Настройка DNS-сервера на Windows Server 2012 и старше
Необходимые понятия:
DNS – часть сетевой инфраструктуры, реализующая механизм преобразования IP-адреса в доменное имя
DNS сервер – специальная служба в сети, поддерживающая работу протокола DNS
Алгоритм настройки DNS-сервера:
- Подготовка адаптера сети для DNS-сервера
- Определение роли DNS-сервера
- Реализация зоны прямого просмотра
- Реализация зоны обратного просмотра
- А-запись
- Новые функции Domain Name System
Подготовка адаптера сети для DNS-сервера
В первую очередь, создайте частную сеть, подключите к этой сети виртуальные машины. Два адаптера – один основной, имеет доступ в интернет, другой – нет, ибо требует настройки (дополнительный).
Network 3 – подключенная сеть. Далее, правой кнопкой нажмите на кнопку меню «пуск», выберите пункт «сетевые подключения». Нажмите на нужный адаптер и посмотрите свойства. В новом окне найдите строку IPv4, также откройте свойства. Заполните поля необходимыми значениями.
Мастер добавления ролей и компонентов необходимо найти в Диспетчере сервера. Верхняя панель, меню управлении, выберите пункт «добавить роли и компоненты».
Окно, которое открылось – окно мастера. Убедитесь в том, что профиль администратора (учётная запись) надёжно защищен сильным паролем, все параметры настроены, новые обновления установлены и отлажены. Нажмите далее — далее
Перед вами появился пул серверов, выберите нужный и продолжите настройку командой «далее»
Окно выбор ролей. В нём найдите «DNS Server» и отметьте галочкой.
Перепроверьте компоненты для установки
Ещё раз сверьте желаемые настройки и подтвердите
Зоны прямого и обратного просмотров
Доменная зона – группа имён в пределах определённого домена
Зона прямого просмотра необходима для сопоставления доменного имени с IP
Зона обратного просмотра сопоставляет IP с доменным именем
Распоряжение зонами, их гибкое управление реализуется с помощью «Диспетчер DNS» (правая верхняя часть панели – Средства – DNS).
Открытие зоны прямого просмотра
Для этого нужно выделить папку зоны прямого просмотра, запустить мастер создания новой зоны кнопкой «Новая зона».
Необходимо выбрать основный тип зоны
Назначьте имя для зоны
Если нужно, измените имя будущего файла конфигурации зоны
Отключите опцию динамического обновления, ибо это делает систему более уязвимой
Проверьте установленную конфигурацию и завершите создание зоны прямого просмотра
Открытие зоны обратного просмотра
Найдите в диспетчере DNS папку с названием «обратная зона», также запустите менеджер по созданию новой зоны.
Тип зоны также основной
Выберите IPv4:
Необходимо указать ID Network (первые три цифры сетевого адреса)
Отключите опцию динамического обновления, ибо это делает систему более уязвимой
Проверьте установленную конфигурацию и завершите создание зоны прямого просмотра
А-запись
Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.
Запись A — запись, позволяющая по доменному имени узнать IP-адрес.
Запись PTR — запись, обратная A записи.
Увидите окно для создания нового узла, заполните все необходимые поля. Нажмите галочку для того, чтобы создать RTF запись.
Если оставить поле IP пустым, то адрес будет связан с именем доменной зоны. Дополнительно, можно создавать записи для других серверов.
Запустите командную строку, командой nslookup проверьте состояние DNS
Отправьте несколько запросов по домену и IP, чтобы убедиться в корректности работы настроенных зон.
Возможна отправка запроса на какой-нибудь внешний ресурс:
DNS Windows Server 2016
Политика DNS-серверов
Теперь доступно управление трафиком на основе гео
DNS отправляет более интеллектуальные ответы, собирая информацию в зависимости от времени суток
Гибкая фильтрация DNS запросов
Сбалансированное распределение нагрузки
Проще говоря, сервер сможет рационально распределить ресурсы, чтобы работать эффективнее.
ГЕО управление трафиком
Разрешение первичным и вторичным DNS-серверам отвечать на запросы DNS-клиентов на основе географического положения
Возможность настройки сортировки клиентов (внешние или внутренние) по областям зоны
Новые возможности позволяют защищать систему от вредоносных клиентов. Защита воспроизводится с помощью перенаправления потенциальных злоумышленников на несуществующий адрес.
Ограничение скорости отклика PRL
Теперь возможна настройка PRL. Это нужно, чтобы обезвредить атаки типа DOS. Ограничитель можно поставить на кол-во ответов в секунду, кол-во ошибок в секунду, окно между запросами, скорость утечки, максимум откликов, белые домен, белые подсети.
DANE
Алгоритм, решающий довольно весомую проблему – опасность фиктивной выдачи сертификатов CA. Вероятность атаки MITM сводится к минимальному значению.
Неизвестные записи
Гибкость обработки информации. Записи нестандартных неизвестных типов могут быть обработаны.
Подсказки IPv6
Запросы имен в Интернете теперь могут использовать корневые серверы IPv6 для разрешения имен.
Доработанный PowerShell
Список новых команд:
Add-DnsServerRecursionScope — Этот командлет создает новую область рекурсии на DNS-сервере. Области рекурсии используются политиками DNS для указания списка серверов пересылки, которые будут использоваться в запросе DNS.
Remove-DnsServerRecursionScope — Этот командлет удаляет существующие области рекурсии.
Set-DnsServerRecursionScope — Этот командлет изменяет параметры существующей области рекурсии.
Get-DnsServerRecursionScope — Этот командлет извлекает информацию о существующих областях рекурсии.
Add-DnsServerClientSubnet — Этот командлет удаляет существующие подсети DNS-клиентов.
Set-DnsServerClientSubnet — Этот командлет изменяет параметры существующей подсети DNS-клиента.
Get-DnsServerClientSubnet — Этот командлет извлекает информацию о существующих подсетях DNS-клиентов.
Add-DnsServerQueryResolutionPolicy — Этот командлет создает новую политику разрешения запросов DNS. Политики разрешения запросов DNS используются для указания того, как и следует ли отвечать на запрос на основе различных критериев.
Remove-DnsServerQueryResolutionPolicy — Этот командлет удаляет существующие политики DNS.
Set-DnsServerQueryResolutionPolicy — Этот командлет изменяет параметры существующей политики DNS.
Get-DnsServerQueryResolutionPolicy — Этот командлет извлекает информацию о существующих политиках DNS.
Enable-DnsServerPolicy — Этот командлет включает существующие политики DNS.
Disable-DnsServerPolicy — Этот командлет отключает существующие политики DNS.
Add-DnsServerZoneTransferPolicy — Этот командлет создает новую политику передачи зоны DNS-сервера. Политики передачи зоны DNS определяют, следует ли отклонять или игнорировать передачу зоны на основе различных критериев.
Remove-DnsServerZoneTransferPolicy — Этот командлет удаляет существующие политики передачи зон DNS-сервера.
Set-DnsServerZoneTransferPolicy. — Этот командлет изменяет параметры существующей политики переноса зоны DNS-сервера.
Get-DnsServerResponseRateLimiting — Этот командлет извлекает параметры RRL.
Set-DnsServerResponseRateLimiting — Этот командлет изменяет настройки RRL.
Add-DnsServerResponseRateLimitingExceptionlist — Этот командлет создает список исключений RRL на DNS-сервере.
Get-DnsServerResponseRateLimitingExceptionlist — Этот командлет извлекает списки исключений RRL.
Remove-DnsServerResponseRateLimitingExceptionlist — Этот командлет удаляет существующий список исключений RRL.
Set-DnsServerResponseRateLimitingExceptionlist — Этот командлет изменяет списки исключений RRL.
Add-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.
Get-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.
Remove-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.
Set-DnsServerResourceRecord — Этот командлет был обновлен для поддержки неизвестного типа записи.