerClientSubnet — Этот командлет удаляет существующие подсети DNS-клиентов.

Set-DnsServerClientSubnet — Этот командлет изменяет параметры существующей подсети DNS-клиента.

Get-DnsServerClientSubnet — Этот командлет извлекает информацию о существующих подсетях DNS-клиентов.

Add-DnsServerQueryResolutionPolicy — Этот командлет создает новую политику разрешения запросов DNS. Политики разрешения запросов DNS используются для указания того, как и следует ли отвечать на запрос на основе различных критериев.

Remove-DnsServerQueryResolutionPolicy — Этот командлет удаляет существующие политики DNS.

Set-DnsServerQueryResolutionPolicy — Этот командлет изменяет параметры существующей политики DNS.

Get-DnsServerQueryResolutionPolicy — Этот командлет извлекает информацию о существующих политиках DNS.

Enable-DnsServerPolicy — Этот командлет включает существующие политики DNS.

Disable-DnsServerPolicy — Этот командлет отключает существующие политики DNS.

Add-DnsServerZoneTransferPolicy — Этот командлет создает новую политику передачи зоны DNS-сервера. Политики передачи зоны DNS определяют, следует ли отклонять или игнорировать передачу зоны на основе различных критериев.

Remove-DnsServerZoneTransferPolicy — Этот командлет удаляет существующие политики передачи зон DNS-сервера.

Set-DnsServerZoneTransferPolicy. — Этот командлет изменяет параметры существующей политики переноса зоны DNS-сервера.

Get-DnsServerResponseRateLimiting — Этот командлет извлекает параметры RRL.

Set-DnsServerResponseRateLimiting — Этот командлет изменяет настройки RRL.

Add-DnsServerResponseRateLimitingExceptionlist — Этот командлет создает список исключений RRL на DNS-сервере.

Get-DnsServerResponseRateLimitingExceptionlist — Этот командлет извлекает списки исключений RRL.

Remove-DnsServerResponseRateLimitingExceptionlist — Этот командлет удаляет существующий список исключений RRL.

Set-DnsServerResponseRateLimitingExceptionlist — Этот командлет изменяет списки исключений RRL.

Add-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.

Get-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.

Remove-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.

Set-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.

 

DNS-сервер не отвечает. Что делать?

Вы, обычный пользователь, решили в очередной раз «посёрфить» в интернете, но что-то пошло не так. Открыв нужный сайт, вам встретилась ошибка «DNS сервер не отвечает». Что делать? Для того чтобы заняться решением данной проблемы, необходимо изучить механизм работы сети интернет на примере простого взаимодействия между браузером и пользователем. У любого сайта есть неповторимый адрес. Этот адрес является фактическим названием чего-либо, например (avito.ru). Не будем забывать, мировая сеть намного больше, поэтому было принято решение использовать цифровые обозначения – IP. DNS сервер выполняет функцию переноса IP в символьное представление адреса и обратно.  Следовательно, ошибка на сайте возникла из-за неполадок, связанных с транслированием адреса.

Природа возникновения ошибки «DNS-сервер не отвечает»:

Неполадка произошла у провайдера. Например, отключили электричество или проводится техническое обслуживание.

Другой сценарий, когда что-то пошло не так у пользователя. Интернет отключили или драйвера сбились, а может быть и роутер шалит.

Решение проблемы

Выясните, на какой конкретно стороне проблема. Для этого, подключите другие устройства к роутеру, попробуйте зайти на сайт. Если на другом устройстве возникла та же проблема, делаем вывод, что неполадка у провайдера. Но если доступа нет у конкретного устройства, компьютера, тогда решение проблемы кроется в перенастройке вашего оборудования. Проверьте роутер: отключите питание, подождите 3 минуты, включите роутер. Начните проверять доступ к ресурсам. Следующим шагом проверьте корректность настроек роутера. Откройте панель администрирования вашего сетевого оборудования, выставьте надстройки, требуемые провайдером. Дополнительно, обновите программное обеспечение маршрутизатора, иногда помогает. Обязательно, после изменений настроек или установок обновлений перезагружайте оборудование.

В случае если проблема в компьютере, потенциальным решением является смена DNS-сервера. Нажмите win + R, появится скрипт-исполнитель, в строку которого введите ncpa.cpl. Появится панель сетевых подключений. Правой кнопкой мыши нажмите по текущему подключению и выберите «Свойства».

Открылась очередная панель, найдите в списке «IP версии 4», вновь выберите свойства

Отобразится информация о состоянии (значении) IP и DNS

Строки, отвечающие за значения DNS, должны быть заполнены соответствующим образом (как на картинке). Данные значения взяты из официального источника GOOGLE. У вас есть возможность выбрать иного провайдера, например Yandex. Альтернативный сервер необходим, чтобы заменить основной во внештатных ситуациях. Отличным решением будет установить в качестве альтернативного адреса адрес иного провайдера. Если у Google будут проблемы, другие компании смогут предоставить вам доступ в глобальную сеть. Кроме этого, проверьте состояние службы DNS на компьютере. Для этого зажимаем Win + R, запускаем команду services.msc.

Перед вами появился список служб, которые в данный момент отрабатывают на вашем устройстве. Найдите DNS-клиент, правой кнопкой активизируйте команду «Перезапустить».

Методы, которые мы предложили не сработали? Попробуйте очистить кэш. Для этого запустить командную строку с правами администратора.

В окно терминала последовательно забивайте команды:

ipconfig /flushdns
ipconfig /registerdns
ipconfig /renew
ipconfig /release 

Перезагрузите оборудование, совершите проверку раннее недоступного сайта. Антивирусы способны блокировать некоторые DNS. Это не связано с неисправностью системы безопасности, отнюдь, антивирус слишком ответственно сверяет базы, блокируя подозрительные ресурсы. Отключите межсетевой экран или настройте белый список адресов. Интернет-провайдер оповестит вас, если проблема с доступ вызвана обслуживанием сети, поэтому простой звонок поставщику интернет услуг поможет оказаться ближе к разрешению неполадок.