Серверы условной пересылки dns для чего
DNS-сервер пересылки можно настроить на узлах домен Active Directory Services (устройство _ domain-AD01 и устройство _ domain-AD02) устройства аналитики, чтобы разрешить сценариям и программным приложениям доступ к внешним серверам.
Создание серверов условной пересылки
Зона DNS Azure AD DS должна содержать только зону и записи для самого управляемого домена. Не создавайте дополнительные зоны в управляемом домене для разрешения именованных ресурсов в других пространствах имен DNS. Вместо этого используйте серверы условной пересылки в управляемом домене, чтобы указать DNS-серверу, куда следует обращаться за разрешением адресов этих ресурсов.
Чтобы создать сервер условной пересылки в управляемом домене, выполните следующие действия.
Выберите Серверы условной пересылки, щелкните правой кнопкой мыши и нажмите Создать сервер условной пересылки.
Установите флажок Сохранять условную пересылку в Active Directory и реплицировать ее следующим образом: , а затем выберите параметр Все DNS-серверы в этом домене, как показано в следующем примере:
Если сервер условной пересылки хранится в лесу, а не в домене, его работа будет завершаться ошибкой.
Чтобы создать сервер условной пересылки, нажмите кнопку ОК.
Теперь имена ресурсов в других пространствах имен с виртуальных машин, подключенных к управляемому домену, должны разрешаться правильно. Запросы для домена DNS, настроенного на сервере условной пересылки, передаются соответствующим DNS-серверам.
Перед началом
Для работы с этой статьей требуются следующие ресурсы и разрешения:
Настройка разрешения DNS для служб WSUS
SQL Server PDW 2012 предоставляет интегрированные функции обслуживания и исправления. SQL Server PDW использует Центр обновления Майкрософт и другие технологии обслуживания Майкрософт. Чтобы включить обновления, устройство должно иметь возможность подключения к корпоративному репозиторию WSUS или репозиторию общедоступных WSUS Майкрософт.
Для клиентов, которые выбирают настройку устройства для поиска обновлений в репозитории Microsoft Public WSUS, приведенные ниже инструкции задают правильные сведения о конфигурации устройства.
С помощью удаленного рабочего стола Войдите на виртуальную машину VMM ( -VMM) с помощью учетной записи администратора домена структуры.
Откройте панель управления, щелкните сеть и Интернет, а затем щелкните центр управления сетями и общим доступом.
В списке подключение выберите вмсесернет и нажмите кнопку свойства.
Выберите пункт Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.
В поле Альтернативный DNS-сервер добавьте IP-адрес, предоставленный администратором сети клиента.
Azure AD DS включает DNS-сервер, обеспечивающий разрешение имен для управляемого домена. Этот DNS-сервер содержит встроенные записи DNS и обновления для ключевых компонентов, обеспечивающих функционирование службы.
Если вы используете собственные приложения и службы, вам может потребоваться создать записи DNS для компьютеров, не присоединенных к домену, настроить виртуальные IP-адреса для подсистем балансировки нагрузки или внешние DNS-серверы пересылки. Пользователи, принадлежащие к группе администраторов контроллера домена AAD, получают права администратора DNS в управляемом домене Azure AD DS и могут создавать и изменять пользовательские записи DNS.
В гибридной среде зоны и записи DNS, настроенные в других пространствах имен DNS, например в локальной среде AD DS, не синхронизируются с управляемым доменом. Чтобы разрешить именованные ресурсы в других пространствах имен DNS, создайте и используйте серверы условной пересылки, указывающие на существующие DNS-серверы в вашей среде.
В этой статье показано, как установить средства DNS-сервера, а затем использовать консоль DNS для управления записями и создания серверов условной пересылки в Azure AD DS.
Создание или изменение корневых указаний или серверов пересылки DNS на уровне сервера не поддерживается и приведет к проблемам с управляемым доменом Azure AD DS.
Создание зоны на DNS-сервере для *.cloudsimple.io
Вы можете настроить зону в качестве зоны-заглушки и указать DNS-серверы в частном облаке для разрешения имен. В этом разделе приводятся сведения об использовании DNS-сервера BIND или DNS-сервера Microsoft Windows.
Создание зоны на DNS-сервере BIND
Конкретный файл и параметры для конфигурации могут зависеть от конкретной настройки DNS.
Например, для конфигурации сервера BIND по умолчанию измените /etc/named.conf файл на DNS-сервере и добавьте следующие сведения о зоне.
Эта статья содержит упоминания термина slave (ведомый) . Корпорация Майкрософт больше не использует его. Когда этот термин будет удален из программного обеспечения, мы удалим его из статьи.
Создание сервера условной пересылки
Сервер условной пересылки перенаправляет все запросы разрешения DNS-имен на указанный сервер. При такой настройке любой запрос к *.cloudsimple.io перенаправляется на DNS-серверы, расположенные в частном облаке. В следующих примерах показано, как настроить серверы пересылки на различных типах DNS-серверов.
Вызов консоли управления DNS для администрирования DNS
После установки средств DNS-сервера можно приступать к администрированию записей DNS в управляемом домене.
Для администрирования DNS в управляемом домене необходимо войти в учетную запись пользователя, принадлежащую к группе Администраторы контроллера домена AAD.
На начальном экране выберите Администрирование. Отобразится список доступных средств управления, включая DNS, установленные в предыдущем разделе. Выберите DNS, чтобы запустить консоль управления DNS.
Консоль DNS подключится к указанному управляемому домену. Разверните пункт Зоны прямого просмотра или Зоны обратного просмотра, чтобы создать необходимые записи DNS или изменить существующие записи по мере необходимости.
При управлении записями с помощью средств DNS-сервера убедитесь, что встроенные записи DNS, используемые Azure AD DS, не удаляются и не изменяются. Встроенные записи DNS включают в себя записи DNS домена, записи сервера имен и другие записи, используемые для обнаружения контроллера домена. Изменение этих записей приведет к нарушению работы доменных служб в виртуальной сети.
Использование сервера пересылки DNS
Устройство аналитики системы Analytics настроено для предотвращения разрешения DNS-имен серверов, которые не находятся в устройстве. Некоторым процессам, таким как Windows Software Update Services (WSUS), потребуется доступ к серверам за пределами устройства. Для поддержки этого сценария использования можно настроить DNS платформы аналитики для поддержки внешнего сервера пересылки имен, который позволит узлам платформы и виртуальным машинам аналитики использовать внешние DNS-серверы для разрешения имен за пределами устройства. Настраиваемая конфигурация DNS-суффиксов не поддерживается. Это означает, что для разрешения имени сервера, не являющегося устройством, необходимо использовать полные доменные имена.
Создание сервера пересылки DNS с помощью графического пользовательского интерфейса DNS
Войдите в узел _ domain-AD01 узла Appliance .
Откройте диспетчер DNS (днсмгмт. msc).
Щелкните правой кнопкой мыши имя сервера и выберите пункт Свойства.
На вкладке Дополнительно снимите флажок отключить рекурсию (также отключать серверы пересылки) и нажмите кнопку Применить.)
Перейдите на вкладку серверы пересылки и нажмите кнопку изменить.
Введите IP-адрес для внешнего DNS-сервера, который будет предоставлять разрешение имен. Виртуальные машины и серверы (узлы) в устройстве будут подключаться к внешним серверам с помощью полных доменных имен.
Повторите шаги 1-6 в узле _ domain-AD02 узла устройства .
Создание сервера пересылки DNS с помощью Windows PowerShell
Войдите в узел _ domain-AD01 узла Appliance.
Выполните приведенный ниже сценарий Windows PowerShell из узла устройства _ domain-AD01 . Перед выполнением сценария Windows PowerShell замените IP-адреса IP-адресами DNS-серверов, не поддерживающих устройства.
Выполните ту же команду в узле _ domain-AD02 узла Appliance .
Создание сервера условной пересылки на DNS-сервере Microsoft Windows
Откройте диспетчер DNS на DNS-сервере.
Щелкните правой кнопкой мыши пункт Серверы условной пересылки и выберите пункт "Добавить новый сервер условной пересылки".
Введите домен DNS и IP-адрес DNS-серверов в частном облаке и нажмите кнопку ОК.
Получение IP-адреса DNS-сервера для частного облака
Перейдите к разделу Ресурсы>Частные облака и выберите частное облако, к которому нужно подключиться.
На странице Сводка частного облака в разделе Основные сведения скопируйте IP-адрес DNS-сервера частного облака.
Используйте любой из этих параметров для конфигурации DNS.
Дальнейшие действия
Дополнительные сведения об управлении DNS см. в статье о средствах DNS на сайте TechNet.
08.02.2021
itpro
Windows Server 2016, Windows Server 2019
комментария 4
В этой статье мы рассмотрим два способа организации условного разрешения имен в DNS сервере на Windows Server 2016: DNS conditional forwarding и DNS policy. Эти технологии позволяют настроить условное разрешение DNS имен в зависимости от запрошенного имени, IP адреса и местоположения клиента, времени суток и т.д.
Создание зоны на DNS-сервере Microsoft Windows
Щелкните правой кнопкой мыши DNS-сервер и выберите пункт Создать зону.
Выберите Зона-заглушка и нажмите Далее.
Выберите подходящий вариант в зависимости от среды и нажмите кнопку Далее.
Выберите пункт Зона прямого просмотра и нажмите кнопку Далее.
Введите имя зоны и нажмите кнопку Далее.
Введите IP-адреса DNS-серверов для частного облака, полученного на портале CloudSimple.
Создание сервера условной пересылки на DNS-сервере BIND
Конкретный файл и параметры для конфигурации могут зависеть от конкретной настройки DNS.
Например, для конфигурации сервера привязки по умолчанию измените файл /etc/named.conf на DNS-сервере и добавьте следующие сведения о сервере условной пересылки.
Настройка DNS Conditional Forwarding с помощью PowerShell
Вы можете создать правило Conditional Forward для определенной DNS зоны с помощью PowerShell. Воспользуйтесь командлетом Add-DnsServerConditionalForwarderZone:
Чтобы вывести список DNS Conditional Forwarders на определенном сервере, выполните следующий PowerShell скрипт:
$DNSServer = "DC01"
$Zones = Get-WMIObject -Computer $DNSServer -Namespace "root\MicrosoftDNS" -Class "MicrosoftDNS_Zone"
$Zones | Select-Object Name,MasterServers,DsIntegrated,ZoneType | where | ft -AutoSize
Установка средств DNS-сервера
Чтобы создать и изменить записи DNS в управляемом домене, необходимо установить средства DNS-сервера. Их можно установить как компонент Windows Server. Подробнее об установке средств администрирования на клиенте Windows см. в статье об установке средств удаленного администрирования сервера (RSAT).
Войдите на виртуальную машину управления. Инструкции по подключению с помощью портала Azure см. в статье Подключение к виртуальной машине Windows Server.
Если диспетчер сервера не открывается по умолчанию при входе в виртуальную машину, откройте меню Пуск, а затем выберите Диспетчер сервера.
На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.
На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.
В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.
На странице Роли сервера нажмите кнопку Далее.
На странице Компоненты разверните узел Средства удаленного администрирования сервера, а затем узел Средства администрирования ролей. Из списка средств администрирования ролей выберите компонент Средства DNS-сервера.
На странице Подтверждение щелкните Установить. Установка средств DNS- сервера может занять одну или две минуты.
Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.
Основные функции OpenDNS
- ОткрытыйDNS сервер – естественно, это его главная задача
- Возможность фильтрация нежелательного содержимого – возможность ограничения или запрета доступа к различным категориям сайтам. Фильтрация контента осуществляется на основании постоянно актуализируемой базой, содержащей несколько миллионов доменов, упорядоченных по 55 категориям (игры, социальные сети, «18+», файлообменники, кино и т.д.). При помощи OpenDNS можно защитить ребенка от «недетского» содержимого (ограничение доступа детей к сайтам как средство расширения технологии родительского контроля Windows), либо ограничить сотрудникам доступ к сайтам, снижающим продуктивность работы.
- Управление доступом к сайтам – помимо фильтрации контента с помощью OpenDNS можно вести белые и черные списки доменов, доступ к которым соответственно либо всегда разрешен, либо всегда запрещен
- Защита от фишинга и вредоносных программ – OpenDNS использует базу фишинговых сайтов PhishTank .
Примечание. Фишинговые сайты — сайты-клоны популярных сайтов, созданные, чтобы выжать конфиденциальную информацию и пароли пользователей.
Все расширенные функции OpenDNS доступны после регистрации и настраиваются в удобном веб-интерфейсе. Бесплатные только базовые возможности DNS-сервиса. В остальном, услуги платные.
Чтобы Ваш домашний компьютер заработал через OpenDNS, достаточно в настройках подключению к интернету прописать адреса его DNS серверов (208.67.222.222 и 208.67.220.220). В корпоративное среде, все несколько сложнее.
Не секрет, что в домене Windows клиенты для разрешения имен используют сервера DNS сервера домена Active Directory, использование же сторонних DNS серверов (тем более внешних) вызовет множество проблем сетевых проблем: со входом в доменом, поиском контроллеров домена, серверов и клиентов, выполнением групповых политик и т.д. Это означает, что DNS сервера OpenDNS нельзя выставлять непосредственно на клиентах. Оптимальным решением в этом случае была бы настройка пересылки DNS запросов серверам имен OpenDNS на серверах DNS Windows (обычно это контролеры домена Active Directory).
В данном примере, мы покажем, как настроить пересылку DNS запросов на примере DNS сервера с ОС Windows Server 2012.
Настройка DNS Conditional Forwarder в Windows Server
- Запустите консоль управления DNS ( dnsmgmt.msc );
- Разверните ваш DNS сервер, щелкните правой кнопкой по разделу Conditional Forwarders и выберите New Conditional Forwarder;
- В поле DNS domain укажите FQDN имя домена, для которого нужно включить условную пересылку;
- В поле IP addresses of the master servers укажите IP адрес DNS сервера, на который нужно пересылать все запросы для указанного пространства имен;
- Если вы хотите хранить правило условной переадресации не только на этом DNS сервере, вы можете интегрировать его в AD. Выберите опцию “Store this conditional forwarder in Active Directory”;
- Выберите правило репликации записи conditional forwarding (All DNS servers in this forest, All DNS servers in this domain или All domain controllers in this domain).
Настройка пересылка DNS запросов на DNS сервере Windows Server 2012
Откройте панель управления DNS Manager (находится в разделе Administrative Tools). В DNS консоли выберите свой DNS сервер и откройте раздел Forwarders
Перейдите на вкладку Forwarders (Пересылка) и нажмите кнопку Edit.
В открывшееся окне необходимо указать ip адреса 2 публичных DNS серверов сервиса OpenDNS:
Ваш DNS сервер проверит доступность данных серверов и протестирует их работоспособность. Сохраните изменения.
Удостоверьтесь, что флажок Use root hints if no forwarders are available снят. Если этого не сделать, ваш DNS сервер в некоторых случаях за разрешением DNS запросов будет отправлять запросы корневым DNS сервера Интернета, а сервера OpenDNS в этом случае могут не опрашиваться. Т.е. если служба OpenDNS используется для фильтрации, это может быть неприемлемо (фильтр ведь должен срабатывать во всех случаях!).
Примечание. Использования OpenDNS в качестве основного DNS сервера будет накладывать дополнительную задержку на время ожидания DNS ответа клиентом. Дело в том, что, несмотря на то, что функционал OpenDNS обеспечивается на базе 12 географически распределенных дата центров, а благодаря технологии маршрутизации Anycast, на DNS запрос пользователя отвечает ближайший дата-центр, ближайшие к России дата-центры находится в Амстердаме и Франкфурте, поэтому время ответа от этих DNS серверов может быть существенно больше, чем время ответа от DNS сервера провайдера. В некоторых случаях такая задержка может быть недопустимой. В этом случае стоит попробовать один из российских аналогов OpenDNS, обладающих собственными дата-центрами в различных регионах России, например SkyDNS или Rejector.
Сохраните настройки пересылки, нажав ОК.
Чтобы сразу же воспользоваться возможностями OpenDNS, необходимо сбросить DNS кэш на вашем DNS сервере. Для этого в меню View включите опцию Advanced, в результате чего в консоли управления DNS появится дополнительный раздел Cached Lookups. Щелкните правой кнопкой по новому разделу и выберите пункт Clear Cache.
Совет. Указанные изменения необходимо произвести на всех DNS серверах организации, имеющих возможность обращения к внешним DNS провайдерам.
Осталось очистить DNS кэш на клиентах (либо дождаться, пока записи в локальном DNS кэше просочатся). Сделать этом можно с помощью команды:
Чтобы получить доступ к серверу vCenter в частном облаке CloudSimple с локальных рабочих станций, необходимо настроить разрешение адресов DNS, чтобы сервер vCenter мог быть адресован по имени узла, а также по IP-адресу.
Принцип работы сервиса OpenDNS и аналогов
Вкратце объясним, на чем основан принцип фильтрации DNS запросов с помощью OpenDNS и аналогичных сервисов.
При обращении пользователя за разрешением DNS-имени сайта (домена) к серверу OpenDNS, его запрос пересылается ближайшему к нему DNS серверу OpenDNS (эта возможность реализуется благодаря технологии BGP Anycast) . Сервер получает запрос пользователя и проверяет его по своей внутренне базе сайтов, и если запрашиваемый сайт оказывается в категории запрещенных, фишинговых или вирусных сайтов, то вместо IP адреса искомого сайта пользователь получает IP адрес сайта OpenDNS и вместо «плохого» ресурса появляется страница OpenDNS с предупреждением, в котором указана причина блокировки данного домена. Если запрашиваемый домен не обнаружен в «черном» списке, сервер OpenDNS берет его IP адрес из собственного кэша или запрашивает его и других DNS серверов.
Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016
В Windows Server 2016 появилась новая фича в службе DNS сервера – DNS политики. DNS политики позволяют настроить DNS сервер так, чтобы он возвращал различные ответы на DNS запросы в зависимости от местоположения клиента (с какого IP адреса или подсети пришел запрос), интерфейса DNS сервера, времени суток, типа запрошенной записи (A, CNAME, PTR, MX) и т.д. DNS политики в Windows Server 2016 позволяют реализовать сценарии балансировки нагрузки, фильтрации DNS трафика, возврата DNS записей в зависимости от геолокации (IP адреса клиента) и многие другие сложные сценарии.
Вы можете создать политику как на уровне DNS сервера, так и на уровне всей зоны. Настройка DNS политик в Windows Server 2016 возможна только из командной строки PowerShell.
Я создал 3 подсети для разных офисов компании:
Add-DnsServerClientSubnet -Name "MSK_DNS_Subnet" -IPv4Subnet "192.168.1.0/24"
Add-DnsServerClientSubnet -Name "EKB_DNS_Subnet" -IPv4Subnet "192.168.11.0/24"
Add-DnsServerClientSubnet -Name "SPB_DNS_Subnet" -IPv4Subnet "192.168.21.0/24"
Эти команды придется выполнить на всех DNS серверах, на которых должна работать условная политика DNS. Эти записи не реплицируются в DNS и хранятся локально в реестре DNS сервера. Вы можете указать имя сервера с помощью параметра -ComputerName dc01 .
Чтобы вывести список всех IP подсетей клиентов, выполните:
Теперь нужно для каждого офиса создать отдельную DNS область:
Следующие команды добавят 3 DNS записи с одним именем, но указывающие на разные IP адреса в разных областях DNS:
Теперь нужно создать DNS политики, которые свяжут IP подсети, DNS области и A записи.
- -Action ALLOW
- -Action DENY
- -Action IGNORE
Можно использовать следующие параметры в фильтре DNS:
-InternetProtocol "EQ,IPv4,NE,IPv6"
-TransportProtocol "EQ,UDP,TCP"
-ServerInterfaceIP "EQ,192.168.1.21"
-QType "EQ,A,AAAA,NE,PTR"
-TimeOfDay "EQ,9:00-18:00"
Вывести список всех DNS политик для DNS зоны на сервере можно так:
Теперь с устройств из различных офисов проверьте, что DNS сервер на один и тот же запрос возвращает различные IP адреса прокси:
Можно запретить DNS серверу возвращать DNS адреса для определенного пространства имен (домена):
Add-DnsServerQueryResolutionPolicy -Name 'BlockFidhingPolicy' -Action IGNORE -FQDN "EQ,*.cberbank.ru"
Предыдущая статья Следующая статья
Перенос (клонирование) Windows на другой SSD/HDD диск
Исправляем ошибку: Службе профилей пользователей не удалось войти в систему
Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль
Критическая уязвимость Active Directory Zerologon (CVE-2020-1472)
Awesome!! Thanks for your help!!
Что-то совсем слабенько написано. Не понятно зачем было объединять в одну статью две темы. Думаю, про политики DNS можно написать отдельную статью.
Зачем такие сложности по выводу информации об Conditional Forwarder? Все можно одной строкой сделать «Get-DnsServerZone | ? ZoneType -eq «Forwarder» | select zonename, MasterServers, IsDsIntegrated» При этом у командлета есть -computername.
Спосибо за статью, но есть вопрос. В статье сказано, что «Эти команды придется выполнить на всех DNS серверах, на которых должна работать условная политика DNS. Эти записи не реплицируются в DNS и хранятся локально в реестре DNS сервера.», вопрос будут ли политики отрабатывать на DNS-ах RODC, расположенных в сайтах филиалов?
09.01.2020
itpro
Windows Server 2012
Один комментарий
Статья посвящена вопросам организации безопасной работы пользователей в интернете с помощью использования технологии так называемых «безопасных» DNS серверов. В частности сегодня мы рассмотрим особенности популярного облачного DNS сервиса OpenDNS и возможности его использования в корпоративной среде на базе домена Windows.
OpenDNS – специальный облачный сервис, предоставляющий всем желающим бесплатную услугу DNS-серверов. Но не это главное. Основная «фишка» этого сервиса возможность организации на базе службы DNS эффективную системы защиты пользователей от вредоносного ПО, фишинговых сайтов, ботнетов, ограничения доступ пользователей к различным категориям сайтов и многое другое. Еще одним важным преимуществом OpenDNS является тот факт, что его не нужно разворачивать и устанавливать на каждый из компьютеров домашней/рабочей сети.
Примечание. В качестве отечественных аналогов OpenDNS порекомендуем SkyDNS и Rejector. Данные сервисы обладают высоким (во многом схожим) функционалом и более дружественны к российскому пользователю.
Читайте также: